Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Dr. Eberhard Frohnecke: Ängste sind eigentlich nie berechtigt, da sie fast nie vernunftsbasiert sind. Die DSGVO hat eine bereits bestehende Datenschutzgesetzgebung noch einmal verschärft und auch erweitert. So hat der EU-Verordnungsgeber den Bundes- und Landesdatenschutzbeauftragten die Möglichkeit empfindlicher Bußgelder ermöglicht, was neben einer drohenden Abmahnwelle am meisten diskutiert wurde, aber nur einen Ausschnitt darstellt. Beides ist nicht eingetreten. Ein Teil der Unternehmen hat dies sehr ernst genommen und sich darauf eingestellt. Die große Mehrheit beschränkte sich jedoch darauf, einen Zettel aus dem Internet auszudrucken, in einem Ordner abzuheften und den Admin zu bitten so eine neue Datenschutzerklärung auf der Internetseite zu implementieren. Manche haben sogar ihren Admin zum Datenschutzbeauftragten ernannt, was eklatant gegen die DSGVO verstößt. Diese große Gruppe lebt gefährlich. Hier ist es nur eine Frage der Zeit, bis die jeweilige Behörde es feststellt und ahnden wird.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Dr. Eberhard Frohnecke: Ja. Es gibt vor allem eine beachtlich hohe Dunkelziffer. Die Statistiken der öffentlich aufgeklärten Verstöße bilden sicher nur einen kleinen Teil ab. Wurde hier in 2018 ein Verstoß noch mit teilweise sogar nur 6.000 Euro geahndet, so sind zwischenzeitlich die Bußgelder auf 50.000 Euro bis 300.000 Euro hochgeschnellt.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Dr. Eberhard Frohnecke: Nahezu jedes Unternehmen sollte über einen Datenschutzbeauftragten verfügen, entweder firmenintern, was sich aber erst ab ca. 50 Mitarbeitern finanziell lohnen dürfte, oder über einen externen. Der Datenschutzbeauftragte sollte dann ein umfassendes und auf den Betrieb abgestimmtes Datenschutzkonzept erstellen und für die Landesdatenschutzbeauftragte vorhalten und den Betrieb dort auch anmelden. Danach sind Prüfroutinen durchzuführen, betriebliche Änderungen datenschutzrechtlich zu prüfen und abzubilden. Wenn das alles funktioniert, z.B. durch Anbieter wie www.maxvonbreitenstein.de, dann werden alle datenschutzrechtlichen Regelungen eingehalten. Zu achten ist aber immer auf Datensicherheit und auf das Prinzip der Datenminimierung.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Dr. Eberhard Frohnecke: Die DSGVO ist endgültig am 25.05.2018 umgesetzt worden. Das BDSG wurde gleichzeitig aufgehoben und ein neues BDSG, was der DSGVO angepasst worden war, in Kraft gesetzt. Die Änderung Ende 2019 hat das BDSG nicht aufgehoben. Es wurde hier im Wesentlichen §38 BDSG geändert. Dieser erforderte u.a. einen Datenschutzbeauftragten zu stellen, wenn die Mindestanzahl der mit Datenverarbeitung befassten Beschäftigten zehn betrug. Nunmehr sollte dies nur bei mindestens 20 Mitarbeitern der Fall sein. Eine Gesetzesänderung, die einen sehr guten Einblick in die Kultur und Kompetenz unserer Gesetzgeber gewährt. Denn auf der Rechtsfolgenseiten hat sich dadurch rein gar nichts verändert. Denn zuvor konnte ein Betrieb bereits zur Stellung eines Datenschutzbeauftragten gesetzlich verpflichtet sein, wenn er z.B. nur drei Mitarbeiter hatte, die ständig Daten verarbeiten (welcher Mitarbeiter tut das heutzutage nicht?). Denn § 38 Abs. 1, S. 2 2. Alt. BDSG verpflichtet weiterhin unabhängig von der Anzahl der Mitarbeiter, insoweit folgendes erfüllt wird: „oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung. Das aber wird wahrscheinlich jeder Betrieb machen (müssen). Denn das erfüllt nicht nur jedes Kartenlesegerät. Auch ein Anruf mit der Bitte um ein Angebot erfordert eine solche Verarbeitung. Schon das Lesen einer Mail kann ausreichen.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Dr. Eberhard Frohnecke: Das Ziel sehe ich noch nicht erreicht. Es dürfte auch einen langen Weg dorthin beschreiben. Die KMU halten sich vielfach nicht daran. Einige Geschäftsführer reagierten bei Aufklärung mir gegenüber sogar trotzig. Die Internetriesen verfolgen hier eine andere Strategie. Nach außen hin stellen sie sich so dar, als würde man sich strikt an der
DSGVO orientieren. Überprüft man dies jedoch durch ein Verfahren, dann wird auf dem Gerichtsweg mit allen prozessualen Möglichkeiten blockiert, verhindert und versucht, dem Betroffenen die Durchsetzung seiner Rechte zu erschweren. Aber Letztes stellt ebenso einen Verstoß gegen die DSGVO dar. Was noch fehlt, sind Urteile hierzu.
