Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Jannik Krone: Die an der DSGVO geäußerte Kritik war zu Teilen überzogen, da sie nur ohnehin bereits geltende Vorschriften betraf, die jetzt „nur“ mit höheren Bußgeldern versehen sind. Die Kritik war also an der Stelle häufig eigentlich ein verstecktes Eingeständnis, dass die Vorschriften bisher nicht eingehalten wurden. Der Stellenwert, den der Datenschutz dadurch bekommen musste, hat dann ad hoc zu einer Mehrbelastung bei den Unternehmen geführt, die sich vorher schlicht keine Gedanken um Datenschutz gemacht haben. Dabei galt die Kritik im Vorfeld aber nicht unbedingt den Fragen, die sich jetzt stellen. Denken wir da z.B. an Diskussionen zum Thema Website-Tracking, Fiebermessen vor dem Werkstor (um Corona-Infektionen aufzuspüren) und Schadensersatzansprüche für verspätete oder nicht vollständige Auskünfte. In der Praxis hat die DSGVO dabei für viele Fragen leider keine klaren Antworten, dass macht die Umsetzung anspruchsvoll und fehleranfällig.
Gibt es viele Fälle wegen Verstößen gegen die DSGVO?
Jannik Krone: Die erfassten / bekanntgewordenen Fälle stehen nach unserer Einschätzung in keinem Verhältnis zur tatsächlichen Anzahl an Verstößen. Es gibt wohl kaum ein Unternehmen, dass 100% datenschutzkonform läuft. Verletzungen wie unzulässige Tracking-Mechanismen auf Websites, fehlerhafte Datenschutzerklärungen, unvollständige Auskünfte oder fehlende Schutzmaßnahmen sind Massendelikte. Aktuell ist ein großes Problem, dass der EuGH das Privacy Shield Abkommen zwischen den USA und der EU aufgehoben hat und der Einsatz von Software von US-Anbietern daher mit großer Unsicherheit behaftet ist.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Jannik Krone: Am risikoreichsten für Unternehmen sind alle Vorschriften, die Betroffenenrechte im weitesten Sinne schützen, also das Bereitstellen einer Datenschutzerklärung, das Beauskunften der Datenschutzanfragen, etc. Machen Unternehmen hier Fehler, können die Kunden diese Fehler gegenüber der Datenschutzbehörde rügen, so dass ein Verfahren eingeleitet werden kann, oder die Kunden verklagen das Unternehmen auf Schadensersatz.
Im Alltag werden aber auch die Vorschriften für technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten nicht ausreichend umgesetzt. Da fehlt es an Sicherheitsmaßnahmen, Kundendaten werden z.B. nicht ausreichend vor Dritten geschützt oder sie werden unzulässig für Werbemaßnahmen genutzt. Diese Verstöße sind für außenstehende zwar schwerer zu entdecken, wenn es aber einen Verstoß gibt, sind die Reaktionen dafür heftiger. Dem letzten großen Millionen Bußgeld, dass z.B. in Baden-Württemberg gegen die AOK verhängt wurde, lagen derartige unzureichende Maßnahmen zu Grunde.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Jannik Krone: Das ist so nicht richtig. Neben der DSGVO existieren die reformierten nationalen Regeln des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze weiter. Die DSGVO erlaubt mit Öffnungsklauseln auch, dass die nationalen Gesetzgeber bestimmte Sachverhalte selbst regeln oder konkretisieren. Die in der Praxis relevantesten Vorschriften sind die deutschen (nationalen) Vorschriften zur Pflicht zur Bestellung eines Datenschutzbeauftragten und die Vorschriften über die Datenverarbeitung im Rahmen von Arbeitsverhältnissen. Nach § 38 BDSG muss ein Unternehmen einen Datenschutzbeauftragten haben, wenn dort in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, anders als in anderen europäischen Ländern. Der § 26 BDSG normiert die Rechtsgrundlage für die Datenverarbeitung im Rahmen von Arbeitsverhältnissen und stellt dort einiges klar.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Jannik Krone: Bereits vor In-Kraft-Treten der DSGVO war absehbar, dass die DSGVO kleine und mittelständische Unternehmen überproportional belasten würde, das hat sich bestätigt. Große Unternehmen können mit den Vorschriften der DSGVO besser umgehen. Die großen US-Unternehmen zeigen sich von der DSGVO weitgehend unbeeindruckt. Die für das Europageschäft zuständigen Tochtergesellschaften sitzen in Irland bzw. Luxemburg. Entsprechend sind die dortigen Datenschutzbehörden zuständig, die sich bisher mit weniger Eifer bei der Durchsetzung hervorgetan haben – im Vergleich zu den französischen oder deutschen Behörden. Auch das Urteil des EuGH zum Thema Privacy Shield, dass den Datentransfer zwischen EU und USA zum Gegenstand hat, hat bisher jedenfalls nur zu minimalen Veränderungen bei den US-Anbietern geführt.
