Die EU-Datenschutz-Grundverordnung (DSGVO) trieb in den vergangenen zwei Jahren insbesondere Compliance-Abteilungen Schweiß auf die Stirn. Denn ihr Pflichtenkatalog zum Umgang mit personenbezogenen Daten musste bis zum 25. Mai 2018 umgesetzt sein. Andernfalls drohen Unternehmen hohe Geldbußen. Der Aufwand war nicht umsonst. Wer die Anforderungen noch nicht oder unvollständig umgesetzt hat, lebt riskant. Die Aufsichtsbehörden haben erste Geldbußen verhängt und die Einschläge kommen näher. Nun ist die Verordnung schon ein Jahr alt. Wir nehmen den Geburtstag zum Anlass, um die wichtigsten Entwicklungen im Datenschutzrecht für Risikobewertung und Compliance zu untersuchen und in die Glaskugel für kommende Compliance-Themen zu schauen.
Datenschutzrecht im Zeitalter der DSGVO
In der Öffentlichkeit standen bislang Themen wie lästige E-Mail-Einwilligungserklärungen, das Abnehmen der Namen von Klingelschildern und das Verbot von Fotos im Kindergarten im Vordergrund. Sieht man von diesen öffentlich diskutierten und eher skurrilen Fällen ab, hat die DSGVO das Datenschutzrecht substantiell verändert.
Sie gilt unmittelbar in allen EU-Mitgliedstaaten, ohne dass es nationale Gesetze zur Umsetzung braucht. Trotz einiger Öffnungsklauseln, wie zum Beispiel im Arbeitsrecht, bei denen die Mitgliedstaaten ihre eigene Regelung im Detail umsetzen können, treibt die EU mit der Verordnung die Harmonisierung im Datenschutzrecht voran. Das ist angesichts globaler Innovationen in der Technologie der einzig richtige Ansatz. Auch andere Staaten, wie Japan oder US-Bundesstaaten, wie Kalifornien, nutzten die EU-Verordnung im Datenschutzrecht als Schablone. <link www.heise.de/newsticker/meldung/Kommentar-Ein-Jahr-DSGVO-ein-Grund-zum-Feiern-4433915.html - external-link-new-window "Opens internal link in current window">Peter Schaar</link>, der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, betont deshalb zu Recht den Erfolg der DSGVO für den Datenschutz weltweit und lobt die Ausstrahlungskraft des europäischen Datenschutzmodells.
Auch inhaltlich macht die DSGVO viele Angebote, die Unternehmen annehmen sollten, um gewappnet in die Zukunft zu gehen. So sollte der Begriff "Privacy by Design" mittlerweile in Compliance- und Technologie-Abteilungen bekannt sein. Indem Unternehmen den Datenschutz bereits bei der Entwicklung von neuen Technologien und neuen Programmen berücksichtigen und in die Produkte einbauen, lässt sich das Thema Datenschutz von Anfang an positiv aufladen.
Risikofaktor Geldbußen bei Verstößen gegen die DSGVO
Für Unternehmen ist im Jahr zwei der DSGVO insbesondere wichtig, zu wissen, wo das größte Konfliktpotential droht und wo sie potenzielle Ansprüche vermeiden können.
Das Thema, das aus Compliance-Sicht wohl am meisten Zähneknirschen verursacht hat, war die Androhung hoher Geldbußen: Bei Verstößen gegen die DSGVO kann die Datenschutzbehörde eine Geldbuße in Höhe von bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes verhängen. Tatsächlich langte die französische Datenschutzbehörde CNIL gegen Google einmal richtig zu: <link www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc - external-link-new-window "Opens internal link in current window">50 Millionen Euro kostet Google die Verletzung von Datenschutzgrundsätzen</link>, insbesondere des Transparenzgrundsatzes.
In Deutschland ließen es die Datenschutzbehörden beim Thema Bußgelder bislang deutlich ruhiger angehen. Die Aufsichtsbehörden erließen im ersten Jahr der DSGVO <link www.cmshs-bloggt.de/tmc/datenschutzrecht/100-bussgelder-dsgvo-deutschland-uebersicht/ - external-link-new-window "Opens internal link in current window">100 Bußgeldbescheide mit einer Gesamtsumme von rund 500.000 Euro</link>. Die höchste bekannte Geldbuße – 80.000 Euro – verhängte die Baden-Württembergische Aufsicht für die Veröffentlichung von Gesundheitsdaten im Internet. Auf der Seite <link www.enforcementtracker.com - external-link-new-window "Opens external link in new window">www.enforcementtracker.com</link> lassen sich aktuelle Entscheidungen der Aufsichtsbehörden nachverfolgen. Es ist zu erwarten, dass die Datenschutzbehörden jetzt Fahrt bei Untersuchungen und Bußgeldverfahren aufnehmen werden.
An den Gründen für die bisherigen Geldbußen lässt sich eine Tendenz ablesen, welche Bereiche im Visier der Behörden liegen und wo Unternehmen besonders gründlich arbeiten sollten, um Strafen zu vermeiden. So griffen die Datenschutzbehörden insbesondere unzureichende technische und organisatorische Sicherheitsmaßnahmen gegen Hackerangriffe auf Kredit- und Kundendaten sowie auf Passwörter an, aber auch die unberechtigte Offenlegung von Gesundheitsdaten oder von Kontoauszügen und E-Mail-Adressen. Diese Fälle zeigen, dass Datensicherheit mit der DSGVO einen noch höheren Stellenwert gewonnen hat. Die Sicherheitsmaßnahmen müssen ein Schutzniveau gewährleisten, das dem Risiko für die betroffenen Daten angemessen ist – dabei kommen Maßnahmen wie die Pseudonymisierung und die Sicherstellung der Vertraulichkeit und Verfügbarkeit in Frage. Generell müssen Unternehmen den Grundsatz der Datenminimierung beachten: Jede Datenverarbeitung muss auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein und nur diejenigen Personen dürfen Zugriffsrechte erhalten, die bestimmungsgemäß mit der Datenverarbeitung in Berührung kommen (sogenanntes "Need-to-know-Prinzip").
Compliance-Thema Betroffenenrechte
Ein Thema, das in nächster Zeit mehr Bedeutung erlangen wird, ist die Umsetzung von Betroffenenrechten. Dazu zählen zum Beispiel das Auskunftsrecht, das Recht auf Löschung – auch bekannt als "Recht auf Vergessenwerden" –, oder das Recht auf Datenübertragbarkeit. Diese Themen sind auf dem Papier leicht verständlich. Aber: In der Praxis ist ihre Umsetzung zum Teil noch ungeklärt. Unternehmen werden nicht umhinkommen, die Vorgaben der DSGVO in standardisierte Prozesse zur Durchsetzung der Betroffenenrechte zu gießen.
Beispiel Auskunftsanspruch: Die DSGVO sieht einen nahezu unbeschränkten und unüberschaubaren Auskunftsanspruch zu Datenarten, Verarbeitungszwecken und Dauer der Datenspeicherung vor. Dieser kann vor allem im Arbeitsverhältnis zu massiven Problemen führen, wenn der Arbeitnehmer Auskunft zu sämtlichen zu ihm gespeicherten Daten erhalten möchte. So urteilte das <link lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py - external-link-new-window "Opens internal link in current window">Landesarbeitsgericht Baden-Württemberg</link>, dass der Auskunftsanspruch weitreichend ist und auch Whistleblower-Daten umfassen kann. Dieses Ergebnis kann für das wichtige Institut des Whistleblowing-Systems zur Gefahr werden. Das <link www.justiz.nrw.de/nrwe/lgs/koeln/lg_koeln/j2019/26_O_25_18_Teilurteil_20190318 - external-link-new-window "Opens internal link in current window">Landgericht Köln</link> geht in die entgegengesetzte Richtung: In einem aktuellen Urteil hält es fest, dass der Zweck des Auskunftsanspruchs nicht die vereinfachte Buchführung des Betroffenen sei. Vielmehr solle der Auskunftsanspruch den Betroffenen in die Lage versetzen, Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen zu können.
Unternehmen sollten vor allem zwei Handlungsempfehlungen folgen, um heute und in Zukunft den Vorgaben der DSGVO zu genügen: Erstens sollten sie ihre Sicherheitsmaßnahmen zum Schutz von Kunden- und Arbeitnehmerdaten prüfen und aktualisieren. Zweitens müssen sie für Betroffenenrechte, wie das Auskunftsrecht und das Recht auf Datenportabilität, standardisierte Verfahren entwickeln, um diese Rechte systematisch umzusetzen und der Rechenschaftspflicht zu genügen.
Autor
Dr. René Sandor ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Deutschland. Er berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.