Seit exakt einem Monat ist die europäische Datenschutz-Grundverordnung (DSGVO) nun wirksam. Wir haben mit Rechtsanwältin Kathrin Schürmann über Abmahnungen, Bußgelder und selbstverständlich das Urteil des Europäischen Gerichtshofs gesprochen.
Wie groß war die Angst und Aufregung rund um den 25. Mai 2018. Dem Tag, an dem die neue europäische Datenschutz-Grundverordnung nach zwei Jahren Übergangszeit wirksam wurde.
Von Abmahnwellen und Millionenstrafen für Kleinunternehmer war schnell die Sprache. Doch wie sieht die Realität aus? Was hat ein Monat DSGVO gebracht und welche Mythen können wir wieder vergessen? Wir haben mit Rechtsanwältin Kathrin Schürmann von der Kanzlei „Schürmann Rosenthal Dreyer“ gesprochen.
BASIC thinking: Kathrin, seit dem 25. Mai 2018 ist die neue europäische Datenschutz-Grundverordnung (DSGVO) nun wirksam. Wie fällt dein Fazit nach einem Monat aus?
Kathrin Schürmann: In den letzten Monaten gab es viel Chaos, Verwirrung und vor allem Rechtsunsicherheit bei Unternehmen. Die Spitze hatte das Ganze rund um den 25. Mai 2018 erreicht.
Am 25. Mai hatte wohl nahezu jeder Internetnutzer viele E-Mails in seinem Postfach, die über die Umstellung auf die DSGVO aufklärten und (überflüssige) Einwilligungen einholten.
Mein Fazit nach einem Monat: Die Welt ist nicht untergegangen und auch sonst hat sich noch nicht so viel getan. Weder ist die viel befürchtete Abmahnwelle gestartet, noch sind die Datenschutzbehörden aktiv geworden und haben Bußgelder in Millionenhöhe verhängt.
Aber im Ergebnis denke ich, dass es für ein Fazit nach nur einem Monat noch etwas zu früh ist. Unternehmen in allen Größenordnungen sind sehr um die Einhaltung der neuen Datenschutzvorschriften bemüht und nach wie vor laufen viele Ressourcen fressende Umsetzungsprojekte.
Beispielsweise wurden Datenschutzerklärungen an die DSGVO-Anforderungen angepasst. Betroffene erfahren, welche Daten erhoben und wie sie verarbeitet werden. Insofern hat die DSGVO sehr viel zur Transparenz im Hinblick auf die Datenverarbeitung für die betroffenen Personen beigetragen, wenn auch die Datenschutzerklärungen eher an Länge hinzugewonnen haben, statt kürzer und übersichtlicher zu werden. Es gibt aber sehr viele positive Beispiele von Unternehmen, die ihre Datenschutzerklärungen neu und übersichtlich strukturiert haben.
Im Ergebnis hat die Datenschutz-Grundverordnung in jedem Fall die Aufmerksamkeit erreicht, die sich die europäischen Datenschützer erhofft haben. Über die Effektivität wird die Zukunft entscheiden.
Bislang gab es gerade einmal eine Hand voll Abmahnungen. Eine wurde davon bereits zurückgewiesen. Ist das Gerede von einer Abmahnwelle also nur Panikmache?
Ich denke von einer Abmahnwelle zu sprechen, verschiebt ein bisschen den Fokus auf die (gerade nicht) „allmächtige DSGVO“. Ob und inwieweit Verstöße gegen Datenschutzrecht auch einen Wettbewerbsverstoß darstellen, ist nach wie vor gerichtlich nicht einheitlich geklärt.
Richtig ist aber, dass die DSGVO deutlich strengere Anforderungen an Unternehmen beinhaltet als bisher. Diese könnten Abmahnungen tatsächlich rechtfertigen. Der Schwerpunkt sollte aber eher darauf liegen, Verstöße gegen die DSGVO zu vermeiden, als panisch Abmahnungen zu fürchten.
Ebenso groß ist die Angst vor den Strafen in Höhe von 20 Millionen Euro. Dabei sind diese Ängste völlig unberechtigt. Schließlich müssen die Strafen laut DSGVO verhältnismäßig sein.
Kleinere und mittlere Unternehmen werden bei Berücksichtigung ihres Umsatzes wohl nicht sofort mit Strafen in Höhe von 20 Millionen Euro rechnen müssen. Es gilt, wie du richtig sagst, das Prinzip der Verhältnismäßigkeit.
Natürlich werden daher immer der Jahresumsatz und die Schwere des Verstoßes berücksichtigt. Die Artikel-29-Datenschutzgruppe, deren Stellungnahmen bei der Auslegung der DSGVO ein hohes Gewicht zukommt, veröffentlichte erst kürzlich einen ganzen Katalog an Kriterien mittels derer die Bußgeldhöhe berechnet werden sollte.
Neben Umsatz und Schwere des Verstoßes fallen dabei etwa Vorsatz und Fahrlässigkeit ins Gewicht. Wird ein Verstoß gegen die Datenschutz-Grundverordnung von der Unternehmensleitung bewusst in Kauf genommen oder sogar angeordnet, können Bußgelder deutlich höher ausfallen. Auch das ist Verhältnismäßigkeit.
Umgekehrt können Unternehmen mittels durchdachter Konzepte, technischer Voreinstellungen und regelmäßiger Kontrollen den Vorwurf der Fahrlässigkeit minimieren und so die Bußgeldhöhe senken.
Ganz unberechtigt ist die Angst vor hohen Bußgeldern nicht, aber Unternehmen haben eben selbst großen Einfluss darauf, wie wahrscheinlich die Realisierung dieser Ängste wird.
Firmen wie Continental haben – womöglich aus Angst vor Strafen – sogar WhatsApp und Snapchat auf Dienst-Smartphones verboten. Ist das wirklich notwendig?
Das ist eine der vielen ungeklärten Rechtsfragen und Folge der Rechtsunsicherheit, die die Datenschutz-Grundverordnung gerade für Unternehmen mit sich bringt. Viele Unternehmen möchten auch einfach den Fokus ihrer Mitarbeiter schärfen.
Der Umgang mit Apps wie WhatsApp und Snapchat ist nicht ganz leicht. Vor allem der Fakt, dass WhatsApp auf Kontakte im Telefon zugreift, die keine WhatsApp-Nutzer sind und damit ohne Einwilligung der Betroffenen agiert, kann hohe Bußgelder nach sich ziehen.
Immerhin hat WhatsApp bereits darauf reagiert. Allerdings durch weniger einschneidende Maßnahmen als das Verbot auf dem Diensttelefon. So besteht zumindest auf Android-Geräten die Möglichkeit, die Synchronisationsfunktion auszuschalten. Zudem hat WhatsApp mit WhatsApp Business ein spezielles Modell für die betriebliche Verwendung entwickelt und als Motiv auch die Umsetzung der DSGVO-Vorgaben genannt.
Es bleibt abzuwarten, ob die Aufsichtsbehörden und Gerichte das für ausreichend halten, aber ein Verbot auf Dienst-Smartphones – soweit es durch die DSGVO motiviert ist – ist vielleicht nicht unbedingt notwendig.
Aktuell kursieren viele Gerüchte rund um die DSGVO. Eines davon ist, dass Firmen jetzt mit jedem Dienstleister einen Auftragsverarbeitungsvertrag (AVV) schließen müssen. Das ist so nicht richtig. Wann brauche ich einen AVV?
Wichtig ist zunächst, dass durch einen AVV die Verantwortlichkeit für die Einhaltung der DSGVO auch beim beauftragenden Unternehmen bleibt. Deshalb sollten Unternehmen trotz der damit verbundenen Absicherung nicht um jeden Preis einen AVV abschließen.
Wichtigstes Kriterium bei der Beurteilung der Frage, ob man einen AVV braucht, ist die Weisungsgebundenheit. Ist ein Dienstleister also den genauen Weisungen des Unternehmens unterlegen, sollten Unternehmen ein AVV schließen.
Die Weisungsgebundenheit muss sich dabei aber konkret auf den Umgang mit personenbezogenen Daten beziehen. Kann also etwa die Herausgabe, Löschung etc. der Daten vom Dienstleiser verlangt werden, liegt eine Weisungsgebundenheit vor. Ein AVV wäre hier notwendig.
Ein Beispiel hierfür ist die Beauftragung von Software-Anbietern und insbesondere Software-as-a-Service-Lösungen. Dagegen unterliegen Steuerberater, Rechtsanwälte und so weiter gerade keiner solchen datenbezogenen Weisungsgebundenheit. Obwohl es sich also um Dienstleister handelt, wäre ein AVV verfehlt.
Für Unternehmen heißt das genau zu prüfen, was der Dienstleister macht und nicht einfach blind an alle einen AVV zu schicken. Das macht keinen Sinn und gibt auch nicht mehr Rechtssicherheit.
Die deutsche Datenschutzkonferenz hat zudem verlauten lassen, dass Facebook-Tracking-Pixel nur noch mit Opt-In erlaubt sind. Hat eine deutsche Instanz bei einer europäischen Verordnung überhaupt die Entscheidungshoheit?
Die deutsche Datenschutzkonferenz beziehungsweise die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder trifft grundsätzlich keine bindenden „Entscheidungen“. Diese Befugnis hat nur die Rechtsprechung.
Natürlich hat die Stellungnahme der Konferenz aber einiges an Gewicht und kann bei der Praxis der Aufsichtsbehörden zugrunde gelegt werden. Bezüglich der Entscheidungshoheit ist zu beachten, dass es sich bei der Datenschutz-Grundverordnung – und der geplanten E-Privacy-Verordnung – um Verordnungen handelt.
Bei diesem Rechtsakt der EU erfolgt keine Umsetzung in nationales Recht. Das heißt: Die Verordnung wird unmittelbar als Teil des nationalen Rechts angewendet. Damit kommt den nationalen Stellen auch das Recht zu, die Auslegung der Verordnung vorzunehmen.
Aber nochmal: Die Datenschutzkonferenz vertritt eine – wenn auch gewichtige – Auffassung. Ob diese tatsächlich Durchsetzung erfährt, entscheidet in Zukunft die Rechtsprechung.
Kurz nach dem Wirksamwerden sorgte der Europäische Gerichtshof (EuGH) in der Branche erneut für Aufregung. Laut dem Urteil sind Seitenbetreiber von Fanpages auf Facebook mitverantwortlich für etwaige Verstöße. Manche Anwälte vertreten die Meinung, dass Facebook-Seiten nun abgeschaltet werden müssen. Andere sehen das anders. Was wäre dein Handlungstipp?
Zunächst hat der EuGH nicht geurteilt, dass Betreiber von Facebook-Fanpages ihre Seiten schließen müssen. Er hat auch nicht erklärt, dass die Betreiber neben Facebook in gleichen Teilen haften. Er hat nur erklärt, dass der Betreiber neben Facebook mitverantwortlich ist.
Zwar fällte der EuGH das Urteil auf der Grundlage der Vorgänger-Richtlinie zur DSGVO. Es lässt sich jedoch auf die DSGVO übertragen. Der Verantwortliche hat grundsätzlich für die Erfüllung von deren Vorgaben zu sorgen.
Betreiber von Facebook-Fanpages sollten daher vor allem auf die Erfüllung der Transparenz- und Informationsvorschriften der Datenschutz-Grundverordnung achten. Das heißt konkret, dass sie neben der Datenschutzerklärung von Facebook auf ihrer Fanpage eine eigene Datenschutzerklärung in „leichter und verständlicher Sprache“ abfassen.
In dieser muss genau über den Verantwortlichen (also neben Facebook gerade auch den Betreiber der Fanpage), Dauer und Zweck der Datenverarbeitung aufgeklärt werden. Selbst wenn Betreiber der Fanpage gegen diese Vorgaben verstoßen, kann nicht erwartet werden, dass die Verteilung von Bußgeldern 50 zu 50 zwischen Facebook und den Betreibern ausfällt, da Facebook nach wie vor Hauptprofiteur jeglicher Facebook-Nutzung ist.
Insgesamt wäre mein Handlungstipp daher die Vorgaben der DSGVO möglichst auch als Betreiber einer Fanpage umzusetzen. Zudem gilt es abzuwarten, wie die deutschen Gerichte das Urteil des EuGHs auslegen und umsetzen. Erst dann steht fest, welche Konsequenzen wirklich aus dem Urteil folgen.
Auch hinsichtlich des geforderten Joint-Control-Vertrags mit Facebook bleibt hier zunächst die Reaktion von Facebook abzuwarten, denn Facebook wird sicherlich nicht die von jedem Unternehmen selbst gestrickten Verträge akzeptieren beziehungsweise diese alle prüfen.
Facebook hat aber bereits jetzt angekündigt, hier aktiv zu werden und unter anderem seine Datenschutzerklärung so zu ergänzen, dass Unternehmen hierauf zur Erfüllung ihrer Transparenz- und Informationspflichten verweisen können.
Allgemein bleibt der Eindruck, dass die Diskussion viel heißer geführt wird als notwendig. Wie siehst du die Situation?
Die DSGVO hat definitiv höheres Gewicht als bisherige Rechtsakte im Bereich des Datenschutzes. Bußgelder und Abmahnungen werden mehr als zuvor als reale „Gefahren“ wahrgenommen.
Die Anforderungen an Transparenz, Betroffenenrechte und datenschutzfreundliche technische Voreinstellungen sind hoch und sollten daher auch dringend eingehalten werden. Die DSGVO enthält viel Innovatives wie das Recht auf Datenübertragbarkeit. Vieles bedarf noch einer Auslegung, wodurch die Rechtunsicherheit bei allen Beteiligten (sowohl auf Unternehmens- als auch auf Behördenseite) groß ist.
Die Gesamtheit dieser Maßnahmen sorgt dafür, dass die Datenschutz-Grundverordnung nicht so schnell aus dem Fokus von Aufsichtsbehörden und Öffentlichkeit rückt. Wichtig ist, sich mit jedem Einzelfall gesondert auseinanderzusetzen und zu praktikablen Lösungen zu gelangen, ohne Angst und Schrecken zu verbreiten.
Dann kann man vielleicht auch vermeiden, dass die Diskussion zu heiß wird. Letztlich ist der Eindruck, dass die Diskussion „zu heiß“ geführt wird, gerade auch dem Umstand geschuldet, dass die DSGVO eine so große Wahrnehmung der Medien auf sich gezogen hat und viele Unternehmen nachhaltig darum bemüht sind, ihre Vorgaben umzusetzen.
Vielen Dank für das Gespräch, Kathrin!
