Die seit Mai 2018 anzuwendende DSGVO hat für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Dr. Andreas Schneedorf: Die Frage lässt sich nicht pauschal beantworten, da es sehr unterschiedliche Befürchtungen gab, welche Auswirkungen die DSGVO haben könnte.
Viele hatten beispielsweise Angst, dass mit der DSGVO eine neue Abmahnwelle auf die Wirtschaft bzw. allgemein auf Webseitenbetreibende zurollen könnte. Um ganz sicher zu gehen, haben einige dann im Mai 2018 ihre Webseiten lieber offline geschaltet als Abmahnungen von Verbänden oder sogenannten Abmahnkanzleien zu kassieren. Insbesondere im ehrenamtlichen Bereich, wo kein großes Rechtsberatungsbudget zur Verfügung steht, konnte man dieses Phänomen beobachten, z.B. bei Vereinswebseiten. Im Nachhinein war diese Angst weitgehend unbegründet. Die befürchtete Abmahnwelle ist, zumindest bisher, ausgeblieben. Es gab und gibt zwar einige Abmahnfälle, diese haben allerdings oft eindeutige Sachverhalte zum Gegenstand, z.B. vollständig fehlende Datenschutzerklärungen. Recht schnell wurde auch klar, dass die Frage, ob Datenschutzverstöße überhaupt abmahnbar sind, von den Gerichten nicht eindeutig beantwortet wird. Es kann natürlich sein, dass die Abmahnwelle noch kommt, falls die höchstrichterliche Rechtsprechung die Abmahnbarkeit von Datenschutzverstößen durch Private für zulässig ansieht.
Manches ist auch anders gekommen als prognostiziert. Viele hatten beispielsweise angenommen, die Auswirkungen auf den Beschäftigtendatenschutz würden aufgrund der weitreichenden Öffnungsklausel für nationale Gesetzgeber in Art. 88 DSGVO eher überschaubar ausfallen. Diese Annahme erweist sich in der Praxis als zunehmend trügerisch. Manche Mitarbeitende bzw. deren Anwältinnen und Anwälte haben die prozesstaktischen Möglichkeiten des Auskunftsanspruchs gem. Art. 15 DSGVO erkannt. Nach Ausspruch einer Kündigung wird schnell eine umfassende Datenschutzauskunft verlangt. Überraschenderweise sind viele Unternehmen noch immer nicht in der Lage, diese dann zur Verfügung zu stellen. Den Anspruch lässt man sich dann beispielsweise in Form einer höheren Abfindung abkaufen. Eine jüngere Entscheidung des Arbeitsgerichts Düsseldorf, die dem ehemaligen Arbeitnehmer in einem solchen Fall 5.000,00 € Schadensersatz zugesprochen hat, könnte dieses Vorgehen zusätzlich attraktiv machen.
Bewahrheitet hat sich jedenfalls die Befürchtung, dass die DSGVO zu einem höheren Verwaltungsaufwand führen würde. Dies zeigen die Anfragen und Auslastung der mir bekannten Datenschutzberater eindeutig. Wer das Thema Datenschutz vor der DSGVO ignoriert hatte, muss natürlich mehr tun als diejenigen, die Datenschutz schon immer auf dem Schirm hatten. Aufwendiger ist es aber in den allermeisten Fällen geworden.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Dr. Andreas Schneedorf: Die Datenschutzaufsichtsbehörden haben im Jahr 2019 ca. 185 Bußgelder wegen Datenschutzverstößen verhängt. Im Jahr 2018 waren es nur 40.
Am 25.06.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die DSK außerdem auf ein Modell zur Berechnung von Bußgeldern verständigt. Auf Basis dieses Modells sind bereits erste Bußgelder in Millionenhöhe verhängt worden. Im Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen eine Immobiliengesellschaft erlassen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat im Dezember 2019 gegen einen Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Diese Zahlen und Beispielsfälle zeigen, dass jedenfalls die Zahl der geahndeten Datenschutzverstöße deutlich gestiegen ist und dass die Fälle bzw. die Konsequenzen für die betroffenen Unternehmen gravierend sein können.
Das Bußgeldmodell der DSK ist allerdings erheblicher Kritik ausgesetzt. Insbesondere wird bemängelt, dass das Modell gegen das Bestimmtheitsgebot (Art. 103 Abs. 2 GG), den Gleichbehandlungsgrundsatz (Art. 3 Abs. 1 GG) sowie gegen den Verhältnismäßigkeitsgrundsatz, das Willkürverbot und das Schuldprinzip verstoßen könnte.
Diese Entwicklung bleibt auf jeden Fall spannend.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Dr. Andreas Schneedorf: Ganz allgemein kommt man als verantwortliche Stelle mit einer Portion gesundem Menschenverstand und den allgemeinen Regelungen aus Art. 5 und 6 DSGVO schon recht weit.
Aus Art. 6 DSGVO lässt sich zunächst das datenschutzrechtliche Grundprinzip ableiten, das sog. „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich unzulässig ist, falls es keinen Erlaubnistatbestand gibt. Diese grundsätzlichen Erlaubnissätze lassen sich dann ebenfalls Art. 6 DSGVO entnehmen.
Aus Art. 5 DSGVO folgen dann die zentralen Verarbeitungsgrundsätze. Dabei sind vor allem der Zweckbindungsgrundsatz und der Grundsatz der Datenminimierung hervorzuheben. Verantwortliche Stellen müssen sich daher zuallererst fragen, zu welchem Zweck personenbezogene Daten verarbeitet werden sollen. Dann lässt sich meist auch gleich die Frage beantworten, welche personenbezogenen Daten dafür benötigt werden. Möchte man beispielsweise einen E-Mail-Newsletter versenden (Zweck), dürfte schnell klar sein, dass dafür zunächst nur die E-Mail-Adressen der Empfänger benötigt werden und nicht zwingend auch die Postanschrift (Datenminimierung). Im Grunde lassen sich diese beiden Grundsätze mit dem Merksatz „Need to know“ und nicht: „Nice to have“ zusammenfassen.
Wenn man so den Zweck der Datenverarbeitung und die erforderlichen Daten bestimmt hat, schaut man sich Art. 6 DSGVO an und prüft, auf welche Erlaubnisnorm dieser Datenverarbeitungsvorgang gestützt werden kann. Das Ergebnis dieser Prüfung sollte man als verantwortliche Stelle dann in strukturierter Form dokumentieren und schon kann man seiner Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachkommen.
Das ist natürlich stark vereinfacht, das Grundprinzip des Datenschutzrechts sollte so aber deutlich werden. Und oftmals kommt man als verantwortliche Stelle mit einer solchen Grobprüfung schon recht weit bzw. kann ein Störgefühl entwickeln.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Dr. Andreas Schneedorf: Die relevanteste Änderung ist sicherlich die Anhebung der Mitarbeitendenzahl, ab der ein betrieblicher Datenschutzbeauftragter verpflichtend zu bestellen ist. Bis zur Änderung des BDSG musste ein betrieblicher Datenschutzbeauftragter bestellt werden, wenn regelmäßig mehr als zehn Personen mit der Verarbeitung personenbezogener Daten befasst waren. Je nach Unternehmen kann das sehr schnell der Fall sein. Diese Grenze ist auf 20 Personen angehoben worden.
Die Entlastung ist allerdings mit Vorsicht zu genießen. Dass keine Bestellpflicht besteht, bedeutet nicht, dass das Unternehmen das Thema Datenschutz ignorieren könnte. Es muss dann halt von der Geschäftsführung bearbeitet werden, denn die Unternehmensleitung hat beim Thema Datenschutz immer die Letztverantwortung. Gerade in Unternehmen dieser Größenordnung hat die Geschäftsleitung aber oft nicht die Zeit sich im erforderlichen Umfang um das Thema Datenschutz zu kümmern. Daher ist die beschriebene Entlastung nicht ungefährlich.
Begrüßenswert ist im Rahmen des Beschäftigtendatenschutzes die seit Ende 2019 bestehende Möglichkeit, Einwilligungserklärungen in Textform einzuholen. Zuvor mussten Mitarbeitende Einwilligungserklärungen in Schriftform, also mittels Unterschrift, abgeben. Das war in der heutigen Zeit natürlich wenig zeitgemäß, sodass die neu geschaffene Möglichkeit der Textform meines Erachtens nach sehr zu begrüßen ist. Die Textform kann beispielsweise auch per E-Mail gewahrt werden, was heutigen unternehmensinternen Prozesses eher entsprechen wird.
Interessant ist für Unternehmen mit Betriebsrat auch die Möglichkeit, mittels Kollektivvereinbarung, also regelmäßig einer Betriebsvereinbarung, eine Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten zu schaffen. Dies kann eine erhebliche Verfahrensvereinfachung bedeuten, wenn andernfalls beispielsweise Einzeleinwilligungen einzuholen wären.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Dr. Andreas Schneedorf: Soweit man als Ziel den besseren Schutz personenbezogener Daten ansieht: Ganz sicher! Das Thema ist seit Mai 2018 schlicht und ergreifend präsenter geworden und verantwortliche Stellen können das Thema auch nicht mehr einfach so ignorieren.
Allerdings ist es eher nicht gelungen, die großen US-Anbieter an die Leine zu nehmen. Ob dies noch gelingen wird, ist auch sehr fraglich. Dazu sind die unterschiedlichen Mentalitäten beim Thema Datenschutz einfach zu verschieden. Personenbezogene Daten sind in den USA weit mehr ein öffentliches Gut als in Europa. Die Menschen haben dort einfach ein anderes Grundverständnis. Der Versuch, die Amerikaner an dieser Stelle umzuerziehen, ist zumindest sehr schwierig.
Das wäre ja auch grundsätzlich nicht schlimm, wenn die Europäer in manchen Bereichen mehr auf Augenhöhe wären. Gerade jetzt während der Corona-Krise und mit einem starken Trend zum Homeoffice zeigt sich: Viele Anbieter essentieller Software sitzen in den USA. Europäische Alternativen, die in gleicher Weise performant sind, gibt es oftmals nicht. Viele verantwortliche Stellen sehen sich daher gezwungen, amerikanische Produkte zu verwenden – trotz datenschutzrechtlicher Bedenken.
Daher kann man sagen: Die DSGVO zielt auf die Richtigen, nämlich große US-Anbieter, trifft aber tendenziell die Falschen, nämlich kleine und mittelständische Unternehmen.
Herr Dr. Schneedorf, wir danken Ihnen für das Gespräch
