Ein Jahr Datenschutzreform – Erfahrungen im Umgang mit der DSGVO und Blick in die Zukunft
Seit 25. Mai 2018 gilt die Datenschutz Grundverordnung (DSGVO). Nach gut einem Jahr ist es Zeit für ein Resümee und einen Ausblick auf die Zukunft. Kaum ein anderes Gesetz hat in den letzten Jahren für solch große Veränderungen in Unternehmen gesorgt. Auch wenn die Umstellung abgeschlossen ist, müssen Unternehmen laufend prüfen, ob ihre Datenverarbeitung mit der DSGVO vereinbar ist. Außerdem sollten sie vor Augen haben, wie sie am meisten von den Änderungen bei der Datenverarbeitung profitieren können.
Viele Unternehmen hatten sich Monate auf die Geltung der DSGVO ab 25. Mai 2018 vorbereitet. Viele befürchteten, dass unseriöse Abmahner wegen angeblicher Datenschutzverstöße vorgehen könnten. Außerdem fürchteten sie die hohen Bußgelder. Der Aufwand für die Umstellung auf die DSGVO war hoch. Auch der Aufwand für die laufende Kontrolle der DSGVO-Compliance ist hoch. Daher sollte man hier die richtigen Schwerpunkte setzen.
Deutliche Änderungen bei Bußgeldverfahren
Die befürchtete Abmahnwelle zur DSGVO ist ausgeblieben. Da bei einzelnen Regelungen gewisse Rechtsunsicherheiten bestanden, gab es wenig Raum für Abmahner. Die Millionenbußgelder durch die Datenschutzbehörden sind ebenfalls ausgeblieben, jedenfalls in Deutschland. Das höchste Bußgeld in Deutschland betrug 80.000 Euro. Die Datenschutzbehörde in Baden-Württemberg hat dieses Bußgeld verhängt, weil Gesundheitsdaten im Internet gelandet waren. Die Behörde in Berlin hat ein Bußgeld von 50.000 Euro gegen eine Bank wegen des Umgangs mit Kundendaten verhängt.
Auch wenn die Bußgelder in Deutschland bisher relativ maßvoll sind, hat sich die Situation seit Geltung der DSGVO grundlegend gewandelt. Die Datenschutzbehörden betrachteten das Jahr 2018 als Jahr der Beratung und haben bei Verstößen eher Hinweise erteilt, als Bußgelder verhängt. Diese Schonfrist ist aber zu Ende. Insgesamt hat die Zahl der Bußgeldverfahren erheblich zugenommen. Anders als früher nach dem Bundesdatenschutzgesetz beschränken sich Behörden heute nicht bloß darauf, Verstöße zu beanstanden. Sie leiten häufiger ein Bußgeldverfahren ein, auch in Fällen, in denen zweifelhaft ist, ob überhaupt ein Verstoß vorliegt, wie bspw. bei dem Vorgehen der Berliner Behörde gegen die Online-Bank.
Teilweise reagieren Behörden auch auf Vorfälle, bei denen vor der DSGVO niemals ein Bußgeld in Betracht gekommen wäre. Es gab sogar einen Fall, in dem sich ein kleines Unternehmen aus Deutschland selbst an die Datenschutzbehörde gewandt hatte und sich beschwerte, dass ein Dienstleister keinen Vertrag zur Auftragsverarbeitung unterzeichnen wolle. Die Datenschutzbehörde kümmerte sich nicht um den spanischen Dienstleister, sondern verhängte ein Bußgeld von 5.000 Euro gegen das deutsche Unternehmen.
In anderen Ländern sind die Bußgelder im Übrigen deutlich höher. Das höchste Bußgeld hat die französische Datenschutzbehörde CNIL gegen Google verhängt, 50 Mio. Euro für illegale Datenverarbeitung. Dieses sehr hohe Bußgeld und die Bußgelder, die auch in anderen Ländern verhängt werden, werden auch Auswirkungen in Deutschland haben. Auch hier wird das Bußgeldniveau steigen.
Wichtige Punkte der DSGVO-Compliance
Die allermeisten Unternehmen haben die Monate vor und auch noch einige Wochen nach dem Mai 2018 genutzt, um ihre Datenverarbeitung mit der DSGVO in Einklang zu bringen und ihre DSGVO-Pflichten zu erfüllen. Die Umstellung ist aber keine einmalige Angelegenheit, sondern ein laufender Prozess. Daher ist laufend zu prüfen, ob die Datenverarbeitung mit der DSGVO vereinbar ist.
Eine wichtige Voraussetzung der DSGVO-Compliance ist ein Verarbeitungsverzeichnis, das sämtliche IT-Prozesse im Unternehmen erfasst. Das Verarbeitungsverzeichnis ist die Basis zur Einschätzung der Datenverarbeitung im Unternehmen und zur Beurteilung, welche Folgeschritte nötig sind. Da IT-Prozesse sich ändern, muss das Verzeichnis regelmäßig auf Aktualität geprüft werden.
Eine zweite wichtige Voraussetzung ist die Erfüllung der Informationspflichten. Der Schwerpunkt des letzten Jahres waren die Informationspflichten gegenüber Mitarbeitern. Jedes Unternehmen muss seine Mitarbeiter in einem Schreiben über die Speicherung der personenbezogenen Daten und deren Nutzung informieren. Wenn ein Mitarbeiter Auskunftsansprüche geltend macht, so ist das Unternehmen zur Auskunft verpflichtet. In einem der ersten Urteile zu den Auskunftspflichten hat das Landesarbeitsgericht Baden-Württemberg dem Arbeitnehmer sehr großzügig Auskunftsansprüche zugebilligt.
Kunden können ebenfalls Auskunftsansprüche nach Art. 15 DSGVO geltend machen. Jedes Unternehmen muss einen Prozess definieren und regelmäßig prüfen, damit solche Anfragen fristgerecht beantwortet werden. Die Frist von einem Monat erscheint recht lang, in der Praxis ist sie aber sehr knapp.
Ein weiterer Bereich sind die Verträge zur Auftragsverarbeitung. Auftragsverarbeitung bedeutet, dass ein Dienstleister für das Unternehmen personenbezogene Daten verarbeitet, z. B. ein IT-Dienstleister. Wenn ein Unternehmen Cloud-Services nutzt oder wenn die Server in einem Rechenzentrum gehostet sind, so ist es eindeutig, dass Auftragsverarbeitung vorliegt. Aber auch in vielen anderen Fällen liegt Auftragsverarbeitung vor, bspw. bei Dienstleistern, die E-Mails versenden oder die IT-Support erbringen. Hier ist es wichtig, einen vollständigen Überblick zu haben und laufend auf Änderungen zu reagieren.
Viele Dienstleister bieten Standardverträge zur Auftragsverarbeitung, die mit der DSGVO vereinbar sind. Es gibt immer wieder aber auch einzelne Unternehmen, deren Verträge gegen die DSGVO verstoßen. Das bringt für den Kunden ein großes Risiko mit sich. Angesichts der Bußgelddrohungen sollte man solche Risiken nicht eingehen.
Die DSGVO hat das neue Instrument der „gemeinsamen Verantwortlichkeit“ eingeführt. Die Umsetzung bereitet in Praxis manchmal Schwierigkeiten. Der Europäische Gerichtshof hat bereits am 5. Juni 2018 entschieden, dass Betreiber einer Facebook-Fanpage mit Facebook „gemeinsame Verantwortliche“ sind. Das hat wichtige Konsequenzen. Zum einen muss man als Facebook-Fanpage Betreiber eine entsprechende Datenschutzerklärung aufnehmen. Außerdem muss der Betreiber mit Facebook eine entsprechende Vereinbarung nach Art. 26 DSGVO schließen. Die deutschen Datenschutzbehörden sehen den Betrieb von Fanpages sehr kritisch, hier drohen Beanstandungen.
Die wichtigsten organisatorischen Maßnahmen zur Umsetzung der DSGVO waren: Einführung eines Berechtigungskonzeptes, das im Unternehmen die Zugriffsmöglichkeiten und die Zugriffsrechte auf Daten regelt; Löschkonzepte über die Aufbewahrungsdauer und die Löschung von Daten sowie Datensicherheitskonzepte, die den Schutz der Daten betreffen. Diese Konzepte muss man regelmäßig prüfen, ob sie noch aktuell sind oder angepasst werden müssen.
Die DSGVO hat dazu geführt, dass Datenschutz heute einen viel höheren Stellenwert hat als zuvor. Startups werden bei Finanzierungsrunden kritisch gefragt, ob ihr Geschäftsmodell mit der DSGVO vereinbar ist. Käufer von Unternehmen oder von Anteilen prüfen bei der Due Diligence, ob die Geschäftstätigkeit DSGVO-konform ist. Wenn es hier Zweifel gibt, bspw. bei Verträgen zur Auftragsverarbeitung oder bei Mitarbeiterinformationsschreiben, so führt dies zu Schwierigkeiten bei den Verkaufsverhandlungen. Stellt sich heraus, dass wesentliche Geschäftsprozesse überhaupt nicht mit der DSGVO in Einklang zu bringen sind, so scheitert der gesamte Verkauf.
Die nächste große Herausforderung für Unternehmen ist die Digitalisierung einschließlich der Nutzung von Anwendungen der künstlichen Intelligenz. Das führt dazu, dass der Datenschutz nochmals eine stärke Bedeutung erhält, denn IT-gestützte Prozesse werden immer wichtiger und hier hat die Einhaltung der DSGVO einen höheren Stellenwert.
Nutzen der DSGVO-Umstellung
Die DSGVO-Umstellung und die laufende Kontrolle der DSGVO-Compliance erfordern viel Aufwand. Sie haben aber den Vorteil, dass man sich als Unternehmen stärker mit den IT-Prozessen beschäftigt. Das ist eine gute Vorbereitung für die nächste große Herausforderung, nämlich die Digitalisierung des Unternehmens einschließlich der Nutzung künstlicher Intelligenz. DSGVO-Umstellungsprojekte und die laufende Kontrolle der DSGVO-Compliance haben außerdem dazu geführt, dass Unternehmen sich näher mit den Daten beschäftigen, über die sie verfügen. Das bietet die Chance, Kundendaten sinnvoll zu nutzen und dem Kunden bspw. mit Bonusprogrammen oder auch durch regelmäßige Informationsschreiben einen zusätzlichen Nutzen zu bieten. Das ist ebenfalls ein wichtiger Schritt zur Vorbereitung der Digitalsierung des Unternehmens.
Ergreift man diese Chancen, so bleibt die Kontrolle der DSGVO-Compliance keine bloße Pflichtübung, sondern bietet echten Mehrwert für das Unternehmen.
Arnd Böken, Rechtsanwalt und Notar
Berlin