- 25.05.23
- Lesedauer: 5 Minuten
Die Datenschutz-Grundverordnung wird 5 Jahre alt! Interview
Im Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Durch sie soll das Datenschutzrecht in der Europäischen Union vereinheitlicht und modernisiert werden. Die Regelungen der DSGVO verpflichten unmittelbar die Unternehmen in den Mitgliedsstaaten der Europäischen Union, sich an bestimmte Rechtmäßigkeitsvoraussetzungen für die Datenverarbeitung zu halten und stärken zudem die Rechte der Betroffenen auf Information und Auskunft. Bei Verstößen gegen die Vorschriften der DSGVO müssen die Unternehmen mit Verarbeitungsverboten oder Geldbußen rechnen.
Iris Duch, MLE, Rechtsanwältin & Chief Privacy Officer, und Rechtsanwalt Dr. Andreas Pagiela haben über die Jahre hinweg viel mit der DSGVO gearbeitet. Anlässlich des DSGVO-Jahrestags geben sie uns einen persönlichen Rückblick zu ihren Erfahrungen und der Entwicklung der DSGVO.
Eine erste Einschätzung:Wo steht die DSGVO an Ihrem 5. Geburtstag?
Dr. Andreas Pagiela: Die DSGVO ist in der Wirtschaft angekommen würde ich sagen. Sie hat tatsächlich den Datenschutz auf ein neues Level gehoben und Unternehmen hochgradig für diese Themen sensibilisiert.
Iris Duch, LL.M.: Dem schließe ich mich eindeutig an. Schwierigkeiten gibt es häufig dann, wenn die zahlreichen Betroffenenrechte umzusetzen sind. Da sind gerade kleinere Unternehmen häufig verwundert, was den Bürgern nach der DSGVO so zusteht. Bei großen Unternehmen ist es eher der Mehraufwand, welcher erhebliche Verwaltungskosten verursacht.
Bei dem inkrafttreten der Verordnung wurden Bussgeldwellen für Unternehmen befürchtet, die sich nicht an die Regelungen halten können oder wollen.Kam es tatsächlich vermehrt zu den befürchteten Bescheiden?
Iris Duch, LL.M.: Das Bußgeld für den Meta Konzern mit 1,2 Milliarden Euro ist ja gerade in aller Munde. Aber das darf nicht davon ablenken, dass im Ergebnis die meisten Bußgelder moderat – also im Bereich von unter € 10.000,00 – ausfallen. Von Einzelfällen abgesehen natürlich – und diese Einzelfälle erhöhen das Risiko für Unternehmen insgesamt. Gerade die Schrems-II-Rechtsprechung des EuGH hat mit Blick auf Datentransfers außerhalb der EU und insbesondere im Wechsel mit den USA für Verunsicherung gesorgt. Man darf gespannt sein, ob die EU durch einen neuen Angemessenheitsbeschluss auch für Unternehmen endlich eine Erleichterung schafft. Andernfalls sind ähnliche Bußgelder in der Größenordnung wie gegen Meta beschieden, nicht auszuschließen.
Dr. Andreas Pagiela: Die in der Mehrzahl – für Unternehmen – eher geringeren Beträge werden zwar durchgehend ausgesprochen. Jedoch sollte man dies in den Kontext anderer Bußgeldverfahren setzen: Wie viele Bußgelder werden in anderen Bereichen des Ordnungswesens ausgesprochen?! Da ist die DSGVO im Regelfall kein Ausreißer.
Iris Duch, LL.M.: Andererseits stellt sich für mich hier eine Grundsatzfrage: Will die Europäische Union tatsächlich Unternehmen noch mehr belasten? Gibt es nicht andere Wege, den Datenschutz zu sichern und zu implementieren? Ich befürchte, dass Unternehmen bei zunehmenden Belastungen durch Umsetzungspflichten aus dem Bereich EU-Compliance, ggf. risikofreudiger werden und eher eine Haltung des Verzichts einnehmen. Frei nach dem Motto: „Wenn ich es nicht richtig machen kann, dann lasse ich es eben bleiben“.
Natürlich wäre dies nicht sachgerecht, aber es ist eben nicht nur die DSGVO, die Unternehmen erheblichen Aufwand und Ressourcenbindung abverlangt. Als Beispiel benenne ich gerne das Lieferkettensorgfaltspflichtengesetzt. Die DSGVO hat ihre Berechtigung, aber man muss aufpassen, dass dem Datenschutz nicht insgesamt durch Unklarheiten in der Umsetzung und übertriebene Härte ein Bärendienst erwiesen wird.
Wurden die Unternehmen denn tatsächlich vorwiegend belastet oder sind Ihnen auch positive Reaktionen und Folgewirkungen aufgefallen?
Iris Duch, LL.M.: Die Bedeutung des Datenschutzes hat die DNA vieler Unternehmen geradezu durchdrungen. Wenn man früher „einfach mal“ eine E-Mail mit offenem Verteiler versendet hat, so passiert dies heute nur noch aus Versehen. Für Datenschutzverstöße sind mittlerweile weit überwiegend Notfallkonzepte umgesetzt, die sehr gut funktionieren.
Dr. Andreas Pagiela: Dazu haben die Bürgerinnen und Bürger nun selbst ein Instrumentarium an der Hand, mit dem sie Unternehmen im Bezug auf den Umgang mit ihren Daten unter Druck setzen können. Anders als im Zivilrecht können Bürger die Datenschutzbehörden der Länder oder des Bundes anrufen, wenn ihre Rechte nicht gewahrt werden. Zusätzlich zu den Gerichten steht ihnen damit ein starker Fürsprecher zu Seite.
Iris Duch, LL.M.: Auch die Unternehmen haben erkannt, dass der Schutz personenbezogener Daten zugleich Schutz der Unternehmensinteressen ist. Ich denke hier an zufriedene Kundinnen und Kunden und sinkende Zahlen von Forderungsfällen durch Datenmissbrauch.
Was für rechtliche Problemfragen stellen sich aktuell im Zusammenhang mit der Verarbeitung Personenbezogener Daten und der DSGVO?
Dr. Andreas Pagiela: Sehr viele! Man muss grundsätzlich sehen, dass eine rechtliche Regelung stets im Zusammenspiel zwischen Gesetzgeber, Rechtsprechung und gesellschaftlichen Entwicklungen entsteht. Dabei kann es Jahre dauern, bis die Rechtsprechung letzttinstanzlich offene Fragen entscheidet. Die DSGVO ist mit ihren 5 Jahren noch ein sehr junges Gesetz; es wird lange dauern, bis alle Auslegungsfragen geklärt sind.
Iris Duch, LL.M.: Viele Fragen sind noch offen. Abgesehen von vielen Einzelthemen ist dies die grundsätzliche Frage nach dem Zusammenspiel der DSGVO mit anderen Rechtsgebieten. Im Strafrecht gilt der eherne Grundsatz, sich nicht selbst belasten zu müssen – wie weit müssen dann Unternehmen ggf. ihre Datenschutzverstöße melden? Im Zivilrecht gilt das Verbot des Ausforschungsbeweises: Jede Partei ist dafür verantwortlich, ihre Beweise selbst beizubringen. Mit der DSGVO kann man dies theoretisch aushebeln, indem man eine Datenauskunft verlangt. Wie weit und wie ausführlich ein Auskunftsanspruch greift, ist jedoch ebenfalls umstritten bzw. wird durch jüngere Rechtsprechung ausgeformt.
Das klingt tatsächlich nach Verbesserungspotential.Haben Sie denn konkrete Vorschläge, um die DSGVO für die Praxis noch tauglicher zu machen?
Iris Duch, LL.M.: Die große Herausforderung im Rahmen der DSGVO ist die Balance zwischen wirksamer Rechtsdurchsetzung für die Bürgerinnen und Bürger – und praktikablen Lösungen für die Wirtschaft. Von letzterem profitieren die Bürgerinnen und Bürger letztlich auch.
Dr. Andreas Pagiela: Beispiel Cookie Banner: Vom Ansatz her ist es vollkommen richtig, bereits beim Aufruf über die Datenverarbeitung zu informieren und Entscheidungsfreiheit einzuräumen. Wenn in der Praxis jedoch die Banner zumeist nur „weggeklickt“ werden – dann muss eine andere, eine bessere Lösung her.
Iris Duch, LL.M.: Das ist ein gutes Beispiel. Hier möchte ich den EU-Parlamentariern mehr Mut zusprechen, die DSGVO aus allen Richtungen – dem Schutz der EU-Bürgerinnen und -Bürger und dem Blickwinkel der Wirtschaft zu betrachten. Vor allem jedoch: Kreative Lösungen zu finden. Die Rechtsprechung kann und darf nur den Gesetzestext auslegen. Wenn es um wirklich neue Ansätze geht, ist stets die Legislative, das EU-Parlament gefragt.
Welche Erwartungen kann man Ihrer Einschätzung nach an die Entwicklung des Europäischen Datenschutzes haben?
Dr. Andreas Pagiela: Die Länder Europas und die EU sollten sich vorerst auf die weitere Implementierung der DSGVO und die entsprechende Rechtsprechung konzentrieren. Wie so oft im Rechtswesen wird nach neuen Regelungen gerufen – wo man doch nur die bestehenden umfassend anwenden müsste.
Iris Duch, LL.M.: Ich denke, dass der Schutz personenbezogener Daten von Kindern und Jugendlichen zukünftig ein immer wichtigeres Thema sein wird. Denn die Entwicklungen um die Plattform TikTok haben gezeigt, was für eine Marktmacht – aber auch was für ein gesellschaftlicher Einfluss im Bereich der Medien für junge Menschen besteht. Hier Wege eines zeitgemäßen, wirksamen Jugendschutzes zu entwickeln, ist die große Herausforderung. Unternehmen, die im Bereich Marketing Social Media Kanäle nutzen, bewegen sich aktuell aus diesen und natürlich anderen Gründen auf dünnem Eis.
Was ist Ihr persönlicher „Geburtstagswunsch für die DSGVO“
Dr. Andreas Pagiela: Weiter so, aber immer daran denken, dass hinter jedem Gesetzestext Menschen stehen, die ihn umsetzen müssen.
Iris Duch, LL.M.: Alles Gute für die nächsten 5 Jahre – und ruhig mehr Mut für praxisnahe Lösungen. Cheers!