Bilanz des 13. Europäischen Datenschutztages am 28. Januar 2019 in Berlin
Seit nun acht Monaten ist die EU-Datenschutz-Grundverordnung (nachfolgend „DSGVO“) unmittelbar geltendes Recht. Ergänzt wird die DSGVO um zahlreiche nationale Regelungen wie z. B. das Bundesdatenschutzgesetz, die Landesdatenschutzgesetze und mehr als 150 Fachgesetze, die entsprechend den vorhandenen Öffnungsklauseln ebenfalls zu berücksichtigen sind.
Am 28. Januar 2019 fand in Berlin der 13. Europäische Datenschutztag statt. Die Bilanz des Datenschutztages, an dem Vertreter der Aufsichtsbehörden, Politik und Wirtschaft sowie zwei Mitarbeiter der Creditreform Compliance Services GmbH vertreten waren, stellt sich wie folgt dar.
Selten wühlt ein Thema die Gemüter vieler so auf, wie die DSGVO. Dies zeigte sich bei den Vorträgen und Erfahrungsberichten der Gäste aus Politik und Praxis. Die DSGVO ist bei den Menschen angekommen! Die befürchtete Abmahnwelle ist dabei glücklicherweise ausgeblieben.
Die DSGVO kann im Großen – trotz der Überreaktionen, der Bedenken, der Unsicherheiten und des vorhandenen Interpretationsbedarfs – als gelungen bezeichnet werden. Sie bedarf allerdings einer Umsetzung mit Augenmaß sowie der Nachjustierung im Detail, ohne dass alles neu gemacht werden müsste. Dabei kommt es u. a. darauf an, die Datenschutzstandards nicht zu minimieren, sondern diese in einigen Bereichen praxistauglicher zu gestalten.
Der Konkretisierungsbedarf ist durch die Aufsichtsbehörden und die Praxis auszufüllen, dies erfolgt z. B. durch Kurzpapiere, Orientierungshilfen, aber auch Urteile.
Die eigentliche Neuerung der DSGVO ist ein gestärktes System an Sanktionen und deren Durchsetzung. So wird mit der DSGVO das Thema Datenschutz zur Compliance Frage in Unternehmen und die Position der Aufsichtsbehörden gestärkt. Hier erfolgte eine Orientierung am Kartellrecht, damit Marktverletzungen nicht schwerer wiegen als Grundrechtsverletzungen.
Neu sind daher u. a. die Sanktionsmöglichkeiten in Art. 83 Abs. 1 DSGVO z. B. für die Nicht-Umsetzung des technischen Datenschutzes.
Dabei ist die DSGVO technologieneutral und technologieoffen und damit zeitlos formuliert. Insbesondere der Gedanke Privacy by Design ist kein Novum. Privacy by Design erfordert das Treffen von geeigneten technischen und organisatorischen Maßnahmen (TOMs), um die Datenschutz-grundsätze umzusetzen. Dies bedeutet insbesondere Datenminimierung durch Pseudonymisierung oder Anonymisierung, Einsatz von Verschlüsselungsmethoden und Transparenz für die Betroffenen.
Erste Beispiele, wo die Umsetzung des technischen Datenschutzes in der EU geahndet wurde, sind uns allen bekannt.
So war es die Knuddels GmbH, die mit einem Bußgeld von 20.000 Euro belegt wurde, weil sie Passwörter ihrer Nutzer im Klartext, also unverschlüsselt speicherte. Gegenüber dem CHBM-Klinikum in Portugal hat die zuständige Aufsichtsbehörde in Portugal ein Bußgeld in Höhe von 400.000 Euro verhängt. Denn obwohl ein rollenbasiertes Rechtekonzept vorhanden war, war die Rolle „Arzt“ und damit die den Ärzten vorbehaltenen Zugriffsrechte auf Patientendaten, zahlreichen weiteren Personen zugewiesen.
Nicht zuletzt durch solche und andere Datenskandale ist der Datenschutz ins öffentliche Interesse gerückt und der Stellenwert des Datenschutzes in der Öffentlichkeit deutlich gewachsen.
Neben den positiven Erfahrungen zeigte die Diskussion aber auch, dass es gerade die kleinen bis mittleren Unternehmen (KMU) sind, wie z. B. Handwerksbetriebe, die von großen Unsicherheiten bei der Umsetzung der DSGVO betroffen sind und die Vorgaben der Verordnung deshalb teilweise ablehnen. Die Umsetzung der DSGVO bindet Ressourcen und erfordert ein Know-how, welches oft erst hinzugekauft werden muss. Zwar ist der risikobasierte Ansatz in der DSGVO verankert und damit Erleichterungen für kleinere Unternehmen möglich, jedoch führt z. B. die Vereinfachung in der DSGVO, wonach ein Verarbeitungsverzeichnis erst ab 250 Beschäftigten zu führen ist, meist ins Leere. Denn sobald Mitarbeiterdaten (und damit auch besondere Kategorien von Daten wie Erkrankungen, Religionszugehörigkeit, etc.) verarbeitet werden, dürfte die Ausnahme für keinen Handwerksbetrieb anwendbar sein. Insofern bedarf es auch hier einer Anpassung der bisherigen Prozesse mit Augenmaß und zugleich einer kritischen Prüfung, ob die notwendigen Prozesse und Dokumentationen etabliert sind.
Dabei sind viele der Pflichten, die Unternehmen zu erfüllen haben, nicht erst mit der DSGVO entstanden. Die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn in der Regel mindestens 10 Beschäftigte mit der automatisierten Datenverarbeitung personenbezogener Daten betraut sind, gab es schon lange vor der DSGVO. Ebenso die Pflicht, Verträge mit Auftragsverarbeitern abzuschließen. Erst die neuen Sanktionsmöglichkeiten haben hier den Fokus verstärkt.
Letztlich bedarf es zur Schaffung einer gewissen Transparenz für die Betroffenen neuer Zertifizierungsverfahren, die die vorhandenen Datenschutzmanagement-Systeme im Unternehmen betrachten. So kann der Datenschutz auch zum Wettbewerbsvorteil werden.
FAZIT: Die DSGVO enthält nicht nur Verbote, sondern eröffnet auch Möglichkeiten. Beides erfordert eine sachliche Diskussion, die der 13. Europäische Datenschutztag ermöglicht hat. Wichtiger noch, er hat gezeigt, dass das Thema Datenschutz und DSGVO noch nicht abschließend geklärt ist und dass es noch viele offene Fragen gibt, auf welche die Antworten erst noch durch die Aufsichtsbehörden und Gerichte gegeben werden müssen. Bei alldem wird die Angemessenheit und Verhältnismäßigkeit im Einzelfall eine Rolle spielen.
Autorin:
Natalia Wozniak
Rechtsanwältin
Senior Consultant Datenschutz und Compliance
Creditreform Compliance Services GmbH
