RechtDSGVO: Fünf Fragen an einen Rechtsanwalt

1.  Wie fällt Ihre Bilanz nach fünf Jahren DSGVO aus – gerade mit Blick auf kleine und mittlere Betriebe? 

Die befürchtete, große Abmahnwelle ist erfreulicherweise ausgeblieben. Die Datenschutz-Aufsichtsbehörden haben sich in einer ersten Phase zum Geltungsbeginn der DSGVO auf eine Beratung und Information konzentriert und beginnen erst aktuell damit, verschärft auf eine Einhaltung über die Festsetzung von Bußgeldern hinzuwirken. 

Doch vor allem kleinere und mittlere Betriebe scheinen mit der Einhaltung der DSGVO überfordert zu sein. Dies nicht zuletzt auch aufgrund einer Unklarheit über die genauen Anforderungen der – sehr offen formulierten – DSGVO. So haben sich in der Praxis zahlreiche Gepflogenheiten eingestellt, die schlicht überflüssig oder zum Teil auch unzulässig sind. Hier ist es umso wichtiger, dass die Beratungs- und Informationsangebote der Handwerkskammern in Anspruch genommen werden. Andernfalls kann die DSGVO unnötig zum „Hemmschuh“ werden.

2.  Welche neuen datenschutzrechtlichen Herausforderungen sind seit 2018 dazugekommen? 

Es scheint fraglich, ob mit der DSGVO tatsächlich so viele neue Anforderungen im Vergleich zur Rechtslage zuvor hinzugekommen sind. Der größte Unterschied besteht darin, dass das Datenschutzrecht aufgrund der medial wirksamen Einführung der DSGVO sowie den drakonisch wirkenden Bußgeldern auf einmal eingehalten wird – anders als das vergleichbare Bundesdatenschutzgesetz (BDSG) zuvor. Die größte Herausforderung scheint zu sein, seit Jahren „eingeschliffene Praktiken“ schlagartig dem Datenschutzrecht konform und praxistauglich auszugestalten.

Sicherlich eine der lästigsten und zugleich tatsächlichen neuen Anforderungen ist es, über jedwede Datenverarbeitungen umfassend informieren zu müssen. So muss zum Beispiel für jede Datenverarbeitung eine Rechtsgrundlage genannt und dem Betroffenen mitgeteilt werden. Bei komplexen Techniken, wie beispielswiese einer Website – kann dies einen beträchtlichen Aufwand bedeuten.

3. Wie macht sich die zunehmende Digitalisierung im Datenschutz bemerkbar – zum Beispiel bei Webseiten, bei Software oder in den Sozialen Medien?

Dies führt dazu, dass selbst in kleineren und mittleren Betrieben auf einmal eine Vielzahl von Datenverarbeitungen zu berücksichtigen sind. Entsprechend häufig müssen die Anforderungen der DSGVO geprüft und Umsetzungsmaßnahmen ergriffen werden.

Die datenschutzrechtliche Bewertung fällt zunehmend schwer, weil komplexe technische Sachverhalte geklärt werden müssen, bevor eine datenschutzrechtliche Ausgestaltung erfolgen kann. Oftmals wird im Rahmen neuer Techniken auf externe Dienstleister zurückgegriffen. Es wird dann umso schwieriger, genau zu beurteilen, welche Verarbeitungen erfolgen. Dennoch muss dies bekannt sein, um eine datenschutzrechtliche Bewertung vornehmen zu können.

Bedauerlich ist, dass es an belastbaren, konkreten und einfachen Handlungsempfehlungen für „Standardprozesse“ fehlt und sogar Zweifel bestehen, ob vermeintliche Standardprogramme datenschutzkonform genutzt werden können. Beispiel: Die Datenschutz-Aufsichtsbehörden äußern aktuell Zweifel daran, ob Microsoft 365 datenschutzkonform genutzt werden kann. Microsoft 365 geht hingegen davon aus, dass die DSGVO übererfüllt ist. Die hieraus folgende Unklarheit ist für die Betriebe nicht hilfreich.

Perspektivisch dürfte jedoch eine Besserung zu erwarten sein, da die voranschreitende Digitalisierung auch im Rahmen des Gesetzgebungsverfahrens zunehmend berücksichtigt wird und insbesondere neuere Gesetze, Richtlinien und Verordnungen wesentlich technikorientierter und damit klarer anwendbar erscheinen.

4.  Welche Strafen drohen Betrieben bei Datenschutzverstößen?

Es können Bußgelder in Höhe von bis zu 20 Millionen Euro oder – im Falle von Unternehmen – von bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen, je nachdem welcher Betrag höher ist. 

Kleinere und mittlere Betriebe werden jedoch in aller Regel nicht damit zu rechnen haben, dass Bußgelder festgesetzt werden, die sie in die Insolvenz treiben oder auch nur annähernd die Höhe von 20 Millionen Euro erreichen.

Wichtig ist auch, dass nach einer aktuellen Abstimmung der Datenschutz-Aufsichtsbehörden auf europäischer Ebene das datenschutzrelevante Verhalten des Verantwortlichen in der Vergangenheit sowie zum Zeitpunkt eines Datenschutzverstoßes in die Bemessung der Bußgeldhöhe einfließt. Dies bedeutet, dass Unternehmen, die es mit den Datenschutz „ernst nehmen“ und sich um eine ordnungsgemäße Ausgestaltung bemühen, mit einem wesentlich geringeren Bußgeld zu rechnen haben, als Unternehmen, die diesbezüglich keine Bemühungen zeigen.

5.  Die Handwerksorganisationen stellen verschiedene Informationen bereit, beispielsweise der ZDH. Wo finden Betriebe darüber hinaus praktische Unterstützung und Beratungsangebote? 

Viele praktische Hilfestellungen findet man auf den Webseiten des Landesbeauftragten für den Datenschutz, zum Beispiel unter www.baden-wuerttemberg.datenschutz.de.

Darüber hinaus gibt es Veröffentlichungen der Datenschutzkonferenz (DSK), die zu bestimmten Themengebieten sehr instruktiv sind. Zudem ist es in gewissen Fällen sinnvoll, einen externen Datenschutzbeauftragten zu bestellen, der in Standardfällen Antworten geben kann. Anmerken muss man dabei jedoch, dass viele externe Datenschutzbeauftragte mangels Rechtsanwaltszulassung nicht über bestimmte Fragestellungen im Datenschutz hinaus rechtlich beraten dürfen. Konkrete Prüfungen und Ausgestaltungen für die individuelle Situation kann jederzeit bei einer Rechtsanwaltskanzlei angefragt werden.