Kategorien

Happy Birthday: 1 Jahr mit der DSGVO


„Die DSGVO hat durchaus massiven Einfluss auf die unternehmerischen Prozesse genommen.“ | Dr. Söntje Julia Hilberg

Am kommenden Samstag wird die EU-Datenschutz-Grundverordnung ein Jahr alt. Ob das ein Grund zum Feiern ist oder ob die damalige Panik vor Bürokratiewahnsinn und Abmahnungswellen durchaus berechtigt war, schildert DSGVO-Expertin Dr. Söntje Julia Hilberg aus der Legal Practice Area IT bei Deloitte Legal in Berlin.

DB: Frau Dr. Hilberg, kaum ein anderes Gesetz hat so hohe Wellen geschlagen wie die DSGVO. Woran lag das?

Hilberg: „Zunächst dürfte natürlich der im Vergleich zum früheren BDSG erheblich erhöhte Bußgeldrahmen ein Grund dafür gewesen sein. Weiter betrifft das Thema Datenschutz sämtliche Geschäftsprozesse, da praktisch in allen Unternehmensbereichen tagtäglich personenbezogene Daten verarbeitet werden. Insofern berührt die DSGVO den Kernbereich unternehmerischen Handelns – Unternehmen sahen sich im Zuge der Umsetzung teilweise erstmalig vor der Herausforderung, ihre Geschäftsabläufe im Hinblick auf das Thema Datenschutz näher zu beleuchten. Je nach Stand der Datenschutzorganisation war und ist dies mit erheblichem Aufwand verbunden.“

DB: Wie ist das Stimmungsbild heute?

Hilberg: „Nach unserer Wahrnehmung in der täglichen Beratungspraxis ist das Thema Datenschutz durch die DSGVO in der unternehmerischen Praxis angekommen und schwingt sich weiter ein. Natürlich befinden sich viele Unternehmen noch immer in der Umsetzung einzelner Anforderungen, aber viele Unternehmen stehen dem Thema Datenschutz mittlerweile sehr offen und positiv gegenüber.“

DB: Also ist die Apokalypse ausgeblieben?

Hilberg: „Die DSGVO hat durchaus massiven Einfluss auf die unternehmerischen Prozesse genommen. Wir haben bei Mandanten verschiedenster Branchen Beeinträchtigungen in den Geschäftsabläufen festgestellt und die Umstellung ganzer Geschäftsbereiche begleitet. Aber der befürchtete Stillstand der Geschäftsprozesse scheint sich jedenfalls für die Mehrzahl der Unternehmen nicht realisiert zu haben. Vielmehr ist derzeit ein mit betriebswirtschaftlich vertretbarem Aufwand verbundener Umsetzungsprozess zu erleben.“

DB: Und was war mit der prophezeiten Abmahnwelle?

Hilberg: „Die befürchtete Abmahnwelle ist ausgeblieben, sicherlich auch, weil sich die Datenschutzbehörden diesbezüglich frühzeitig positioniert haben.“

DB: Wie lief denn die Umsetzung in den Unternehmen und wo gibt es aktuell noch immer Herausforderungen?

Hilberg: „Das Vorgehen und der Stand zur Umsetzung in den Unternehmen hing maßbeglich vom Reifegrad der bestehenden Datenschutzorganisation ab. Beispielsweise sahen sich manche Unternehmen noch mit Herausforderungen konfrontiert, die bereits unter dem früheren BDSG bestanden. Daher mussten sie hier erheblich nachbessern. Insbesondere die Implementierung effektiver und effizienter Prozesse stellt Unternehmen weiterhin vor große Herausforderungen. Daneben sehe ich die umfangreichen Informations- und Dokumentationspflichten unter der DSGVO als ein zentrales Handlungsfeld.“

DB: Was waren die größten Missverständnisse bei der Umsetzung?

Hilberg: „Bei der Umsetzung herrschte oftmals große Unsicherheit im Hinblick auf den konkreten Inhalt von Anforderungen und das geeignetste Vorgehen. Man konnte beispielsweise beobachten, dass bestimmte Maßnahmen einem vermeintlichen „Best Practice-Ansatz“ folgend vorschnell durchgeführt wurden. So wurden kurz vor Inkrafttreten der DSGVO massenhaft E-Mails an Betroffene versandt, um mutmaßlich erforderliche Einwilligungen einzuholen. Teilweise erfolgten diese Ansprachen, ohne dass zuvor die bisherige Rechtslage und weitere Datenstrategie überprüft wurden.“

DB: Mittlerweile haben auch die Gerichte ihre ersten Urteile zur DSGVO gefällt. Was waren das für Verfahren? Und wie hoch waren die Bußgelder?

Hilberg: „Bei den Urteilen erhielt natürlich die Entscheidung des Europäischen Gerichtshofs zum Thema Facebook-Fanpages besondere Aufmerksamkeit. Nach Auffassung des EuGH sind Facebook und der jeweilige Fanpage-Betreiber sogenannte ‚Gemeinsame Verantwortliche‘. Das bedeutet, dass der Fanpage-Betreiber die datenschutzrechtliche Verantwortlichkeit nicht mehr alleine auf Facebook ‚abwälzen‘ kann und mit Facebook eine Vereinbarung treffen muss, in der die datenschutzrechtlichen Pflichten zwischen Facebook und dem Fanpage-Betreiber geregelt sind.

Aber auch auf nationaler Ebene hat es diverse Entscheidungen zu Einzelthemen gegeben: So befassten sich die deutschen Gerichte beispielsweise mit der Frage, inwieweit Aufnahmen aus dem Straßenverkehr mittels sogenannter ‚Dash-Cams‘ datenschutzrechtlich zulässig und vor Gericht verwertbar sind. Im Bereich des Arbeitsrechts fielen unter anderem Entscheidungen zur Unzulässigkeit der Ortung von Firmenfahrzeugen und zur Speicherdauer von Videoüberwachungsdaten vom Arbeitsplatz. Und im Bereich Social Media wurde entschieden, dass der Einsatz des Facebook-Tools ‚Custom Audiences über Kundenliste‘ ohne Einwilligung rechtswidrig ist.

Bei den Bußgeldern war das Google betreffende Verfahren der französischen Datenschutzbehörde besonders medienwirksam. In diesem wurde gegen Google wegen mangelnder datenschutzrechtlicher Transparenz, Information und Rechtsgrundlage ein Bußgeld von 50 Millionen Euro verhängt. Was die Höhe des Bußgeldes angeht, handelt es sich hier natürlich eher um einen Ausreißer. Jedenfalls in Deutschland bewegten sich viele der Bußgelder in einem deutlich niedrigeren Bereich: So wurde beispielsweise gegen einen baden-württembergischen Social-Media-Anbieter wegen eines Verstoßes gegen die nach Artikel 32 DSGVO vorgeschriebene Datensicherheit ein Bußgeld in Höhe von 20.000 Euroverhängt, nachdem durch einen Hackerangriff personenbezogene Daten von etwa 300.000 Nutzen veröffentlich worden waren. In einem anderen Fall in Baden-Württemberg wurden aus Versehen Gesundheitsdaten online gestellt, hier betrug das Bußgeld 80.000 Euro. Für die verspätete Meldung einer Datenschutzverletzung und einer unterbliebenen Information der Betroffenen wurde in Hamburg ein Bußgeld von 20.000 Euro verhängt und in Berlin wurde einer Bank ein Bußgeld von 50.000 Euro auferlegt, weil sie unbefugt personenbezogene Daten ehemaliger Kunden verarbeitet hatte.“

DB: Welche Erkenntnisse können aus den bisher erfolgten Datenschutzprüfungen und Bußgeldverfahren gewonnen werden?

Hilberg: „Aus den Datenschutzprüfungen und Bußgeldverfahren lernen wir zunächst, dass die ‚Schonzeit‘ für die Verantwortlichen vorbei ist und die Aufsichtsbehörden nun auch durchgreifen – jedenfalls bei evidenten datenschutzrechtlichen Verstößen. Zudem prüfen die Datenschutzbehörden nicht mehr nur anlassbezogen, sondern fortlaufend bestimmte Themenfelder wie beispielsweise den Einsatz von Tracking-Mechanismen auf Websites. Angesichts des bisherigen Vorgehens in Deutschland wird man davon ausgehen dürfen, dass die Aufsichtsbehörden in Zukunft verstärkt auf eine Kooperation mit den Verantwortlichen in Form von Abstimmung und Beratung setzen werden. Ich gehe davon aus, dass die Aufsichtsbehörden bei ihren Entscheidungen weiterhin Augenmaß walten lassen und nicht wie oft prognostiziert ‚drakonische Strafen‘ verhängen werden. Interessant ist auch, dass die Aufsichtsbehörden in anderen europäischen Staaten bereits jetzt teilweise deutlich höhere, sechsstellige Bußgelder verhängt haben. Insofern bleibt es spannend, die weitere Entwicklung und insbesondere die Abstimmung der Aufsichtsbehörden auf nationaler und europäischer Ebene zu verfolgen.“

DB: Vielen Dank für das spannende Interview, Frau Dr. Hilberg!

Das Interview führte Viola C. Didier, RES JURA Redaktionsbüro.

 

Mehr erfahren:

Das Dossier zum Datenschutzrecht von DER BETRIEB gibt einen Überblick zu den wichtigsten Aspekten der DSGVO. Empfehlungen und Umsetzungstipps helfen, richtig zu reagieren und Sanktionen zu vermeiden: https://www.fachmedien.de/dossier-das-neue-datenschutzrecht


Top