Recht -

Zwischenfazit zur Datenschutzgrundverordnung 2 Jahre DSGVO: So wurde bislang kontrolliert

2020 wollen die Datenschutzbehörden härter gegen DSGVO-Sünder vorgehen. Kein Grund zur Sorge, sagt Rechtsanwalt Hauke Hansen. Im DHZ-Interview beschreibt der Datenschutzexperte, wie die Behörden bislang kontrollierten, wie hoch er das Risiko einer Abmahnung einschätzt und welche Mindestanforderungen jeder Handwerksbetrieb erfüllen sollte.

DHZ: Vor zwei Jahren versetzte die DSGVO zahlreiche Betriebe in Panik. Rückblickend betrachtet: Waren die Befürchtungen begründet?  

Hauke Hansen: Der Start war holprig. Obwohl die DSGVO bereits im Mai 2016 verabschiedet wurde, schienen viele Unternehmen im Jahr 2018 von ihrem bevorstehenden Inkrafttreten überrascht worden zu sein. Erst wenige Wochen, oft erst wenige Tage vorher häuften sich in unserer Kanzlei die leicht panischen Anfragen, was denn kurzfristig zur Umsetzung der gesetzlichen Vorschriften erforderlich sei. Verstärkt wurde die weitverbreitete Unsicherheit noch durch Presseberichte über skurrile Auswüchse der DSGVO: Denn angeblich würde sie dazu führen, dass Gesichter auf Schulfotos mit schwarzen Balken versehen und Namen auf Klingelschildern durch Nummern ersetzt oder weihnachtliche Geschenkaktionen für bedürftige Kinder abgesagt werden müssten.

All diese Befürchtungen waren unbegründet. Die DSGVO bietet ausreichend Möglichkeiten, die Größe des Unternehmens und die besondere Situation, in denen die Daten verarbeitet werden, zu berücksichtigen. Kaum eine Tätigkeit, die bisher erlaubt war, wird durch die DSGVO verboten. Sie verhindert lediglich Auswüchse, und die gibt es in der Regel bei kleinen und mittelständischen Unternehmen nicht.

DHZ: Wie liefen die Kontrollen der Datenschutzbehörden bislang ab? Worauf achten die Behörden besonders bei ihren Kontrollen?

Hansen: Aufgrund fehlenden Personals haben bisher sehr wenige anlasslose Vor-Ort-Kontrollen durch Datenschutzbehörden stattgefunden. In einigen Bundesländern wurden Fragebögen zur Umsetzung der DSGVO verschickt. Hierin wird gefragt, ob das Thema von der Geschäftsleitung ernst genommen wird und ein Datenschutzmanagementsystem bestehe, ob die Unternehmen ein Verarbeitungsverzeichnis führen oder ob die Informationspflichten gegenüber Arbeitnehmern eingehalten werden.

Darüber hinaus werden Aufsichtsbehörden derzeit überwiegend aufgrund von Beschwerden tätig und fordern die angezeigten Unternehmen zu Stellungnahmen auf. Hierbei ist ein gewisser Trend festzustellen: Das Datenschutzrecht wird teilweise zweckentfremdet, wenn beispielsweise Mitarbeiter anlässlich eines arbeitsrechtlichen Kündigungsprozesses die "Datenschutzkarte ziehen" und sich wegen behaupteter Datenschutzverstöße des Arbeitgebers eine verbesserte Verhandlungsposition versprechen. Lässt sich der Arbeitgeber hierauf nicht ein, wird die Behörde informiert.

>>> Lesetipp: Die Top 10 der DSGVO-Verstöße 2019

DHZ: Bislang haben Datenschutzbehörden eher gegen große Unternehmen Bußgelder verhängt, wie hoch schätzen Sie das Risiko für kleine Betriebe ein?

Hansen: Der schiere Umfang des Gesetzes kann dem Geschäftsführer eines kleineren Unternehmens zunächst einmal Angst einflößen. Auch gelten die Regelungen für internationale Konzerne im Grundsatz genauso wie für den Handwerksbetrieb mit zwei Angestellten. Trotzdem lautet meine Empfehlung: Nehmen Sie die gesetzlichen Verpflichtungen ernst, Angst zu haben brauchen Sie aber nicht. Und auch die Datenschutzbehörden wissen zu differenzieren. Sie gehen bisher insgesamt mit Augenmaß und einem Blick für die besondere Situation des jeweiligen Unternehmens oder einer Branche vor. Hohe Bußgelder gegen kleine und mittelständische Unternehmen wurden bisher nicht verhängt. Auch stellen die Behörden beispielsweise für Vereine oder kleinere Betriebe zahlreiche Handlungsempfehlungen und Muster zur Verfügung. Und selbst bei einem Datenschutzverstoß sind die kooperativen Unternehmen in aller Regel mit einem Verweis ohne Bußgeld davongekommen.

DHZ: Und mahnen sich auch Konkurrenten wegen behaupteter Datenschutzverletzungen ab?

Hansen: Die von einigen herbeigeschriebene Abmahnwelle ist ausgeblieben. Offenbar hatten Unternehmen auch schon vor der Corona-Krise Besseres zu tun, als für die Einhaltung der DSGVO bei ihren Konkurrenten zu sorgen. Auch sind keine Missbräuche durch Abmahnvereine bekannt geworden.

DHZ: Ist Ihnen ein Fall bekannt, in dem ein Bußgeld an einen Handwerksbetrieb verhängt wurde?

Hansen: Von einem Bußgeld gegen einen Handwerksbetrieb ist mir nichts bekannt. Auch gehört das Handwerk bisher nicht zu den Branchen, die besonders überprüft werden sollen. Allerdings wollen sich Datenschutzbehörden in den kommenden Monaten auch um den Bereich des Trackings auf Webseiten kümmern, das auch von vielen Handwerksbetrieben genutzt wird. Dies ist nach einer Entscheidung des Europäischen Gerichtshofs ausschließlich mit Einwilligung der Nutzer erlaubt. Und die weit verbreiteten Cookie-Banner erfüllen die rechtlichen Vorgaben nicht.

DHZ: Datenschutzbehörden haben angekündigt, dieses Jahr härter gegen DSGVO-Verstöße vorzugehen. Was bedeutet das konkret?

Hansen: Zum einen hat die Datenschutzkonferenz DSK, der Zusammenschluss aller deutschen Datenschutzbehörden, im Herbst 2019 ein neues Modell zur Berechnung von Bußgeldern verabschiedet. Nach Ansicht der DSK führe es zu einer systematischen, transparenten und nachvollziehbaren Bußgeldbemessung. Das mag ein Nebeneffekt sein, vor allem aber hat das Modell das Potenzial, den seit Inkrafttreten der DSGVO immer wieder befürchteten Anstieg von Bußgeldern zu realisieren. Ob die von einigen Landesdatenschutzbehörden verhängten Millionenbußgelder auch vor den Gerichten standhalten, wird sich zeigen. Die Unternehmen Deutsche Wohnen und 1&1 wehren sich gerade gegen entsprechende Zahlungsbescheide.

Zum anderen haben Datenschutzbehörden angekündigt, dass das Jahr 2020 "im Zeichen der konsequenten Beseitigung und Ahndung festgestellter Datenschutzverstöße" stünde. So hat beispielsweise die rheinland-pfälzische Datenschutzbehörde in ihrem Aktionsplan 2020 anlasslose Kontrollen angekündigt. Schwerpunkte sollen hier in den Branchen Biometrie, Banken und Versicherungen sowie Immobilienverwaltung und Maklerwesen gesetzt werden. Andere Bundesländer nehmen sich den medizinischen Bereich oder E-Commerce-Händler vor.

Aber ich wiederhole mich gerne: Angesichts der pragmatischen Herangehensweise der meisten Datenschutzbehörden brauchen nur die Unternehmen Angst haben, die das Datenschutzrecht bewusst ignorieren.

>>> Lesetipp: Videotelefonie und Desktop-Sharing: So klappt´s mit dem Datenschutz

DHZ: Wo liegen Ihrer Erfahrung nach noch immer die größten datenschutzrechtlichen Schwachstellen in KMU?

Hansen: Alle Unternehmen, auch die KMU, müssen jederzeit die Einhaltung der DSGVO nachweisen können. Dies geht nur mithilfe eines Datenschutzmanagementsystems. Hierfür muss aber nicht ein neuer Mitarbeiter eingestellt oder eine entsprechende Software gekauft werden. Es geht auch mit Bordmitteln. Zu einer Basisausstattung gehört ein Verarbeitungsverzeichnis, Datenschutzinformationen für die Webseite, Mitarbeiter und Kunden, des Weiteren ein Prozess für den Umgang mit Datenpannen und das Löschen von Daten, geregelte Bewerbungsprozesse und gelegentliche Schulungen der Mitarbeiter. Das war es im Grunde schon. Diese Dinge erfordern zwar am Anfang einige Arbeit, danach kann sich jeder Mitarbeiter aber wieder auf seine eigentliche Tätigkeit konzentrieren.

DHZ: Muss jedes Unternehmen einen Datenschutzbeauftragten haben?

Hansen: Nur Unternehmen mit mehr als 20 Mitarbeitern müssen einen Datenschutzbeauftragten haben. Aber auch Unternehmen unter dieser Grenze müssen den Datenschutz einhalten. Insofern muss sich trotzdem ein Mitarbeiter um dieses Thema kümmern.

DHZ: Die DSGVO wurde mit dem Ziel eingeführt, Bürger vor dem Missbrauch personenbezogener Daten zu schützen, einen einheitlichen Datenschutzstandard innerhalb der EU zu schaffen und auch Tech-Konzerne wie Facebook, Google & Co. enger an die Leine zu nehmen. Wie fällt Ihr Fazit nach zwei Jahren aus?

Hansen: Immerhin: Egal war auch den amerikanischen Konzernen die Einführung der DSGVO nicht. Mark Zuckerberg, der Facebook-Gründer, hat seinen Kapuzenpullover gegen Anzug und Schlips ausgetauscht und hat dem europäischen Parlament Rede und Antwort gestanden. Auch andere amerikanische CEOs preisen die DSGVO als den zukünftigen Weltstandard. Und so manches deutsches Gerichtsurteil hat dazu geführt, dass auch Großkonzerne ihre Allgemeinen Geschäftsbedingungen anpassen mussten.

Wenn jetzt noch die irische Datenschutzbehörde, die in Europa für die meisten Tech-Konzerne zuständig ist, ihre Aufgabe ernst nimmt, glaube ich an die Einhaltung der DSGVO. Aber eines muss man auch sagen: Diese Unternehmen "klauen" die Daten nicht, die meisten Nutzer geben Sie freiwillig her, weil sie die angebotenen Dienstleistungen kostenlos in Anspruch nehmen wollen.

Hauke Hansen, zertifizierter Datenschutzbeauftragter (TÜV®) und Fachanwalt für IT-Recht, ist Partner der Kanzlei FPS. Er betreut Unternehmen bei der datenschutzkonformen Umsetzung ihrer Digitalisierungsstrategien.

© deutsche-handwerks-zeitung.de 2020 - Alle Rechte vorbehalten