Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Mario Steinberg: Mit Wirksamwerden der DSGVO am 25. Mai 2018 bestand tatsächlich eine große Verunsicherung in der Wirtschaft. Zwar trat die DSGVO bereits zwei Jahre zuvor in Kraft, so dass an sich ausreichend Zeit bestand, sich auf die neue Rechtslage einzustellen. Doch war vielen Unternehmen – und offenbar auch weiten Teilen der Politik – bis zum Frühjahr 2018 nicht bewusst, was für gravierende Änderungen auf die Wirtschaft zukommen.
Nachdem mittlerweile über zwei Jahre vergangen sind, lässt sich eine durchaus positive Bilanz zur DSGVO ziehen: Zum einen sind die befürchteten Schreckensszenarien, also massive Bußgelder der Datenschutzaufsichtsbehörden schon bei kleinen Datenschutz-Verstößen auf der einen Seite und eine riesige Welle von Abmahnungen durch sog. „Abmahn-Anwälte“ auf der anderen Seite, ausgeblieben. Zum anderen wurde die Wirtschaft wie auch die Bevölkerung zunehmend für den Datenschutz sensibilisiert.
So ist vielen Unternehmen mittlerweile bewusst geworden, dass Datenschutz nicht nur ein lästiges Übel ist, sondern durchaus auch im Unternehmensinteresse liegt. Denn der Datenschutz dient – wie auch die IT-Sicherheit – unter anderem dazu, die eigenen Unternehmensdaten vor Missbrauch und fremden Zugriffen zu schützen.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Mario Steinberg: Nach meiner Beobachtung halten sich die Bußgeldverfahren der Datenschutzaufsichtsbehörden in Grenzen. Dies mag zum einen sicherlich auch an der nicht gerade üppigen personellen Ausstattung einzelner Datenschutzaufsichtsbehörden liegen. Zum anderen sehen sich die Datenschutzaufsichtsbehörden auch in einer beratenden Funktion. Zudem honorieren Datenschutzaufsichtsbehörden nach meiner Erfahrung in Bußgeldverfahren durchaus, wenn man sich zumindest ernsthaft bemüht hat, die datenschutzrechtlichen Vorschriften einzuhalten.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Mario Steinberg: Bei Wirksamwerden der DSGVO waren die Unternehmen vor allem damit beschäftigt, die neuen datenschutzrechtlichen Anforderungen umzusetzen. Im Fokus waren die Erstellung eines sogenannten „Verzeichnisses von Verarbeitungstätigkeiten“ (Art. 30 DSGVO), in dem alle datenschutzrechtlich relevanten Vorgänge im Unternehmen zu beschreiben sind, und die datenschutzkonforme Ausgestaltung unternehmensinterner Abläufe, wie zum Beispiel von Datenübermittlungen zwischen Konzernunternehmen.
Unabhängig davon ist für Unternehmen vor allem wichtig, jede Datenverarbeitung auf eine Rechtsgrundlage gemäß Art. 6 DSGVO stützen zu können. Für Unternehmen besonders in Betracht kommen hier die Einwilligung des Betroffenen, die Durchführung eines Vertrages oder ein berechtigtes Interesse.
Daneben sind für Unternehmen vor allem rechtliche Fragestellungen an der Schnittstelle zwischen Datenschutzrecht und Arbeitsrecht interessant. Hierzu gehören unter anderem der korrekte Umgang mit Mitarbeiterdaten sowie datenschutzrechtliche Mitbestimmungsrechte des Betriebsrats. Auch erfordern bestimmte unternehmerische Maßnahmen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, zum Beispiel die Einführung einer Videoüberwachung am Arbeitsplatz.
Ein weiterer Bereich, der derzeit zunehmend in den Fokus rückt, ist die datenschutzkonforme Ausgestaltung von Datenschutzerklärungen und Cookie Bannern im Rahmen des Internetauftritts des Unternehmens.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Mario Steinberg: Mit Wirksamwerden der DSGVO am 25. Mai 2018 wurde das Bundesdatenschutzgesetz neu gefasst. In der ebenfalls seit 25. Mai 2018 geltenden Fassung gilt das BDSG im privaten Bereich nur noch dann, wenn die DSGVO eine entsprechende Öffnungsklausel für nationale Regelungen vorsieht.
Wichtige BDSG-Regelungen für Unternehmen sind zum Beispiel § 26 BDSG und § 38 BDSG.
§ 26 BDSG enthält Vorschriften zum Beschäftigtendatenschutz und § 38 BDSG regelt, wann Unternehmen einen Datenschutzbeauftragten zu bestellen haben.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Mario Steinberg: Da die Europäische Union für US-amerikanische Unternehmen ein wichtiger Markt ist, hat die Einhaltung des Datenschutzes bei diesen seit Wirksamwerden der DSGVO einen deutlich höheren Stellenwert. Hierzu beigetragen hat neben der abschreckenden Wirkung der drohenden Bußgelder (bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs) auch die konsequente Rechtsprechung des Europäischen Gerichtshofs, zuletzt das Urteil zum Privacy Shield vom 16. Juli 2020 in der Rechtssache C‑311/18.
Nach meiner Beobachtung haben die DSGVO und die europäischen Datenschutzstandards mittlerweile auch eine gewisse Vorbildfunktion erlangt und in den USA eine Debatte über die Wichtigkeit des Schutzes personenbezogener Daten angestoßen.
