Duisburg. Knapp zwei Jahre nach Inkraftttreten der Datenschutzverordnung DSGVO rollt eine Bußgeld-Welle auf kleinere Firmen zu. Die größten Fallstricke.
Im Mai jährt sich zum zweiten Mal das „magische Datum“: das Inkrafttreten der europäischen Datenschutzverordnung DSGVO. Sie soll Verbraucher schützen und Unternehmen anhalten, sorgfältig mit Daten umzugehen. Wer das nicht tut, muss mit empfindlichen Strafen rechnen. So muss der Berliner Immobilienriese Deutsche Wohnen 14,5 Millionen Euro zahlen, weil er Mieterdaten unzulässig gespeichert hatte. Der Telefonanbieter 1&1 wurde mit 9,5 Millionen Euro zur Kasse gebeten. Kündigt sich damit eine Bußgeld-Welle gegen Firmen an?
Auch interessant
„Die Datenschützer haben lange die Füße still gehalten. Jetzt aber machen sie bei der Verhängung von Bußgeldern ernst“, sagt Christoph Janning, Fachanwalt für Arbeitsrecht bei der PKF Fasselt Schlage. Mit bundesweit 620 Mitarbeitern, davon 250 in der größten Niederlassung im Duisburger Innenhafen, gehört PKF zu den führenden Wirtschaftsprüfungs- und Beratungsunternehmen in Deutschland. „Wir beraten schwerpunktmäßig mittelständische Kunden. Dazu gehört auch der Umgang mit der DSGVO“, meint Fachanwältin Maha Steinfeld.
Dass jetzt allmählich den Unternehmen Bußgeld-Bescheide ins Haus flattern, hat einen einfachen Grund. „Wir haben Beschwerden im fünfstelligen Bereich erhalten. Die Prüfverfahren brauchen eine Weile. Viele Untersuchungen stehen jetzt aber vor dem Ende“, sagt ein Sprecher des Bundesbeauftragten für Datenschutz in Berlin, fügt aber gleich einschränkend hinzu, dass nicht alle möglichen Verstöße gegen die DSGVO noch in diesem Jahr geahndet werden.
Auch interessant
Zuletzt hatten etliche Datenschutzbeauftragte über Personalmangel bei gleichzeitig wachsenden Aufgaben geklagt. Die DSGVO ist eine dieser Aufgaben, die neu hinzukam. „Wir müssen die Schwere des Vorstoßes ermitteln und untersuchen, ob er systematisch ist oder ein Einzelfall“, so der Sprecher des Bundesbeauftragten. Die Behörde hat Beschwerden über Unternehmen aus dem öffentlichen Sektor und der Telekommunikationsbranche zu bearbeiten. Alle anderen Firmen müssen ihre Datenschutz-Strategie gegenüber den Landesbeauftragten rechtfertigen.
Nachfragen über persönliche Daten im Unternehmen
Fast zwei Jahre nach dem Inkrafttreten der Datenschutzverordnung haben sich die Juristen von PKF ein Bild über die Fallen gemacht, in die Firmen tappen, wenn sie die Bestimmungen nicht so konsequent umsetzen, wie es die Europäische Union verlangt. „Beratung zu bestimmten Standards wurden häufig von den Unternehmen nachgefragt“, sagt Maha Steinfeld. Dazu gehören nach ihren Angaben Konzepte, wie Kundendaten gelöscht werden oder wie Unternehmen sicherstellen können, dass Arbeitnehmer von ihrem Recht Gebrauch machen können, in der Personalabteilung nachzufragen, welche persönlichen Daten über sie gespeichert sind.
Auch interessant
„Häufige Fehlerquellen in der Praxis sind das Verstecken der Datenschutzerklärung im Impressum oder das gänzliche Fehlen einer Datenschutzerklärung auf der Internetseite“, erklärt Steinfeld. Werde eine solche Erklärung nicht auf der Website vorgehalten, sei dies ein Datenschutzverstoß.
Sind Abmahnungen wettbewerbsrechtlich zulässig?
„Bislang aber unbeantwortet bleibt die Frage, ob DSGVO-Verstöße überhaupt wettbewerbsrechtlich abgemahnt werden können. Diese Frage treibt uns als Berater um“, räumt Janning ein. Zu dieser umstrittenen Frage gebe es unterschiedliche Gerichtsentscheidungen. „Klarheit werden wir ohnehin erst haben, wenn eine höchstrichterliche Entscheidung vorliegt“, so Janning im Hinblick auf die erwartete Entscheidung des Bundesgerichtshofs in Karlsruhe.
Auch interessant
So lange es rechtliche Zweifel gibt, ob der Internetauftritt der DSGVO entspricht, muss das Unternehmen mit einem Bußgeld des zuständigen Datenschutzbeauftragten rechnen oder aber mit einer Abmahnung. Inzwischen gibt es eine Vielzahl von Kanzleien, die sich auf Abmahnverfahren spezialisiert haben. Sie beschäftigen IT-Experten, die wahllos Firmen-Websites auf Verfehlungen hin scannen. Gibt es Ungereimtheiten, wird ein Abmahnverfahren eingeleitet. „Eine Abmahnwelle ist aber bislang ausgeblieben“, erklärt Maha Steinfeld.
Verwaltungsaufwand und Bürokratie durch die DSGVO
Zu der politischen Frage, ob die DSGVO den Verbrauchern wirklich mehr Datenschutz beschert hat, wollen sich die Anwälte nicht äußern. „Für die Unternehmen hat die Einführung der Verordnung viel Bürokratie und Verwaltungsaufwand bedeutet“, meint Steinfeld. Die DSGVO sei komplex, es bestünden zudem Unklarheiten, etwa bezüglich der erlaubten Verarbeitung von Daten, deren Weiterleitung – innerhalb und außerhalb der EU, die Speicherung in Clouds sowie die Frage, wie lange die Daten aufbewahrt werden sollten. „Man muss in vielen Fragen auf höchstrichterliche Entscheidungen warten“, verweist die Juristin auf mögliche Fallstricke.
Auch interessant
„Verständlicherweise ist den Unternehmen auch vieles lästig“, gibt Kollege Janning zu bedenken. Einem neuen Arbeitsvertrag müsse der Firmenchef einen Wust von datenschutzrechtlichen Anlagen beifügen und den Erhalt vom neuen Arbeitnehmer quittieren lassen. „Aber was ist, wenn die Anlagen digital übermittelt werden“, fragt der Anwalt. „Ein bisschen mehr Praxis- und Bürgernähe wäre wünschenswert gewesen“, sagt Janning an die Adresse der EU.
Aktuell steht die DSGVO in Deutschland auf dem Prüfstand. Zuvor war bereits eine Lockerung für die Firmen in Kraft getreten: Einen Datenschutzbeauftragen müssen nun Unternehmen benennen, die über 20 oder mehr Beschäftigte verfügen, wenn diese sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Bislang lag die Grenze bei zehn Mitarbeitern. „Das ist auch keine wahnsinnige Erleichterung. Ein Datenschutzbeauftragter kostet Geld, weil er meist von außen besetzt wird“, meint Christoph Janning.
Die PKF-Wirtschaftsprüfer aus Duisburg sehen weiterhin Unschärfen in der Verordnung – etwa bei Fragen der Speicherung personenbezogener Daten in Clouds. Und wie sollen sich Firmen verhalten, die in Großbritannien eine Niederlassung haben oder dort mit einem Dienstleister zusammenarbeiten? Die Briten sind nicht nur aus der EU ausgetreten. Premier Boris Johnson hat überdies die Kündigung der europäischen Datenschutzverordnung angekündigt.
>>> Studie: Wettbewerbsnachteile durch die DSGVO
Rund ein Drittel der Unternehmen in Deutschland hat nach eigenen Angaben Wettbewerbsnachteile durch die DSGVO. Vor allem im Konkurrenzkampf mit internationalen Firmen, die sich außerhalb der EU nicht an die DSGVO halten müssen, sei das spürbar, erklärte das Institut der Deutschen Wirtschaft im Januar nach der Befragung von 862 Unternehmen. Die Firmen kritisieren der Studie zufolge vor allem den hohen Aufwand, der nötig ist, um die Verordnung umzusetzen und einzuhalten.