Statusbericht zur DSGVO: Was bisher geschah…

Erst war die Aufregung groß, nun scheint um die DSGVO relative Ruhe eingekehrt. Erfahren Sie in diesem Beitrag von Rechtsanwältin Nina Diercks, welche Befürchtungen rund um die neue Datenschutz-Verordnung wahr geworden sind und welche (noch) nicht. Sie schaut sich dabei die Themen Abmahnungen, „Horrorbriefe“, „Datenschutz-Zentralen“ und Bußgelder an.

Symbol EU-Datenschutz
(Illustration: © limbi007, depositphotos)

Erinnern Sie sich noch an den Anfang dieses Jahres? Mit einmal war sie da, die Panik vor der DSGVO. Obwohl das Gesetz schon seit dem 24. Mai 2016 (sic!) in Kraft war, sprossen im Frühjahr zunehmend sogenannte Datenschutz-„Experten“ aus dem Boden und Medien griffen die (vermeintlichen) Horrorszenarien nur zu gern auf. „Abmahnwelle!“, „Bußgelder von 20 Millionen Euro“, „Auskunftsverlangen und Schadensersatz“ – so lauteten die Schlagworte und das Ende der Wirtschaft aufgrund von Datenschutzanforderungen wurde beschworen.

Seit fast einem halben Jahr hat die Datenschutzgrundverordnung DSGVO, die EU-weite und einheitliche Regelung zum Datenschutz, nunmehr Geltung erlangt. Die Wirtschaft brummt immer noch ordentlich, von einem Bußgeld in nennenswerter Höhe ist bis heute (10.10.2018) nichts zu hören und von Abmahnwellen kann nur dann geredet werden, wenn eine (halbseidene) Schwalbe direkt einen Sommer macht.

Heißt das nun, dass alldiejenigen, die die DSGVO bislang auf die lange Bank schoben und Investitionen in datenschutzrechtlicher wie –technischer Art sparten, sich zu recht ins Fäustchen lachen können? Nein, das heißt es wahrlich nicht. Warum nicht? Das klären wir anhand des Ist-Standes.

Und wenn Sie mögen, können Sie danach einen Blick auf meinen Praxisleitfaden für KMU werfen, um festzustellen, an welcher DSGVO-Schraube Sie möglicherweise noch ein wenig in Ihrem Unternehmen drehen müssten.

A N Z E I G E

neuroflash

 

Abmahnungen

Vor Geltung der DSGVO wurde das Schreckgespenst der wettbewerbsrechtlichen Abmahnung aufgrund von Datenschutzverstößen groß an die Wand gemalt. Warum das ein Scheingespenst war (und ist), habe ich in diesem Thread auf Twitter ausführlich erläutert.

Maßgeblich sind dafür zwei Gründe. Zum einen galten Datenschutznormen auch nach der bisherigen Rechtslage als sogenannte Marktverhaltensregeln (s. Artikel vom 11. Juli 2013, OLG Hamburg: Mangelhafte Datenschutzerklärungen sind wettbewerbswidrig und mit Abmahnungen angreifbar) und konnten durch wettbewerbsrechtliche Abmahnungen angegriffen werden. Insoweit ist mit der DSGVO nichts Neues am Horizont erschienen und auch die jüngsten Beschlüsse des LG Würzburg und des LG Frankfurt sind keine Überraschung.

Zum anderen gab und gibt es einen entscheidenden Grund, warum es zu keiner Abmahnwelle kommt: Jeder, der einen Mitbewerber wegen des Verstoßes gegen eine Marktverhaltensnorm aus der DSGVO abmahnt, müsste vor seiner eigenen Tür selbst sauber gekehrt haben. Eine Abmahnung auszusprechen stellt insoweit also ein eigenes Risiko dar und wird daher kaum flächendeckend das Einsatzmittel der Wahl sein.

Das wird voraussichtlich auch noch der Anwalt feststellen, der gerade Kollegen bundesweit wegen mangelhafter Informationen zur Datenverarbeitung (Datenschutzerklärungen) abmahnt. Denn seine eigene Datenschutzerklärung lässt mehr als zu wünschen übrig. Nun, das ist nicht mein Problem. Das kleine Beispiel soll nur dafür dienlich sein, dass schwarze Schafe also eine Schwalbe, die am Ende doch ein Spatz ist, eben keinen Sommer machen.

Doch vor lauter wilder Panik vor den nicht vorhandenen Abmahnwellen möchte die Politik gerne Beruhigungspillen verabreichen. Und so gab es gerade die Empfehlung an den Bundesrat aus dem Ausschuss für innere Angelegenheiten und dem Wirtschaftsausschuss, mit § 44a BDSG-neu eine Klarstellung einzufügen, wonach die DSGVO keine Vorschrift im Sinne des § 3a des Gesetz gegen den unlauteren Wettbewerb sein soll, also dass wettbewerbsrechtlichen Abmahnungen wegen Verstößen gegen Datenschutzvorschriften nicht mehr möglich sein sollen.

Das klingt toll, finden Sie? Lesen Sie vielleicht einfach weiter. Möglicherweise ändert sich ihre Meinung doch noch.

Natürlich ist es nur bedingt sinnvoll, dass der Frisör in Wanne-Eickel einen Frisör aus Eckernförde wegen mangelhafter Informationen zur Datenverarbeitung auf der Webseite abmahnen kann. Aber möglichweise machte es hier mehr Sinn, am Tatbestandsmerkmal der „spürbaren Beeinträchtigung“ (siehe unten) zu arbeiten, um solch unsinnigen Abmahnungen zu unterbinden, als Datenschutzvorschriften per Gesetz nicht zu Marktverhaltensnormen zu deklarieren. Warum? Überlegen Sie sich einmal, dass Sie mehrere zehntausend Euro in die Hand genommen haben, um ihr Unternehmen sowohl in datenschutzrechtlicher wie –technischer Hinsicht den Anforderungen an die DSGVO anzupassen. Ihr Mitbewerber schert sich darum einen Dreck. Ihr Mitbewerber erlangt dadurch einen massiven Wettbewerbsvorteil. Ohne das Wettbewerbsrecht könnten Sie selbst wenig tun. Selbstverständlich könnten Sie eine Eingabe bei der zuständigen Datenschutzbehörde machen. Doch das wäre in etwa so, als würden Sie bei sonstigen Wettbewerbsverstößen an das Gewerbeaufsichtsamt verwiesen. Möglicherweise können diese auch irgendwie helfen. Aber erfahrungsgemäß dauert diese behördliche Hilfe. Und in eben dieser Dauer kann schon ein faktischer weiterer Wettbewerbsnachteil liegen. Mit einer Abmahnung und ggf. einer anschließenden einstweiligen Verfügung können Sie einen Mitbewerber jedoch sehr schnell dazu bringen, ein rechtsverletzendes Verhalten zu unterlassen. Und eben dies ist auch der Sinn und Zweck von § 3a UWG, der erklärt:

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“.

Diese Problematik wird unter Kollegen selbstverständlich auch ausführlich und rechtsdogmatisch diskutiert, falls Sie das näher interessieren sollte, dann schauen Sie sich einmal in die Diskussionsstränge unter diesem Tweet oder unter den Hashtags #teamdatenschutz und #uwg an.

Kurz zusammengefasst und etwas anders ausgedrückt: Es gibt keine Abmahnwellen. Daran ändern weder einzelne Abmahnungen noch Beschlüsse des LG Würzburg oder LG Frankfurt irgendetwas. Trotzdem gibt es Stimmen aus der Politik, wonach diese nicht vorhandenen Abwahnwellen eingedämmt werden müssten. In Folge dessen soll per Gesetz klargestellt werden, dass Abmahnungen aufgrund von Datenschutzrechtsverletzungen nicht möglich sein sollen. Das klingt gut. Faktisch würde aber damit den Unternehmen ein wichtiges und geübtes Instrument, um unzulässige Wettbewerbsvorteilsnahmen von Mitbewerbern effizient und schnell beseitigen zu können, im Bereich des Datenschutzes aus der Hand genommen. Und wenn im Jahr 2018 ernsthaft behauptet werden sollte, dass sich Unternehmen durch Missachtung von Datenschutzvorschriften keinen Wettbewerbsvorteil verschaffen könnten (so noch das KG Berlin im Jahr 2011), dann weiß ich ehrlich gesagt auch nicht mehr weiter.

„Horrorbrief“

Als ich das erste Mal in einem Briefing für eine Beratung den Punkt „Was sollen wir bei einem Horrorbrief tun?“ las, wusste ich nicht so recht, was damit gemeint war. Ein Bußgeldbescheid? Eine Abmahnung? Die Geltendmachung eines Schadensersatzanspruchs? Nein, alles falsch, es stellte sich heraus, dass damit das Auskunftsverlangen eines Betroffenen gemeint war.

Dieses Auskunftsverlangen wurde anscheinend von etlichen Datenschutzberatern im Umfeld der Mandantschaft als „Horrorbrief“ bezeichnet. Warum bleibt deren Geheimnis. Wohl, weil man dabei „ganz viel falsch machen“ könne und dann Schadensersatzansprüche gelten gemacht werden könnten. Ja, das stimmt. Natürlich, man kann Daten ohne Rechtsgrund verarbeiten und dann bei einem Auskunftsverlangen darüber und/oder nicht zureichend darüber beauskunften und möglicherweise einem Schadensersatzanspruch die Tür öffnen.

Das alles ist aber ziemlich unspektakulär, wenn man als Unternehmen seine Hausaufgaben halbwegs gemacht hat und weiß, wo welche Daten zu welchen Zwecken auf welcher Rechtsgrundlage verarbeitet werden. Dann erteilt man eben die Auskunft und fertig. Horror ist an der Geltendmachung von gesetzlichen Ansprüchen erst einmal gar nichts.

Und ja, natürlich, auch hier gab es unmittelbar nach dem 25. Mai die eine oder andere Anfrage, die so ganz offensichtlich darauf abgestellt war, eine vermeintlich „falsche“ Antwort zu erhalten, um vermutlich Schadensersatz geltend machen zu können. Diese Fragesteller ließen sich mit dem Hinweis, sie mögen doch bitte Ihre Identität nachweisen, damit man nicht gegebenenfalls personenbezogene Daten unzulässigerweise an Dritte herausgebe, aber auf wundersame Weise in den Raum der Stille verabschieden.

„Datenschutz-Zentralen“

Kein neues Gesetz ohne wirklich schwarze Schafe. Und so wird auch hier einer bekannten Masche ein neues Kleid verpasst. Seit Ende September/Anfang Oktober gehen in zahlreichen Firmen Faxe einer Datenschutzauskunft-Zentrale ein, mit denen Unternehmen aufgefordert werden „das beigefügte Formular zu unterschreiben, um der gesetzlichen Pflicht zur Umsetzung der Datenschutzgrundverordnung nachzukommen“.

Damit schließt man dann faktisch ein jährliches Abo für geschmeidige 498 Euro ab, mit der man ein Leistungspaket „Basisdatenschutz“ erhält. Oder anders: eigentlich nichts.

Sprich, hier findet nichts anderes statt als man es von „Gewerbeauskunftzentralen“ oder dem „Register der deutschen Marken“ und ähnlichen kennt. Haarscharf im Grau- und teilweise schon im Schwarzbereich des Rechts segelnd, wird versucht, verunsicherten Unternehmern das Geld für windige „Branchenbucheinträge“ aus der Tasche zu ziehen.

Wenn Sie so ein Fax erhalten haben, dann geben Sie es getrost in die Ablage P. (Und schimpfen bitte nicht auf die DSGVO, sonst müssen Sie bei der nächsten Markenanmeldung und windigen Zahlungsaufforderungen auch auf das Markengesetz schimpfen. Schimpfen Sie lieber auf grau-schwarze Geschäftemacher.)

Gefällt dir dieser Artikel?

Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits über 1.900 Leser:innen sind dabei.

Jetzt eintragen …

Bußgelder

Wie gesagt, was wurde nicht der Untergang des Wirtschaftswunderlandes und des Internets und überhaupt beschworen aufgrund der in Art. 83 Abs. 4 und Abs. 5 DSGVO angedrohten Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes bzw. von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.

Merkwürdigerweise wurden dabei immer die 10 und 20 Millionen betont, jedoch weder die Wörter „bis zu“ noch die wichtigen Formulierungen in Art. 83 Abs. 1 und Abs. 2 DSGVO. Dort heißt es nämlich, dass die Verhängungen von Geldbußen verhältnismäßig, den Umständen des Einzelfalls entsprechend unter anderem nach Art, Schwere und Dauer des Verstoßes erfolgen müssen.

Damit ist klar, dass ein Datengigant wie Facebook, aber auch die Deutsche Bahn oder der Otto Konzern bei Verstößen gegen die DSGVO sicher mit anderen Bußgeldhöhen zu rechnen hat, als der kleine Mittelständler um die Ecke (wobei man natürlich nicht vergessen darf, dass auch eine relativ niedrige Summe von bspw. 25.000 Euro für einen kleinen Mittelständler durchaus schmerzhaft sein kann).

Auch wurde geflissentlich überhört, dass die Datenschutzbehörden immer wieder betonten, sie werden nicht nur Ihrer Aufsichtspflicht, sondern zunächst auch einmal ihrer Informations- und Beratungspflicht nachkommen. Was diese, wenn auch spät, mit zahlreichen Kurzpapieren und Dossiers taten (die sich auf den Webseiten der jeweiligen Landesaufsichtsbehörden gut finden lassen). Ebenso wird gern unter den Tisch fallen gelassen, dass die Behörden nicht nur die Beratung oder die Verhängung von Bußgeldern im Instrumentenkasten haben, sondern etwa auch die schlichte Verwarnung. Nun ja, das ist natürlich alles auch nicht so schön reißerisch wie „20 Millionen Bußgeld!“.

Noch ist in Deutschland aber auch kein Bußgeld bzw. die Verhängung eines Bußgeldes nach der DSGVO bekannt geworden. Warum das so ist, erklärt die Berliner Beauftragte in Ihrer Pressemitteilung vom 30. August 2018 „100 Tage Datenschutz-Grundverordnung – Zeit für eine erste Bilanz“ recht gut. Dort heißt es nämlich:

„Drei Monate nach Wirksamwerden der DS-GVO hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit noch keine Sanktionen nach dem neuen Recht verhängt. Bei jeder Beschwerde muss zunächst der Sachverhalt unter Mitwirkung des Unternehmens vollständig aufgeklärt werden, bevor eine rechtliche und ggf. auch technische Bewertung erfolgen kann. […]. Ein Sanktionsverfahren läuft in formal strengen Verfahrensschritten ab. Der Weg von einer Beschwerde zu einem Bußgeldbescheid nimmt daher naturgemäß einige Zeit in Anspruch.“

Auch Dr. Stefan Brink, Landesdatenschutzbeauftragter von Baden-Württemberg, erklärte via Twitter, dass seine Behörde bereits eine Vielzahl von Verfahren eingeleitet habe.

In Folge dessen dürfen wir wohl mit den ersten Bußgeldern in diesem Quartal rechnen.

Interessant sind im Übrigen auch die weiteren Zahlen, die sich aus der Pressemitteilung der Berliner Behörde ergeben. Demnach sind sowohl die Anzahl der Bürgerbeschwerden als auch die Anzahl der gemeldeten Datenpannen im Vergleich zum Vorjahreszeitraum massiv gestiegen (von 344 auf 1.380 Beschwerden und von 12 auf 111 Meldungen von Datenpannen).

Die Landesdatenschutzbeauftragte Maja Smoltczyk fasst diese Zahlen wie folgt zusammen:

Der Umgang mit personenbezogenen Daten erfolgt in weiten Teilen der Bevölkerung bewusster. Menschen setzen ihr Grundrecht auf informationelle Selbstbestimmung häufiger durch.“

Das stimmt und stimmt auch überein mit Eindrücken, die andere Datenschutzbehörden verlauten lassen.

Folglich werden wir nicht nur voraussichtlich noch in diesem Quartal die ersten deutschen Bußgeldbescheide erwarten, sondern auch in relativ naher Zukunft die Geltendmachung erster Schadensersatzansprüche erleben dürfen.

Aus Österreich und Frankreich wurden übrigens bereits die ersten Bußgelder bekannt. Während in Österreich „nur“ 4.800,00 Euro für eine nicht ausreichende Kennzeichnung einer Videoüberwachung verhängt wurde, wurde in Frankreich eine Geldbuße in Höhe von 30.000,00 Euro gegen einen Sprachkurs-Anbieter wegen der unzureichenden Sicherung von personenbezogenen Daten verhängt.

Fazit: Die DSGVO ist noch jung

Derzeit ist es relativ ruhig um die DSGVO. Um viele Detailfragen wird noch gerungen (werden müssen). Bußgelder hat es bislang ebenso wenig gegeben wie Schadensersatzverfahren. Doch hier liegt der Kern des Ganzen: Die DSGVO ist noch jung. Sehr jung. Sie wird aber bleiben und zwar gleich, ob sie einem en detail gefällt oder nicht. Dazu gehört auch, dass demnächst die ersten Bußgelder auch von deutschen Behörden gegenüber hier ansässigen Unternehmen verhängt werden. Das heißt nicht, dass diese Entscheidungen dann in Stein gemeißelt sind. Schließlich steht auch gegenüber diesen Entscheidungen der Behörden der Rechtsweg offen. Aber nur weil fünf Monate lang vermeintlich nichts passiert ist, heißt es nicht, dass man sich hier als Unternehmer zurücklehnen können sollte. Es ist vielmehr so, dass die Datenschutzbehörden einerseits ein wenig Zeit brauchen, um die ersten Fälle zu bearbeiten und andererseits auch noch eine gewisse Nachsicht walten lassen. In ein, zwei Jahren ist letzteres sicher nicht mehr der Fall. Auch sollte man sich als Unternehmer nicht darauf verlassen, dass die Behörden ohnehin nicht über genug Personal verfügen, um Prüfungen vorzunehmen. Es genügt ein unzufriedener Kunde, ein enttäuschter Bewerber, der oder die eine Eingabe bei der Datenschutzbehörden macht – und schon läuft das Prüfverfahren an.

Eines wird jedenfalls ziemlich sicher passieren: Wenn die ersten Bußgeldbescheide an die Öffentlichkeit dringen, wird die nächste Panikwelle rollen. Lassen Sie sich davon aber nicht anstecken. Dazu gibt es keinen Grund. Setzen Sie sich einfach an die Hausaufgaben – sofern Sie das noch nicht getan haben – und erledigen Sie das Notwendige.

Was das Notwendige ist, erfahren Sie ausführlich in meinem DSGVO-Praxisleitfaden.


Dieser Artikel gehört zu: UPLOAD Magazin 64

Die Datenschutz-Grundverordnung DSGVO hat in diesem Jahr für viel Wirbel gesorgt. Mit einigen Monaten Abstand haben wir nun einen umfassenden Schwerpunkt für Sie rund um das wichtige Thema Datenschutz zusammengestellt. Wir ziehen darin Bilanz zur DSGVO, haben einen Praxisleitfaden mit acht Punkten für Ihre Compliance, haben Fachleute nach Ihrer Meinung zu DSGVO und e-Privacy-Verordnung befragt, beschäftigen uns mit dem Thema Cookies und haben Tipps zum technischen Datenschutz für Sie. Plus: Wie Sie den richtigen Influencer für eine Kampagne auswählen

Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!