EU-Datenschutzgrundverordnung (Teil 3)

Dieser Beitrag setzt den in PUBLICUS 2017.12 und 2018.1 begonnenen Überblick zur EU-Datenschutzgrundverordnung (DSGVO) fort.

I. DSGVO: Erwartungen erfüllt?

Es kommt auf die Perspektive an und darauf, wen man fragt, wenn man eine Antwort haben möchte, ob die DSGVO die Erwartungen erfüllt hat. Überwiegend wird man sagen können, die DSGVO hat die Erwartungen erfüllt, im Guten wie im Schlechten.

Es stehen sich im Wesentlichen drei Lager gegenüber, wenn über die DSGVO diskutiert wird: Die einen, die der DSGVO nur Positives abgewinnen, die zweiten, die die DSGVO als Stärkung und Statement für Freiheits- und Bürgerrechte sehen, aber differenziert die Unwucht gegenüber KMU und Vereinen monieren, und diejenigen, die kein gutes Haar an den europäischen Datenschutzbestimmungen lassen.

Die in Expertenkreisen lebhaft diskutierte Aussage des Leiters des Instituts für Informations-, Telekommunikations- und Medienrecht an der Universität Münster, Prof. Thomas Hoeren, die DSGVO sei „eines der schlechtesten Gesetze des 21. Jahrhunderts“, entspricht, bei aller Zustimmung für einen Optimierungs- und Novellierungsbedarf, nicht meinem Verständnis. Denn der Datenschutz ist mit der DSGVO tatsächlich gestärkt worden. Das ist gut so. Trotzdem: Da selbst die Befürworter einräumen, dass zumindest über eine maßvolle Novellierung nachgedacht werden sollte, bleibt auch bei ganz positivistischer Auslegung viel Licht, aber auch Schatten.

Insbesondere aus der Wirtschaft und von Verbänden wird herausgestellt, dass die Erwartungen an den großen gesamteuropäischen Wurf nicht erfüllt worden seien, sodass aus allen gesellschaftspolitischen Bereichen Forderungen zur Einführung von Bereichsausnahmen und zur zügigen Nachbesserung laut werden wie z. B. von der IHK München. In der Öffentlichkeit regt sich v. a. Unmut, weil KMU und Vereine eine gesetzgeberisch und gesellschaftspolitisch nicht zu rechtfertigende Unverhältnismäßigkeit sehen, indem sie fehlende Bereichsausnahmen beklagten und als belastend empfundene Dokumentations- und Rechenschaftspflichten und den gleichen drakonischen Sanktionen ausgesetzt seien wie internationale Großkonzerne wie Apple, Amazon, Facebook, Google, Microsoft & Co. Mit Großkonzernen aus der IT-Wirtschaft wollen KMU und Vereine nicht „in einen Topf“ geworfen werden.

Ein gutes Jahr nach dem Geltungsstichtag der DSGVO hat die FDP im Bundestag mit einer parlamentarischen Anfrage vom 21.06.2019 die Fragen und Belastungen gerade für KMU aufgegriffen. Nach parlamentarischer Debatte hat der Bundestag am 27.06.2019 eine entsprechende Gesetzesänderung mit dem Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschlossen, wonach im nationalen Recht insbesondere § 38 BDSG novelliert werden soll. Danach sollen künftig Unternehmen erst ab 20 Mitarbeitern, die mit personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten zu bestellen haben. Die für KMU und Vereine zu bewältigenden Regelungsgegenstände und Sanktions- und Bußgeldfragen werden indessen nur gesamteuropäisch zu lösen sein.

An den in allen politischen Kreisen geführten Diskussionen ist abzulesen, dass der DSGVO, selbst bei weitgehend übereinstimmendem Verständnis der Fraktionen für das Gemeinwohlinteresse, eine Ambivalenz anheftet. Diese dürfte nicht so einfach abschütteln sein. Der herausfordernde EU-Verordnungskontext mit 99 Artikeln und 173 Erwägungsgründen dürfte daran nicht ganz unschuldig sein, auch wenn man nicht übertreiben und von einem „Spaltungsgen“ ausgehen muss, das der DSGVO innewohne und das die Gemüter noch lange beschäftigen werde.

II. Umsetzungen bei Industrie, Mittelstand und Behörden

Die DSGVO sieht elementare Pflichten vor, die überwiegend von der früheren europäischen und nationalen Rechtslage bekannt sind, wie etwa die Grundsätze für die Verarbeitung personenbezogener Daten i. S. v. Art. 5 Abs. 1 DSGVO. Danach ist die Verarbeitung verboten, soweit sie nicht durch eine ausdrückliche gesetzliche Bestimmung oder die Einwilligung des Betroffenen gestattet ist. Letztere muss nicht mehr explizit in Schriftform vorliegen, da auch eine elektronische Textform reicht. Die Verarbeitung kann ferner bspw. nach Art. 6 DSGVO auch für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen oder wegen berechtigten Interesses statthaft sein. Es gelten die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität und Vertraulichkeit. Neu dazugekommen ist insbesondere die in technischer, organisatorischer, kaufmännischer und rechtlicher Hinsicht aufwendig sicherzustellende Pflicht der Dokumentation und Rechenschaft gem. Art. 5 Abs. 2 DSGVO sowie das Marktortprinzip nach Art. 3 Abs. 2 DSGVO.

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und die in der Verordnung und Erwägungsgrund 39 ausgeführten Pflichten bedeuten klare Aufwendungen von Personal, Sachmitteln und Kosten.

Bei Unternehmen mit hohem Organisationsgrad und Compliance-Bewusstsein wurden die notwendigen Umsetzungen der DSGVO, soweit dies pauschal zusammengefasst werden kann, überwiegend mit Sorgfalt und Augenmaß umgesetzt. Dies gilt insbesondere für die Industrie und große mittelständische Unternehmen. Als Schwachpunkte der Umsetzungen gelten in der Praxis jedoch auch bei Unternehmen mit nahezu perfekten Organisations- und Businessprozessen insbesondere die Löschkonzepte und Krisen- und Notfallpläne sowie nicht hinreichend geklärte Modelle zur Erfüllung von Betroffenen-/Auskunftsansprüchen.

So dürfte es bspw. aus Unternehmens- und Arbeitgebersicht schwierig sein, einem Betroffenen und Anspruchsteller sämtliche über ihn gespeicherten Daten und Korrespondenzen bei der Erfüllung der Ansprüche aus Art. 15 DSGVO auf Auskunft und Überlassung einer Datenkopie, ordnungsgemäß und vollständig zu erfüllen in Gemäßheit einer neuen und weitreichenden Rechtsprechung des LAG Baden-Württemberg (Urteil v. 20.12.2018, 17 Sa 11/18) und des OLG Köln (Urt. v. 26.07.2019 – 20 U 75/18).

Soweit Unternehmen auf bestehende Datenschutz- und IT-Sicherheitssysteme und entsprechend funktionierende Organisationsabläufe aufsetzen konnten, sind diese gegenüber jenen, die schlicht zum 25.05.2018 „nichts implementiert hatten“, im Vorteil. Letztere haben sich teilweise notgedrungen einer Feigenblattstrategie zugewendet, um zumindest bei den in der Öffentlichkeit sichtbaren Positionen wie Datenschutzerklärungen auf der Website, nicht aus- und aufzufallen. Maßnahmen zur Verschlüsselung von Websites, zum Abdunkeln von Bildschirmen vor neugierigen Kundenblicken sowie das Freiräumen von Schreittischen in Autowerkstätten und Durchforsten von Altdatenbeständen sind nur Schlaglichter im Geschäftsalltag, die vom Management und der Belegschaft gleichermaßen nicht selten mit großem Murren quittiert wurden. Im Mittelstand wurden branchenübergreifend sehr viele Anstrengungen unternommen, um DSGVO-Konformität herzustellen.

Wie nachhaltig und bedarfsgerecht die Umsetzungen sind, werden erst die kommenden zwei bis drei Jahre zeigen, da auch für die Aufsichtsbehörden vieles Neuland ist. In Industrie und bei den großen mittelständischen Unternehmen sind die Hausaufgaben weitgehend gemacht.

Selbst Technologieführer und Spitzenunternehmen werden aber gerade in den Bereichen die Nachhaltigkeit und Validität ihrer IT-, Datenschutz- und Sicherheitskonzepte unter Beweis stellen müssen, bei denen es um sensible Datenverarbeitungsprozesse, um Datenschutzfolgeabschätzungen und große Chancen und Risiken geht. Dies betrifft nicht nur den Medizin- und Gesundheitssektor in Bezug auf Gesundheits-, Sexualdaten etc., sondern insbesondere Anwendungen, Clouds, Systeme und Apps, die landläufig mit dem Etikett „Software frisst alles“ und „Datenkraken“ und „Black Box“ versehen werden, ohne dass klar ist, ob sie dieses verdient haben. Bei grenzüberschreitenden Datenverarbeitungsprozessen, beim Datenaustausch im Konzernverbund, mit IT-Dienstleistern, Subunternehmern, gestreckten Auftragsverarbeitungsprozessen, komplexer Softwaresysteme, Cloud, mit Drittstaaten oder mit Geschäftsmodellen wie IoT, artificial intelligence (KI), sind Forschungs- und Entwicklungsabteilungen in der Wirtschaft gut beraten, im Dialog mit der Rechts- und Datenschutzabteilung zu sondieren, was zu tun ist und wer ggf. hinzugezogen werden sollte.

III. Umsetzungen bei KMU und Vereinen

KMU und Vereine kommen mit der DSGVO auch 2019 noch nicht richtig klar. Grobe Irrlichter und Kapriolen, seien sie aufgekommen in den Medien, bei Start-ups, Handwerksbetrieben, Logistikfirmen, Arztpraxen, Steuerberatern, Werbeagenturen, App-Entwicklern, Schulen oder Berufsverbänden und Kammern, flackern auf und wieder ab. Von der Behauptung, die DSGVO gelte im B2B-Bereich oder bei einzelnen Branchen gar nicht, bis hin zu Supersorgfaltsgeboten, kann man viel im Internet lesen. Insbesondere die Aufsichtsbehörden, aber auch die Beraterpraxis haben mitunter Aussagen treffen dürfen über den angeblichen Zwang, in der Arztpraxis nur behandeln zu dürfen, wenn der Patient die Datenschutzerklärung unterschrieben habe. Von Teilen der Ärzteschaft wird auch vertreten, es sei nur gestattet, im Wartezimmer den Patienten als „Schneewittchen“ (Mädchen) oder „He-Man“ (Junge) anzusprechen oder mit „Nr. 23“ aufrufen zu dürfen. Der Datenschutz gebiete fernerhin, das Briefkasten- und Klingelschilder anonymisiert oder abmontiert werden müssten. Der BfDI sah sich zur Klarstellung veranlasst, dass die Aufforderung zur Entfernung sämtlicher Klingelschilder „unnötig“ sei.

Von KMU und Wirtschaftsverbänden wird die Kritik an der DSGVO und dem europäischen Gesetzgebungsvorhaben insbesondere deshalb unterstrichen, weil die bereits im Zuge der Rechtssetzung geäußerten Vorbehalte, es werde mit der DSGVO eine fragwürdige Zunahme an Administration und Bürokratie erschaffen, und für KUM und Vereine würden Anforderungen statuiert, die viel eher auf die Großindustrie und für Behörden zugeschnitten seien. Insofern sieht bspw. der IT-Branchenverband Bitkom eine „starke Verunsicherung“ und dringenden Nachbesserungsbedarf.

Eklatante Defizite sind gegenwärtig noch auf der Ebene vieler Vereine und Sozial- und Kultureinrichtungen zu verzeichnen, da teilweise die notwendigen Umsetzungsarbeiten erst langsam aufgenommen wurden und werden.

Wichtige Unterstützung haben insbesondere Vereine von einzelnen Aufsichtsbehörden erhalten, die sich die Hilfe zur Selbsthilfe zum Credo gemacht, Informationsveranstaltungen und Veröffentlichungen bereitgestellt haben, um auf diese Weise Beschwerden konstruktiv vorzubeugen. Exemplarisch zu nennen ist hier Baden-Württemberg, das die personelle Stärke der Aufsichtsbehörde unter der Leitung von Dr. Stefan Brink auch auf über 60 Kräfte ausgebaut und diverse hilfreiche Informationsbroschüren bereitstellt, ebenso wie bspw. die Orientierungshilfen und Muster der Behörden aus Bayern und Hessen.

Hinweis der Redaktion: Der Beitrag wird in der Februar Ausgabe des Publicus fortgesetzt.