Die neue europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 anwendbar. Aufgrund der hohen Anzahl von Abmahnungen, die in der kurzen Zeit bereits aufgetaucht sind, plant die Bundesregierung nun ein Abmahnverbot für die Übergangszeit bis 31. Dezember 2018.

Für Unternehmen, Vereine, Freiberufler und auch Behörden drohen seit dem 25. Mai sensible Strafen, wenn die rechtlichen Anforderungen der DSGVO nicht erfüllt werden. Für Führungskräfte birgt dies ein hohes Haftungsrisiko.

Datenschutzbehörden hatten zwar vor dem 25. Mai vor Panikmache aufgrund des Medienhypes gewarnt und in diesem Zusammenhang auch auf die übersichtliche Personalsituation in den Behörden hingewiesen. Trotzdem geht von Abmahnexperten und Konkurrenten eine gewisse Gefahr für Abmahnungen aus. Für die Abmahnexperten ein einträgliches Thema, für Konkurrenten eine Möglichkeit den Wettbewerbern Steine in den Weg zu legen.

Abmahnverbot soll nun kommen

Bereits im Koalitionsvertrag wurde vereinbart, gegen die Abmahnungen vorzugehen. Deshalb fordert die Unionsfraktion eine schnelle Gesetzesänderung, um Abmahnungen aufgrund (vermeintlicher) Missachtungen der DSGVO zu verbieten.

Da unbeabsichtigte Verstöße nicht vollständig zu vermeiden sind, möchte die Unionsfraktion der Übergangszeit die Wahrscheinlichkeit für Abmahnungen verringern. Geplant ist dies durch eine kurzfristige Gesetzesänderung, die in das Gesetzgebungsverfahren zur Einführung einer Musterfeststellungsklage, dass wahrscheinlich am 6. Juli 2018 verabschiedet wird, einfließen soll. Das Abmahnverbot könnte gegebenenfalls bereits im Juli in Kraft treten. Die Gesetzesänderung könnte verhindern, dass sich eine regelrechte Abmahnindustrieentwickelt. Des Weiteren könnten bereits Abgemahnte entlastet werden, denn selbst den Datenschutzbehörden missfallen die DSGVO-Abmahnungen.

Abmahnwelle direkt nach Inkrafttreten der neuen DSGVO

Bereits bei vorherigen Änderungen, insbesondere, wenn diese Gewerbetreibende im Internet betreffen, was häufig ein ausgeprägtes Abmahnverhalten von Konkurrenten oder darauf spezialisierten Anwälten zu beobachten. Im Hinblick auf die DSGVO hatte man jedoch mit anfänglicher Zurückhaltung gerechnet. Gründe dafür waren unter anderem, dass Datenschutzexperten der Meinung waren, Abmahnwillige würden zunächst warte, wie Behörden reagieren und welche Datenschutz-Verstöße genau sanktioniert werden. Denn auch der abmahnende geht das Risiko ein, die Kosten des Abmahnverfahrens selbst tragen zu müssen.

Die Datenschutzexperten haben sich jedoch geirrt. Direkt nach Inkrafttreten der neuen DSGVO kamen die ersten Abmahnungen, die sich in erster Linie gegen fehlende Datenschutzerklärungen und die Einbindung von Google Fonts richteten. Grund für die Abmahnung der Einbindung von Google Fonts und anderer von Google zur Verfügung gestellten Tools, ist die Weitergabe von Daten an einen externen Server ohne Zustimmung des Nutzers.

Wie verhält man sich im Falle einer Abmahnung?

Spätestens nach dem Eingang einer Mahnung sollte eine Datenschutzerklärung auf der Website eingebunden wird. Des Weiteren sollten Google Tools und Tools anderer großer Internetanbieter nur noch nach lokaler Speicherung eingebunden werden. Wichtig ist es, erst einmal Ruhe zu bewahren. In keinem Fall sollte man unbedacht eine Unterlassungsklärung unterzeichnen oder die Anwaltskosten bezahlen.

Im Falle einer Abmahnung lässt man sich am besten von einem Anwalt der auf Wettbewerbsrecht oder Datenschutzrecht spezialisiert ist, beraten. Nicht zu handeln, ist auf keinen Fall empfehlenswert, auch wenn eine Beanstandung durch die Datenschutzbehörde weitaus schwerer wiegt, da gegenüber dieser die Beweislastumkehr greift.

DSVGO: Die Datenschutz-Grundverordnung

Verantwortung

Gemäß Art. Art. 5 Abs. 2 DSGVO ist der Verantwortliche für den ordnungsgemäßen Umgang mit personenbezogenen Daten verantwortlich. Diesen muss er auch nachweisen können. In der EU-Datenschutzgrundverordnung ist zwar nicht explizit von konkreten Nachweispflichten die Rede, von einer Dokumentationspflicht kann jedoch ausgegangen werden. Verstöße gegen die DSGVO können hohe Bußgelder nach sich ziehen, deshalb ist davon auszugehen, dass Unternehmensverantwortliche in die Haftung genommen werden. Für die Sicherstellung eines DSGVO-konformen Umgangs mit personenbezogenen Daten ist das Management eines Unternehmens verantwortlich.

Aufgrund der häufig mangelhaften Vorbereitung auf die DSGVO gehen erwarten Versicherungsrechtler einen Anstieg von Mangerhaftpflichtfällen. Durch die Beweislastumkehr liegt die Beweispflicht nicht bei den durch unzureichenden Datenschutz Geschädigten, sondern beim Datenverarbeiter. Voraussetzung einer Haftung ist jedoch, dass dem Unternehmen ein Schaden entstanden ist, der auf eine Datenschutz-Pflichtverletzung zurück zu führen ist. Schäden können zum Beispiel ein Bußgeld oder die Kosten eines Anwalts sein.

Schutz personenbezogener Daten

Mit der neuen DSGVO hat die Europäische Union die Voraussetzung für den Schutz der personenbezogenen Daten gelegt umso die Persönlichkeitsrechte ihrer Einwohner zu stärken. In der DSGVO, Art. 1 Abs. 2 ist der Schutz der personenbezogenen Daten der EU-Bürger definiert. Die ethischen Grundsätze, nämlich Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit der erhobenen Daten, Integrität und Vertraulichkeit sowie Rechenschaftspflicht, sind in Art. 5 DSGVO definiert.

Anwendungsbereich

Bei jeder voll-, teil- und nicht automatisierter Datenverarbeitung, bei der personenbezogene Daten gespeichert werden beziehungsweise gespeichert werden sollen, findet die DSGV Anwendung (Art. 2 DSGVO). Der art. 4 DSGVO definiert personenbezogene Daten, als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürlich Person beziehen. Bereits handschriftliche Aufzeichnungen, die zur Vorbereitung der Datenerfassung dienen, gelten als personenbezogene Daten.

Analyse und Bewertung der Daten

Die Bewertung personenbezogener Daten, das sogenannte Prüfling, unterliegt gesondertem Datenschutz (Art. 4 Nr. 4 DSGVO). Definiert wird Prüfling als die Bewertung personenbezogener Daten für besondere Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben. Interessen, allgemein zu erwartendes Verhalten beziehungsweise sonstige Zukunftsaussichten.

Wird ein Prüfling gemäß Art. 4 Nr. 4 DSGVO durchgeführt, so muss der Durchführende den Betroffenen über die das Ausmaß und die Konsequenzen informieren. Das beinhaltet auch Informationen über den verwendeten Algorithmus und die angewendete Logik.

Auskunftsrecht

Laut Art. 15 DSGVO hat jeder EU-Bürger das Recht, ein Recht auf Auskunft über die Verarbeitung seiner personenbezogenen Daten. Dieses Auskunftsrecht umfasst zum Beispiel den Zweck der Verarbeitung, die Datenkategorie, den Empfänger der Daten, die Speicherdauer, eine Belehrung über das bestehende Recht auf Löschung sowie das Beschwerderecht gegenüber den Datenschutzbehörden.

Das Recht auf Löschung ist in Art. 17 DSGVO definiert und gibt dem Betroffenen das Recht auf Löschung seiner Daten unter Anderem bei Erreichen des Zwecks der Speicherung, bei Widerruf der erforderlichen Einwilligung, bei einem Widerspruch gemäß Art. 21 DSGVO oder bei unrechtmäßiger Datenverarbeitung. Der Art. 18 DSGVO gewährt ein Recht auf Beschränkung der Verarbeitung – unter ähnlichen Voraussetzungen.

Pflichten der Unternehmen

Für Unternehmen gelten seit dem 25. Mai 2018 einige neue Pflichten. Dazu gehören zum Beispiel die Meldepflicht bei Datenpannen und die Pflicht, möglichen Datenpannen vorzubeugen. Laut einiger Umfragen in Unternehmen, sind die Datenschutzverantwortlichen jedoch der Meinung, dass es, vor allem in größeren Unternehmen, noch Probleme bei der Einhaltung der DSGVO gibt. Im Bereich von komplexer Datenverwaltung sind sich einige große Unternehmen nicht bewusst, wo sich überall personenbezogene Daten befinden.

Häufig sind Probleme bei der Verschlüsselung oder Fragmentierung von Daten noch nicht gelöst. Datenschutzverantwortliche in große Unternehmen stehen der DSGVO, vor allem bei der Umsetzung deshalb noch kritisch gegenüber.

Datenschutzbeauftragter

In erster Linie ist die Unternehmensleitung für die Umsetzung und Einhaltung der DSGVO verantwortlich. Normalerweise muss ein Datenschutzbeauftragter bestimmt werden. Oftmals ist dies eine mit der Überwachung von Compliance beauftragte Person.

Aufsichtsbehörden

Die DSGVO besagt, dass alle Mitgliedstaaten eine Datenschutz-Aufsichtsbehörde bestimmen müssen, die jeweils für die Überwachung der Einhaltung der DSGVO zuständig ist.

Anspruch der Betroffenen

Entsteht einer Person durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden, so hat sie gemäß Art. 82 DSGVO Anspruch auf Schadenersatz gegen den Auftragsverarbeiter. Datenschutzexperten sehen dies einerseits positiv, da sich daraus eine verstärkte Bereitschaft zur Umsetzung der Datenschutz-Grundverordnung ergeben könnte, andererseits besteht die Gefahr, Abmahnwilligen eine Grundlage zu geben.

Bußgelder bei Verstößen

Die Höhe der möglichen Bußgelder ist in Art. 83 DSGVO geregelt und richtet sich nach Art und Schwere des Verstoßes, der Art der betroffenen Daten und ob der Verstoß vorsätzlich oder fahrlässig begangen wurde. Auch die Maßnahmen zur Schadensminderung und die Bereitschaft zur Kooperation mit der Datenschutz-Aufsichtsbehörde sind maßgeblich für die Höhe des Bußgeldes.

Die Bußgelder können bei einer Höhe von bis zu 10 Millionen Euro, beziehungsweise 2 % des weltweiten Jahresumsatzes, liegen. In besonders schweren Fällen von Verstößen gegen die Datenschutz-Grundverordnung können sogar Bußgelder bis zu einer Höhe von 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes fällig werden. Durch die enorme Höhe der Bußgelder, soll in erster Linie eine Abschreckungswirkung erzielt werden. Für die Unternehmen sollen sie ebenfalls als Anreiz dienen, die Vorschriften der Verordnung umzusetzen und einzuhalten.

Freiwillige Einwilligung

Für die Verarbeitung von personenbezogenen Daten muss seitens des Betroffenen eine Einwilligung vorliegen, die nur wirksam ist, wenn sie freiwillig erfolgt. § 28 Abs. 3b BDSG darf.

Ausnahmen

Österreich liefert Ansatzpunkte für die Entschärfung der DSGVO für Privatleute, Handwerker und Freiberufler. Dort müssen diese erst bei systematischen Verstößen gegen die Datenschutz-Grundverordnung mit Strafen rechnen. In Deutschland soll es jedoch keine gesetzlichen Änderungen geben, vielmehr sei es wichtig Vertrauen in die Arbeit der Datenschutzbehörden zu vermitteln.