Unternehmen riskieren lieber Bußgeld, als auf US- Anbieter zu verzichten – Rechtsanwältin Noemi Speth

Noemi Speth ist Rechtsanwältin in Hamburg. Im Interview spricht sie über die Auswirkungen der DSGVO auf Unternehmen und den Unwillen vieler Mandanten auf die Dienstleistungen großer US-Anbieter zu verzichten.

Noemi Speth ist Rechtsanwältin in Hamburg

Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?

Noemi Speth: Im Jahr 2018 wurden viele Ängste in Verbindung mit der DSGVO geschürt. Da gab es zum einen das Drohszenario der immensen Geldbußen, die mit Geltung der DSGVO deutlich höher ausfallen sollten. Auch die von vielen prophezeite Abmahnwelle wegen Datenschutzverstößen sorgte für viel Verunsicherung bei Unternehmen. Aus heutiger Sicht kann man sagen, dass diese Ängste weitestgehend unberechtigt waren. Große Abmahnwellen im Zusammenhang mit Datenschutzverstößen sind ausgeblieben und was Kontrollen und Sanktionen durch die Datenschutzbehörden angeht, so fallen diese aufgrund des dort herrschenden Personalmangels bislang auch übersichtlich aus. In einem Punkt allerdings haben sich die Ankündigungen durchaus bestätigt: Wenn es tatsächlich zur Kontrolle und Sanktion durch die Datenschutzbehörden kommt, so fallen die Geldbußen in der Tat deutlich höher aus.

Gibt es viele Fälle wegen Verstößen gegen die DSGVO?

Noemi Speth: Nein, das kann man nicht sagen, insbesondere wenn man die Zahl ins Verhältnis zu allen in Deutschland bestehenden Unternehmen setzt. So hat es z.B. zu der Frage, ob Datenschutzverstöße sog. Marktverhaltensregelungen darstellen und damit aus wettbewerbsrechtlicher Sicht abmahnbar sind, in den letzten zwei Jahren nur eine Handvoll relevanter Urteile gegeben. Noch dazu sind sich die Gerichte in der Antwort auf diese Frage nicht einig. Ich denke, dass auch dieses ein Grund dafür ist, warum die groß angekündigte „Abmahnwelle“ ausgeblieben ist.

Auch bei den Geldbußen durch Datenschutzbehörden kann man nicht von vielen Fällen sprechen. Schaut man z.B. in den aktuellen Tätigkeitsbericht des „Bundesbeauftragten für den Datenschutz und die Informationsfreiheit“, also der obersten Bundesbehörde für Datenschutz, so finden sich dort für das Jahr 2019 ca. 60 Unternehmen, die kontrolliert wurden. Sanktionen, also Beanstandungen, Verwarnungen oder Bußgelder wurden sogar nur gegen sechs Unternehmen verhängt. Etwas umfangreicher, aber im Ergebnis ähnlich sieht es auf Länderebene aus. Es gibt zwar einige Unterschiede bei den einzelnen Bundesländern, Bayern z.B. scheint etwas aktiver zu sein, aber im Ergebnis fallen auch diese Zahlen – gemessen an der Gesamtzahl der Unternehmen – noch sehr niedrig aus. Die Datenschutzbehörden scheinen hier nach wie vor unter Personalengpässen zu leiden. Allerdings sollte man daraus als Unternehmen nicht schließen, dass man es sich leisten könnte, den Datenschutz nicht ernst zu nehmen: Wenn die Datenschutzbehörden erst mal Verstöße festgestellt haben, so kann es durchaus schnell teuer werden. Auch in Deutschland werden mittlerweile Bußgelder im zweistelligen Millionenbereich verhängt.

Einen tatsächlichen Anstieg der Fallzahlen verzeichnen wir aktuell dagegen in einem ganz anderen Bereich, nämlich dort wo es um die Geltendmachung von Datenschutzrechten aus Betroffenensicht geht. Gerade durch die Stärkung des „Rechts auf Vergessenwerden“ durch die DSGVO und die dazu ergangenen positiven Gerichtsurteile gehen Privatpersonen immer mehr dazu über, Unternehmen zur Löschung ihrer Daten aufzufordern und scheuen auch eine gerichtliche Auseinandersetzung darüber nicht. Prominentestes Beispiel sind hier die Löschungsanträge zu Google-Suchergebnissen, die derzeit Google und die Gerichte stark beschäftigen.

Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?

Noemi Speth: Die DSGVO nennt als oberste Handlungsgrundsätze die Prinzipien der Transparenz, der Datenminimierung, der Datenrichtigkeit sowie der Zweckbindung. Auch wenn das zunächst sehr umständlich klingt, so ist damit nichts anderes gemeint, als man bereits mit gesundem Menschenverstand erfassen würde: Brauche ich alle diese Daten tatsächlich? Sind die Daten, die mir hier vorliegen richtig? Kann der Betroffene wirklich nachvollziehen, was hier mit seinen Daten geschieht? Benutze ich eventuell Daten, die für einen völlig anderen Zweck erhoben wurden? Unternehmen täten gut daran, bei ihren Mitarbeitern durch Schulungen ein Bewusstsein für die Einbindung dieser Handlungsgrundsätze der DSGVO zu entwickeln, denn nur so kann der Datenschutz wirklich in den Alltag des Unternehmens integriert werden. Damit hat man aus meiner Sicht viel mehr gewonnen, als mit der Erstellung von ellenlangen Datenschutzinformationen, die am Ende ihren Sinn ohnehin verfehlen, weil sie so lang und unverständlich sind, dass sie mit der von der DSGVO geforderten Transparenz nichts mehr zu tun haben.

Nichtsdestotrotz gibt es natürlich einen gewissen Grundkatalog an Regelungen, die man als Unternehmen auf der Agenda haben muss. Zu nennen sind hier in erster Linie:

Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO

Die DSGVO verpflichtet jedes Unternehmen zum Nachweis eines Gesamtkonzeptes zur Einhaltung des Datenschutzes. Das bedeutet in der Praxis: Das Unternehmen muss ein Verfahren einrichten, dass die Wirksamkeit der Datenschutz- und Datensicherheitsmaßnahmen bewertet und regelt. Selbstverständlich muss dieses auch regelmäßig geprüft und aktualisiert werden.

TOM ́s

Unternehmen müssen technische und organisatorische Maßnahmen einführen, um ein angemessenes Schutzniveau der Daten sicherzustellen. Datensicherheit ist hier das Stichwort. Es reicht also nicht nur aus, sich mit Datenschutz auf dem Papier zu beschäftigen, sondern auch die Techniker sind gefragt.

Datenschutzbeauftragter

Die Voraussetzungen zur Bestellung eines Datenschutzbeauftragten sind nicht mehr so klar und eindeutig definiert, wie es unter Geltung des alten BDSG war. Sicher ist jedoch, spätestens wenn 20 Personen ständig mit der Datenverarbeitung beschäftigt werden, ist ein Datenschutzbeauftragter Pflicht. Doch auch wenn man diese Zahl nicht erreicht, bestehen nach dem BDSG-neu und der DSGVO durchaus Fälle, in denen die Bestellung Pflicht wird. Für die Nichtbestellung von Datenschutzbeauftragten sind bereits nicht unerhebliche Bußgelder verhängt worden.

Meldepflicht bei Datenschutzpannen

Ereignen sich Datenschutzverletzungen im Unternehmen und führen diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen (wovon in der Regel auszugehen ist), so müssen diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ist dieses Risiko für die Betroffenenrechte zudem noch ein hohes, so müssen darüber hinaus auch die Betroffenen selbst benachrichtigt werden.

Betroffenenrechte

Auch die Rechte der Betroffenen müssen Unternehmen ins alltägliche Geschäft integrieren. Zu nennen sind hier in erster Linie das Recht auf Information über die Datenverarbeitung, welches in den Datenschutzerklärungen des Unternehmens zum Ausdruck kommt. Achten Sie hier insbesondere auf Verständlichkeit. Darüber hinaus stehen den Betroffenen auch die Rechte auf Berichtigung, Einschränkung der Verarbeitung sowie auf Löschung (Recht auf Vergessen) zu.

Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?

Noemi Speth: Richtig ist, dass das alte BDSG mit Geltung der DSGVO aufgehoben wurde. Allerdings trat zeitgleich ein neues BDSG, das BDSG-neu in Kraft. Wie auch schon im alten BDSG finden sich dort die Regelungen zum Beschäftigtendatenschutz, die für nahezu alle Unternehmen relevant sind. Hier ist vieles aus dem alten BDSG übernommen worden. Neu sind allerdings die Regelungen zur Wirksamkeit von Einwilligungen von Mitarbeitern. Hier knüpft das BDSG-neu an strengere Vorgaben für die Abgabe von (datenschutzrechtlichen) Einwilligungen im Beschäftigungsverhältnis. Ebenfalls neu fällt die Mitarbeitergrenze zur Benennung eines Datenschutzbeauftragten aus. Diese wurde durch das BDSG-neu von zehn auf zwanzig Mitarbeiter angehoben. Im Hinblick auf betriebliche Video-Überwachung ist es weitestgehend bei den Regelungen des BDSG geblieben.

Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?

Noemi Speth: Aus meiner Sicht hat die DSGVO die großen US-Anbieter noch nicht besonders unter Zugzwang gebracht. Das liegt zum einen an der immensen Marktmacht, die diese Unternehmen haben sowie daran, dass sich die grundsätzlichen Regelungen zum Datenschutz in den USA und in Europa immer noch sehr voneinander unterscheiden. Ganz aktuell wird diese Thematik durch ein Urteil des EuGH deutlich, das die Anwendbarkeit des Privacy-Shield Abkommens als Grundlage für Datentransfer zwischen der EU und den USA für unwirksam erklärt. Theoretisch betrachtet dürften damit die meisten US-Dienstleister nicht mehr eingesetzt werden. Aber in der Praxis? Gibt es wohl kaum ein Unternehmen, das auf die großen Player wie Google und Co verzichten möchte, selbst wenn dieses am Ende mit Risiken verbunden ist. Nicht selten erlebe ich es in der Beratungspraxis, dass Mandanten sich eher mit dem Risiko eines Bußgeldes anfreunden können, als auf die Nutzung der großen US- Anbieter zu verzichten. Wer möchte schon heutzutage auf das Internet, so wie wir es kennen, verzichten? Daran konnten auch die in der Vergangenheit gegen die US-Anbieter verhängten Bußgelder der europäischen Datenschutzbehörden – leider – nichts ausrichten. Hier unterscheidet sich die Theorie immer noch zu sehr von der Praxis.

Frau Speth, vielen Dank für das Gespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.