Niemand muss Angst vor der DSGVO haben – Tarek Alexander Issa

Tarek Alexander Issa ist Rechtsanwalt, zertifizierter Datenschutzbeauftragter (TÜV). Im Interview spricht er über Datenschutz im Unternehmensalltag.

Tarek Alexander Issa

Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?

Tarek Alexander Issa: Niemand muss Angst vor der DSGVO haben. Richtig ist aber, dass die korrekte Anwendung der DSGVO nicht nur ein hohes Datenschutzniveau für den Betroffenen, sondern zugleich auch einen erheblichen zusätzlichen Verwaltungsaufwand und damit betriebswirtschaftliche Herausforderungen für die datenschutzrechtlich verantwortlichen Unternehmen begründet. Kleine und mittelständische Betriebe sehe ich dabei gegenüber großen Unternehmen grundsätzlich im Nachteil. Viele der in der DSGVO geregelten Pflichten des Verantwortlichen, z.B. das Führen eines Verzeichnisses für sämtliche Datenverarbeitungstätigkeiten nach Art. 30 DSGVO, gelten unabhängig von der Unternehmensgröße. So muss z.B. ein Einzelunternehmen bei der Durchführung einer Marketing-Kampagne im selben Umfang die Einhaltung der DSGVO-Vorschriften beachten wie eine große Aktiengesellschaft mit eigenem Datenschutzbeauftragten und Rechtsabteilung. Der Wettbewerb wird so für zahlreiche kleine und mittelständische Unternehmen weiter erschwert.

Die von manchen Juristen vorhergesagte „Abmahnwelle“ im Bereich des Wettbewerbsrechts im Zusammenhang mit Verstößen gegen die DSGVO ist hingegen ausgeblieben. Ein Grund dafür könnte darin liegen, dass wichtige Rechtsfragen zu dieser Thematik noch nicht höchstrichterlich entschieden sind: Fraglich ist zum einen, ob Verstöße gegen die DSGVO überhaupt auch von Mitbewerbern und von nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) legitimierten Verbänden als Wettbewerbsrechtsverletzungen verfolgt werden können. Zudem ist umstritten, ob es sich bei den Vorschriften der DSGVO um sogenannte Marktverhaltensregeln im Sinne des § 3a UWG handelt, deren Verletzung auch einen Wettbewerbsverstoß begründen würde. Die Instanzgerichte tendieren in ihren bisherigen Entscheidungen vereinfacht formuliert zu der Auffassung, dass Verstöße gegen die Pflichten nach der DSGVO grundsätzlich auch wettbewerbsrechtlich abmahnfähig sind. Ob eine entsprechende Entscheidung des Bundesgerichtshofs zu massenhaften Abmahnungen wegen unlauteren Wettbewerbs im Zusammenhang mit DSGVO-Verstößen führt, bleibt abzuwarten. Eine solche „Abmahnwelle“ dürfte sich nach meiner Einschätzung jedoch negativ auf die bislang gute Akzeptanz der DSGVO durch die Unternehmen auswirken.

Im Hinblick auf die Anzahl der von Aufsichtsbehörden verhängten Bußgelder wegen Verstößen gegen die DSGVO ist nach Angaben der Behörden mittlerweile insgesamt eine steigende Tendenz, dies jedoch bei regionalen Unterschieden, zu beobachten. Die Höhe der Geldbuße kann bei Unternehmen in den in Art. 83 Abs. 5 DSGVO genannten Fällen bis zu 4 % ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Bei der Verhängung von Geldbußen hat die Behörde dabei gemäß Art. 83 Abs. 1 DSGVO sicherzustellen, dass die Geldbuße in jedem Einzelfall wirksam, verhältnismäßig aber auch abschreckend ist.

Zivilrechtliche Klagen von Betroffenen gegen datenschutzrechtlich Verantwortliche auf Ersatz eines immateriellen Schadens („Schmerzensgeld“) nach Art. 82 DSGVO wegen Verstößen gegen die DSGVO wurden in mir bekannt gewordenen Entscheidungen von deutschen und österreichischen Gerichten zumeist abgewiesen. Die Gerichte verlangen hier (meiner Ansicht nach zu Recht) von den Klägern genauen Vortrag zu konkret erlittenen Nachteilen als Folge des DSGVO-Verstoßes. Der Verstoß an sich ist grundsätzlich nicht bereits mit einem erlittenen Schaden gleichzusetzen.

Gibt es viele Fälle wegen Verstößen gegen die DSGVO?

Tarek Alexander Issa: Nach meiner Wahrnehmung wird die DSGVO im Großen und Ganzen von den Unternehmen sehr gut angenommen und trotz des zusätzlichen Arbeitsaufwandes auch umgesetzt. Bei Vorliegen eines möglichen Verstoßes ist zudem immer auch die Verhältnismäßigkeit zu beachten. Es kann meiner Meinung nach nicht darum gehen, umgehend jeden Bagatellverstoß zu ahnden.

„Auffällig“ im negativen Sinne und damit rechtlich leicht angreifbar wird ein Unternehmen als datenschutzrechtlich Verantwortlicher immer dann, wenn es erkennbar über keinerlei funktionierendes Datenschutzmanagement verfügt und z.B. auf berechtigte Auskunfts- oder Löschungsverlangen Betroffener oder gar auf erste Empfehlungen und Maßnahmen der Aufsichtsbehörde nicht hinreichend reagiert. Es kommt z.B. noch immer vor, dass der Eigentümer eines Mehrfamilienhauses oder eine von ihm beauftragte Hausverwaltung als datenschutzrechtlich Verantwortlicher im Rahmen des heutzutage üblich gewordenen „Bewerbungsverfahrens“ für eine Mietwohnung von den potentiellen Mietern ohne nähere Begründung schon vor der ersten Wohnungsbesichtigung Gehaltsnachweise, Steuerbescheide, Ausweiskopien usw. verlangt und diese Bewerberunterlagen darüber hinaus dann auf unbestimmte Zeit in der Schreibtischschublade oder digital auf dem Server gehortet werden. Mit einem solch achtlosen Verhalten können erhebliche, auch bußgeldbewehrte Verstöße gegen die DSGVO begründet werden. Insbesondere auch für kleinere Unternehmen besteht in derlei Fällen dringender Handlungsbedarf in Sachen Datenschutz.

Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?

Tarek Alexander Issa: Wer im unternehmerischen Alltag versucht, die folgenden in Art. 5 Abs. 1 a-f der DSGVO näher beschriebenen Grundsätze der Datenverarbeitung konsequent anzuwenden, dürfte sich datenschutzrechtlich bereits auf einem „guten Weg“ befinden: Die Datenverarbeitung muss danach rechtmäßig, nach Treu und Glauben, für den Betroffenen in nachvollziehbarer Weise sowie unter strenger Zweckbindung erfolgen, und sie muss auf das notwendige Maß beschränkt sein. Die verarbeiteten Daten müssen zudem sachlich richtig und auf dem neuesten Stand sein und sie dürfen nur solange wie rechtlich erforderlich gespeichert werden. Schließlich muss bei der Verarbeitung eine angemessene Sicherheit der Daten gewährleistet sein.

Von hoher praktischer Bedeutung sind nach meiner Einschätzung auch die umfassenden Informationspflichten des datenschutzrechtlich Verantwortlichen nach den Art. 13 und 14 DSGVO und die Auskunftsansprüche des Betroffenen nach Art. 15 DSGVO. Der Auskunftsanspruch nach Art. 15 DSGVO kann dem Betroffenen im Übrigen auch in möglichen rechtlichen Auseinandersetzungen mit dem Verantwortlichen wichtige relevante Informationen verschaffen, so z.B. im Verhältnis zwischen Arbeitnehmer und Arbeitgeber als Verantwortlichem.

Wichtig ist zudem das Recht des Betroffenen auf Löschung („Recht auf Vergessenwerden“) nach Art. 17 DSGVO und die hiermit im Zusammenhang stehende Pflicht zur Löschung: Wenn kein rechtlicher Grund mehr für die Datenverarbeitung besteht, sind die Daten vom Verantwortlichen zu löschen. Gerade im B2C-Bereich tätige Unternehmen sollten daher unbedingt Datenlöschkonzepte implementieren und anwenden, um sogenannte „Datenfriedhöfe“ zu vermeiden.

Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?

Tarek Alexander Issa: Die Vorschriften des nunmehr geltenden sogenannten „BDSG-neu“ finden gemäß § 1 Abs. 5 BDSG-neu keine Anwendung, soweit die DSGVO unmittelbar gilt. Das BDSG-neu ergänzt die DSGVO und konkretisiert verschiedene Vorgaben der DSGVO, die auch sogenannte Öffnungsklauseln enthält, die von den Mitgliedstaaten durch nationale Gesetze rechtlich ausgefüllt werden können.

Im Vergleich zum früheren BDSG enthält die DSGVO neben den bereits erwähnten erweiterten Informations- und Löschungspflichten und verschärften Bußgeldtatbeständen unter anderem auch die in Art. 25 Abs. 1 und 2 DSGVO näher beschriebenen Prinzipien des „Privacy by Design“ und „Privacy by Default“ betreffend technische und organisatorische Maßnahmen bei der Datenverarbeitung: Der Verantwortliche muss danach die Technikgestaltung („Privacy by Design“) und ihre Voreinstellungen für die Nutzung („Privacy by Default“) möglichst datenschutzfreundlich ausrichten.

Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?

Tarek Alexander Issa: Die Betroffenenrechte wurden diesbezüglich mit der DSGVO erheblich gestärkt. In Art. 3 Abs. 2 DSGVO ist im Hinblick auf den räumlichen Anwendungsbereich der DSGVO das sogenannte „Marktortprinzip“ geregelt. Die DSGVO findet danach auf Verantwortliche auch außerhalb der EU Anwendung, wenn die Datenverarbeitung dazu dient, den Betroffenen innerhalb der EU Waren oder Dienstleistungen anzubieten. Nach Art. 27 Abs. 1 DSGVO ist dabei vom Verantwortlichen zudem schriftlich ein Vertreter in der EU zu benennen. Auch die großen US-Internetkonzerne sind damit grundsätzlich vom Anwendungsbereich der DSGVO erfasst. Dies garantiert den Betroffenen zwar nicht, dass sich diese Unternehmen auch immer DSGVO-konform verhalten. Mögliche Verstöße gegen die DSGVO können jedoch zumindest von der zuständigen Aufsichtsbehörde geprüft und gegebenenfalls geahndet werden.

Herr Issa, vielen Dank für das Gespräch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.