Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Sebastian Geidel: Zum Teil. Natürlich stellte der 25. Mai 2018, also der Tag, an dem die Datenschutzgrundverordnung unmittelbar in allen EU-Mitgliedsländern zur Anwendung kam, eine große Veränderung für die Unternehmen dar. Vor allem kleine und mittelständige Unternehmen (KMU) fürchteten, dass die Verschärfung der Datenschutzbestimmungen und die damit einhergehende Erhöhung der Bußgelder im Falle eines Verstoßes, Einfluss auf den Geschäftsbetrieb haben könnten. Zudem stellten die Neuen Regelungen Unternehmen vor erhebliche Herausforderungen, da diese auch im Unternehmen umzusetzen sind.
Doch gerade bezogen auf deutsche Unternehmen stellten sich die tatsächlichen Änderungen als geringer denn erwartet heraus. Das liegt mit unter daran, dass bereits im Vorfeld in Deutschland strenge Datenschutzbestimmungen galten. Die Regelungen in der DSGVO ähnelten stark den bereits in Deutschland geltenden Normen des BDSG a.F. (alte Fassung). Dennoch mussten sich Unternehmen gerade im Bereich der Dokumentation umstellen, am besten ist dies an den Datenschutzhinweisen auf der Webseite eines jeden Unternehmens zu sehen.
Nicht nur die Unternehmen mussten sich auf die neue Situation einstellen, auch die Aufsichtsbehörden, waren am Anfang überfordert mit der neuen Lage und mussten sich entsprechend anpassen.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Sebastian Geidel: Die Anzahl der gemeldeten Datenschutzverstößen ist nach der Einführung der DSGVO tatsächlich gestiegen. Aber sowohl die Flut an Bußgeldbescheiden als auch die befürchtete Abmahnwelle sind ausgeblieben. Was jedoch auffällig ist, dass sich die Bußgelder wie zu erwarten war, drastisch erhöht haben. Ein Beispiel aus 2019 das mir hierzu einfällt, sind die gegen 1&1 verhängten 9,6 Millionen Euro, weil der Anbieter seine Kundendaten nicht ausreichend gegen den Zugriff von Dritten geschützt hat.
Was nicht zu beurteilen ist, wie viele kleine und größere Datenschutzverstöße in Unternehmen nicht gemeldet werden. Ich schätze die Dunkelziffer in diesem Bereich recht hoch, weil noch immer bei vielen das Bewusstsein für den Umgang mit personenbezogenen Daten fehlt.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Sebastian Geidel: Ich denke, dass vor allem die Informationspflichten gegenüber den Betroffenen besonders wichtig sind. So schreibt die DSGVO in Art. 12 Abs. 1 vor, dass Informationen zum Umgang mit den personenbezogenen Daten, in einer klaren und einfachen Sprache verfasst werden sollen. Das ist vor allem dann schwierig, wenn ein Großteil der Webseitenbetreiber, Datenschutzhinweise aus dem „Automaten“ verwenden. Verstehen Sie mich nicht falsch, solche Datenschutzgeneratoren sind eine großartige Sache, aber diese Hinweise, müssen dennoch auf das jeweilige Unternehmen und die Webseite bzw. den Verarbeitungsprozess angepasst werden.
Zudem hören Datenschutzhinweise nicht auf der eigenen Webseite auf. Vielmehr müssen überall da, wo personenbezogene Daten im Unternehmen verarbeitet werden, die Betroffenen entsprechend informiert werden. Hier besteht aus meiner Sicht bei vielen Unternehmen, etwa im Bereich des Arbeitsrechts, noch erheblicher Nachholbedarf.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Sebastian Geidel: So ganz stimmt das nicht, es ist richtig, dass die DSGVO in weiten Teilen die bisher geltenden Regelungen des Bundesdatenschutzgesetzes außer Kraft gesetzt hat. Es gibt jedoch verschiedene Öffnungsklauseln in der DSGVO, die es dem nationalen Gesetzgeber ermöglichen abweichende Regelungen für sich zu beschließen. Von diesen Öffnungsklauseln hat der deutsche Gesetzgeber auch rege Gebrauch gemacht, so etwa im Arbeitsrecht. Diese Verschärfungen zu DSGVO finden sich auch heute noch im BDSG (neu).
Für die Unternehmen haben die Regelungen der DSGVO eine hohe Relevanz, so finden Sie auf nahezu auf jedes Unternehmen Anwendung, was in irgendeiner Form Daten von etwa Kunden verarbeitet. Die Ausnahmen, welche Unternehmen oder Vereine von der DSGVO entbinden, sind verschwindend gering.
Relevanz hat das Ganze nur aus einem anderen Grund für Unternehmen, nach Einführung der DSGVO entwickelt. So wurde das Thema Datenschutz vor dem 25. Mai 2018 eher stiefmütterlich behandelt. Einige Unternehmen schenkten diesem Thema wenig aufmerksam. So war die Arbeit, die man nach der Einführung der DSGVO mit der Erstellung eines Datenschutzkonzeptes hatte, deutlich größer. Zum Teil ist diese Arbeit noch heute nicht abgeschlossen, aber Datenschutz ist ja generell ein fließender Prozess, der ständig eine Neubewertung der Lage erfordert.
Doch auch die andere Seite gibt es. So haben einige Unternehmen die Chance genutzt, die Einführung der DSGVO als Gelegenheit zu nehmen, die eigenen internen Prozesse genauer unter die Lupe zu nehmen. Wenn man einmal verpflichtet ist, ein Verarbeitungsverzeichnis zu erstellen, bekommt man einen neuen Blick für das eigene Unternehmen. Hier zeigt sich etwa, welche Prozesse Optimierungsbedarf habe oder gänzlich überflüssig werden. Dadurch kann man den Workflow beschleunigen und das spart am Ende bares Geld.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Sebastian Geidel: Ich denke ja. Gerade die Großen Unternehmen sind nach der Einführung der DSGVO stärker in den Blick der Öffentlichkeit geraten. Die Nutzer von Facebook, Google und Co. sind nach Vorfällen wie im Zusammenhang mit Cambridge Analytics deutlich sensibler bei dem Umgang mit ihren Daten.
Aber auch die Unternehmen selbst können nun nicht mehr ungestraft machen was sie wollen. So haben etwa die französischen Aufsichtsbehörden auf die Beschwerde von Netzaktivist Max Schrems gegen Google ein Bußgeld von 50 Mio. EUR verhängt. Das sollte schon ein deutliches Zeichen sein, dass sich in diesem Bereich einiges bewegt. Auch zukünftig werden die Aufsichtsbehörden hier wohl genauer hinschauen, um einen Datenmissbrauch zu verhindern.
