Die Änderung der DSGVO hat 2018 für viel Unsicherheit in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?

Piotr Voelkel: Als Rechtsanwalt, der vornehmlich für mittelständische Unternehmen berät, konnte ich 2018 die wachsende Besorgnis im Hinblick auf das Wirksamwerden der DSGVO hautnah miterleben. Es wäre übertrieben, hier von Ängsten meiner Mandantschaft zu sprechen; eine gewisse Verunsicherung war hingegen vorherrschend, die leise Befürchtung ein Bußgeld zu erhalten, machte sich ebenfalls breit. Diese war zum einen darauf zurückzuführen, dass die DSGVO viele unerwartet traf, obschon sie bereits 2016 in Kraft getreten ist. Zum anderen mussten sich viele unserer Mandanten eingestehen, den Datenschutz oftmals nur stiefmütterlich behandelt zu haben. Insoweit waren die Verunsicherungen also berechtigt, obgleich vereinzelt ein Datenschutzmanagementsystem implementiert und vorgehalten wurde. Dankenswerter Weise erkannten die für die Verarbeitung personenbezogener Daten verantwortlichen Unternehmen, dass sie die Vorgaben der DSGVO mit eigenen Ressourcen nicht erfüllen können und stockten diese auf, bestellten interne oder externe Datenschutzbeauftragte, um die Vorgaben schrittweise zu erfüllen. Als extern bestellter Datenschutzbeauftragter der ersten Stunde konnte ich dann beobachten, wie sich im Lauf der Implementierung eines Datenschutzmanagementsystems die Sorgen nach und nach legten.

Gibt es viele Fälle wegen Verstößen gegen die DSGVO?

Piotr Voelkel: Betrachten wir allein die Zusendung unlauterer Werbung ohne vorherige Einwilligung richtigerweise als Verstoß gegen die DSGVO, so gab es bereits mit Blick auf willkürlich versendete Newsletter unzählige Verstöße. Spannender ist hingegen die Frage, wie viele Verstöße tatsächlich durch Aufsichtsbehörden der Länder entdeckt und verfolgt wurden. Die Beantwortung dieser Frage ist komplex und kann mangels hinreichender Statistiken nur ansatzweise beantwortet werden. Gemessen an den letzten zwei Jahren gab es im Rahmen meiner datenschutzrechtlichen Beratungen nur vereinzelte Fälle, bei denen gewichtige Datenschutzverstöße durch die jeweilige Aufsichtsbehörde geahndet wurden, Bußgelder wurden allerdings nicht verhängt. Dies liegt nicht zuletzt daran, dass ich den Datenschutz als wesentlichen Bestandteil eines umfassenden Compliance Managementsystems sehe und fortwährend entsprechende Vorsorgemaßnahmen einleite, weshalb größere Brandherde gar nicht erst entstehen. Dennoch wage ich die Behauptung, dass kein Unternehmen absolut, d.h. zu 100 Prozent, datenschutzkonform handelt. Dass es jedoch auch größere Verstöße gegen die DSGVO gibt, zeigen vor allem medienwirksame Fälle, bei  denen hohe Bußgelder gehandelt und verhängt wurden, beispielsweise: British Airways 204 Millionen Euro (1,4 Prozent des weltweiten Konzernumsatzes), Google 50 Millionen Euro, Post 80 Millionen, 1&1 Telecom GmbH 9,5 Millionen Euro oder aktuell beim Modekonzern H&M mit einem Bußgeld in Höhe von rund 35 Millionen Euro. Auch wenn deutsche Unternehmen Bußgelder in vorgenannten Höhen nur in Ausnahmefällen zu befürchten haben, sollten auch kleine Bußgelder wegen des damit verbundenen Imageschadens, den das Unternehmen erleidet, keinesfalls unterschätzt werden.

Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?

Piotr Voelkel: Im Alltag dürften dies die Betroffenenrechte sein. Nach DSGVO haben betroffene Personen eine Reihe von Rechten, die sie dem verantwortlichen Unternehmen gegenüber geltend machen können. Die vornehmlich in Art. 15 ff. DSGVO normierten Rechte spiegeln dabei wesentliche Grundsätze der Verarbeitung personenbezogener Daten, wie die Rechtmäßigkeit der Datenverarbeitung, wieder.

Die Praxis zeigt, dass Betroffene – häufig Endverbraucher – insbesondere vom Auskunftsrecht (Art. 15 DSVGO) und dem Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO) Gebrauch machen. Unternehmer sind gehalten diese Rechtsansprüche ernst zu nehmen. Denn sobald ein Betroffener Auskunfts- bzw. Löschungsrechte geltend macht, hat der Unternehmer diesem Verlangen sowohl rechtskonform als auch innerhalb bestimmter Fristen Folge zu leisten. Da dies in der praktischen Umsetzung Schwierigkeiten bereiten kann, zeigt ein Urteil des Arbeitsgerichts Düsseldorf vom 05.03.2020. In dieser gerichtlichen Entscheidung hatte das Gericht einer betroffenen Person einen Schadenersatzanspruch in Höhe von 5.000 Euro zugesprochen, da der mit dem Auskunftsersuchen des Arbeitnehmers betraute Arbeitgeber diesem nur verspätet und lückenhaft nachkam, so dass das Gericht einen erstattungsfähigen Nichtvermögensschaden im Sinne von Art. 82 DSGVO bejahte. Die Entscheidung des Arbeitsgerichts ist wohlgemerkt noch nicht rechtskräftig, die Berufung beim Landesarbeitsgericht Düsseldorf (LAG) ist anhängig. Ungeachtet dessen ist bereits jetzt eine Tendenz erkennbar, wonach Verbraucher den Anspruch gemäß Art. 82 DSGVO für sich entdecken und notfalls versuchen werden, diesen gerichtlich durchzusetzen.

Mit der Umsetzung der EU-Datenschutz-Grundverordnung Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?

Piotr Voelkel: Bitte gestatten Sie mir an dieser Stelle eine kleine Korrektur, denn das Bundesdatenschutzgesetz wurde nicht ersatzlos aufgehoben, vielmehr wird das alte Bundesdatenschutzgesetz durch ein neues ersetzt. Dieses stellt eine Ergänzung und Konkretisierung zur europäischen Datenschutzgrundverordnung dar. Aufgrund einer Reihe von Öffnungsklauseln, die die DSGVO enthält, werden durch das BDSG-neu nationale Spezifizierungen bestimmter Vorschriften ermöglicht. Es handelt sich folglich um ein ergänzendes Verhältnis zwischen der europäischen Verordnung und dem deutschen Gesetz. Neuerungen gibt es beispielsweise im Hinblick auf die Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO. Nach Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu ist ein Datenschutzbeauftragter für das Unternehmen zu bestellen, sofern es in der Regel mindestens 20 Personen beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Um Kleinstbetriebe mit weniger als 20 Personen von der Pflicht zur Bestellung eines Datenschutzbeauftragten auszunehmen, wurde die Fassung des § 38 BDSG-neu aufgrund des zweiten Gesetzes zur Anpassung des Datenschutzrechts vom 20.11.2019 geändert, vormals lag die Grenze bei zehn Personen. Inwiefern diese Entscheidung des Gesetzgebers richtig war, ist umstritten. Denn einerseits werden Kleinstbetriebe von der Pflicht befreit, einen Datenschutzbeauftragten zu bestellen. Andererseits ist auch bei kleinen Betrieben die Einführung eines internen oder externen Datenschutzbeauftragten durchaus sinnvoll, da auch diese datenschutzrechtliche Bestimmungen einhalten müssen, was ihnen ohne entsprechende Expertise kaum möglich ist.

Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?

Piotr Voelkel: Blicken wir auf das Bußgeld in Höhe von 50 Millionen Euro, das Google zahlen musste, wird deutlich, dass Aufsichtsbehörden keine zahnlosen Tiger sind, was als weit verbreitete These gehandelt wird. Dennoch bildet der dem Bußgeld zugrunde liegende Datenschutzverstoß – genauso wie der Datenskandal rund um Cambridge Analytica – lediglich die Spitze des Eisbergs ab. Denkbar ist, dass Google Bußgelder in Millionenhöhe aus eigener Portokasse zahlt, die eigens für etwaige Datenschutzverstöße vorgehalten wird. Das weitere Vorgehen der Aufsichtsbehörden bleibt abzuwarten, denn selbst wenn zeitweilig keine Bußgelder gegen US-Größen verhängt werden, bedeutet dies nicht, dass hinter den Kulissen bereits Ermittlungsverfahren laufen. Erkennbar hat die DSGVO aber einen Großteil der Bürger dazu gebracht, Datenverarbeitungsprozesse zu hinterfragen, so dass künftig selbst Internetnutzer dazu beitragen werden, US-Konzerne zur Einhaltung von Datenschutzvorschriften zu zwingen. Dies stellt beispielsweise der Jurist und Datenschutzaktivist Maximilian Schrems, in eindrucksvoller Weise unter Beweis, indem er sich der Durchsetzung von Datenschutzrechten verschrieben hat.

Herr Voelkel, vielen Dank für das Gespräch.