2 Jahre DSGVO, 187 Bußgelder allein im Jahr 2019 und eine Rekord-Bußgeldsumme von 14,5 Millionen Euro, die die Berliner Datenschutzbehörde gegen einen deutschen Immobilienkonzern verhängt hat. Clarissa Benner, LL.M., Syndikusrechtsanwältin beim eco zieht im Interview Bilanz zur DSGVO. Zudem erklärt die Anwältin, warum sich Unternehmen mit der Umsetzung der DSGVO nach wie vor schwertun. Das eco GDPR Playbook mit praktischen Umsetzungstipps und Orientierungshilfen zeigt Lösungswege zur rechtskonformen Umsetzung der DSGVO auf und steht in Kürze kostenlos zum Download bereit.
Am 25. Mai 2020 gilt die Datenschutz-Grundverordnung (DSGVO) bereits seit zwei Jahren in den EU-Mitgliedsstaaten. Bis Ende Mai 2020 soll die DSGVO gemäß Artikel 97 überprüft werden. Wie fällt Ihr Zwischenfazit zur DSGVO aus?
Clarissa Benner: Grundsätzlich ist ein einheitlicher EU-weiter Rechtsrahmen sehr zu begrüßen. Mittlerweile haben einzelne Abteilungen innerhalb der Unternehmen zumindest ein Gefühl dafür entwickelt, wann die Vorgaben der DSGVO zu beachten sind. Allerdings haben die Aufsichtsbehörden deutsche Unternehmen bei der Umsetzung der Vorgaben der DSGVO weitestgehend im Stich gelassen. Hilfestellungen und Prozessvorlagen wurden gar nicht oder zu spät veröffentlicht. Wären diese im Vorfeld vorhanden gewesen, hätten viele Missverständnisse verhindert werden können, wie beispielsweise das Schwärzen von Fotos in Kindergärten oder die Frage, ob Namen noch auf Klingelschilder abgedruckt werden dürfen.
2019 wurden auf Basis der DSGVO 187 Bußgelder verhängt. Auch die Zahl der Bußgelder ist laut Handelsblatt drastisch gestiegen. So wurde beispielsweise gegen einen Mobilfunk- und Festnetzkonzern ein Bußgeld von 9,55 Millionen Euro verhängt. Warum gelingt es Unternehmen aus Ihrer Sicht nach wie vor nicht, die DSGVO rechtskonform umzusetzen?
Benner: Unternehmen fehlen weiterhin Umsetzungshilfen zur einheitlichen Anpassung der Unternehmensprozesse an die Vorgaben der DSGVO. Es sind weiterhin zahlreiche Fragen unbeantwortet, wie die Vorgaben der DSGVO richtig zu handhaben sind. Kleinen Unternehmen fehlt außerdem das Personal und das Know-how, um den Vorgaben gerecht zu werden.
In Unternehmen herrscht weiterhin Unsicherheit was die Umsetzung der DSGVO betrifft. Welche Bereiche bei der Umsetzung des Datenschutzes bereiten denn besondere Probleme? Und wie können Unternehmen hier Abhilfe schaffen?
Benner: Eine Herausforderung resultiert daraus, dass die DSGVO zum Beispiel kein Konzernprivileg kennt. Nach der DSGVO werden Unternehmen, die einem Konzern angehören nicht als eine einheitlich-speichernde Stelle, sondern als eigenständige Einheiten behandelt. Der Austausch von Daten innerhalb des Konzerns ist daher nicht ohne Weiteres zulässig. So stellt beispielsweise das Versenden von Personal- oder Kundendaten per E-Mail an eine ausländische Niederlassung datenschutzrechtlich eine Datenübermittlung dar. Gerade bei Datenübermittlungen in Drittstaaten müssen daher EU-Standardvertragsklauseln oder Binding Corporate Rules geschlossen werden.
Die DSGVO kennt außerdem keine Unterscheidung von B2B und B2C, sondern behandelt alle gleich. Dies ist gerade für die Arbeit zwischen den Unternehmen mit viel bürokratischem Aufwand verbunden. Zum Beispiel müsste man, wenn man die DSGVO ganz genau nimmt, den Übergeber einer Visitenkarte schon bei deren Entgegennahme über sämtliche Betroffenenrechte und Verarbeitungstätigkeiten etc. informieren.
Außerdem wäre es sinnvoll, wenn die Aufsichtsbehörden den Unternehmen mehr Mustertexte und Praxisbeispiele an die Hand geben würden, in denen Fragen geklärt werden, wie zum Beispiel: Wann genau brauche ich eine Vereinbarung zur Auftragsvereinbarung, wann einen Vertrag zur gemeinsamen Verantwortlichkeit und wann sind die Unternehmen nebeneinander verantwortlich?
Beispiele für rechtskonforme Einwilligungstexte wären auch hilfreich, sozusagen Guidelines für Marketeers, in denen die Frage geklärt wird, wann ich eine Einwilligung brauche und wann ich mich auf mein berechtigtes Interesse stützen kann.
Die DSGVO war nur der Anfang – was kommt in Sachen ePrivacy-Verordnung noch auf uns zu?
Benner: Das lässt sich gar nicht so einfach sagen. Denn eigentlich sollte die ePrivacy-Verordnung mit der DSGVO am 25.5.2018 in Kraft treten. Sie soll insbesondere die Verwendung von Cookies und die Übermittlung von Direktwerbung an Endnutzer mittels elektronischer Kommunikation regeln. Allerdings konnten sich die Mitgliedsstaaten bis heute auf keinen gemeinsamen Gesetzesentwurf einigen. Zuletzt hat die kroatische Ratspräsidentschaft am 21.2.2020 den Mitgliedsstatten einen überarbeiteten Text der ePrivacy-Verordnung vorgestellt. Jetzt ist die Überzeugungsarbeit der kroatischen Ratspräsidentschaft gefragt. Es ist jedoch nicht mit einem Inkrafttreten der ePrivacy- Verordnung vor 2023 zu rechnen und damit nicht mit einer unmittelbaren Gültigkeit vor 2025. Klar ist jedenfalls, dass es für eine unbestimmte Zeit weiterhin zahlreiche offene Fragen im Bereich der elektronischen Kommunikation geben wird.
Vielen Dank für das Interview, Frau Benner.
