WirtschaftsWoche: Herr Strufe, was hat sich durch die DSGVO bisher verändert?
Thorsten Strufe, Informatik-Professor: Aus Sicht der Informatik hat sich eigentlich gar nicht so viel grundlegend verändert. Vor der DSGVO hat bereits das Bundesdatenschutzgesetz festgelegt, wie Daten und Systeme gesichert werden müssen. Bei der DSGVO kommen einige neue Ideen hinzu, die technisch aber keine sehr großen Umstellungen verursachen. Die DSGVO hat die Menschen aber wachgerüttelt. Sie machen sich wegen der Androhung hoher Strafen jetzt mehr Gedanken über den Schutz von Daten. Das hätten sie eigentlich schon vorher tun müssen.
Die Strafen können bis zu vier Prozent des Jahresumsatzes betragen. Wie weit sind die Behörden bei der Überprüfung?
Strufe: Bisher sehen wir kaum Gerichtsverfahren und große Strafen. Das liegt sicher auch daran, dass die Vorbereitung der Prozesse dauert und diese dann auch erst einmal angestrengt werden müssen. In Frankreich werden momentan die ersten Strafen ausgesprochen. Hier sehen wir, dass den großen Firmen vors Schienenbein getreten wird, sicher auch um eine Signalwirkung zu erzeugen. Unter anderem dafür, dass nicht alle Maßnahmen von Unternehmen für den Datenschutz umsonst waren.
Vor einem Jahr herrschte große Unsicherheit darüber, welche Maßnahmen denn jetzt tatsächlich notwendig sind. Ist das mittlerweile geklärt?
Anne Lauber-Rönsberg, Jura-Professorin: Wir sind ein Stück weitergekommen, aber sehr viel mehr Rechtssicherheit hat das Jahr noch nicht gebracht. In vielen Bereichen gibt es noch keine Rechtsprechung, die die einzuhaltenden Standards klärt. Auch die nationalen Gesetzgeber haben sehr spät reagiert. Die DSGVO ist schon im Jahr 2016 in Kraft getreten. Seitdem wussten wir also, was im Mai 2018 auf uns zukommen würde, wenn sie offiziell zur Anwendung kommt. Für die Unternehmen ist problematisch, dass die nationalen Anpassungsgesetze erst kurz vor Mai 2018 verabschiedet wurden. Immerhin wurden die wesentlichen gesetzlichen Grundlagen in Deutschland – im Gegensatz zu einigen anderen EU-Mitgliedstaaten – damit noch fristgerecht geschaffen.
Entstehen dadurch all die DSGVO-Gerüchte?
Strufe: Ja, verschiedene Parteien nutzen den Mangel an Beschlüssen, um Realitäten zu erschaffen. Sie versuchen, die Realität dahin zu verschieben, dass dieses oder jenes de-facto Standard, oder unvermeidlich sei – und damit erlaubt sein müsse. Viele dieser Behauptungen sind aus technischer Sicht leider immer noch unsinnig, Daten können viel besser geschützt und ihre Erhebung vollkommen ohne funktionelle Verluste in viel größerem Maße vermieden werden, als man häufig hört.
Zum Beispiel?
Strufe: In der DSGVO ist häufig vom überwiegenden Interesse die Rede. Eine ganze Reihe von Industrien, die in der Vergangenheit rücksichtslos mit Daten umgegangen sind, sagen jetzt: wenn wir die DSGVO umsetzen, gehen wir pleite und deshalb machen wir so weiter wie bisher, weil unser Interesse am Firmenerhalt überwiegt. Das ist natürlich etwas fragwürdig. Wir sollten da sinnvoll aufklären und dann die Gerichtsentscheide abwarten.
Ein beliebtes Gerücht ist auch, dass kleine Vereine durch die DSGVO in Existenznöte kommen. Wie sehen Sie das?
Strufe: Die Aufsichtsbehörden haben kein Interesse daran, Vereine oder kleine Firmen über die Maßen zu bestrafen. Kommt es zu einer Untersuchung, haben kleine Firmen oder Vereine in der Regel Zeit, Auflagen umzusetzen und dann noch einmal geprüft zu werden. Bei größeren Firmen kann man aber schon davon ausgehen, dass sie ausreichend Ressourcen haben um die Verordnung korrekt umzusetzen und es wissen müssten. Diese könnten also von Anfang an auch bestraft werden.
Wenn eine Firma sanktioniert wird, liegt die Strafe dann immer bei vier Prozent?
Lauber-Rönsberg: Ein Bußgeld darf maximal vier Prozent des weltweiten Jahresumsatzes betragen. Die genaue Höhe hängt aber immer von der Schwere des Verstoßes ab: war er vorsätzlich oder fahrlässig? Gab es frühere Verstöße? Wie gut arbeitet das Unternehmen mit den Behörden zusammen? All diese Fragen müssen geklärt werden. Wie schon nach der früheren Rechtslage gilt weiterhin, dass Geldbußen nicht unverhältnismäßig sein dürfen.
Wie hoch waren die Strafen vor der DSGVO?
Lauber-Rönsberg: Geldbußen durften nach dem alten Bundesdatenschutzgesetz maximal 300.000 Euro betragen. Durch die Vier-Prozent-Grenze der DSGVO können bei großen Unternehmen jetzt erheblich größere Summen bis hin zu Millionenbeträgen anfallen.
