DSGVO wird 4 Jah­re

Hap­py bir­th­day — Herz­li­chen Glück­wunsch DSGVO!

Die Daten­schutz-Grund­ver­ord­nung (DSGVO) wird heu­te am 25.05.2022 4 Jah­re alt. „Gezeugt“ wur­de die­se euro­päi­sche Ver­ord­nung eigent­lich schon am 27.04.2016, aber erst vor 4 Jah­ren wur­de sie „wirk­sam“. Dazu heißt es im letz­ten Arti­kel 99 Absatz 2 ganz lapi­dar:

„Sie gilt ab dem 25. Mai 2018.“

Art. 99 Absatz 2 DSGVO

Vor der „Geburt“

Ich per­sön­lich kann mich noch gut an die Zeit „davor“ erin­nern. In 2017 begann ich bereits, mei­ne Bestands­man­dan­ten anzu­spre­chen in Vor­be­rei­tung auf die anste­hen­den Ände­run­gen ab Mit­te 2018. Aller­dings durf­te ich die Erfah­rung machen, dass damals noch die Sen­si­bi­li­sie­rung für den Daten­schutz äußerst gering war. Kaum ein Unter­neh­men woll­te sich früh­zei­tig auf die Her­aus­for­de­run­gen ein­las­sen. Offen­bar lau­er­te jeder den ande­ren nach um zu schau­en, was machen die? Was pas­siert? Kann ich mich viel­leicht davor drü­cken?

Im März/​April 2018 ging das The­ma dann lang­sam durch die bun­des­wei­ten Medi­en und manch einer kol­por­tier­te, dass Ende Mai das Inter­net zusam­men­bre­chen wer­de. Nicht vie­le Web­sei­ten­be­trei­ber schal­te­ten ihren Dienst in der 3. Mai­wo­che kom­plett ab, weil zu Unrecht die Angst geschürt wur­de, sie wür­den direkt ab dem 26. Mail mit hor­ren­den Kla­gen über­schüt­tet.

Natür­lich brach das Inter­net weder am 25. noch am 26. Mai 2018 zusam­men. Aller­dings kamen gefühlt „alle Man­dan­ten“ im April und Mai auf mich zu und wol­len „recht­zei­tig bis zum 25. Mai“ eine neue Daten­schutz­er­klä­rung für ihre Inter­net­sei­te haben. In der 2. und 3. Mai­wo­che kam ich tags­über gar nicht mehr hin­ter­her, die ein­ge­hen­den Auf­trä­ge sofort elek­tro­nisch zu erfas­sen. Kur­zer­hand führ­te ich eine „War­te­lis­te“ auf Papier. Noch am 24. Mail rie­fen Shop­be­trei­ber an, ob ich „bis mor­gen spä­tes­tens“ die neue Erklä­rung lie­fern kön­ne. Ich muss zuge­ben, dass ich ein­zel­ne Auf­trä­ge nicht mehr anneh­men konn­te und völ­lig erschöpft ver­ab­schie­de­te ich mich am 26. Mai in mei­nen wohl­ver­dien­ten Urlaub.

Für mich uner­war­tet blieb mein E‑Mail-Post­fach in mei­ner Urlaubs­wo­che ver­hält­nis­mä­ßig leer. Der Sturm war offen­bar von heu­te auf mor­gen ver­zo­gen. Nach mei­ner Rück­kehr arbei­te­te ich ein paar lie­gen­ge­blie­be­ne Details auf und Abmah­nun­gen hagel­te es — natür­lich — auch nicht.

Die Anfangs­zeit

Aus mei­ner per­sön­li­chen Erfah­rung waren ins­be­son­de­re Unter­neh­men auf­ge­schreckt, die zwar 10 Beschäf­tig­te und mehr hat­ten, aber nicht die Ver­pflich­tung aus § 38 BDSG erfüll­ten, also einen inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestell­ten.

Daher bekam ich die meis­ten Bestel­lun­gen zum Daten­schutz­be­auf­trag­ten in den Jah­ren 2018 und 2019.

Die Geset­zes­än­de­run­gen

Mit Wirk­sam­wer­den der DSGVO gab es für Deutsch­land recht­zei­tig zu Ende Mai 2018 auch ein kom­plett neu­es Bun­des­da­ten­schutz­ge­setz (BDSG), ein­ge­führt durch den „ein­fach“ zu mer­ken­den Geset­zes­na­men

„Gesetz zur Anpas­sung des Daten­schutz­rechts an die Ver­ord­nung (EU) 2016/​679 und zur Umset­zung der Richt­li­nie (EU) 2016/​680 (Daten­schutz-Anpas­sungs- und ‑Umset­zungs­ge­setz EU — DSAn­pUG-EU)“

Im Novem­ber 2019 wur­den dann erfor­der­li­che Ände­run­gen in zahl­rei­chen ande­ren Geset­zen voll­zo­gen. In ins­ge­samt 155 Arti­kel wur­den umfang­rei­che Ände­run­gen vor­ge­se­hen durch das

Zwei­te Gesetz zur Anpas­sung des Daten­schutz­rechts an die Ver­ord­nung (EU) 2016/​679 und zur Umset­zung der Richt­li­nie (EU) 2016/​680 (Zwei­tes Daten­schutz-Anpas­sungs- und Umset­zungs­ge­setz EU — 2. DSAn­pUG-EU)

Mit die­sem Gesetz wur­de auch die Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten (§ 38 BDSG) libe­ra­li­siert. Künf­tig gilt nicht mehr die „10er-Regel“, son­dern eine Ver­pflich­tung zur Bestel­lung erst ab 20 Beschäf­tig­ten, die regel­mä­ßig per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten.

Spä­ter gab es noch Berich­ti­gun­gen der DSGVO, aber im Wesent­li­chen kei­ne inhalt­li­chen Ände­run­gen am ursprüng­li­chen Text.

Die Buß­gel­der (der Auf­sichts­be­hör­den)

Unbe­strit­ten ver­hän­gen unse­re euro­päi­schen Nach­barn bis dato deut­lich mehr und deut­lich höhe­re Buß­gel­der gegen Unter­neh­men wegen Daten­schutz­ver­stö­ßen als die deut­schen Auf­sichts­be­hör­den für den Daten­schutz. Im Inter­net lis­ten ver­schie­de­ne Sei­ten die ver­häng­ten Buß­gel­der auf. https://www.dsgvo-portal.de/ kommt bis heu­te auf ins­ge­samt 1.610 euro­pa­wei­te Buß­gel­der. Das höchs­te wird gelis­tet gegen Face­book aus dem Juli 2019 in Höhe von 4.536.999.350 EUR (5 Mrd. US-$). Wobei dies nichts pri­mär mit der DSGVO zu tun hat. Ver­hängt hat das Buß­geld die ame­ri­ka­ni­sche Ver­brau­cher­schutz­be­hör­de FTC. Das dort höchs­te gelis­te­te euro­päi­sche Buß­geld wur­de im Juli 2021 gegen Ama­zon Euro­pe Core S.à r.l von der luxem­bur­gi­schen Auf­sichts­be­hör­de ver­hängt und betrug 746 Mio. €.

Der https://​www​.enforce​ment​tra​cker​.com/​ lis­tet Stand heu­te 1.187 Buß­geld­ein­trä­ge. Das höchs­te deut­sche Buß­geld wur­de im Okto­ber 2020 gegen die Mode­ket­te H&M in Höhe von 35,26 Mio € ver­hängt.

Die Scha­dens­er­satz­an­sprü­che (der betrof­fe­nen Per­so­nen)

Die Jah­re 2021 /​ 2022 prä­gen sich immer deut­li­cher durch eine Viel­zahl von Ent­schei­dun­gen zu Scha­dens­er­satz­an­sprü­chen betrof­fe­ner Per­so­nen. Dabei ist das Bild der Recht­spre­chung in Deutsch­land noch denk­bar unein­heit­lich. Eine höchst­rich­ter­li­che Linie muss sich erst noch her­aus­bil­den und fes­ti­gen. Dies bringt — zum einen für die Unter­neh­men — die Mög­lich­keit mit sich, gegen unbe­rech­tig­te For­de­run­gen zu ver­tei­di­gen. Für betrof­fe­ne Per­so­nen bringt es gleich­zei­tig eine Rechts­un­si­cher­heit mit sich, mit ihren gericht­lich gel­tend gemach­ten For­de­run­gen zu unter­lie­gen. Eine zuver­läs­si­ge Pro­gno­se des Gerichts­ver­fah­rens lässt sich von Sei­ten der Rechts­an­wäl­te nicht auf­stel­len.

Wenn ein­mal ein Gericht dem Grun­de nach zu einer Ver­pflich­tung zur Zah­lung von Scha­dens­er­satz gelangt, bewegt sich die Höhe der­zeit bei zwi­schen 300 und 5.000 €. In Ein­zel­fäl­len auch ein­mal bis 10.000 €.

Zu beob­ach­ten ist auch, dass immer mehr Fra­gen zum EuGH zur euro­pa­wei­ten Klä­rung vor­ge­legt wer­den, was zwar einer Ver­ein­heit­li­chung der Recht­spre­chung zugu­te kommt, aller­dings für den Ein­zel­nen erst ein­mal zu einer mas­si­ven Pro­zess­ver­zö­ge­rung führt.

Ver­bands­ak­ti­vi­tä­ten

Die wohl öffent­lich­keits-wirk­sams­ten Bestre­bun­gen, Daten­schutz in Unter­neh­men durch­zu­set­zen, wird der­zeit von NOYB geführt, einer Nicht­re­gie­rungs­or­ga­ni­sa­ti­on rund um den öster­rei­chi­schen Anwalt und Daten­schutz­ak­ti­vist Max Schrems. Er führ­te erfolg­rei­che Kla­ge gegen Face­book. Sein letz­ter gro­ßer Erfolg war, dass der Euro­päi­sche Gerichts­hof (EuGH) am 16. Juli 2020 mit Urteil in der Rechts­sa­che „Schrems II“ (C‑311/​18) den EU-US-Pri­va­cy-Shield-Beschluss für ungül­tig erklärt hat. Nach eige­ner Aus­sa­ge ver­schlang allein die­ser Pro­zess ein Bud­get von ca. 10 Mio. €.

Im August 2021 ver­öf­fent­lich­te NOYB eine Pres­se­mit­tei­lung, wonach sie 10.000 öffent­lich erreich­ba­re Web­sei­ten scann­ten und die Ver­wen­dung des Coo­kie­ban­ners auf Rechts­kon­for­mi­tät prüf­ten. Anschlie­ßend wur­den mehr als 500 Unter­neh­men ange­schrie­ben und dar­über auf­ge­klärt, was an ihrer Web­sei­te geän­dert wer­den müss­te. Zahl­rei­che Unter­neh­men nah­men die­sen kos­ten­frei­en Hin­weis ger­ne auf und änder­ten dar­auf­hin ihren Coo­kie­ban­ner. Nach Aus­sa­ge von NOYB wur­den 42% aller Ver­stö­ße frei­wil­lig beho­ben. Schließ­lich reich­te der Ver­ein aber dann 422 for­mel­le Beschwer­den wegen rechts­wid­ri­gen Coo­kie-Ban­nern bei 10 unter­schied­li­chen Auf­sichts­be­hör­den ein. Mitt­ler­wei­le lie­gen die ers­ten Kon­se­quen­zen der Auf­sichts­be­hör­den vor. In Öster­reich und Frank­reich teil­ten die Auf­sichts­be­hör­den mit, dass der Ein­satz von Goog­le Ana­ly­tics der­zeit nicht rechts­kon­form gestal­tet wer­den kön­ne.

Im März 2022 star­te­te NOYB das 2. Coo­kie­pro­jekt und schrie­ben wei­te­re 270 Unter­neh­men mit rechts­wid­ri­gen Coo­kie­ban­nern an.

Aus­blick auf die nächs­ten 4 Jah­re

Ein brand­ak­tu­el­les Urteil des EuGH (vom 28. April 2022 Az. C‑319/​20) bringt dahin­ge­hend Rechts­si­cher­heit, dass (auch) Ver­brau­cher­schutz­ver­bän­de berech­tigt sind, auf­grund der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten gegen (mut­maß­li­che) Ver­let­zer vor­zu­ge­hen. Damit eröff­net der euro­päi­sche Gerichts­hof nun den Weg für Daten­schutz­kla­gen. Im Gegen­satz zu Pri­vat­per­so­nen ver­fü­gen Ver­bän­de über die erfor­der­li­chen finan­zi­el­len Mit­tel, um lang­wie­ri­ge und kost­spie­li­ge Ver­fah­ren durch alle Instan­zen zu bestrei­ten. Glo­bal Play­er geben sich näm­lich nicht mit der 1. Instanz zufrie­den!

Ange­sichts die­ses Umstands ist zu erwar­ten, dass es ver­mehrt Pri­vat- und Ver­bands­kla­gen gegen Daten­schutz­ver­stö­ße geben wird. Ange­sichts der meist immer noch chro­nisch unter­be­setz­ten Auf­sichts­be­hör­den ist nicht zu erwar­ten, dass sich die Zahl der Buß­gel­der dras­tisch ver­än­dern wird.

Unter­neh­mens­da­ten­schutz ist und bleibt ein Com­pli­ance-The­ma, mit dem sich die Geschäfts­füh­rung unnö­ti­ger­wei­se ein hohes Risi­ko ins Haus holen kann — aber nicht muss. Bereits mit einer vier­stel­li­gen Inves­ti­ti­ons­sum­me las­sen sich meist 80–90% aller Daten­schutz­ri­si­ken eli­mi­nie­ren.