DSGVO: Drei Monate und noch viele offene Fragen
Alexander Rabe, ecoSeit drei Monaten ist die DSGVO nun in Kraft. Am 1. September waren es sogar genau 100 Tage. Zuletzt war es merklich ruhiger geworden, was aber so gut wie ausschließlich der Ferienzeit geschuldet ist. Es sind definitiv noch viele Fragen offen. Wobei deutsche Unternehmen laut eco – Verbands der Internetwirtschaft auf einem guten Weg sind. Während die Firmen ihre Hausaufgaben weitgehend erledigt hätten, hätten Aufsichtsbehörden und Gerichte noch viel zu tun. Die seitens der Wirtschaft immer wieder geforderte, einheitliche Umsetzung in Deutschland lasse noch zu wünschen übrig: »Über einige offene Fragestellungen in der Auslegung der DSGVO werden sicher Gerichte entscheiden müssen«, meint Alexander Rabe, Eco-Geschäftsführer. »Aber das sollte die Aufsichtsbehörden jetzt nicht davon abhalten, ihre Vorstellungen und Maßgaben für Prüfungen vorzustellen.«
Besonders wichtig sei dabei, europaweit einheitliche Regelungen zu finden. »Es ist wichtig – sowohl auf europäischer als auch auf nationaler Ebene in den einzelnen Mitgliedsstaaten – eine möglichst einheitliche Umsetzung der DSGVO anzustreben, alles andere widerspricht dem Geist eines digitalen europäischen Binnenmarktes, der die Wirtschaft in Gänze stärken würde« sagt Rabe. Außerdem werde eine zügige und kohärente Regelung für Drittstaaten benötigt.
Fortwährende Diskussionen, etwa um den EU-US Privacy Shield, tragen zur Verunsicherung bei. Die E-Privacy-Verordnung ist ein weiterer in Brüssel diskutierter Rechtsakt, der vermutlich weitreichende Änderungen für den Datenschutz sowie Datenschutzauflagen für digitale Unternehmen und Geschäftsmodelle mit sich bringt, unter Umständen sogar die Qualität von Diensten maßgeblich einschränkt. Die Verhandlungen des Rates und die folgenden Trilogverhandlungen sollten eigentlich zeigen, dass es Europa ernst meint mit einem einheitlichen Datenschutz. »Die bisher vorgelegten Entwürfe zur E-Privacy Verordnung lassen uns jedoch an diesem Ansinnen zweifeln«, klagt Rabe.«
DSGVO: Die große Abmahnwelle ist ausgeblieben
Eine der großen Befürchtungen war eine große und breit angelegte Abmahnwelle. Diese ist zum Glück ausgeblieben. Zumindest bisher. »Das bedeutet allerdings nicht, dass das so bleibt«, mahnt Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein. »Die Verantwortlichen sollten darauf achten, die DSGVO zu erfüllen und so erst gar keine Angriffsfläche für Abmahnanwälte zu bieten.«
Christopher Kunke, Datenschutz-Referent der TÜV NORD AkademieRechtsanwalt Christopher Kunke, Datenschutz-Referent der TÜV NORD Akademie, ergänzt: »Eine Abmahnung muss zunächst einmal beauftragt werden. Als Beispiel: Ein Kläger gibt seiner Anwältin den Auftrag, ein bestimmtes Unternehmen abzumahnen. Das ist in der Regel ein Mitbewerber des Betroffenen. Im ersten Schritt fordert die Juristin die Zahlung einer Pauschale sowie eine unterschriebene Unterlassungserklärung. Die Pauschale entspricht dem Anwaltshonorar und bleibt damit komplett bei der abmahnenden Juristin. Manche Anwälte erliegen dabei der Versuchung, mithilfe eines konstruierten Klienten, beispielsweise durch eine sogenannte `Briefkastenfirma´, zahlreiche Abmahnungen zu verschicken und sich entsprechend hohe Pauschalen zu erwirtschaften.« Da es hinter dieser Masche allerdings keinen tatsächlichen Kläger gebe, sei es entsprechend unwahrscheinlich, dass es in diesen Fällen wirklich zu einem Prozess komme.
»Grundsätzlich sind aber auch vor diesem Hintergrund zunächst alle Abmahnschreiben ernst zu nehmen und juristisch zu prüfen«, rät Kunke. Sobald man als Unternehmen ein Anwaltsschreiben und eine damit verbundene Abmahnung erhält, gilt es vor allem Ruhe zu bewahren und nicht überstürzt zu handeln. Ein juristisches Abmahnschreiben sei noch kein Grund in Panik zu verfallen.
»Der erste Schritt muss immer sein, den Vorwurf selbst juristisch prüfen zu lassen«, rät Kunke, Datenschutz-Experte des TÜV NORD Akademie. »Auf gar keinen Fall sollten Betroffene eine Unterlassungserklärung unterschreiben oder gar die geforderte Summe bezahlen. Selbst eine kleine Anzahlung von wenigen Euro könne bereits als Anerkennung des Gesamtanspruchs ausgelegt werden.« Und dann sei erfahrungsgemäß nicht mehr viel zu retten.«
Abmahnfähigkeit der DSGVO noch unsicher
Christian Solmecke, Rechtsanwalt, Medienrechtskanzlei Wilde Beuger Solmecke Umstritten ist noch, ob wettbewerbsrechtliche DSGVO-Abmahnungen überhaupt rechtens sind. Rechtsanwalt Christian Solmecke von der Kanzlei Wilde Beuger Solmecke, merkt dies auch in seiner Datenschutzkolumne an: »Voraussetzung dafür wäre, dass es sich bei den betroffenen Normen um sogenannte Marktverhaltensregeln iSd. § 3a des Gesetzes gegen den Unlauteren Wettbewerb (UWG) handelt. In Deutschland gab es hierzu schon vor der DSGVO keine einheitliche Rechtsprechung. Unserer Auffassung nach können die Normen der Datenschutzgrundverordnung nicht wettbewerbsrechtlich abgemahnt werden. Denn Ziel der DSGVO ist es, Menschen vor Datenmissbrauch und damit ihr Persönlichkeitsrecht zu schützen. Um die Lauterkeit des Wettbewerbs geht es nicht.« Andere seien hingegen der Auffassung, dass DSGVO-Verstöße wie etwa eine fehlerhafte Datenschutzerklärung durchaus abmahnfähig sind, immerhin diene die Datenverarbeitung einem geschäftlichen Zweck.
Die Politik hatte zwar versprochen, etwas gegen die DSGVO-Abmahnungen zu unternehmen, passiert ist bisher aber nichts, obwohl es im Koalitionsvertrag generell zum Abmahnmissbrauch heißt: »Wir wollen den Missbrauch des bewährten Abmahnrechts verhindern, z.B. durch die Einschränkung des fliegenden Gerichtsstandes, und so KMUs sowie Verbraucherinnen und Verbraucher schützen.«
DSGVO-Bußgelder: Noch herrscht Schonfrist
Eine der gravierenden Neuerungen der DSGVO ist das deutlich erhöhte Strafmaß, bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes sind möglich. Bisher wurden aber noch keine nennenswerten DSGVO-Bußgelder im größeren Stil verhängt. Wobei der speicherguide.de-Redaktion ein Fall im Augsburger Raum bekannt ist, wo ein kleinerer Mittelständler zu einer Zahlung von etwas über 2.000 Euro verdonnert wurde, weil die DSGVO nicht rechtskonform umgesetzt wurde. Alle, die bis heute nichts unternommen haben, sollten sich daher nicht in Sicherheit wiegen.
»Die Nichterfüllung der DSGVO ist wie Fahren ohne Führerschein, das kann viele Jahre gut gehen, wird man aber erwischt, hat man ein Problem«, erklärt speicherguide.de-Chefredakteur Karl Fröhlich und zertifizierter Datenschutzbeauftragter. Noch gilt eine Art »Schonfrist«, vor allem aber auch, weil die Aufsichtsbehörden unterbesetzt sind und nicht hinterherkommen. Irgendwann werde es aber alle Zögerlinge erwischen.
DSGVO sorgt für Verunsicherung in der digitalen Wirtschaft
Thomas Duhr, Bundesverband Digitale WirtschaftDas andere Extrem sei dagegen, seine digitalen Geschäfte einzuschränken. Laut dem Bundesverband Digitale Wirtschaft (BVDW) haben 43 Prozent der Digitalunternehmen ihre digitalen Aktivitäten eingeschränkt, mehr als die Hälfte rechnen deswegen mit Umsatzeinbußen. »Das ist absolut alarmierend und gibt einen groben Eindruck, mit welcher Wucht eine solche Regulierung unsere Wirtschaft treffen kann«, sagt BVDW-Vizepräsident Thomas Duhr (IP Deutschland). »In erster Linie hat die DSGVO zu Unsicherheit geführt – oft ist nicht klar, wie die neuen Bestimmungen angewendet werden müssen.« Das Problem seien, so der BVDW-Experte, vor allem unklare Formulierungen der Verordnung und sich widersprechende Vorgaben.
Mehr als die Hälfte (56 Prozent) der in der BVDW-Studie befragten Unternehmen gibt an, dass sich die Datenschutzreform negativ bzw. sehr negativ auf die Umsatzentwicklung auswirken wird. Jedes dritte Unternehmen (34 Prozent) sieht keine Auswirkungen auf den Umsatz. Für den BVDW ist dies ein deutliches Warnsignal einer fehlgelenkten Regulierung: »Falls die EU-Kommission eine E-Privacy-Verordnung in der aktuell diskutierten Fassung tatsächlich realisieren sollte, wird das dramatische Folgen für die globale Wettbewerbsfähigkeit europäischer Unternehmen haben«, mahnt Duhr. Damit sieht er sogar den Technologiestandort Deutschland auf dem Spiel.
DSGVO: Keine Panik
Regelmäßige Leser von speicherguide.de wissen, unser Chefredakteur ist zertifizierter Datenschutzbeauftragter und berät und betreut als »Datenschutz-Novize« Kleinbetriebe und kleine Firmen. Seiner Erfahrung nach besteht vor allem bei kleinen Unternehmen noch großer Nachholbedarf. Gleichzeitig müssten vor allem kleine Firmen keine Angst vor der DSGVO haben. Natürlich müsse Wissen aufgebaut werden und auch die ein oder anderen Prozesse angepasst werden, sind aber die Grundlagen einmal erfüllt, ändert sich bei vielen mittelfristig nichts mehr.
Beachten Sie hierzu auch unser aktuelles Storage-Magazin 02/2018 »DSGVO im Unternehmen«, dass sich mit den Grundlagen der DSGVO und den Trends in den Bereichen Datenschutz und rechtskonformes Backup/Recovery beschäftigt.