Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Frau von Thüngen-Reichenbach: Bei Unternehmen, die sich bereits vor Inkrafttreten der DSGVO an die geltenden deutschen Datenschutzbestimmungen gehalten hatten, gab es einen überschaubaren und machbaren Aufwand für die Umsetzung der Änderungen und daher keine Ängste. Unsicherheiten bestanden vor allem bei den Unternehmen, von denen der Datenschutz bis dahin vernachlässigt oder schlichtweg ignoriert worden war.
Zwar ist es nicht zu der großen Abmahnwelle wegen Wettbewerbsverstößen aufgrund von Datenschutzverletzungen gekommen, die von vielen befürchtet worden war. Dies lag wohl auch daran, dass die Frage, ob es überhaupt eine wettbewerbsrechtliche Abmahnberechtigung bei Datenschutzverstößen gibt, noch strittig ist.
Auch die Datenschutzbehörden sind – wohl auch aus Kapazitätsgründen – bisher überwiegend nur stichpunktartig und aufgrund von Beschwerden tätig geworden. Jedoch ist aufgrund der Personalaufstockung bei einigen Datenschutzbehörden und der gesetzlichen Verpflichtung der Datenschutzbehörden zur Verfolgung von Datenschutzverstößen damit zu rechnen, dass die Verfolgung solcher Verstöße und die Verhängung von Bußgeldern zunehmen werden.
Gib es viele Fälle wegen Verstößen gegen die DSGVO?
Frau von Thüngen-Reichenbach: Es gibt sehr viele Fälle von Verstößen gegen die DSGVO, wobei die meisten davon (noch) nicht verfolgt und geahndet werden.
Viele Webseiten haben noch nicht einmal Datenschutzerklärungen. Seit dem Urteil des Europäischen Gerichtshofs vom 16.07.2020 ist die Übermittlung personenbezogener Daten in die USA auf der Grundlage des sog. Privacy Shield unzulässig und muss unverzüglich eingestellt werden. Viele Webseiten verwenden jedoch nach wie vor Analyse-Tools oder sonstige Software von US-Unternehmen, die diese Daten ohne die notwendigen zusätzlichen Schutzmaßnahmen und damit rechtswidrig in die USA übermitteln. Viele Webseiten verwenden diese sog. Tracking-Tools ohne die erforderliche Einwilligung des Nutzers einzuholen. Häufig ist die „Zustimmung“ des Nutzers schon voreingestellt, was ebenfalls datenschutzwidrig ist.
Potentielle Arbeitgeber informieren sich zunehmend bei Facebook über Bewerber, was jedoch auch dann datenschutzwidrig ist, wenn der Facebook-Account öffentlich zugänglich ist. Denn die Inhalte bei Facebook betreffen mehr den persönlichen Bereich und sie sind daher für die Entscheidung über die Begründung des Beschäftigungsverhältnisses nicht erforderlich. Häufig informieren Unternehmen weder Bewerber, noch Mitarbeiter ausreichend über die Erhebung und Verarbeitung ihrer Daten.
Im Zusammenhang mit den Corona-Maßnahmen werden vielerorts, z.B. von Gaststätten, Listen verwendet, bei denen die Gäste die Daten der voreingetragenen Personen einsehen können, was ebenfalls datenschutzwidrig ist.
Aufgrund des zunehmenden Bewusstseins für den Datenschutz beschweren sich immer mehr Menschen bei den Datenschutzbehörden über unzulässige Videoüberwachung.
Immer wieder werden Datenträger, wozu beispielsweise auch die Festplatten von Kopier- und Faxgeräten gehören, nicht datenschutzkonform entsorgt.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Frau von Thüngen-Reichenbach: Wichtig ist vor allem, dass im Unternehmen oder Verein ein Verantwortlicher für den Datenschutz bestimmt wird. Die Basis des Datenschutzes ist das sog. Verfahrensverzeichnis, in dem alle datenschutzrelevanten Vorgänge dargestellt werden sollen. Hieraus ergeben sich die notwendigen technisch-organisatorischen und rechtlichen Schritte: Abschluss von Auftragsverarbeitungsverträgen, Einholung von Einwilligungen und Vertraulichkeitsverpflichtungen, Datenschutzerklärungen gegenüber Webseitenbesuchern, Kunden, Mitarbeitern und Bewerbern, Erstellung von Datenschutzrichtlinien und von Lösch- und Entsorgungskonzepten, Schulung der Mitarbeiter, Richtlinien zur Durchführung eines datenschutzkonformen Bewerbungsprozesses etc.
Besonders wichtig sind Regelungen für einen verantwortungsbewussten Umgang mit sozialen Netzwerken zur Vermeidung von Angriffen durch Social Engineering, insbesondere durch sog. Phishing. Vertrauliche Informationen sollten nicht über das Telefon übermittelt werden und nicht ohne besondere Sicherheitsvorkehrungen gefaxt werden. Das ist leider vielen nicht immer bewusst.
Aufgrund der Corona-bedingten Ausweitung der Homeoffice-Tätigkeiten müssen von den betroffenen Unternehmen ergänzende rechtliche und technisch-organisatorische Maßnahmen getroffen werden, z.B. Ergänzung der Datenschutzrichtlinie und Betriebsvereinbarung betreffend Homeoffice, Datensicherheit, z.B. bei Videokonferenzen, und Schulung der betroffenen Mitarbeiter.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Frau von Thüngen-Reichenbach: Die maßgeblichen Änderungen sind vor allem die erhöhten Dokumentations- und Informationspflichten und natürlich die deutlich verschärften Bußgeldregelungen. Die Datenschutzbehörden, die bisher vor allem eher eine beratende Tätigkeit gegenüber den Unternehmen ausgeübt hatten, sind nun verpflichtet, Datenschutzverstöße gegebenenfalls auch mit erheblichen Bußgeldern zu ahnden.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Für multinationale Großkonzerne wie Google hatten die nach der vorherigen Rechtslage zulässigen Bußgelder von lediglich bis zu 150.000 € für fahrlässige und bis zu 300.000 € für vorsätzliche Verstöße keine abschreckende Wirkung. Für das systematische Sammeln und Speichern von Daten aus unverschlüsselten WLAN-Netzwerken durch die Google-Fahrzeuge auf deutschen Straßen in den Jahren 2008 bis 2010 wurde beispielsweise lediglich ein Bußgeld von 145.000 € festgesetzt. Nach Inkrafttreten der DSGVO verhängte die französische Datenschutzbehörde bereits im Januar 2019 ein Bußgeld in Höhe von 50 Millionen Euro gegen Google u.a. wegen seiner intransparenten Informationspolitik, was für einen milliardenschweren Konzern jedoch immer noch ein eher kleiner Betrag sein dürfte.
Leider wollen viele Unternehmen, insbesondere auch große Presseunternehmen und Versandhäuser, nicht auf die von den US-Konzernen angebotenen komfortablen und informativen Webanalysen verzichten. Sie haben auf ihren Webseiten zum Teil immer noch eine Vielzahl von Tracking-Tools installiert, die als „Datenkraken“ personenbezogene Daten rechtswidrig in die USA übermitteln. Dort gibt es faktisch keine Kontrollmöglichkeit über die weitere Verwendung dieser Daten und es können z.B. durch die Zusammenführung von personenbezogenen Daten umfassende Persönlichkeitsprofile erstellt, zeitlich unbeschränkt gespeichert und vielfältig, d.h. unter Umständen auch für kriminelle Zwecke, verwendet werden.
Es besteht daher noch ein erheblicher Handlungsbedarf für viele Unternehmen und die zuständigen Datenschutzbehörden.
