Happy birthday — Herzlichen Glückwunsch DSGVO!
Die Datenschutz-Grundverordnung (DSGVO) wird heute am 25.05.2022 4 Jahre alt. „Gezeugt“ wurde diese europäische Verordnung eigentlich schon am 27.04.2016, aber erst vor 4 Jahren wurde sie „wirksam“. Dazu heißt es im letzten Artikel 99 Absatz 2 ganz lapidar:
„Sie gilt ab dem 25. Mai 2018.“
Art. 99 Absatz 2 DSGVO
Vor der „Geburt“
Ich persönlich kann mich noch gut an die Zeit „davor“ erinnern. In 2017 begann ich bereits, meine Bestandsmandanten anzusprechen in Vorbereitung auf die anstehenden Änderungen ab Mitte 2018. Allerdings durfte ich die Erfahrung machen, dass damals noch die Sensibilisierung für den Datenschutz äußerst gering war. Kaum ein Unternehmen wollte sich frühzeitig auf die Herausforderungen einlassen. Offenbar lauerte jeder den anderen nach um zu schauen, was machen die? Was passiert? Kann ich mich vielleicht davor drücken?
Im März/April 2018 ging das Thema dann langsam durch die bundesweiten Medien und manch einer kolportierte, dass Ende Mai das Internet zusammenbrechen werde. Nicht viele Webseitenbetreiber schalteten ihren Dienst in der 3. Maiwoche komplett ab, weil zu Unrecht die Angst geschürt wurde, sie würden direkt ab dem 26. Mail mit horrenden Klagen überschüttet.
Natürlich brach das Internet weder am 25. noch am 26. Mai 2018 zusammen. Allerdings kamen gefühlt „alle Mandanten“ im April und Mai auf mich zu und wollen „rechtzeitig bis zum 25. Mai“ eine neue Datenschutzerklärung für ihre Internetseite haben. In der 2. und 3. Maiwoche kam ich tagsüber gar nicht mehr hinterher, die eingehenden Aufträge sofort elektronisch zu erfassen. Kurzerhand führte ich eine „Warteliste“ auf Papier. Noch am 24. Mail riefen Shopbetreiber an, ob ich „bis morgen spätestens“ die neue Erklärung liefern könne. Ich muss zugeben, dass ich einzelne Aufträge nicht mehr annehmen konnte und völlig erschöpft verabschiedete ich mich am 26. Mai in meinen wohlverdienten Urlaub.
Für mich unerwartet blieb mein E‑Mail-Postfach in meiner Urlaubswoche verhältnismäßig leer. Der Sturm war offenbar von heute auf morgen verzogen. Nach meiner Rückkehr arbeitete ich ein paar liegengebliebene Details auf und Abmahnungen hagelte es — natürlich — auch nicht.
Die Anfangszeit
Aus meiner persönlichen Erfahrung waren insbesondere Unternehmen aufgeschreckt, die zwar 10 Beschäftigte und mehr hatten, aber nicht die Verpflichtung aus § 38 BDSG erfüllten, also einen internen oder externen Datenschutzbeauftragten bestellten.
Daher bekam ich die meisten Bestellungen zum Datenschutzbeauftragten in den Jahren 2018 und 2019.
Die Gesetzesänderungen
Mit Wirksamwerden der DSGVO gab es für Deutschland rechtzeitig zu Ende Mai 2018 auch ein komplett neues Bundesdatenschutzgesetz (BDSG), eingeführt durch den „einfach“ zu merkenden Gesetzesnamen
„Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und ‑Umsetzungsgesetz EU — DSAnpUG-EU)“
Im November 2019 wurden dann erforderliche Änderungen in zahlreichen anderen Gesetzen vollzogen. In insgesamt 155 Artikel wurden umfangreiche Änderungen vorgesehen durch das
Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU — 2. DSAnpUG-EU)
Mit diesem Gesetz wurde auch die Verpflichtung zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG) liberalisiert. Künftig gilt nicht mehr die „10er-Regel“, sondern eine Verpflichtung zur Bestellung erst ab 20 Beschäftigten, die regelmäßig personenbezogene Daten verarbeiten.
Später gab es noch Berichtigungen der DSGVO, aber im Wesentlichen keine inhaltlichen Änderungen am ursprünglichen Text.
Die Bußgelder (der Aufsichtsbehörden)
Unbestritten verhängen unsere europäischen Nachbarn bis dato deutlich mehr und deutlich höhere Bußgelder gegen Unternehmen wegen Datenschutzverstößen als die deutschen Aufsichtsbehörden für den Datenschutz. Im Internet listen verschiedene Seiten die verhängten Bußgelder auf. https://www.dsgvo-portal.de/ kommt bis heute auf insgesamt 1.610 europaweite Bußgelder. Das höchste wird gelistet gegen Facebook aus dem Juli 2019 in Höhe von 4.536.999.350 EUR (5 Mrd. US-$). Wobei dies nichts primär mit der DSGVO zu tun hat. Verhängt hat das Bußgeld die amerikanische Verbraucherschutzbehörde FTC. Das dort höchste gelistete europäische Bußgeld wurde im Juli 2021 gegen Amazon Europe Core S.à r.l von der luxemburgischen Aufsichtsbehörde verhängt und betrug 746 Mio. €.
Der https://www.enforcementtracker.com/ listet Stand heute 1.187 Bußgeldeinträge. Das höchste deutsche Bußgeld wurde im Oktober 2020 gegen die Modekette H&M in Höhe von 35,26 Mio € verhängt.
Die Schadensersatzansprüche (der betroffenen Personen)
Die Jahre 2021 / 2022 prägen sich immer deutlicher durch eine Vielzahl von Entscheidungen zu Schadensersatzansprüchen betroffener Personen. Dabei ist das Bild der Rechtsprechung in Deutschland noch denkbar uneinheitlich. Eine höchstrichterliche Linie muss sich erst noch herausbilden und festigen. Dies bringt — zum einen für die Unternehmen — die Möglichkeit mit sich, gegen unberechtigte Forderungen zu verteidigen. Für betroffene Personen bringt es gleichzeitig eine Rechtsunsicherheit mit sich, mit ihren gerichtlich geltend gemachten Forderungen zu unterliegen. Eine zuverlässige Prognose des Gerichtsverfahrens lässt sich von Seiten der Rechtsanwälte nicht aufstellen.
Wenn einmal ein Gericht dem Grunde nach zu einer Verpflichtung zur Zahlung von Schadensersatz gelangt, bewegt sich die Höhe derzeit bei zwischen 300 und 5.000 €. In Einzelfällen auch einmal bis 10.000 €.
Zu beobachten ist auch, dass immer mehr Fragen zum EuGH zur europaweiten Klärung vorgelegt werden, was zwar einer Vereinheitlichung der Rechtsprechung zugute kommt, allerdings für den Einzelnen erst einmal zu einer massiven Prozessverzögerung führt.
Verbandsaktivitäten
Die wohl öffentlichkeits-wirksamsten Bestrebungen, Datenschutz in Unternehmen durchzusetzen, wird derzeit von NOYB geführt, einer Nichtregierungsorganisation rund um den österreichischen Anwalt und Datenschutzaktivist Max Schrems. Er führte erfolgreiche Klage gegen Facebook. Sein letzter großer Erfolg war, dass der Europäische Gerichtshof (EuGH) am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C‑311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt hat. Nach eigener Aussage verschlang allein dieser Prozess ein Budget von ca. 10 Mio. €.
Im August 2021 veröffentlichte NOYB eine Pressemitteilung, wonach sie 10.000 öffentlich erreichbare Webseiten scannten und die Verwendung des Cookiebanners auf Rechtskonformität prüften. Anschließend wurden mehr als 500 Unternehmen angeschrieben und darüber aufgeklärt, was an ihrer Webseite geändert werden müsste. Zahlreiche Unternehmen nahmen diesen kostenfreien Hinweis gerne auf und änderten daraufhin ihren Cookiebanner. Nach Aussage von NOYB wurden 42% aller Verstöße freiwillig behoben. Schließlich reichte der Verein aber dann 422 formelle Beschwerden wegen rechtswidrigen Cookie-Bannern bei 10 unterschiedlichen Aufsichtsbehörden ein. Mittlerweile liegen die ersten Konsequenzen der Aufsichtsbehörden vor. In Österreich und Frankreich teilten die Aufsichtsbehörden mit, dass der Einsatz von Google Analytics derzeit nicht rechtskonform gestaltet werden könne.
Im März 2022 startete NOYB das 2. Cookieprojekt und schrieben weitere 270 Unternehmen mit rechtswidrigen Cookiebannern an.
Ausblick auf die nächsten 4 Jahre
Ein brandaktuelles Urteil des EuGH (vom 28. April 2022 Az. C‑319/20) bringt dahingehend Rechtssicherheit, dass (auch) Verbraucherschutzverbände berechtigt sind, aufgrund der Verletzung des Schutzes personenbezogener Daten gegen (mutmaßliche) Verletzer vorzugehen. Damit eröffnet der europäische Gerichtshof nun den Weg für Datenschutzklagen. Im Gegensatz zu Privatpersonen verfügen Verbände über die erforderlichen finanziellen Mittel, um langwierige und kostspielige Verfahren durch alle Instanzen zu bestreiten. Global Player geben sich nämlich nicht mit der 1. Instanz zufrieden!
Angesichts dieses Umstands ist zu erwarten, dass es vermehrt Privat- und Verbandsklagen gegen Datenschutzverstöße geben wird. Angesichts der meist immer noch chronisch unterbesetzten Aufsichtsbehörden ist nicht zu erwarten, dass sich die Zahl der Bußgelder drastisch verändern wird.
Unternehmensdatenschutz ist und bleibt ein Compliance-Thema, mit dem sich die Geschäftsführung unnötigerweise ein hohes Risiko ins Haus holen kann — aber nicht muss. Bereits mit einer vierstelligen Investitionssumme lassen sich meist 80–90% aller Datenschutzrisiken eliminieren.
Photo by Joshua Hoehne on Unsplash