Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Daniel Christian Pohl: Zunächst muss man festhalten, dass es im Hinblick auf die Zulässigkeit der Verarbeitung personenbezogener Daten durch Unternehmen, d. h. hinsichtlich der Frage, wann Unternehmen in welchem Umfang entsprechende Daten verarbeiten dürfen, durch die Einführung der DSGVO kaum Änderungen im Vergleich zu der bis dahin bestehenden Rechtslage gegeben hat. So basieren etwa die im Bereich der Online-Werbung aktuell verstärkt wahrgenommenen Beschränkungen, wie etwa strengeren Anforderungen an den Einsatz von Cookies und ähnlichen Technologien zur Ausspielung personalisierter Werbung, auf bereits vor Einführung der DSGVO bestehenden Regelungen (sogenannte E-Privacy- Richtlinie). Insoweit wurden lediglich aktuell vom europäischen Gerichtshof lange Zeit ungeklärte Rechtsfragen hinsichtlich der Anwendung der entsprechenden Vorschriften geklärt. Dies hat zu erheblichem Nachbesserungsbedarf in der deutschen Werbepraxis geführt – zu erkennen unter anderem an den nun verstärkt eingesetzten Tools zur Einwilligung in die Nutzung von Cookies. Das hat aber – wie gesagt – nichts mit der DSGVO zu tun. Wo sich die DSGVO dagegen spürbar auswirkt, ist bei der von Unternehmen nunmehr vorzunehmenden, stark erweiterten Dokumentation des Datenschutzes und der damit verbundenen Maßnahmen sowie bei den ebenfalls erweiterten Rechten der Betroffenen, deren personenbezogenen Daten von Unternehmen verarbeitet werden. Dies führt insgesamt zu einem administrativen Mehraufwand in den Unternehmen, der – je nach Umfang der Verarbeitung personenbezogener Daten in den einzelnen Branchen – auch durchaus wirtschaftlich spürbar ist.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Daniel Christian Pohl: Die von vielen Unternehmen befürchtete Abmahnwelle wegen Datenschutzverstößen durch Wettbewerber ist nach Einführung der DSGVO ausgeblieben. Dies hängt zum einen damit zusammen, dass bis heute höchstrichterlich nicht geklärt ist, ob Datenschutzverstöße von Wettbewerbern überhaupt rechtlich verfolgt werden können. Zum anderen konnte – aufgrund der Komplexität und des Umfangs der datenschutzrechtlichen Anforderungen – kaum ein Unternehmen sicher sein, dass es selbst vollkommen datenschutzkonform arbeitet. Daher sahen Wettbewerber oftmals auch von Abmahnungen entsprechender Verstöße ab, um nicht selbst in den Fokus zu geraten. Von den zuständigen Datenschutzaufsichtsbehörden werden dagegen Verstöße immer häufiger mit Bußgeldern belegt, auch wenn die veröffentlichten Fallzahlen nach wie vor relativ gering sind. Im Vergleich zu 2018 ist die Zahl der verhängten Bußgelder in Deutschland deutlich angestiegen und wird auch im Jahre 2020 weiter ansteigen. Zudem macht sich das im Zuge der Einführung der DSGVO gestärkte gesamtgesellschaftliche Bewusstsein für den Datenschutz bemerkbar, da auch verstärkt Betroffene selbst gegen Verstöße bei der Verarbeitung ihrer Daten gegen die verantwortlichen Unternehmen vorgehen.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Daniel Christian Pohl: Für Unternehmen ist es zunächst wichtig darauf zu achten, dass sie die von ihnen verarbeiteten personenbezogenen Daten auch tatsächlich verarbeiten dürfen. Als Rechtgrundlagen (Erlaubnis) kommen dabei – neben der Einwilligung des Betroffenen –insbesondere die gesetzlichen Erlaubnistatbestände des Art. 6 – bzw. bei besonderen Kategorien personenbezogener Daten (besonders sensible Daten wie Gesundheitsdaten etc.) – Art. 9 DSGVO in Betracht. Dies sollte in jedem Einzelfall kritisch geprüft werden. Daneben ist es wichtig, die Rechte der Betroffenen bei der Verarbeitung der Daten zu wahren, insbesondere bereits bei Erhebung der Daten über Art und Umfang der Verarbeitung zu informieren (Art. 13 bzw. 14 DSGVO). Schließlich sollte als Basis eines jeden Datenschutzmanagements geprüft werden, ob ein Datenschutzbeauftragter bestellt werden muss (dieser ist auch gegenüber der zuständigen Behörde zu melden) und es sollte die erforderliche Dokumentation des Datenschutzes vorgenommen werden wie etwa ein Verzeichnis der Verarbeitungstätigkeiten.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Daniel Christian Pohl: Das BDSG ist in seiner bisherigen Form (bis 25.05.2018) durch die EU-weite DSGVO ersetzt worden. Das neue BDSG regelt nunmehr lediglich ergänzend spezifische Aspekte des Datenschutzes. So etwa den Beschäftigtendatenschutz in § 26 BDSG (neu). Wie bereits oben ausgeführt, sind die inhaltlichen Änderungen durch die DSGVO in Bezug auf die Zulässigkeit der Verarbeitung der personenbezogenen Daten im Unternehmensalltag kaum spürbar. Deutlich erweitert ist dagegen der administrative Aufwand, insbesondere im Zusammenhang mit der Dokumentation des Datenschutzmanagements bzw. dem Umgang mit personenbezogenen Daten.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Daniel Christian Pohl: Bisher sicherlich nicht in dem Umfang, den man sich mit Einführung der DSGVO erhofft hat. Obwohl die parallel vorgesehenen EU-weit einheitlichen Regelungen speziell für die elektronische Kommunikation (E-Privacy-Verordnung) bisher immer noch nicht in Sicht sind, hat man mit den gesetzlichen Regelungen der DSGVO grundsätzlich Rahmenbedingungen für eine Verbesserung des Datenschutzes auch im Onlinebereich geschaffen und dies gilt insbesondere hinsichtlich der Rechte der Betroffenen. Zudem sollte auch der Bußgeldrahmen, der sich auch am Konzernumsatz orientiert grundsätzlich abschreckend sein. Allerdings fehlt es bisher insbesondere am nötigen Verfolgungsdruck durch die jeweils zuständigen Datenschutzaufsichtsbehörden. Bisher hat sich vor allem im Bereich der Betroffenenrechte etwas getan, insbesondere bezüglich Auskunft und Löschung von Daten. Insgesamt besteht hier jedoch noch erheblicher Handlungsbedarf um die entsprechenden Anbieter zu signifikanten Verbesserungen der Datenschutzsituation zu veranlassen.
