Die Datenschutzgrundverordnung – Was geschah seit Mai 2018 und was erwartet uns 2019?

Seit dem 25. Mai 2018 findet die Datenschutzgrundverordnung („DSGVO“) in den europäischen Mitgliedsländern unmittelbare Anwendung. Doch die Mehrzahl der Unternehmen ist laut einer Umfrage des Bitkom nicht datenschutzkonform: Lediglich 20 Prozent der Unternehmen haben die datenschutzrechtlichen Anforderungen vollständig erfüllt, 40 Prozent können zumindest größtenteils eine Umsetzung vorweisen. Ernüchternd ist die Tatsache, dass fünf Prozent der Unternehmen erst im September mit der Umsetzung der datenschutzrechtlichen Anforderungen begonnen haben.

Weitestgehende Unsicherheit bei der Umsetzung

Die mangelnde Umsetzung der DSGVO ist aber nicht das einzige Problem: Viele Unternehmen wissen schlicht nicht, wie sie die Verordnung ordnungsgemäß umsetzen sollen. Die Regelungen der DSGVO sind für viele nicht verständlich und eindeutig. Hinzu kommt die Unsicherheit durch weitere Gesetze wie das Bundesdatenschutzgesetz und die umgesetzten Regelungen der ePrivacy Richtlinie. Die ePrivacy Richtlinie regelt den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikation und wurde vor allem durch Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.

Trotz der zahlreichen Stellungnahmen der Aufsichtsbehörden zu einzelnen Themen, die Sie hier aufbereitet finden können, stellen sich viele Fragen: Wie informiert man den Betroffenen über die Verarbeitung seiner Daten und seine Rechte? Ist die Bereitstellung von Informationen auch bei dem Erhalten einer Visitenkarte oder gar beim Arztbesuch im Warteraum erforderlich? Darf ich bei einer Anmeldung in Papierform auf den Link zu meiner Datenschutzerklärung auf meiner Homepage verweisen? Wie binde ich Cookies datenschutzkonform auf meiner Website ein?

Cookies nur noch mit Einwilligung?

Zu letzterem Punkt äußerte sich die Datenschutzkonferenz („DSK“), die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz vor dem Wirksamwerden der DSGVO: Laut dem Positionspapier der DSK bedürfen Tracking Mechanismen (darunter fallen ggf. auch Cookies), die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, einer Einwilligung nach der DSGVO. Andere Normen, insbesondere der § 15 Abs. 3 Telemediengesetz, seien nicht mehr anzuwenden. Auf diese Bewertung folgte starke Kritik. Bislang wurde § 15 Abs. 3 Telemediengesetz als Rechtsgrundlage für Cookies bei pseudonymisierten Nutzerprofilen angewendet. Diese Rechtsgrundlage setzt wiederum keine Einwilligung, sondern lediglich die Unterrichtung des Betroffenen und die Möglichkeit eines Opt-outs, voraus. Durch das Positionspaper wird eine Norm von den Aufsichtsbehörden faktisch für unanwendbar erklärt. Dies ist insofern problematisch, da die Kompetenz der Normverwerfung nur dem Bundesverfassungsgericht zu steht.

Erstes EuGH Urteil zur DSGVO: Facebook-Fanpage benötigt eine Vereinbarung zur gemeinsamen Verantwortlichkeit

Auch der Europäische Gerichtshof (EuGH) hat sich zwischenzeitlich im Hinblick auf einen wichtigen Aspekt der DSGVO klarstellend geäußert. Der EuGH hat am 5. Juni 2018 entschieden (C-210/16), dass im Rahmen des Betreibens einer Facebook-Fanpage der Betreiber und Facebook als gemeinsame Verantwortliche im Sinne von Artikel 26 DSGVO anzusehen seien. Für das Betreiben einer datenschutzkonformen Fanpage heißt das wiederum, dass eine Vereinbarung zur gemeinsamen Verantwortlichkeit abgeschlossen werden muss. Facebook reagierte prompt und stellte eine „Seiten-Insights Ergänzung“ als Vereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung. Ob diese Umsetzung den datenschutzrechtlichen Anforderungen genügt, bleibt abzuwarten. Die Berliner Beauftragte für Datenschutz äußerte zumindest Zweifel an der Datenschutzkonformität der Ergänzung und führt seit Anfang November Anhörungsverfahren in Sachen Facebook-Fanpages durch.

DSGVO Verstöße grundsätzlich abmahnbar

Viele Unternehmen fürchteten die große Abmahnwelle, die mit der Datenschutzgrundverordnung erwartete wurde. Bis dato blieb diese allerdings aus. Nun hat aber das Oberlandesgericht Hamburg (3 U 66/17) – der Entscheidung des Landgerichts Würzburg folgend – entschieden, dass Verstöße gegen die DSGVO auch im Wege des Wettbewerbsrechts abmahnbar sind. Voraussetzung für die Abmahnbarkeit sei jedoch, dass es sich bei den jeweiligen Vorschriften um „Marktverhaltensregelungen“ handele. Dies sei im Einzelfall zu prüfen. Fest steht, dass nicht jeder DSGVO Verstoß pauschal abmahnfähig ist. Somit hat das erste oberinstanzliche Gericht über die Abmahnbarkeit entschieden. Daneben existieren Urteile des Landgerichts Wiesbaden (5 O 214/18) und des Landgerichts Bochum (I-12 O 85/18), nach denen die Regelungen der DSGVO zur Durchsetzung von Ansprüchen im Falle eines Verstoßes abschließend sind und eine Anwendung des Wettbewerbsrechts ausgeschlossen ist.

Horrende Bußgelder? In Deutschland bislang Fehlanzeige

Die Diskussion um die DSGVO war in der Öffentlichkeit von den drakonischen Strafen, die die DSGVO vorsieht, geprägt: Bußgelder bis zu 20 Millionen Euro oder – für globale Player noch beängstigender – 4 Prozent des weltweit erzielten Umsatzes. Bislang haben die Aufsichtsbehörden deutsche Unternehmen jedoch verschont und keine Bußgelder verhängt.

Ein Grund hierfür ist sicherlich die hohe Anzahl an Anfragen und Beschwerden zu Datenschutzverstößen, die bei den Aufsichtsbehörden seit Mai 2018 aufschlugen und mit den vorhandenen Ressourcender Aufsichtsbehörden nicht zu bewältigen sind. Die Hessische Aufsichtsbehörde betitelte sich jüngst selbst sogar als „Call-Center“.

Ein weiterer Grund mag auch die Tatsache sein, dass Bußgelder nach der DSGVO verhältnismäßig sein müssen. Dies setzt wiederum voraus, dass die jeweilige Maßnahme ein legitimes Ziel verfolgt, geeignet ist, das mildeste Mittel von mehreren darstellt sowie die Interessen der Beteiligten gebührend berücksichtigt. Denkbar ist es daher, dass der Bußgeldrahmen nicht direkt vollumfänglich ausgeschöpft wird, sondern vorerst mildere Maßnahmen durchgesetzt werden.

Aber Vorsicht: In Portugal hat die Datenschutzbehörde CNPD die erste europaweit substanzielle Geldstrafe wegen eines Verstoßes gegen die DSGVO verhängt. 400.000 Euro soll ein Krankenhaus in Portugal bezahlen, weil Patientendaten nicht ausreichend geschützt waren und zu viele Personen Zugriff auf diese Daten hatten.

Abschrecken in Berlin und Baden-Württemberg – Aufklären in Bayern

Deutsche Unternehmen sollten sich aber nicht zu früh freuen. Die Aufsichtsbehörden in Berlin und Baden-Württemberg haben angekündigt, noch bis zum Jahresende erste Bußgelder zu verhängen. In Baden-Württemberg sollen sogar Strafen in erheblichem Umfang für rechtswidrige Videoüberwachungen sowie Verletzungen des Schutzes personenbezogener Daten ergehen. Dieser Ankündigung ließen die Datenschützer in Baden-Württemberg nur teilweise Taten folgen:

Am 21. November 2018 erließen sie das erste deutschlandweite Bußgeld aufgrund eines Verstoßes gegen die DSGVO in Höhe von 20.000 Euro. Das Bußgeld erging gegen das Chatportal „Knuddels“ wegen der Speicherung von Passwörtern im Klartext. Entgegen der Mitteilung Strafen in erheblichem Umfang zu verhängen, entschied sich die Behörde in dem Fall Milde walten zu lassen. Aufgrund der sehr guten Kooperation mit der Aufsichtsbehörde und unter Berücksichtigung der finanziellen Gesamtbelastung für das Chatportal, hat das Unternehmen infolge des Verstoßes nur einen verhältnismäßig geringen Betrag zu zahlen. Hintergrund der vorbildlichen Zusammenarbeit war ein Hackerangriff auf das Chatportal, welches unverzüglich nach dem Angriff seiner Meldepflicht gegenüber der Aufsichtsbehörde und den Nutzern nachgekommen war. Die Aufsichtsbehörde versicherte, dass letztlich die Verbesserung von Datenschutz und Datensicherheit zähle und nicht der Wettbewerb um hohe Bußgelder. Es bleibt abzuwarten, wie die anderen Aufsichtsbehörden den Bußgeldrahmen ausschöpfen werden.

Diesem Ansatz wollen zumindest auch die Bayern folgen: Die bayerischen Datenschützer kündigten an, vorerst bei Verstößen gegen die DSGVO auf entsprechende Hinweise und Aufklärung zusetzen, anstatt auf abschreckende Bußgelder in Millionenhöhe.

Resumée und Ausblick

Die beschriebenen Entwicklungen in der Praxis von Verwaltung und Judikative zeigen, dass vieles noch im Fluss ist. Man wird abwarten müssen, wie die Aufsichtsbehörden und Gerichte mit einzelnen Problemen und Verstößen umgehen werden.

Einwilligung durch voreingestelltes Kästchen möglich?

Der EuGH (C-673/17) wird aufgrund einer Vorlagefrage des Bundesgerichtshofs (BGH) zu prüfen haben, ob eine mit einem voreingestellten Häkchen versehene Einwilligungserklärung in das Setzen von Cookies (ein sogenanntes Opt-out) eine wirksame Einwilligung im Sinne der veralteten Datenschutz-Richtlinie darstellt (RL 95/46/EG). Gleichzeitig hat der BGH erfreulicherweise die Frage vorgelegt, ob die Einwilligung auch nach der DSGVO rechtmäßig ist. Die Entscheidung ist mit Spannung zu erwarten. Denn genau genommen verlangt die DSGVO für die Einwilligung eine Erklärung oder eine sonstige eindeutig bestätigende Handlung.

Weitere Schlappe gegen Facebook?

Weiterhin wird der BGH Mitte Dezember darüber zu entscheiden haben (I ZR 186/17), ob die Datenübermittlung von Facebook an Betreiber kostenloser Computerspiele zulässig ist. Nutzer dieser Spiele werden von Facebook per Hinweis darüber informiert, dass sie, indem sie fortfahren, den Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien des jeweiligen Betreibers zustimmen, die dort verlinkt sind. Dies wird wohl den Anforderungen der DSGVO an eine Einwilligung nicht genügen.

ePrivacy in weiter Ferne?

Zusätzlich befindet sich die ePrivacy-Verordnung, die die ePrivacy-Richtlinie ablösen soll und vor allem die Sonderregelungen für den Bereich der elektronischen Kommunikation vorsehen wird, nach wie vor in der Abstimmung auf europäischer Ebene und wird in ferner Zukunft wohl auch auf uns zukommen. Der aktuelle Entwurf enthält unter anderem Ergänzungen zum sogenannten Kopplungsverbot und zur einwilligungslosen Verarbeitung personenbezogener Daten. Unter den Mitgliedsländern besteht derzeit jedoch keine Einigkeit, dass der Entwurf in der aktuellen Fassung verhandlungsfähig sei. Das Inkrafttreten der ePrivacy Verordnung ist für Ende 2019 geplant. Einen sicheren und einheitlichen Umgang mit dem Datenschutz wird es wohl vorerst nicht geben.

Dennoch gibt die DSGVO einen hohen Schutzstandard für die Rechte und Freiheiten natürlicher Personen vor und gilt für andere Länder außerhalb der EU als großer Vorreiter: Jüngst lobte Apple Chef Tim Cook die Verordnung und nannte sie ein „Vorbild für den globalen Datenschutz“. Auch der Bundesstaat Kalifornien ließ sich von der DSGVO inspirieren und hat den sog. California Consumer Privacy Act verabschiedet, der am 1. Januar 2020 in Kraft treten soll. Brasilien nahm die europäischen Vorgaben ebenfalls zum Vorbild und verabschiedete im August das „Lei Geral de Proteção de Dados“, das Anfang 2020 in Kraft treten soll.