Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Ina Jähne: Nein, die Ängste waren meines Erachtens übertrieben und vor allem auch von diversen Seiten künstlich aufgebaut. Es tat sich für viele Branchen (Berater, IT-ler, Juristen) ein ganz neuer Marktbereich auf; und „Angst vor hohen Bußgeldern“ lässt sich naturgemäß am besten verkaufen. Insgesamt haben die DSGVO und das neue BDSG dazu beigetragen, dass die Unternehmen sensibler mit dem Thema „Datenschutz“ umgehen und auch den ein oder anderen Prozess bei der Verarbeitung von personenbezogenen Daten überdenken. Allein der Umstand, dass die Unternehmerlandschaft sich ihre jeweiligen Datenprozesse teils kritisch angeschaut haben, hat zu einer signifikanten Verbesserung des Schutzes personenbezogener Daten geführt. Damit ist das vorrangige Ziel der Verordnung bereits erfüllt.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Ina Jähne: Die Juristin in mir denkt „Das kommt drauf an“… aber im Ernst: Wie aus unserer Beratungspraxis und den jährlichen Berichten der Landesdatenschutzbehörden bekannt ist, wurden bereits einige Bußgelder verhängt. So wurden bundesweit im Jahre 2018 ca. 40 Bußgelder und im Jahre 2019 ca. 187 Bußgelder verhängt. Diese Zahl ist gemessen an den unzähligen Datenschutzprozessen im Alltag eines Unternehmens gering. In der Berichtserstattung tauchen zumeist nur die hohen Bußgelder in Millionenhöhe auf; hier ist beispielsweise das Bußgeld gegen die AOK Baden-Württemberg von ca. EUR 1,2 Mio. wegen des Versandes von ca. 500 Werbemails ohne vorherige Einwilligung oder das Bußgeld gegen die Deutsche Wohnen SE von ca. EUR 14,5 Mio. wegen eines fehlenden Löschkonzeptes der Daten alter Mieter zu nennen.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Ina Jähne: Neben der Regelung zur vorherigen und transparenten Information über die Verarbeitung der personenbezogenen Daten in der Form der Datenschutzerklärung oder Datenschutzinformation (Art. 13 DSGVO) sind vor allem die Regelungen zu den sog. „TOMs“ (also den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO) zu nennen. Die meisten Datenschutzverstöße sind auf solche fehlende Regelungen bzgl. des Umgangs, Schutzes und der Sicherheit personenbezogener Daten sowie fehlender Löschkonzepte zurückzuführen. Die wichtigste Regelung ist aber der Grundgedanke der Zweckbindung und des Erlaubnisvorbehaltes; kurz gesagt: Jede Datenverarbeitung darf nur zu einem vorher festgelegten Zweck erfolgen und muss auf einer Erlaubnisgrundlage (getreu dem Motto: „Was nicht ausdrücklich erlaubt ist, ist verboten“) basieren. Die häufigsten Erlaubnisnormen finden sich in Art. 6 DSGVO oder zum Beschäftigtendatenschutz in § 26 BDSG.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Ina Jähne: Ende 2019 wurde mit dem 2. DSAnpUG-EU (BGBl. 2019 I Nr. 41 S. 1626 ff.) das seit Mai 2018 geltende (neue) BDSG noch einmal überarbeitet. Vorranging wurden Verweisungs- und Formatfehler beseitigt. Relevante Änderungen betreffen den Bereich der Pflicht zur Benennung eines Datenschutzbeauftragten (hier wurde die erforderliche Anzahl der Personen nach § 38 BDSG, welche personenbezogene Daten verarbeiten, von 10 auf 20 hochgesetzt); zudem müssen Unternehmen nach § 16 BDSG Zugang zu Grundstücken/Diensträumen und Datenverarbeitungsanlagen nicht mehr jederzeit, sondern nur noch während der „üblichen Geschäfts- und Betriebszeiten“ gewähren. Außerdem gab es eine Änderung im Beschäftigtendatenschutz dahingehend, dass eine Einwilligung im Beschäftigtendatenschutz (§ 26 Abs. 2 S. 3) jetzt nicht mehr der Schriftform bedarf, sondern „schriftlich oder elektronisch“ (und damit in Textform, also auch per E-Mail) erfolgen kann.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Ina Jähne: Ja, das Ziel wurde definitiv erreicht. Allein der Umstand, dass die Unternehmerlandschaft sich ihre jeweiligen Datenprozesse teils kritisch angeschaut haben, hat zu einer signifikanten Verbesserung des Schutzes personenbezogener Daten geführt. Insgesamt haben die DSGVO und das neue BDSG dazu beigetragen dass die Unternehmen sensibler mit dem Thema „Datenschutz“ umgehen und auch den ein oder anderen Prozess bei der Verarbeitung von personenbezogenen Daten überdenken. Hier ist zwar nach wie vor noch einiges zu tun, die DSGVO und das BDSG (neu) haben hier jedoch erheblich zur Sensibilisierung beigetragen.
