Geschrieben am 29.05.2019 von:
Die Aufsichtsbehörden haben in Sachen DS-GVO schon Einiges geleistet. Seitdem am 25.05.2018 bei vielen Unternehmen eine mittlere bis größere Panik ausgebrochen war, haben die Landesbehörden und auch die Bundesbehörde in ihrem jeweiligen Zuständigkeitsbereich beraten und Informationen zur Verfügung gestellt. Doch wie gestaltet sich eigentlich die Arbeit in den Behörden? Wo liegen die Schwerpunkte und welche Fragen sind noch offen? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, berichtete am 16.05.2019 im Rahmen der Veranstaltung einiger großer rheinland-pfälzischer Unternehmen aus Sicht seiner Behörde über die Erfahrungen mit dem Datenschutzrecht in der Praxis der ersten 350 Tage.
Erste Einschätzungen und Datenschutzmanagement
Die DS-GVO hat sowohl Unternehmen als auch Bürger sehr stark in Bezug auf die Rechte und Pflichten im Bereich Datenschutz sensibilisiert. Die Verordnung hat das Persönlichkeitsrecht auf „Datenschutz“ in den Fokus gerückt und auch die Akzeptanz der Datenschutzbeauftragten in Unternehmen erhöht. Natürlich gibt es noch ungeklärte Einzelfragen, das ist nach Ansicht des Landesbeauftragten aber bei neuen Gesetzen völlig normal.
Wichtig ist, dass auch kleine und mittelständische Unternehmen ein Datenschutzmanagement implementieren, unabhängig davon ob ein Datenschutzbeauftragter bestellt wird oder nicht. Dazu müssen zu allererst sämtliche Datenverarbeitungen analysiert und bewertet werden – der Landesbeauftragte nennt dies einen „digitalen Kassensturz“. Die dann einzuführenden Prozesse haben sich an der Schutzbedürftigkeit der verarbeiteten personenbezogenen Daten sowie am konkreten Risiko für die Betroffenen zu orientieren, d.h. sie müssen angemessen sein. Es besteht also durchaus Spielraum in Bezug auf Kosten und Aufwand.
Was macht die Aufsichtsbehörde eigentlich?
Wenn es um die Tätigkeit von Behörden geht, denken viele Menschen nur an die Verhängung von Bußgeldern. Das ist jedoch nicht die Hauptaufgabe der Datenschutzaufsichtsbehörden, denn in erster Linie sollen diese die Grundrechte der Bürger schützen und aufklären. Gerade die Erfüllung von Betroffenenrechten ist den Behörden ein wichtiges Anliegen, weshalb hierauf in der Praxis ein besonderes Augenmerk gelegt wird. Wenn sich sehr viele Betroffene über ein Unternehmen beschweren, kommt es in der Regel zu einer Prüfung durch die Behörde.
Die Behörde hat dabei verschiedene Befugnisse: Eine Verwarnung wird ausgesprochen, wenn ein begangener Verstoß gegen die DS-GVO im Nachhinein festgestellt wird. Der Landesbeauftragte zieht hier einen Vergleich zur „gelben Karte“ im Fußball. Anweisungen oder Anordnungen können ausgesprochen werden, um weitere Verstöße in der Zukunft zu vermeiden. Hierbei handelt es sich um einen Verwaltungsakt – ähnlich einer Verwarnung bei überhöhter Geschwindigkeit im Straßenverkehr. Das bekannteste Handlungsinstrument ist dann die Verhängung von Geldbußen, von denen es seit dem 25.05.2018 in Deutschland noch nicht viele gegeben hat. Prof. Dr. Kugelmann gibt in diesem Zusammenhang aber zu bedenken, dass bereits einige Bußgeldverfahren laufen und nur noch zu Ende gebracht werden müssen. Die Behörden benötigen eine gewisse Zeit zur Prüfung, um einen rechtssicheren Bescheid zu erlassen. Zurücklehnen können sich Unternehmen also nicht.
Der Landesbeauftragte gab an dieser Stelle noch einen kurzen Überblick zur Anzahl der Betroffenenbeschwerden und den laufenden Verfahren in Europa insgesamt. Die deutschen Behörden arbeiten hier eng mit den Kollegen in der EU zusammen und tauschen sich auch in fachlicher Hinsicht aus. Das ist nicht zuletzt aufgrund des Anstiegs der grenzüberschreitenden Fälle notwendig.
Kernpunkte der zukünftigen Auseinandersetzung mit der DS-GVO
Trotz der intensiven Auseinandersetzung mit der neuen Verordnung gibt es noch einige ungeklärte Einzelfragen, mit denen sich die Behörden und auch Unternehmen in der Zukunft auseinandersetzen müssen. Insbesondere die Reichweite der verschiedenen Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO und deren Abgrenzung untereinander wird ein wichtiges Thema – auch für Gerichte – sein. Ebenfalls klärungsbedürftig ist die Ausgestaltung der Pflichtinformationen nach Art. 13 DS-GVO. Diese werden von vielen Unternehmen entweder zu detailliert oder zu allgemein formuliert, was im Ergebnis beides zu Intransparenz bei den Betroffenen führt. Auch der Auskunftsanspruch aus Art. 15 DS-GVO und das Recht auf Kopie der eigenen personenbezogenen Daten bereitet Kopfzerbrechen, da dieses Recht in der Vergangenheit beinahe nie ausgeübt wurde und es dementsprechend kaum praktische Erfahrungen hiermit gibt.
Die Auftragsverarbeitung ist und bleibt ein Dauerbrenner, vor allem, weil es hier sehr viele unterschiedliche Auffassungen gibt. Das neue Konstrukt der gemeinsamen Verantwortlichkeit hat in diesem Komplex noch weitere Fragen aufgeworfen, die nur durch die Rechtsprechung geklärt werden können. Der Europäische Gerichtshof hat hier ja bereits einige Urteile gefällt, die in der Praxis für Handlungsbedarf gesorgt haben.
Der Landesbeauftragte zieht am Ende seines Vortrags das Fazit: „Die DS-GVO ist ein Erfolg“. Das Thema ist in den Fokus gerückt, die Unternehmen haben (endlich) mit der Umsetzung der gesetzlichen Vorgaben begonnen und die Betroffenen sind ebenfalls wachsamer geworden. Er gibt aber auch zu bedenken: „Datenschutz ist nichts für Faulpelze“ und „Datenschutz ist nichts für Feiglinge“. Die Arbeit muss schließlich gemacht werden und man muss sich auch trauen, bestimmte Prozesse anzustoßen.