Happy Birthday DSGVO!

Wir wissen, was Sie letztes Jahr im Mai gemacht haben! Ganz
klare Sache, denn genau morgen vor einem Jahr trat die europäische
Datenschutz-Grundverordnung (DSGVO) in Kraft. Das riesige Medienecho kam einer
Hysterie nah und die Angst abmahn- oder bußgeldgefährdet zu sein, breitete sich
wie ein Lauffeuer aus.

Wie sieht die Stimmung nach einem Jahr aus? Haben wir uns
etwas beruhigt und sind wir verantwortungsbewusster im Umgang mit
personenbezogenen Daten geworden?

Dr. Carsten Föhlisch, Rechtsanwalt und E-Commerce Rechtsexperte seit 2000, gibt anlässlich des 1-jährigen Geburtstages eine Lageeinschätzung.

1 Jahr DSGVO – Was
hat sich geändert?

Mittlerweile nehmen alle Unternehmen das Thema Datenschutz
sehr ernst. Das war nicht immer so: In der Vergangenheit war die Bußgeldhöhe
sehr viel geringer, so dass zahlreiche Unternehmen das Thema überhaupt nicht
auf der Agenda hatten.

Nun drohen tatsächlich Bußgelder, die früher nur bei
Kartellverstößen üblich waren und kleine und große Unternehmen massiv schädigen
können. Daher ist das Thema Datenschutz überall zur Chefsache geworden. Hinzu
kommt eine sehr viel größere Bedeutung von Datenschutz bei der Kundschaft.
Immer mehr Kunden legen großen Wert auf das Thema und nehmen auch ihre sogenannten
Betroffenenrechte wahr.

Hat sich die
Grundstimmung zur DSGVO zum Positiven gewendet?

Zwar gibt es noch viele Baustellen und Unklarheiten, aber
insgesamt scheinen viele Unternehmen das Thema Datenschutz auch als
Wettbewerbsvorteil zu sehen. Der europäische Nutzer legt zumindest immer mehr
Wert auf Privatheit. Eine große Chance für europäische Firmen, sich im globalen
Wettbewerb, insbesondere mit Unternehmen aus den USA oder China, beim Kunden
positiv abzugrenzen.

War die Hysterie
berechtigt?

Die in der Presse befürchtete Abmahnwelle ist bislang
ausgeblieben. Zwar gab es kurz nach Inkrafttreten der DSGVO einige unseriöse
Abmahnungen. Diese konnten jedoch (zumindest von uns) sofort und ohne Kosten
abgewehrt werden.

Mehrere Gerichte haben sich schon mit der Frage beschäftigt,
ob Konkurrenten überhaupt berechtigt sind, Datenschutzverstöße abzumahnen.
Viele Landgerichte sagen, die DSGVO sei abschließend, d. h. es seien nur
Behörden-Bußgelder, jedoch keine Konkurrenten-Abmahnungen möglich. Dies ist
auch die Auffassung der DSK (Datenschutzkonferenz).

Das OLG Hamburg sieht hingegen (je nach Verstoß) auch
Abmahnungen durch Mitbewerber als berechtigt an. Ob dies künftig noch zu einer
“Welle” führen wird, darüber gehen die Meinungen auseinander.
Allerdings sind die Datenschutzbehörden in einem Jahr bereits durchaus aktiv
gewesen, so dass auch für mittelständische Unternehmen ein echtes Risiko
vorhanden ist. Dabei geht es nicht nur um Kosten, sondern auch Reputation,
Aufwand oder Einschränkung unternehmerischer Freiheit.

Was waren die lustigsten
DSGVO-Mythen?

Ich selbst war Weihnachten in der Kirche und der Pastor
sagte, wegen der DSGVO dürften keine Fotos mehr vom Krippenspiel der Kinder
gemacht werden, da jeder schriftlich einwilligen müsse und dies nicht
praktikabel sei.

Nach dem Krippenspiel gab es dann aber doch ein Gruppenfoto
– und zwar ohne Opt-In. Das ist ja auch ok, solange ich das Foto nicht auf
Facebook poste. Bei meinem Hausarzt und Friseur sollte ich ebenfalls darin
einwilligen, dass meine Daten gespeichert und verarbeitet werden. Das versteht
sich natürlich von selbst, ohne das kann ich ja gar nicht behandelt bzw. bedient
werden.

Dies ist wohl der größte Irrtum: Die Einwilligung des
Betroffenen ist nur eine von sechs Rechtsgrundlagen aus Art. 6 DSGVO. Daneben
gibt es z. B. auch noch die Vertragsabwicklung oder das sogenannte überwiegende
berechtigte Interesse. Hinzu kommen Spezialgesetze wie das KUG
(Kunsturhebergesetzes) oder auch das deutsche TMG (Telemediengesetz), deren
Anwendbarkeit bzw. Verhältnis zur DSGVO noch gar nicht abschließend geklärt
ist.

Die Unsicherheit ist groß, aber jedenfalls ist es falsch,
dass man immer und überall einwilligen muss.

Sind wir kritischer
im Umgang mit personenbezogenen Daten geworden?

Auf jeden Fall! Auch wenn die befürchtete „Abmahnwelle“
bislang ausgeblieben ist, nehmen Online-Händler das Thema Datenschutz sehr viel
ernster, was zu begrüßen ist. Auch viele Kunden machen seit der DSGVO erstmals
von Rechten Gebrauch, die sie zwar auch schon unter Geltung des alten
Datenschutzrechts hatten, jedoch nun durch die zahlreiche Berichterstattung,
Muster bei Verbraucherzentralen und dergleichen davon immer wieder erfahren
haben.

Mittlerweile sehen wir beispielsweise täglich Löschungs-
oder Auskunftsverlangen. Hierauf sollte jeder Händler vorbereitet sein, da
spätestens innerhalb eines Monats qualifiziert darauf geantwortet werden muss,
um weitere Eskalationen zu vermeiden.

Wie viele
DSGVO-Verstöße wurden bisher bestraft?

Presseberichten zufolge haben die deutschen
Datenschutzbehörden bislang etwa 50 Bußgelder zwischen unter 1.000 und 80.000 €
pro Fall verhängt. Aus Frankreich wird berichtet, dass die dortige Behörde
(CNIL) ein 50 Millionen Bußgeld gegen Google ausgesprochen hat, dieser Bescheid
ist jedoch noch nicht rechtskräftig.

In Portugal hat eine Behörde eine Million € gegen ein
Krankenhaus verhängt. Hinzu kommen dürften Fälle, über die in der Presse nicht
berichtet wurde.

Ein tatsächlich von den Behörden praktiziertes Vorgehen ist,
von Unternehmen das Verarbeitungsverzeichnis zu verlangen. Viele haben immer
noch keins. Die Behörde kommt dann nach einer Woche wieder und verhängt, wenn
immer noch keins vorhanden ist, ein Bußgeld. Kürzlich wurde angekündigt, bald
Untersagungsbescheide gegen Betreiber von Facebook Fanpages zu versenden. Es
bleibt also spannend.

Wo gibt es in den
Unternehmen noch Optimierungsbedarf?

Baustellen sind häufig noch nicht vorhandene Löschkonzepte
oder Verfahrensverzeichnisse in allen Unternehmensbereichen sowie transparente
Einwilligungen. Hier ist besonders die Rechtsunsicherheit zu Cookies, Tracking
und Targeting unbefriedigend: Während die Datenschutzkonferenz für alle
Tracking- und Targeting-Cookies, bei denen Drittanbieter zum Einsatz kommen,
Opt-Ins für nötig halten, raten Anwälte häufig noch zum berechtigten Interesse
als Rechtsgrundlage.

Ob, wann und mit welchem Inhalt die ePrivacy-Verordnung
kommt, ist weiterhin unklar. Aus Furcht vor Bußgeldern setzen viele Unternehmen
Content-Management-Tools auf ihrer Website ein. Ohne die richtigen Texte sind
diese Tools aber nur Placebos. Bei fehlender Interessenabwägung habe ich dann
gar keine Rechtsgrundlage, weil ein Text à la „Um Ihnen ein optimales
Einkaufserlebnis zu bieten, setzen wir Cookies ein. Indem Sie weitersurfen,
erklären Sie sich einverstanden.“ natürlich keine Einwilligung ist.

Lassen Sie es nicht darauf
ankommen eine Abmahnung zu kassieren, sondern setzen Sie Ihre
datenschutzrechtlichen Pflichten um. Das schützt Sie nicht nur vor Bußgeldern
sondern macht auch einen guten Eindruck bei Ihren Kunden. Wenn Sie gar nicht
wissen, welche gesetzlichen Anforderungen Sie erfüllen müssen, schauen Sie sich
doch unsere Lösung Datenschutz 360 an. Alles, was Sie wirklich brauchen, um
Ihren Online-Shop sicher und datenschutzkonform zu betreiben.