Als Peter Hense am 25. Mai 2018 in den Zug stieg, schien die Sonne. „Die Welt war noch nicht untergegangen“, sagt er und lacht. Hense ist Jurist für Datenschutzrecht. Heute kann er einen Witz darüber machen. Am Tag selbst soll aber wohl den wenigsten Unternehmern zu Lachen zumute gewesen sein. Am 25. Mai ist nämlich die europäische Datenschutzgrundverordnung wirksam geworden. Verstöße können seit diesem Tag mit Bußgeldern in Höhe von bis zu vier Prozent des Jahresumsatzes bestraft werden. Doch was ist passiert seit dem sonnigen Tag im Mai 2018?
Zuerst einmal nicht viel: Die großen Abmahnwellen sind ausgeblieben und die Datenschutzbehörden begannen, Unternehmen über notwendige Maßnahmen aufzuklären. Im Laufe der Monate wurden dann die ersten Datenschutzverstöße angezeigt. Mittlerweile sind mehr als 95.000 Beschwerden bei den Datenschutzbehörden eingegangen. Die Europäische Kommission hat im Januar bekannt gegeben, dass mehrere Verfahren gegen Unternehmen in der EU laufen und dass einige von ihnen die Höchststrafe von vier Prozent des Jahresumsatzes bekommen könnten. In Deutschland wurden laut einer Auswertung der Wirtschaftsprüfer von EY im ersten Jahr 42 Bußgelder verhängt und 54 Verwarnungen ausgesprochen.
Wirklich große Bestrafungen hat es bereits drei gegeben: Deutschland hat 20.000 für das soziale Netzwerk Knuddels wegen unsicherer Nutzerdatenspeicherung verhängt, für ein belgisches Sportwetten-Café gab es 5280 Euro Strafe wegen unrechtmäßiger Videoüberwachung und Frankreich hat Google eine Geldstrafe von 50 Millionen Euro aufgedrückt, weil sie ihre Nutzer nicht um Zustimmung für die Schaltung von Werbeanzeigen gebeten hatten. Hense findet es gut, dass Prozesse in Gang kommen. „Ohne solch einen Druck fragt sich jedes Unternehmen: warum kümmere ich mich überhaupt um den Datenschutz?“
Doch ein Unternehmen scheint unter den obigen zu fehlen. Das soziale Netzwerk Facebook stand schließlich wegen Datenpannen in den vergangenen Monaten und Jahren am häufigsten in der Kritik. Das Unternehmen hat mehrfach eingeräumt, Nutzerdaten fahrlässig behandelt zu haben. Das ist im Falle von Facebook besonders gefährlich, weil viele Nutzer ihren Facebook-Zugang auch für andere Dienste verwenden. Ulrich Kelber (SPD), der Bundesbeauftragte für den Datenschutz, ist fassungslos: „Facebook setzt seine Kunden einem unnötigen Risiko aus. Das ist in etwas so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert“, sagte Kelber in einer Erklärung. Doch sanktioniert wurde Facebook bisher nicht. Kelber selbst sind in diesem Fall die Hände gebunden. Für Facebook ist nämlich der irische Datenschutzbeauftragte zuständig, weil Facebook dort seinen EU-Firmensitz angemeldet hat.
Mehr Bußgelder im zweiten Jahr der DSGVO?
Die verschiedenen Zuständigkeiten sind nur eine Hürde bei der Umsetzung der DSGVO. Die nationalen Datenschutzbehörden haben momentan noch damit zu tun, Unternehmen zu informieren und Empfehlungen für die Implementierung der DSGVO zu geben. Doch auch die großen Prozesse in Deutschland werden kommen, ist Rechtsanwalt Hense überzeugt. „Es ist typisch deutsch, die Dinge erst einmal vollständig zu durchdringen“, sagt er. Er rechnet für 2020 vermehrt mit Bußgeld-Forderungen und Klagen von Betroffenen.
Bis dahin gebe es vermutlich auch mehr eindeutige Rechtsprechungen zur konkreten Auslegung der DSGVO. „Viele unserer Kunden fragen uns, welche Maßnahmen denn nun wirklich nötig sind“, sagt Thomas Regier vom Datenschutzunternehmen DataGuard. Doch auch er könne trotz diverser Rechts- und IT-Experten an seiner Seite nicht immer eindeutige Antworten geben. Eine bis dahin ungeklärte Frage hat ein Gerichtsurteil Anfang April beantwortet. Der Europäische Datenschutzausschuss hat sich geeinigt, dass die Verarbeitung von Nutzerdaten nur dann in Ordnung ist, wenn sie zur Vertragserfüllung wirklich gebraucht werden. Wenn ein Unternehmen also beispielsweise personenbezogene Onlinewerbung schaltet, kann sie das nicht mehr mit Vertragserfüllung begründen.
Dass die DSGVO schon 2016 in Kraft getreten ist und im Mai 2018 erst zur Anwendung kam, ignorierten bis dahin viele Unternehmen. Ebenso wie das Bundesdatenschutzgesetz, das es schon davor gegeben hatte. „Viele Firmen wollten quasi über Nacht DSGVO-konform werden“, erinnert sich Thomas Regier von DataGuard. „Das ging natürlich nicht“, sagt er. Er riet seinen Kunden dazu, sich zuerst um alles zu kümmern, was von außen einsehbar ist, die Datenschutzerklärung auf der Homepage zum Beispiel. Das sollte die Kunden vor Abmahnanwälten schützen, die nach genau solchen Dingen suchen könnten.
Rückblickend sagt er: „Das Thema führte berechtigterweise zu Verzweiflung bei Kleinunternehmen.“ Im Mai 2018 ging bei DataGuard ein Anruf von der Geschäftsführerin einer Druckerei ein. Ihr Großkunde hätte ihr gesagt, sie bräuchte einen Datenschutzbeauftragten und sie müsse die DSGVO umsetzen, sonst dürfte sie für den Kunden keine Flyer mehr drucken. „Vier Personen haben dort Flyer gedruckt. Da wurden überhaupt keine personenbezogenen Daten verarbeitet“, sagt Regier. Ein Team von DataGuard fuhr zur Druckerei, prüfte die Prozesse und die Druckerei konnte ihren Auftraggeber behalten.
Die DSGVO schreibt vor, dass Betriebe ab zehn Mitarbeitern einen Datenschutzbeauftragten brauchen, die Druckerei brauchte also keinen. Zugangsbeschränkungen zu diesem Beruf gibt es übrigens keine, ein kurzer Lehrgang reicht aus. „Ein Datenschutzbeauftragter muss Ahnung von IT und Recht haben“, sagt Thomas Regier von DataGuard. „Sonst googlen selbst die Datenschutzbeauftragten panisch ihre Fragen, glauben irgendwelchen Unsinn und schaden damit dem Unternehmen“, sagt er.
