Wir wissen, was Sie letztes Jahr im Mai gemacht haben! Ganz klare Sache, denn genau morgen vor einem Jahr trat die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Das riesige Medienecho kam einer Hysterie nah und die Angst abmahn- oder bußgeldgefährdet zu sein, breitete sich wie ein Lauffeuer aus.

Wie sieht die Stimmung nach einem Jahr aus? Haben wir uns etwas beruhigt und sind wir verantwortungsbewusster im Umgang mit personenbezogenen Daten geworden?

Dr. Carsten Föhlisch, Rechtsanwalt und E-Commerce Rechtsexperte seit 2000, gibt anlässlich des 1-jährigen Geburtstages eine Lageeinschätzung.

1 Jahr DSGVO – Was hat sich geändert?

Mittlerweile nehmen alle Unternehmen das Thema Datenschutz sehr ernst. Das war nicht immer so: In der Vergangenheit war die Bußgeldhöhe sehr viel geringer, so dass zahlreiche Unternehmen das Thema überhaupt nicht auf der Agenda hatten.

Nun drohen tatsächlich Bußgelder, die früher nur bei Kartellverstößen üblich waren und kleine und große Unternehmen massiv schädigen können. Daher ist das Thema Datenschutz überall zur Chefsache geworden. Hinzu kommt eine sehr viel größere Bedeutung von Datenschutz bei der Kundschaft. Immer mehr Kunden legen großen Wert auf das Thema und nehmen auch ihre sogenannten Betroffenenrechte wahr.

Hat sich die Grundstimmung zur DSGVO zum Positiven gewendet?

Zwar gibt es noch viele Baustellen und Unklarheiten, aber insgesamt scheinen viele Unternehmen das Thema Datenschutz auch als Wettbewerbsvorteil zu sehen. Der europäische Nutzer legt zumindest immer mehr Wert auf Privatheit. Eine große Chance für europäische Firmen, sich im globalen Wettbewerb, insbesondere mit Unternehmen aus den USA oder China, beim Kunden positiv abzugrenzen.

War die Hysterie berechtigt?

Die in der Presse befürchtete Abmahnwelle ist bislang ausgeblieben. Zwar gab es kurz nach Inkrafttreten der DSGVO einige unseriöse Abmahnungen. Diese konnten jedoch (zumindest von uns) sofort und ohne Kosten abgewehrt werden.

Mehrere Gerichte haben sich schon mit der Frage beschäftigt, ob Konkurrenten überhaupt berechtigt sind, Datenschutzverstöße abzumahnen. Viele Landgerichte sagen, die DSGVO sei abschließend, d. h. es seien nur Behörden-Bußgelder, jedoch keine Konkurrenten-Abmahnungen möglich. Dies ist auch die Auffassung der DSK (Datenschutzkonferenz).

Das OLG Hamburg sieht hingegen (je nach Verstoß) auch Abmahnungen durch Mitbewerber als berechtigt an. Ob dies künftig noch zu einer “Welle” führen wird, darüber gehen die Meinungen auseinander. Allerdings sind die Datenschutzbehörden in einem Jahr bereits durchaus aktiv gewesen, so dass auch für mittelständische Unternehmen ein echtes Risiko vorhanden ist. Dabei geht es nicht nur um Kosten, sondern auch Reputation, Aufwand oder Einschränkung unternehmerischer Freiheit.

Was waren die lustigsten DSGVO-Mythen?

Ich selbst war Weihnachten in der Kirche und der Pastor sagte, wegen der DSGVO dürften keine Fotos mehr vom Krippenspiel der Kinder gemacht werden, da jeder schriftlich einwilligen müsse und dies nicht praktikabel sei.

Nach dem Krippenspiel gab es dann aber doch ein Gruppenfoto – und zwar ohne Opt-In. Das ist ja auch ok, solange ich das Foto nicht auf Facebook poste. Bei meinem Hausarzt und Friseur sollte ich ebenfalls darin einwilligen, dass meine Daten gespeichert und verarbeitet werden. Das versteht sich natürlich von selbst, ohne das kann ich ja gar nicht behandelt bzw. bedient werden.

Dies ist wohl der größte Irrtum: Die Einwilligung des Betroffenen ist nur eine von sechs Rechtsgrundlagen aus Art. 6 DSGVO. Daneben gibt es z. B. auch noch die Vertragsabwicklung oder das sogenannte überwiegende berechtigte Interesse. Hinzu kommen Spezialgesetze wie das KUG (Kunsturhebergesetzes) oder auch das deutsche TMG (Telemediengesetz), deren Anwendbarkeit bzw. Verhältnis zur DSGVO noch gar nicht abschließend geklärt ist.

Die Unsicherheit ist groß, aber jedenfalls ist es falsch, dass man immer und überall einwilligen muss.

Sind wir kritischer im Umgang mit personenbezogenen Daten geworden?

Auf jeden Fall! Auch wenn die befürchtete „Abmahnwelle“ bislang ausgeblieben ist, nehmen Online-Händler das Thema Datenschutz sehr viel ernster, was zu begrüßen ist. Auch viele Kunden machen seit der DSGVO erstmals von Rechten Gebrauch, die sie zwar auch schon unter Geltung des alten Datenschutzrechts hatten, jedoch nun durch die zahlreiche Berichterstattung, Muster bei Verbraucherzentralen und dergleichen davon immer wieder erfahren haben.

Mittlerweile sehen wir beispielsweise täglich Löschungs- oder Auskunftsverlangen. Hierauf sollte jeder Händler vorbereitet sein, da spätestens innerhalb eines Monats qualifiziert darauf geantwortet werden muss, um weitere Eskalationen zu vermeiden.

Wie viele DSGVO-Verstöße wurden bisher bestraft?

Presseberichten zufolge haben die deutschen Datenschutzbehörden bislang etwa 50 Bußgelder zwischen unter 1.000 und 80.000 € pro Fall verhängt. Aus Frankreich wird berichtet, dass die dortige Behörde (CNIL) ein 50 Millionen Bußgeld gegen Google ausgesprochen hat, dieser Bescheid ist jedoch noch nicht rechtskräftig.

In Portugal hat eine Behörde eine Million € gegen ein Krankenhaus verhängt. Hinzu kommen dürften Fälle, über die in der Presse nicht berichtet wurde.

Ein tatsächlich von den Behörden praktiziertes Vorgehen ist, von Unternehmen das Verarbeitungsverzeichnis zu verlangen. Viele haben immer noch keins. Die Behörde kommt dann nach einer Woche wieder und verhängt, wenn immer noch keins vorhanden ist, ein Bußgeld. Kürzlich wurde angekündigt, bald Untersagungsbescheide gegen Betreiber von Facebook Fanpages zu versenden. Es bleibt also spannend.

Wo gibt es in den Unternehmen noch Optimierungsbedarf?

Baustellen sind häufig noch nicht vorhandene Löschkonzepte oder Verfahrensverzeichnisse in allen Unternehmensbereichen sowie transparente Einwilligungen. Hier ist besonders die Rechtsunsicherheit zu Cookies, Tracking und Targeting unbefriedigend: Während die Datenschutzkonferenz für alle Tracking- und Targeting-Cookies, bei denen Drittanbieter zum Einsatz kommen, Opt-Ins für nötig halten, raten Anwälte häufig noch zum berechtigten Interesse als Rechtsgrundlage.

Ob, wann und mit welchem Inhalt die ePrivacy-Verordnung kommt, ist weiterhin unklar. Aus Furcht vor Bußgeldern setzen viele Unternehmen Content-Management-Tools auf ihrer Website ein. Ohne die richtigen Texte sind diese Tools aber nur Placebos. Bei fehlender Interessenabwägung habe ich dann gar keine Rechtsgrundlage, weil ein Text à la „Um Ihnen ein optimales Einkaufserlebnis zu bieten, setzen wir Cookies ein. Indem Sie weitersurfen, erklären Sie sich einverstanden.“ natürlich keine Einwilligung ist.

Lassen Sie es nicht darauf ankommen eine Abmahnung zu kassieren, sondern setzen Sie Ihre datenschutzrechtlichen Pflichten um. Das schützt Sie nicht nur vor Bußgeldern sondern macht auch einen guten Eindruck bei Ihren Kunden. Wenn Sie gar nicht wissen, welche gesetzlichen Anforderungen Sie erfüllen müssen, schauen Sie sich doch unsere Lösung Datenschutz 360 an. Alles, was Sie wirklich brauchen, um Ihren Online-Shop sicher und datenschutzkonform zu betreiben.

image_pdfPDFimage_printDrucken