Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Thomas Brehm: Grundsätzlich ja, wobei der Begriff der „Angst“ vielleicht besser durch „Respekt“ ersetzt werden sollte. Für viele überraschend, hat die DSGVO nämlich in den Grundlagen keine riesigen Neuerungen zur bisherigen deutschen Rechtslage gebracht. Allerdings waren die enormen Bußgelder der DSGVO für viele Unternehmen die Gelegenheit, sich erstmalig mit dieser Materie auseinanderzusetzen. Datenschutz war vor der DSGVO ein lästiges Randgebiet. Das hat sich mit der Reform des Datenschutzrechts wirklich verändert.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Thomas Brehm: Das kommt ein wenig auf den Betrachtungswinkel an. Nach meiner Statistik haben wir in Deutschland derzeit insgesamt 26 pressekundige Bußgeldverfahren mit mehr als 26 Millionen Euro Bußgeldern insgesamt, allerdings teilweise mit spektakulären Bußgeldern – wie beispielsweise mehr als 14 Millionen Euro gegen ein Wohnungsbauunternehmen wegen „standhafter“ Nicht-Löschung großer Mengen sensibler Daten. Italien bringt es allerdings bei einer gleichen Anzahl von Verstößen auf mehr als das Doppelte an Gesamt-Bußgeldern. Zudem wurden Tausende von Datenschutzverstößen über die neu eingeführte Meldepflicht bei den Aufsichtsbehörden von den Verantwortlichen zur Anzeige gebracht, ohne dass daraus Bußgelder geworden wären. Allerdings: die DSGVO legt die Latte zur vollständigen Compliance wirklich sehr hoch. Ein „Verstoß gegen die DSGVO“ liegt streng genommen schon bei einer fehlgeleiteten E-Mail mit persönlichem Inhalt oder, natürlich, bei E-Mail-Werbung ohne ausreichende Einwilligung vor. Ich würde mir daher die Behauptung erlauben, dass es kein Unternehmen ohne Datenschutzverstoß gibt. Allerdings gehen unsere Aufsichtsbehörden eher praxisorientiert an Verstöße heran.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Thomas Brehm: Aus meiner Erfahrung: absolute Grundlage ist die Rechtmäßigkeit der Verarbeitung. Jede Verarbeitung braucht eine ausreichende Rechtsgrundlage, die der Verantwortliche im Prinzip auch kennen muss. Diese Rechtsgrundlage muss er dem Betroffenen nämlich im Rahmen der vorgeschriebenen Betroffeneninformationen benennen. Wichtig ist auch das Prinzip der Zweckbindung, wonach Daten nur zu bestimmten, vom Verantwortlichen vorab festgelegten Zwecken verarbeitet werden. Außerdem wichtig: die Prinzipien der Datenminimierung und der Speicherbegrenzung – es dürfen nur so wenige personenbezogene Daten verarbeitet werden, wie für den jeweiligen Zweck nötig und die Daten müssen nach Zweckfortfall zuverlässig wieder gelöscht werden. Außerdem fordert die DSGVO vom Verantwortlichen grundlegende Maßnahmen zur Datensicherheit, die beispielsweise die Vertraulichkeit von Daten gewährleisten. So soll verhindert werden, dass Daten unbefugten zur Kenntnis gelangen. Für den Verantwortlichen bedeutet das alles: er muss sich über die datenschutzrechtlichen Rahmenbedingungen informieren und an die Aufgabe mit Plan und Fachkunde herangehen. „Haben ist besser als brauchen“ kann in Bezug auf Daten enorm teuer werden, siehe obiges Beispiel.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Thomas Brehm: Die Herangehensweise war sehr „deutsch“: das BDSG wurde aufgehoben und durch ein neues BDSG ersetzt. Dort sind vor allem Regelungen für Bereiche enthalten, die die DSGVO dem nationalen Gesetzgeber zur Ausgestaltung offengelassen hat. Beispielsweise ist dort der Schutz personenbezogener Daten im Arbeitsverhältnis geregelt (§ 26). Die Änderungen sind für Unternehmen nicht nur nachteilig. Beispielsweise hat sich gerade beim Beschäftigtendatenschutz einiges an Rechtsklarheit ergeben, so darf beispielsweise eine Verarbeitung auch auf Basis einer Einwilligung des Arbeitnehmers erfolgen. Das war bislang, beispielsweise bei Fotos von Mitarbeitern in der Werbung, keineswegs unstreitig. Voraussetzung ist allerdings, dass die Einwilligung freiwillig ist und in Textform (beispielsweise schriftlich oder per E-Mail) erteilt wurde. Durch die letzte Novelle des BDSG hat sich außerdem die Schwelle zur verpflichtenden Benennung eines betrieblichen Datenschutzbeauftragten von 10 auf 20 ständig mit der automatisierten Verarbeitung personenbezogener Daten befasste Mitarbeiter erhöht, sofern nicht aus anderen Gründen eine Benennungspflicht besteht. Dieses „Geschenk“ halte ich aber für eher zweifelhaft, da die DSGVO und vor allem auch deren Bußgelder natürlich auch für Unternehmen ohne Datenschutzbeauftragten gelten.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Thomas Brehm: Das Ziel wurde sicher nicht vollständig erreicht. Allerdings hat uns die DSGVO auf diesem Weg einen enormen Schritt weitergebracht. Richtig ist, dass sich gerade die großen US-Unternehmen mit ihren entsprechenden Ressourcen sogar leichter auf die strengeren Regelungen einstellen konnten als beispielsweise ein mittelständisches Unternehmen. Viel wichtiger ist aber, dass das Thema und die Aufgabe Datenschutz durch die DSGVO den Protagonisten deutlich bewusster geworden sind. Auch – oder vielleicht gerade – Riesen wie Facebook, Google oder Amazon fürchten Bußgelder in Höhe von 4% des weltweiten Unternehmensumsatzes. Da geht niemand leichtfertig ins Risiko. Datenschutz ist kein „nice to have“, sondern eine verfassungsrechtliche Aufgabe an den Gesetzgeber. Das ergibt sich ausdrücklich aus der Europäischen Grundrechtecharta. Daher wäre es besser, weniger über den Sinn des Datenschutzes zu diskutieren, als über eine praxisgerechtere Ausgestaltung. Riesige Mengen von Informationstexten halte ich hier für weniger hilfreich, die liest ohnehin niemand. Leicht zu finden Ansprechpartnerinnen Unternehmen, die dann auch tatsächlich bei Problemfällen etwas bewerkstelligen können, sind hier hilfreicher.
