Die Änderung der DSGVO hat 2018 für viel Verunsicherung in der Wirtschaft gesorgt. Waren die damaligen Ängste vor den neuen Datenschutzrichtlinien berechtigt?
Jan N. Machunsky: Vor der DS-GVO musste man grundsätzlich keine Angst haben, wenn man deren Notwendigkeit in der weltweiten digitalen Vernetzung sah und bereit war, hinreichend an deren Umsetzung zu arbeiten und entsprechende Ressourcen zur Verfügung zu stellen. Vielfach brachte dies auch Wettbewerbsvorteile mit sich. Übrigens ergab sich die Notwendigkeit entsprechender technischer und organisatorischer Maßnahmen (zum Beispiel IT-Grundschutz) auch aus Anforderungen der Finanzverwaltung und des Geschäftsgeheimnisgesetzes.
Wer sich den Anforderungen völlig verweigern wollte, musste und muss in der Tat Angst haben. Zwar ist die befürchtete Abmahnwelle weitgehend ausgeblieben. Neben den behördlichen Bußgeldern ist es aber zunehmend so, dass in diversen Bereichen die nachweisliche Einhaltung der DS-GVO Voraussetzung für einen Geschäftsabschluss ist (etwa bei der Auftragsverarbeitung).
Gibt es viele Fälle von Verstößen gegen die DSGVO?
Jan N. Machunsky: Die Behörden haben sich in den ersten beiden Jahren der DS-GVO auf Querschnittsprüfungen und insbesondere Beratung beschränkt. Bußgelder waren selten und es galt die Devise: ein Bußgeld muss man sich verdienen. Wer sich allerdings gar nicht um die Umsetzung der DS-GVO kümmerte oder auf behördliche Anweisungen nicht reagierte, musste mit sehr empfindlichen Geldbußen rechnen. Inzwischen steigt die Zahl der Bußgeldverfahren, wobei der Anlass häufig Datenschutzpannen und Betroffenenbeschwerden sind. Es wurden dabei in einigen Fällen Bußgelder von über 10 Millionen € verhängt. Alle Unternehmen sind also gut beraten, die Umsetzung der DS-GVO als Pflichtaufgabe zu sehen.
Was sind im Alltag die wichtigsten datenschutzrechtlichen Regelungen?
Jan N. Machunsky: Aus rechtlicher Sicht sind zu nennen:
Art 5 DS-GVO, dort werden die zentralen Datenschutzgrundsätze definiert (unter anderem Datenminimierung, Zweckbindung, Richtigkeit, Speicherbegrenzung, Vertraulichkeit und Integrität). Weiter ist dort die Rechenschaftspflicht der Unternehmen normiert.
Art 6 DS-GVO, dort ist niedergelegt, dass eine Datenverarbeitung ausschließlich dann zulässig ist, wenn einer der dort genannten Erlaubnistatbestände gegeben ist (etwa Einwilligung, Vertrag, gesetzliche Verpflichtung, berechtigtes Interesse).
Art. 15 ff -DS-GVO, in denen die Betroffenenrechte geregelt sind.
Von der praktischen Seite sind insbesondere die technisch organisatorischen Maßnahmen zu nennen, die ein Unternehmen umzusetzen und zu dokumentieren hat. Dies reicht vom IT Grundschutz, Datenschutzhinweisen, internen Datenschutzrichtlinien, Anweisungen, Einwilligungen über Aufsetzung von Prozessen bis hin zur ordnungsgemäßen Umgang mit Betroffenenanfragen und Umgang mit Datenschutzpannen bis zur regelmäßigen Schulung der Mitarbeiter.
Mit der Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) Ende 2019 wurden die nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) aufgehoben. Gibt es Änderungen, die für Unternehmen von Relevanz sind?
Jan N. Machunsky: Vorab: Es gibt weiterhin ein Bundesdatenschutzgesetz (neu) mit 85 Paragrafen. Die europaweit geltende DS-GVO hat zwar Vorrang vor nationalen Gesetzen, enthält aber zahlreiche „Öffnungsklauseln“, die Spielraum für eigenständige Regelungen der europäischen Länder lässt. In Deutschland wiederum hat jedes Bundesland seine eigene Datenschutzbehörde (Bayern 2), die wiederum ihre eigene Handschrift haben. Trotz einer europaweiten Regelung werden die Dinge also in Niedersachsen durchaus anders gehandhabt als in Bayern.
Was aber hat sich durch die DS-GVO rechtlich geändert?
Für die Bürger/Verbraucher sind die Betroffenenrechte sicherlich eine wichtige Änderung. Diese beinhalten weitgehende Auskunftsansprüche (Art. 15 DS-GVO), und denen folgend Ansprüche auf Löschung, Berichtigung und Übertragbarkeit von Daten. Weiter besteht ein Beschwerderecht bei der Datenschutzbehörde. Neu ist auch, dass der Betroffene bei Datenschutzverletzungen einen Anspruch auf Schadensersatz gegen das Unternehmen haben kann.
Für Unternehmen bestehen deutlich erweiterte Informations-, Auskunfts-, Dokumentations- und Rechenschaftspflichten. Ganz wichtig: wesentlich verstärkt hat sich der Blick auf die „technisch organisatorischen Maßnahmen, die Unternehmen treffen müssen, um Kundendaten (und ihre eigenen) gegen die vielfältigen Gefahren der Digitalisierung zu schützen. Neben dem IT-Grundschutz ist hier auch die Schulung der Mitarbeiter zu nennen.
Nicht zuletzt machen die drastisch erhöhten Bußgeldrahmen, die Meldepflicht von Datenschutzpannen und die erweiterten Befugnisse der Behörden Datenschutz zu einer wichtigen Compliance-Aufgabe für jedes Unternehmen.
Die strengeren datenschutzrechtlichen Vorgaben zielten eigentlich auf die großen US-Anbieter. Wurde das Ziel eines besseren Umgangs mit personenbezogenen Daten erreicht?
Jan N. Machunsky: Das Hauptziel der DS-GVO war die europäische Vereinheitlichung der bestehenden Datenschutzvorschriften und deren Anpassung an die sich verändernde digitale Welt. Es sind nur ausgewählte Problemkreise, die speziell für große US-Unternehmen relevant sind und diese auch speziell im Auge hatten bzw. haben (etwa, Tracking, Scoring, Profiling, automatische Entscheidungsfindung).
Die vollständige Umsetzung ist problematisch, so haben all diese Unternehmen ihren europäischen Sitz nicht ohne Grund in Irland, wo neben Steuervorteilen ein laxer Umgang mit Datenschutzvorschriften verlockend ist.
Die neueste Entscheidung des Europäischen Gerichtshof zum Tracking und dem US Privacy Shield zeigt, dass Fortschritte gemacht werden. Und nochmal, die DS-GVO nur unter dem Blickwinkel einiger US-Unternehmen zu sehen, würde völlig falsche Akzente setzen.