DSGVO im Mai 2019: Retrospektive & Status Quo

avatar

Timo Schmidt - 9 Min. Lesezeit

header-picture

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union feiert am 25. Mai ihren Jahrestag. Die Aufregung im Vorfeld war groß und hat nicht nur die Digitalbranche massiv verunsichert: Unklar ist indes auch immer noch, wie sich viele Punkte und Feinheiten der Verordnung auslegen lassen. Die vor einem Jahr in Kraft getretene DSGVO ist noch recht jung. Aber sie wird bleiben und nur, weil bis jetzt noch nicht viel passiert ist, sollten sich Unternehmen auf keinen Fall nur abwartend zurücklehnen. Was war Panikmache? Was hat sich bewahrheitet? Ein (Zwischen-)Fazit ... (Timo Schmidt, ago).

Nur wenige Unternehmen sind vollständig DSGVO-konform

Das Ergebnis einer repräsentativen Befragung (PDF) unter mehr als 500 deutschen Unternehmen, die der Digitalverband Bitkom im Rahmen seiner Privacy Conference vorgestellt hatte: Noch vier Monate nach Fristablauf haderte die deutsche Wirtschaft weiterhin mit der Umsetzung – erst ein Viertel (24 Prozent) hat die DSGVO vollständig verwirklicht. Weitere 40 Prozent haben die Regeln größtenteils umgesetzt und drei von zehn (30 Prozent) teilweise. Gerade erst mit den Anpassungen begonnen hatten zum Zeitpunkt der Umfrage 5 Prozent der Unternehmen.

Dehmel-Susanne_bitkomorg

Die Bilanz ist ernüchternd. Bei der Umsetzung der DSGVO haben sich viele Unternehmen klar verschätzt. Für andere ist die komplette Umsetzung wohl kein zeitliches Problem, sondern ein Ideal, das gar nicht zu erreichen ist. Vielen ist offenbar auch erst im Laufe der Prüfung und Anpassung ihrer Prozesse bewusst geworden, was für einen Nachholbedarf sie beim Datenschutz haben. (Pressefoto: bitkom.org)
Susanne Dehmel,
Bitkom-Geschäftsleiterin Recht & Sicherheit

 

Große Abmahnungswelle und Bußgeldflut?

Die in Art. 83 Abs. 4 und Abs. 5 DSGVO angedrohten Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes bzw. von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes haben für reichlich Diskussionsstoff gesorgt. Bis jetzt ist aber nicht allzu viel passiert: Vor allem eindeutige und sichtbare Datenschutzverstöße, wie z. B. fehlende Datenschutzerklärungen oder der Versand von unerwünschter E-Mail-Werbung wurden abgemahnt. Die große Welle ist jedoch ausgeblieben, was aber keinesfalls heißt, dass nicht noch ernsthafte Abmahnungen und Bußgelder folgen können.

Das Problem der schwammigen Rechtsbegriffe

Nach wie vor am problematischsten für Unternehmen sind die noch zahlreichen und schwammigen Rechtsbegriffe. Etliche Fragen sind noch offen – so auch eine klare Antwort darauf, wie es um die Einholung der Einwilligung und speziell deren Ausgestaltung sowie die Reichweite eines legitimen Interesses für die Verarbeitung personenbezogener Daten bestellt ist. Unternehmen sollten sich hier und in anderen Punkten auf eine viel praxisnähere Auslegung verlassen können, um die drängende Digitalisierung nicht zu gefährden.

Große Unsicherheit herrscht auch immer noch darüber, ob Technologien wie Tracking, Targeting und Profiling per se nur noch nach erfolgtem Opt-in oder auch mittels einer Interessenabwägung legitimiert werden können. Für die Behörden ist die Sache klar – für sie ist immer die explizite Einwilligung das Mittel der Wahl. Aber ist das in der Realität auch der praktikabelste Weg? Und wie sieht es in puncto Facebook, Fanpages und Co. aus? Hier hatte ein im Juni 2018 vom Europäischen Gerichtshof beschlossenes Urteil für düstere Aussichten gesorgt – mit der Aussage, dass Betreiber sogenannter Fanpages mit dem sozialen Netzwerk die gemeinsame Verantwortung für die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher ihrer Seiten tragen sollen. Zahlreiche Unternehmen hatten daraufhin ihre Fanpages geschlossen, denn nach dem Urteil kann sich keiner mehr hinter dem sozialen Netzwerk verstecken.

Und auch die sich ankündigende ePrivacy-Verordnung sorgt für alles andere als Vorfreude: Falls die EU-Kommission sie in der aktuell diskutierten Fassung abnicken sollte, lautet die vorherrschende Tonalität, dass europäische Digitalunternehmen dramatischen Auswirkungen auf die globale Wettbewerbsfähigkeit entgegensehen.

Jahresbericht aus Berlin: Update in puncto Datenschutz

Der Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit (PDF) zum 31. Dezember 2018 lieferte ebenfalls interessante allgemeine Erkenntnisse:

  • Seit die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist, hat sich das Beschwerdeaufkommen bei der Berliner Datenschutzbehörde nahezu vervierfacht.
  • Zum einen liegt das an der gestiegenen öffentlichen Aufmerksamkeit für das Thema, wie es in einer Pressemitteilung (PDF) heißt. Zum anderen hat die DSGVO die Zuständigkeiten von nationalen Datenschutzbehörden erweitert. Diese nehmen nicht mehr nur lokale Beschwerden entgegen, sondern sind nun auch dann zuständig, wenn es gegen Unternehmen oder Behörden geht, die etwa in einem ganz anderen EU-Mitgliedstaat sitzen.
  • Einen sprunghaften Anstieg gab es bei sogenannten Datenpannen zu verzeichnen, die aufgrund erweiterter Meldepflichten den Behörden mitzuteilen sind. Fast vierzehnfach öfter wurden im Vorjahr verlorene USB-Sticks, offene E-Mail-Verteiler oder Hackerangriffe gemeldet.

     

    Pressefoto_MajaSmoltczyk
Das enorm hohe Beschwerdeaufkommen und die Zahl von Datenpannen, die meiner Behörde gemeldet werden, zeigen, dass die öffentliche Debatte um das neue Regelwerk sowohl Bürgerinnen und Bürger als auch Behörden und Unternehmen für Datenschutz sensibilisiert hat. Der Umgang mit personenbezogenen Daten erfolgt in weiten Teilen der Bevölkerung bewusster. Menschen setzen ihr Grundrecht auf informationelle Selbstbestimmung häufiger durch. Das war ein wichtiges Anliegen des europäischen Gesetzgebers. Ich denke, in diesem Punkt kann man die Datenschutz-Grundverordnung bereits jetzt als großen Erfolg werten.
Maja Smoltczyk,
Berliner Beauftragte für Datenschutz und Informationsfreiheit

 

Innovationstreiber DSGVO?

Bei aller wahrgenommenen Bremskraft bleibt aber auch festzustellen, dass sich erst durch die DSGVO in Kombination mit der Androhung empfindlicher Strafen etwas in den Köpfen bewegt hat. So mussten auch seit langem verkrustete Prozesse hinterfragt werden. Gerade B2B-Unternehmen widmen den zentralen Kommunikationsthemen wie Inbound Marketing, Lead-Generierung oder Marketing Automation jetzt vermehrte Aufmerksamkeit, weil sie nun mal eng mit der datenschutzrechtlichen DSGVO-Thematik verbunden sind.

Die Ruhe vor dem Sturm?

Als Fazit bleibt bestehen, dass es derzeit relativ ruhig ist. Und die DSGVO ist mit einem Jahr ja auch noch jung. Aber sie wird bleiben und nur, weil bis jetzt noch nicht viel passiert ist, sollten sich Unternehmen auf keinen Fall zurücklehnen und der Dinge harren. Einerseits sind die Datenschutzbehörden wohl ressourcentechnisch noch etwas überfordert, andererseits lassen sie wohl auch noch Nachsicht walten. Noch: Es braucht nur einen Fehler, eine kleine Unachtsamkeit – und schon kommt das für Unternehmen unangenehme Prüfverfahren in Gang.

Verantwortliche können nur eines tun: Am Ball bleiben und sich über aktuelle Urteile und rechtliche Auslegungen informieren. Mit unserem regelmäßig aktualisierten DSGVO-Whitepaper (auch in der englischsprachigen Fassung verfügbar: GDPR) wollen wir Ihnen dabei helfen: hier geht's zur Mediathek

Und wir lassen namhafte Experten zu Wort kommen, beispielsweise den deutschen Rechtsanwalt für Medien- & IT-Recht, Autor und Youtuber Christian Solmecke.

Timo Schmidt (für MBmedien): Herr Solmecke, die Aufregung im Vorfeld der DSGVO war groß. Was hat sich davon aus Ihrer Sicht bewahrheitet, und was war Panikmache?

Christian Solmecke: „Die vielfach befürchtete Abmahnwelle ist tatsächlich nicht eingetreten. Zwar sind immer wieder mehr oder weniger seriöse Abmahnungen von Wettbewerbern oder Wettbewerbsverbänden im Umlauf. Diese haben auch schon teilweise zu Urteilen geführt. Bis jetzt aber ist die Frage, ob die DSGVO überhaupt über das Wettbewerbsrecht abgemahnt werden kann, noch nicht höchstrichterlich geklärt. Allein schon deshalb – und auch, weil die rechtlichen Begründungen mancher Abmahner recht dünn sind – bestehen gute Chancen, dagegen vorzugehen.

Pressefoto RA Christian Solmecke

Generell sind die Beschwerden, Meldungen und Anfragen bei den Aufsichtsbehörden massiv angestiegen. Das zeigt, dass die Verunsicherung im Hinblick auf die DSGVO noch immer groß ist.

(Pressefoto: RA Christian Solmecke)

 

Rechtsanwalt Christian Solmecke,

 

LL.M., Kanzleipartner, LegalTech Unternehmer

 

und

 

Geschäftsführer der Legalvisio GmbH

 

Auch waren zuvor sehr hohe Bußgelder befürchtet worden, schließlich können nun bis zu 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes verhängt werden. Generell müssen die Behörden aber jeden Fall individuell behandeln und haben ein Ermessen, was die Höhe der Summe anbelangt. Dabei müssen Bußgelder zwar in jedem Einzelfall wirksam und abschreckend sein – aber eben auch verhältnismäßig. Ein kleines Unternehmen wird also niemals solche Bußgelder zahlen müssen. Diese Größenordnung war für Weltkonzerne wie Facebook und Google angedacht.

Google hat es ja schon getroffen und soll in Frankreich 50 Mio. Euro Strafe zahlen. Das Unternehmen geht aber dagegen vor. Generell ist die Bilanz der Bußgelder bislang nicht so abschreckend wie befürchtet. Zunächst hatten die Behörden den Verantwortlichen noch eine Schonfrist von einigen Monaten eingeräumt, innerhalb der sie praktisch nicht wegen DSGVO-Verstößen eingeschritten sind. Inzwischen sind aber schon einige Verfahren angelaufen, und es wurden bereits einige Bußgelder verhängt. Allerdings agieren die Behörden daneben auch weiterhin mit Verwarnungen und beraten die Unternehmen außerdem bei der Umsetzung der DSGVO.

Generell sind die Beschwerden, Meldungen und Anfragen bei den Aufsichtsbehörden massiv angestiegen. Das zeigt, dass die Verunsicherung im Hinblick auf die DSGVO noch immer groß ist. Das ist nicht verwunderlich, da manche Fragen in der Praxis noch nicht gerichtlich geklärt sind. Noch immer herrscht eine gewisse Rechtsunsicherheit, z.B. bei der Frage der Behandlung von Fotografie nach der DSGVO.“

Timo Schmidt (für MBmedien): Vielen Dank für das Statement, Herr Solmecke.

Themen: Data Service-Anbieter, EU-DSGVO, DSGVO, Datenschutz-Grundverordnung, Datenschutz, GDPR

Whitepaper DSGVO aktuell - Ausgabe 2

Aktuelle Beiträge

E-Privacy-Verordnung - Damoklesschwert der digitalen Wirtschaft?

read more

Lead Nurturing: Überzeugen Sie Ihre Business-Kunden automatisiert

read more

So funktioniert Marketing Automation

read more