Drastisch verschärfte Bußgeldandrohungen für Datenschutzverstöße – Kay-Enno Pauls

Kay-Enno Pauls ist Rechtsanwalt mit den Schwerpunkten IT- und Datenschutzrecht. Im Interview spricht er über die Auswirkungen der DSGVO auf den Alltag von kleinen und mittelständischen Unternehmen.

Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?

Kay-Enno Pauls

Kay-Enno Pauls: Die damaligen Ängste hatten nach meiner Beobachtung vor allem zwei Treiber: Zum einen die drastisch verschärften Bußgeldandrohungen für Datenschutzverstöße. Zur Erinnerung, es konnten und können Geldbußen von bis zu 20 Millionen EUR oder bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden. Zum anderen machten sich Unternehmer über Mehraufwände und die damit verbundenen Kosten Gedanken.

Beim Thema Bußgeldandrohungen hat sich die Aufregung gegenüber 2018 deutlich gelegt. Gerade kleine und mittlere Unternehmen konnten beobachten, dass sich die Anzahl der Bußgeldbescheide bisher in Grenzen hält und der Bußgeldrahmen in den seltensten Fällen auch nur annähernd ausgeschöpft wird. Einzelne spektakuläre Fälle lassen gleichwohl aufhorchen.

Ebenso wenig dürften bei etablierten Unternehmen gestiegene Mehraufwände noch allzu große Probleme bereiten. Das grundlegende Setting zu weitgehender DSGVO-Compliance dürfte bei vielen mittlerweile stehen. Seien es z.B. an die DSGVO angepasste Datenschutzerklärungen, die Führung eines Verarbeitungsverzeichnisses, die Prüfung, ob für das Unternehmen nach der DSGVO bzw. dem BDSG eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter zu bestellen ist, das Wissen um das Thema Auftragsverarbeitung und die generelle Sensibilisierung beim Thema Datenschutz.

Geblieben ist aber zum Teil die Sorge, dass zu strenge Datenschutzvorgaben Technologieeinsatz und Innovationen erschweren – wenn nicht gar verhindern – und insoweit auch businessbedrohend sein können. Die EU ist groß, aber nicht die Welt. Wettbewerbsnachteile gegenüber Unternehmen in Ländern mit einem niedrigeren Datenschutzniveau lassen sich in der Tat nicht ganz ausschließen. Nicht alle werden sich die DSGVO bei ihrer Gesetzgebung zum Vorbild nehmen.

Gibt es viele Fälle wegen Verstößen gegen die DSGVO?

Kay-Enno Pauls: Was die Bußgelder angeht, entnehme ich die mir bekannt gewordenen Fälle vor allem aus der Presse. Bleiben wir in Berlin: Die Berliner Datenschutzbeauftragte hat demnach im Jahr 2019 14,739 Millionen Euro an Bußgeldern wegen Verstößen gegen acht Unternehmen verhängt.

Die Anzahl der betroffenen Unternehmen kann man als eher überschaubar bezeichnen. Die Höhe der Bußgelder ist aber durchaus beeindruckend. Dazu muss man allerdings wissen, dass alleine 14,5 Millionen EUR gegen ein einziges Unternehmen verhängt wurden. Hinzu kommen noch die Verwarnungen, die 2019 im dreistelligen Bereich gelegen haben sollen.

Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?

Kay-Enno Pauls: Wenn Sie auf den privaten Alltag abzielen, dann kann man zunächst feststellen, dass uns das Thema Datenschutz – vor allem wegen der Bedeutung des Internets – fast ständig begleitet. Bei der Nutzung des Smartphones, beim Aufruf einer Webseite, bei der Bestellung von Waren, um nur einige Beispiele zu nennen. Im Alltag der Unternehmen gilt dies ebenso, allerdings mit umgekehrter Perspektive. Hier geht es vor allem um den Kunden als betroffene Person.

Lassen Sie mich so antworten, gelegentlich fragen mich Mandanten, was man denn unbedingt über den Datenschutz wissen müsse. Ich erwidere dann oft, dass das Verständnis für eine einzige datenschutzrechtliche Vorgabe fast schon reiche: Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Es geht mir hier vor allem um die „Rechtsgrundlage“ am Ende des Satzes. Man sollte sich also stets fragen, auf welcher Rechtsgrundlage eine Verarbeitung eigentlich stattfindet. Sei es z.B. die Einwilligung der Person, deren Daten genutzt werden, oder ein Vertrag mit ihr. Zwei weitere zentrale Begriffe der DSGVO sind ebenfalls enthalten und lassen sich wunderbar besprechen, nämlich die der „personenbezogenen Daten“ und der „Verarbeitung“.

Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?

Kay-Enno Pauls: Aufgehoben wurde das deutsche BDSG nicht, es existiert also noch weiter. Allerdings trat 2018 eine Neufassung des BDSG in Kraft. Das neukonzipierte BDSG ergänzt und spezifiziert die DSGVO in Bereichen, in denen die DSGVO den Mitgliedsstaaten nationale Gestaltungsspielräume belässt.

Zwei praxisrelevante Beispiele: Die Frage, wann ein Datenschutzbeauftragter zu benennen ist, beantwortet sich für deutsche Unternehmen auch im BDSG. Nach jüngster Anpassung des BDSG ist das u.a. der Fall, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Ebenso findet sich im BDSG eine spezielle Regelung zur Datenverarbeitung im Beschäftigungsverhältnis. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Fast jeder von uns ist ein Teil der Arbeitswelt und somit vom Beschäftigtendatenschutz betroffen.

Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?

Kay-Enno Pauls: Von einer „Zielerreichung“ würde ich hier nicht sprechen, aber der Umgang mit personenbezogenen Daten der in der EU tätigen US-Anbieter hat sich nach meiner Beobachtung im Großen und Ganzen tatsächlich gebessert. Das ist zweifelsohne ein Verdienst der DSGVO mit ihrem Ziel einer EU-weiten Harmonisierung des Datenschutzrechtes. Die Bedeutung der EU als Absatzmarkt und auch die Finanzkraft der großen US-Anbieter – das Knowhow und die Umsetzung besserer datenschutzrechtlicher Compliance muss man sich notfalls eben auch leisten können – führten in der Folge zu einer Verbesserung.

Ganz sicher wurde erreicht, dass der Datenschutz ein in der EU und speziell in Deutschland viel diskutiertes Thema ist. Es liegt nahe, dass diese Diskussion auch zu einer Sensibilisierung der Verbraucher und Unternehmer beigetragen hat, was grundsätzlich sehr zu begrüßen ist.

Andererseits weiß ich auch um die gelegentliche Überforderung, beispielsweise von Selbständigen oder kleineren Vereinen und Unternehmen, die zunächst gar nicht wissen, was von ihnen konkret verlangt wird und wo sie mit dem Datenschutz anfangen sollen. Ohne Hilfe von außen können sich Menschen beim Thema Datenschutz ziemlich alleine gelassen fühlen. Datenschutz wird dann negativ assoziiert und als Belastung empfunden.   

Es gibt zudem in der DSGVO sicherlich auch einige handwerkliche Fehler und ebenso fehlt es derzeit noch vielfach an (höchst-) richterlicher Rechtsprechung, was zu Unsicherheiten in der praktischen Anwendung führen kann.

Herr Pauls, vielen Dank für das Gespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.