Vor einem Jahr war die Aufregung groß, als die Datenschutzgrundverordnung (DSGVO) an den Start ging. Inzwischen hat sich die Erregung gelegt. Doch was ist dazwischen passiert? Wir haben den Rechtsanwalt Thorsten Feldmann gesprochen. Er ist Fachanwalt für Urheber- und Medienrecht der Kanzlei JBB. Feldmann berät deutsche und internationale Unternehmen in den Bereichen Medien, Kultur, Kommunikation, Werbung und Technologie. Einen besonderen Schwerpunkt bildet dabei die juristische Gestaltung und Verteidigung digitaler Produkte und Geschäftsmodelle. Der Berliner spricht mit uns über geschaffene Rechtsunsicherheiten, die Höhe von Bußgeldern im In- und Ausland und was wir im Jahr zwei der DSGVO erwarten können.
Datenschutzgrundverordnung: „Die DSGVO hat zu einer großen Rechtsunsicherheit geführt“
t3n: Herr Feldmann, die DSGVO ist jetzt seit gut einem Jahr scharfgeschaltet. Hat die große Abmahnwelle – wie zuvor befürchtet – nun Tausende Unternehmen überrollt oder blieb es ruhig?
Thorsten Feldmann: Was es gab, war ein sprunghafter Anstieg von Auskunfts- und Löschungsanfragen. Derartige Anfragen nehmen weiter zu. Auch mussten wesentlich mehr sogenannte Datenpannen an die Behörden gemeldet werden. EU-weit gab es mehr als 150.000 Beschwerden bei den Behörden wegen angeblicher Datenschutzverstöße, die teilweise wiederum bei den Unternehmen gelandet sind. Insoweit hat die DSGVO die Unternehmen durchaus auch ein wenig überrollt. In einer wachsenden Anzahl von Fällen wird nun sogar versucht, teilweise treuwidrig, Entschädigungszahlungen nach Art. 82 DSGVO zu erwirken. Eine Abmahnwelle aber, das heißt die massenhafte und für den Abgemahnten kostenpflichtige Durchsetzung von Unterlassungsansprüchen, konnten zumindest wir nicht verzeichnen. Insoweit haben sich die Befürchtungen, die manche Beobachter vor dem 25. Mai 2018 mitunter alarmistisch geäußert haben, nicht bewahrheitet.
t3n: Woran lag das?
Darüber kann man nur Vermutungen anstellen. Meine lautet: Die DSGVO hat zu einer großen Rechtsunsicherheit geführt, die gerade auch die Angreiferseite erfasst. Beispiel: Sind DSGVO-Verstöße überhaupt abmahnfähig? Diese Frage befindet sich noch immer in Klärung und soll jetzt vom Gesetzgeber angegangen werden. Oder: Können Datenverarbeiter wegen Defiziten bei Aufklärungs- oder Dokumentationspflichten auf Unterlassung in Anspruch genommen werden, etwa, weil Details in der Datenschutzerklärung nicht stimmen? All das weiß man noch nicht. Es fehlt Rechtsprechung. Den Ausgang eines Verfahrens kann man nicht sicher prognostizieren. Unter der Rechtsunsicherheit leidet auch der potenzielle Angreifer, der sich gut überlegen wird, ob er Abmahnungen versendet, denn dadurch macht er sich seinerseits angreifbar. Mahnt er massenweise unberechtigt ab, schwingt das zurück wie eine Abrissbirne.
t3n: Im Vorfeld gab es auch Stimmen, die meinten, dass Unternehmen nicht mehr ohne Einwilligung mit Kunden via Whatsapp kommunizieren dürften oder dass beim Austausch einer Visitenkarte der Annehmende eine Auskunft geben müsse, was er mit den Daten darauf anstellen wird. Ist es diesbezüglich je zu einem Bußgeld gekommen?
Nach meinem Wissen nicht.
t3n: Wie hoch waren bis dato die höchsten Bußgelder, die hierzulande erteilt wurden? Und wofür wurden sie erteilt?
Das höchste Bußgeld wurde bei einem Fall verhängt, in dem Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen im Internet gelandet sind. 80.000 Euro wurden da fällig. Außerdem bekam ein deutsches Social Network eine vergleichsweise hohe Strafe über 20.000 Euro auferlegt, weil es Nutzerdaten unverschlüsselt auf alten Servern gelagert hatte.
t3n: Wie hat sich die DSGVO im europäischen Ausland ausgewirkt?
Was die Rechtsunsicherheit angeht, sind es im Wesentlichen dieselben Probleme, mit denen wir in Deutschland auch zu kämpfen haben. Spektakulär war allerdings die Verhängung eines Bußgelds gegen Google in Frankreich in Höhe von 50 Millionen Euro wegen angeblicher Transparenzmängel. Ein Bußgeld in derartiger Höhe ist in Deutschland nicht in Sicht.
t3n: Ein portugiesisches Krankenhaus musste 400.000 Euro zahlen, weil Krankenhausmitarbeiter unerlaubt Zugriff auf Patientenakten hatten. Und in Polen wurde erst kürzlich ein Anbieter von Wirtschaftsinformationen zu einer Bußgeldzahlung von 220.000 Euro verpflichtet, weil er gegen die Informationspflicht verstoßen hat. Warum wurde im Ausland so hart durchgegriffen und hierzulande nicht?
Ich halte derart hohe Strafen für unverhältnismäßig und kann mir gut vorstellen, dass sie im Zuge gerichtlicher Auseinandersetzungen reduziert werden. Die Behörden hierzulande gehen besonnener und sorgfältiger vor. Ich habe aber nicht den Eindruck, dass bei uns nicht durchgegriffen wird. Ich weiß von vielen Fällen, in denen die Datenschützer neue Bußgelder vorbereiten. In Kürze werden wir dazu sicher mehr hören.
t3n: Was, glauben Sie, wird uns Jahr zwei der DSGVO bringen? Urteile, die mehr Rechtssicherheit schaffen? Bußgelder, die neue Höhen erreichen?
Wir werden sicher von den Zivilgerichten einige Urteile zur DSGVO und insbesondere zu den Betroffenenrechten bekommen, die zur Rechtssicherheit beitragen. Verwaltungsgerichtliche Verfahren sind weniger in der Pipeline und dauern länger. Rechtsunsicherheit wird jedenfalls in diesem Jahr weiterhin beim Onlinedatenschutz bestehen, weil die E-Privacy-Verordnung, die ja eigentlich gemeinsam mit der DSGVO in Kraft treten sollte, noch auf sich warten lässt. Sicherlich werden auch einige Bußgelder verhängt werden. Allerdings werden diese nicht zu mehr Rechtssicherheit führen, weil sie nur die streckenweise bekannt hartleibige Rechtsauffassung der Datenschutzbehörden reflektieren. Klärung insoweit werden wir erst in den Folgejahren bekommen, nachdem die Bußgelder auch gerichtlich bestätigt oder aufgehoben wurden. Es wird jedenfalls genug zu tun geben.
t3n: Danke für Ihre Einschätzungen!
Übrigens, auch dieser Beitrag könnte dich interessieren: Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr gelegt. Es gibt inzwischen viel Lob – aber auch weiterhin Kritik. In jedem Fall lässt die „Zeitenwende im Datenschutz“ die Arbeit für alle nicht ausgehen. Lies auch: „Ein Jahr DSGVO: Viel Arbeit – und viele offene Fragen“ und „Ein Jahr nach der DSGVO: Deutschlands Top-Websites übersät mit Linkfehlern“
Vielen Dank für den tollen Artikel!
Ergänzend zum Thema, gibt es auch auf dieser Seite noch einen tollen Beitrag: https://www.sc-networks.de/blog/e-mail-marketing-recht-und-datenschutz-3-grosse-irrtuemer/
„Spektakulär war allerdings die Verhängung eines Bußgelds gegen Google in Frankreich in Höhe von 50 Millionen Euro wegen angeblicher Transparenzmängel. Ein Bußgeld in derartiger Höhe ist in Deutschland nicht in Sicht.“
Ja. Schade eigentlich.
„Ich halte derart hohe Strafen für unverhältnismäßig…“
Das steht einem Wirtschaftsanwalt natürlich zu, löst aber das Problem nicht. Wenn es für Unternehmen günstiger ist alle paar Jahre ein Bußgeld in der Höhe eines viertel oder ein halben Informatikerjahresgehalts als Strafe zu zahlen, solange werden sie dies lieber tun als ein oder mehrere Stellen für IT-Sicherheit und Datenschutz zu schaffen. Insbesondere, wenn das eigentliche Geschäft rein analog ist.
Also müssen die Bußgelder so hoch sein dass sie zunächst vielleicht nur das Quartalsergebnis vermiesen, bei Wiederholung aber schnell existenzbedrohend werden.