Recht und Steuern
Reinhard Neises
Tel.: 0651 9777-450
Fax: 0651 9777-405
neises@trier.ihk.de
-
01.05.2019
Nach Gebrauch sofort zu löschen
Ein Jahr Datenschutzgrundverordnung - Wo stehen wir?
-
Dieser Text ist vom 01.05.2019 und könnte inhaltlich veraltet sein.
Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Sie hat ein einheitliches Datenschutzrecht in allen Mitgliedsstaaten gebracht, gleichzeitig aber die Unternehmen vor enorme Herausforderungen gestellt und stark in Anspruch genommen. Auch wenn sich die DSGVO sehr an den Vorschriften des deutschen Datenschutzrechtes orientiert, mussten viele Prozesse in den Betrieben überarbeitet und angepasst werden. Ein betriebliches Datenschutzmanagement ist nun unbedingt erforderlich.
Weiter offene Fragen
In vielen Betrieben sind die Umsetzungsarbeiten sicherlich noch nicht vollständig abgeschlossen. Dies liegt auch daran, dass die DSGVO viele unbestimmte Rechtsbegriffe verwendet und die damit verbundenen Fragen noch nicht abschließend geklärt sind. Bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten stellt sich weiterhin die Frage, wann ein Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist. Auch im Beschäftigtendatenschutz sind noch viele Punkte offen und von der Rechtsprechung zu klären, wie etwa die Frage, ob und wann ein Mitarbeiter freiwillig in die Datenverarbeitung einwilligen kann.
Abmahnwelle bleibt bislang aus
Die befürchtete Abmahnwelle ist erfreulicherweise bisher ausgeblieben. Nur vereinzelt wurden Abmahnungen ausgesprochen, so auch aktuell von einem Verein wegen unverschlüsselter Internetseiten. Umstritten ist weiterhin, ob Datenschutzverstöße überhaupt abgemahnt werden können. Die bisher ergangenen Gerichtsentscheidungen liefern leider kein einheitliches Bild. Teilweise lehnen die Gerichte einen wettbewerbsrechtlichen Unterlassungsanspruch ab, andere sehen sehr wohl die DSGVO als eine den Wettbewerb regelnde Norm an. Das Hanseatische Oberlandesgericht in Hamburg stellt auf den Einzelfall ab und kommt zu dem Ergebnis, dass die datenschutzrechtlichen Regelungen in bestimmten Konstellationen marktregelnden Charakter haben können und daher abmahnfähig sind. Die vorhandene Unsicherheit bleibt. Es ist zu hoffen, dass der Gesetzgeber hier die auch von der IHK-Organisation geforderte Klarheit schafft und den wettbewerbsrechtlichen Abmahnungsweg verschließt.
Aufklärung und Bußgelder
Die datenschutzrechtlichen Aufsichtsbehörden, so auch der rheinland-pfälzische Beauftragte für den Datenschutz und die Informationsfreiheit (LfDI), sind weiterhin schwerpunktmäßig in der Aufklärung und Beratung tätig, geben Hinweise und sprechen zuerst Verwarnungen aus. Gleichwohl wurden von den deutschen Aufsichtsbehörden auch schon erste Bußgelder verhängt, unter anderem bei unzulässiger Videoüberwachung, unzulässiger Mailansprache, Verletzung des Vermieterfragerechts und Nutzung von Dashcams. Die bisher in Deutschland bekannt gewordenen Bußgelder liegen unter 100 000 Euro und damit weit unter dem von der DSGVO zulässigen Rahmen von 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes.
In nahezu allen Fällen ging das Einschreiten der Aufsichtsbehörden auf Beschwerden von betroffenen Personen zurück. Sowohl diese Eingaben, als auch die Zahl der gemeldeten Datenpannen haben mit der DSGVO stark zugenommen.
EU-Privacy-Verordnung steht vor der Tür
Im nächsten Jahr muss die EU-Kommission dem Parlament und dem Rat einen Bericht vorlegen. An dieser Diskussion über die Inhalte und die Umsetzung der DSGVO wird sich die IHK-Organisation beteiligen und dabei Probleme ansprechen sowie Vorschläge für Verbesserungen beziehungsweise Erleichterungen unterbreiten.
Ob und welche Veränderungen kommen, ist derzeit noch nicht absehbar. Die Unternehmen müssen daher weiterhin die Regelungen der DSGVO sowohl bei der Verarbeitung von Kunden- und Lieferantendaten als auch der Mitarbeiterdaten beachten. Hinzu kommt, dass die EU mit der Privacy-Verordnung weitere Regeln zum Datenschutz vorbereitet und einen ersten Entwurf vorgelegt hat. Damit soll in Ergänzung zur DSGVO ein hohes Schutzniveau für die Daten im Bereich der elektronischen Kommunikation garantiert werden. Die IHK-Organisation wird auch diesen Prozess kritisch begleiten.
Weiter offene Fragen
In vielen Betrieben sind die Umsetzungsarbeiten sicherlich noch nicht vollständig abgeschlossen. Dies liegt auch daran, dass die DSGVO viele unbestimmte Rechtsbegriffe verwendet und die damit verbundenen Fragen noch nicht abschließend geklärt sind. Bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten stellt sich weiterhin die Frage, wann ein Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist. Auch im Beschäftigtendatenschutz sind noch viele Punkte offen und von der Rechtsprechung zu klären, wie etwa die Frage, ob und wann ein Mitarbeiter freiwillig in die Datenverarbeitung einwilligen kann.
Abmahnwelle bleibt bislang aus
Die befürchtete Abmahnwelle ist erfreulicherweise bisher ausgeblieben. Nur vereinzelt wurden Abmahnungen ausgesprochen, so auch aktuell von einem Verein wegen unverschlüsselter Internetseiten. Umstritten ist weiterhin, ob Datenschutzverstöße überhaupt abgemahnt werden können. Die bisher ergangenen Gerichtsentscheidungen liefern leider kein einheitliches Bild. Teilweise lehnen die Gerichte einen wettbewerbsrechtlichen Unterlassungsanspruch ab, andere sehen sehr wohl die DSGVO als eine den Wettbewerb regelnde Norm an. Das Hanseatische Oberlandesgericht in Hamburg stellt auf den Einzelfall ab und kommt zu dem Ergebnis, dass die datenschutzrechtlichen Regelungen in bestimmten Konstellationen marktregelnden Charakter haben können und daher abmahnfähig sind. Die vorhandene Unsicherheit bleibt. Es ist zu hoffen, dass der Gesetzgeber hier die auch von der IHK-Organisation geforderte Klarheit schafft und den wettbewerbsrechtlichen Abmahnungsweg verschließt.
Aufklärung und Bußgelder
Die datenschutzrechtlichen Aufsichtsbehörden, so auch der rheinland-pfälzische Beauftragte für den Datenschutz und die Informationsfreiheit (LfDI), sind weiterhin schwerpunktmäßig in der Aufklärung und Beratung tätig, geben Hinweise und sprechen zuerst Verwarnungen aus. Gleichwohl wurden von den deutschen Aufsichtsbehörden auch schon erste Bußgelder verhängt, unter anderem bei unzulässiger Videoüberwachung, unzulässiger Mailansprache, Verletzung des Vermieterfragerechts und Nutzung von Dashcams. Die bisher in Deutschland bekannt gewordenen Bußgelder liegen unter 100 000 Euro und damit weit unter dem von der DSGVO zulässigen Rahmen von 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes.
In nahezu allen Fällen ging das Einschreiten der Aufsichtsbehörden auf Beschwerden von betroffenen Personen zurück. Sowohl diese Eingaben, als auch die Zahl der gemeldeten Datenpannen haben mit der DSGVO stark zugenommen.
EU-Privacy-Verordnung steht vor der Tür
Im nächsten Jahr muss die EU-Kommission dem Parlament und dem Rat einen Bericht vorlegen. An dieser Diskussion über die Inhalte und die Umsetzung der DSGVO wird sich die IHK-Organisation beteiligen und dabei Probleme ansprechen sowie Vorschläge für Verbesserungen beziehungsweise Erleichterungen unterbreiten.
Ob und welche Veränderungen kommen, ist derzeit noch nicht absehbar. Die Unternehmen müssen daher weiterhin die Regelungen der DSGVO sowohl bei der Verarbeitung von Kunden- und Lieferantendaten als auch der Mitarbeiterdaten beachten. Hinzu kommt, dass die EU mit der Privacy-Verordnung weitere Regeln zum Datenschutz vorbereitet und einen ersten Entwurf vorgelegt hat. Damit soll in Ergänzung zur DSGVO ein hohes Schutzniveau für die Daten im Bereich der elektronischen Kommunikation garantiert werden. Die IHK-Organisation wird auch diesen Prozess kritisch begleiten.
