25. Mai 2018 bis 25. Mai 2019 – Ein Jahr DSGVO
Stichpunkte:
- Abmahnwelle ist ausgeblieben.
- Wenige Bußgeldverfahren, davon die meisten in Deutschland, dort bundesweit etwa 100 Bußgeldverfahren mit
Bußgeldern in Höhe von 118,00 bis 80.000 EUR bzw. insgesamt 483.500 EUR. - Behörden sind aufgrund der Vielzahl der Beschwerden überlastet. Lediglich die Aufsichtsbehörden Bayern und Niedersachen führen anlasslose Überprüfungen durch.
- Das Betreiben einer Facebook Fanpage birgt aufgrund einer Entscheidung des EuGH ein nicht unwesentliches Risiko für Unternehmen (siehe mein Beitrag vom 10. Mai 2019 https://www.commandeur.org/facebook-fanpage-datenschutzkonferenz-verneint-dsgvo-konformitaet/).
- Deutsche Aufsichtsbehörden setzen strikte Vorgaben für ein zulässiges Online-Tracking fest; dieses soll nur mit einer konkreten Einwilligung der Betroffenen zulässig sein.
- Banner „Mit der weiteren Nutzung unserer Website stimmen Sie der Verwendung von Cookies zu“ nicht DSGVO-konform.
Am 25 Mai dieses Jahres jährte sich der Startschuss für die Datenschutzgrundverordnung, kurz DSGVO.
Ein Rückblick auf die vergangenen 12 Monate zeigt, dass sich die anfänglichen Unsicherheiten weitestgehend gelegt haben. Unternehmen, die sich – wenn auch meist zunächst etwas widerwillig – mit der DSGVO vertraut machten, erkannten schnell, dass bei systematischer und anwaltlich unterstützter Vorgehensweise die neuen Vorschriften mit relativ geringem Zeit-, Personal- und Kostenaufwand umgesetzt werden konnten.
Anders als zunächst befürchtet, kam es auch nicht zu einer Abmahnwelle.Das liegt vor allem daran, dass aufgrund der kurzen Zeit keine gefestigte, geschweige denn höchstrichterliche Rechtsprechung vorliegt. Streit besteht derzeit vor allem darüber, ob ein Verstoß gegen die DSGVO überhaupt einen abmahnfähigen Wettbewerbsverstoß darstellt. Das OLG Hamburg hat dieses bejaht, dasLandgericht Stuttgart hingegen verneint. Hier wird man abwarten müssen, ob bzw. ggf. wie der BGH hierzu Stellung nimmt.
Entgegen der Panikmache der Medien wurden auch keine Bußgelder in Millionenhöhe verhängt. Europaweit waren zwar die deutschen Aufsichtsbehörden am aktivsten. In den etwa 100 bundesweiten Verfahren wurden, soweit bekannt, insgesamt Bußgelder in Höhe von 483.500 EUR verhängt, davon nur in wenigen Verfahren Bußgelder in 5-stelliger Höhe – keinesfalls in Milionenhöhe. Insbesondere folgende Verfahren wurden von Herrn Dr. Ambrock von der Hamburger Aufsichtsbehörde in seinem Vortrag am 29. Mai 2019 aufgeführt:
- 80.000,00 EUR wegen versehentlich im Internet veröffentlichter Gesundheitsdaten (Baden-Württemberg);
- 50.000,00 EUR wegen der unzulässigen Weitergabe von Kundendaten (Berlin);
- 20.000,00 EUR aufgrund der unverschlüsselten Speicherung von Passwörtern durch ein soziales Netzwerk (Baden-Württemberg) sowie in einem anderen Fall aufgrund der verspäteten Meldung einer Datenschutzverletzung und unterlassenen Information der Betrroffenen (Hamburg);
- 2.000,00 EUR wegen des Versands einer Massen-Email mit offenen Verteiler, Verletzer war eine Privatperson (Sachsen-Anhalt);
- 118 bis 330 Euro wegen der unzulässigen Veröffentlichung von personenbezogenen Daten auf einem Social-Media-Account, der unzulässigen GPS-Überwachung eines privaten PKWs sowie der unzulässigen Offenlegung von Vermögensdaten durch einen Versicherungsmakler (Saarland).
Hingegen wurde der Bußgeldbescheid über 5.250,00 EUR, den die Hamburger Aufsichtsbehörde aufgrund des Fehlens eines Auftragsverarbeitungsvertrages verhängt hatte, aufgrund der Einlassungen des betroffenen Unternehmens im Widerspruchsverfahren wieder aufgehoben.
Wie Herr Dr. Ambrock weiter mitteilte, hat sich in Hamburg die Zahl der Beschwerden gegenübver dem Vorjahr auf gut 3300 Fälle verdoppelt. Deren Bearbeitung ist kaum zu bewältigen. Eine anlasslose Überprüfung von Unternehmen wird daher in Hamburg – wie auch in den meisten Bundesländern – derzeit bzw. bis aufweiteres nicht vorgenommen werden können. Allein Bayern und Niedersachen haben begonnen, stichprobenartig Unternehmen – unabhängig von deren Größe – bezüglich der Umsetzung der DSGVO zu überprüfen. Herr Dr. Ambrock warnte allerdings Unternehmen davor, die Vorgaben der DSGVO leichtfertig nicht zu beachten. Wenn die Behörden auch nicht von sich aus Überprüfungen vornähmen, so werde doch jede Beschwerde verfolgt. Häufig käme eine solche Beschwerde von (ehemaligen) Mitarbeitern oder Kunden. Derzeit werde zudem ein Bußgeldkatalog erarbeitet.
Aufgrund der Entscheidungen des EuGH zur Facebook-Fanpage sowie dem Einwilligungserfordernis beim Onlinetracking richten die Aufsichtsbehörden ihr besonderes Augenmerk auf diese Bereiche. Erst kürzlich hat die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden ein Arbeitspapier alsOrientierungshilfe bei der Verwendung von Online Trackingtools herausgegeben. Hierzu folgt meine Information im nächsten Beitrag.
Auch außerhalb Europas setzt sich die DSGVO durch. Viele außereuropäische Länder haben erkannt, dass auch sie dem Datenschutz Rechnung tragen müssen, wenn sie bzw. ihre Unternehmen international erfolgreich agieren wollen. Bei der Suche nach passenden Regelungen orientieren sie sich an der DSGVO bzw. übernehmen deren Regelungen (insbes. Kalifornien, Japan, Brasilien). Entgegen aller anfänglichen Unkenrufe entwickelt sich die DSGVO zum internationalen Erfolgsmodell.
Quintessenz: Die DSGVO ist aus dem unternehmerischen Alltag, insbesondere dem digitalen Alltag nicht mehr wegzudenken. Bußgelder sind bereits verhängt worden, aber längst nicht in der Anzahl und vor allem der Höhe, wie sie anfangs prognostiziert wurden. Bis auf weiteres ist mit einer Abmahnwelle nicht zu rechnen.
Zur Historie des Datenschutzes:
Von vielen unbeachtet blieb die Tatsache, dass der Datenschutz in Deutschland nicht erst mit der DSGVO, sondern im Rahmen der fortschreitenden automatisierten Datenverarbeitung bereits seit Januar 1978 mit dem seinerzeit in Kraft getretenen „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ (Bundesdatenschutzgesetz) bundesweit Bedeutung erlangte. Schon dem alten BDSG war eine Verarbeitung personenbezogener Daten nur zulässig, wenn die betroffene Person darin einwilligte oder das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubte. Öffentliche Stellen durften solche Daten nur dann verarbeiten, wenn sie zur Erfüllung ihrer Aufgaben darauf angewiesen waren. Für Verstöße sah schon das alte BDSG Bußgelder vor. Die DSGVO hat sich an dem BDSG, das ebenfalls insbesondere den EInwilligungsvorbehalt sowie die Prinzipien der Datenminimierung und der Zweckgebundenheit kannte, orientiert. Daher sind viele Regelungen nicht wirklich neu.
Mitte der 90er Jahre trug auch der EU-Gesetzgeber erstmals europaweit dem Datenschutz durch die EU-Datenschutz-Richtlinie Rechnung. Zu diesem Zeitpunkt waren die Möglichkeiten der Datenerfassung und -verknüpfung noch begrenzt, Google und andere „Datenkraken“ existierten noch nicht. Thematisiert wurde vor allem die Überwachung durch staatliche Stellen. Die in den Folgejahren gradezu expodierende Digitalisierung und Vernetzung führte zu bis dahin ungeahnten Möglichkeiten der Datenerfassung. Mit all seinen Nutzungsmöglichkeiten und den daraus resultierenden Einflussmöglichkeiten (auf Kauf- und auch Wahlentscheidungen) ermöglicht nun vor allem das Internet auch Wirtschaftsunternehmen, Parteien und anderen nichtstaatlichen Stellen aufgrund der Menge an erfassten/erfassbaren Daten Einflussnahme auf die Selbstbestimmung eines/r jeden Einzelnen. Die Möglichkeiten der Durchleuchtung sind unabsehbar groß, für die/den EInzelne/n kaum vorstellbar, geschweige denn erfassbar. Die wirtschaftlichen Antriebe zur Ausnutzung der gewonnen Daten ebensowenig.
Der EU-Gesetzgeber hat dieser Entwicklung mit der DSGVO und vor allem den darin enthaltenen Regelungen zum Datenschutzes und zur Datensicherheit Rechnung getragen.
In diesem Zusammenhang erlaube ich mir den Hinweis auf das Buch „NSA – Nationales Sicherheitsamt“ von Andreas Eschbach, in dem eindrucksvoll und sehr anschaulich geschildert wird, wozu Datenerfassung führen kann, wenn ihr keine gesetzlichen Schranken gesetzt werden.
Die erhöhte Beachtung, die die DSGVO seitens der Unternehmen und der Verbraucher gefunden hat, ist nicht allein mit dem deutlich zunehmenden Interesse der Öffentlichkeit am Datenschutz zu erklären. Meines Erachtens resultiert die Beachtung eher daraus, dass die Bußgeldbeträge deutlich angehoben wurden. Wie dem auch sei, die DSGVO ist aus dem rechtlichen und wirtschaftlichen Alltag nicht mehr wegzudenken. Datenschutz ist Grundvoraussetzung für die Disgitalisierung. Unternehmen kommen bei der Transformation nicht an der DSGVO vorbei.
Sollten Sie Fragen zu einzelnen Punkten haben, zögern Sie nicht, mich zu kontaktieren!