Update Datenschutz Nr. 43
Vier Monate DSGVO – Eine kurze Zwischenbilanz
Die EU-Datenschutzgrundverordnung (DSGVO) ist nun seit vier Monaten in allen EU-Mitgliedstaaten geltendes Recht. Zeit, eine erste kurze Zwischenbilanz zu ziehen und die momentanen datenschutzrechtlichen Herausforderungen für Unternehmen zu skizzieren.
Befürchtete Abmahnwelle ausgeblieben
Die vielfach befürchtete Abmahnwelle ist bislang weitgehend ausgeblieben. Es gab wohl lediglich vereinzelte wettbewerbsrechtliche Abmahnungen wegen (angeblicher) DSGVO-Verstöße, die jedoch zumeist von „fragwürdigen Abmahnanwälten“ versandt wurden. Gegenstand dieser Abmahnungen waren vorwiegend fehlende Website-Datenschutzhinweise und das Fehlen einer Verschlüsselung von Website-Kontaktformularen.
Es ist nach dem Wirksamwerden der DSGVO jedoch noch umstrittener als zuvor, ob Konkurrenten und Wettbewerbs- oder Verbraucherverbände überhaupt berechtigt sind, auf Grundlage des deutschen Wettbewerbsrechts (Gesetz gegen den unlauteren Wettbewerb – UWG) Unterlassungsansprüche wegen Datenschutzverstößen geltend zu machen. Insoweit dürften die in der DSGVO geregelten Sanktionen bei Datenschutzverstößen abschließend sein. Es gibt zudem verschiedene Gesetzesinitiativen gegen DSGVO-Abmahnungen.
In jedem Fall ist abgemahnten Unternehmen zu raten, weder in Panik zu verfallen noch die Abmahnung zu ignorieren, sondern diese kritisch zu prüfen und ggf. entsprechend begründet zurückzuweisen.
Aufsichtsbehörden beginnen noch dieses Jahr mit Kontrollen
Die Datenschutzaufsichtsbehörden der Bundesländer verzeichneten in den vergangenen Monaten einen so starken Anstieg an Nachfragen und auch Beschwerden zur DSGVO, dass sie teilweise ihre Kommunikationskanäle reglementieren und einschränken mussten und noch geraume Zeit mit der Bearbeitung dieser ersten Flut von Unternehmens- und Bürgereingaben beschäftigt sein dürften.
Einzelne Aufsichtsbehörden (z.B. das Bayerische Landesamt für Datenschutzaufsicht) haben jedoch angekündigt, noch in diesem Jahr mit ersten DSGVO-Prüfungen zu beginnen. Im Fokus stehen dabei große und mittelgroße Unternehmen.
Unternehmen bislang nur teilweise DSGVO-konform
Aktuellen Studien zufolge ist mindestens ein Drittel der deutschen Unternehmen definitiv noch nicht DSGVO-konform bzw. hat sich bislang noch gar nicht wirklich mit der DSGVO beschäftigt. Bei sehr vielen anderen Unternehmen sind nach wie vor größere oder kleinere Lücken bei der Umsetzung der DSGVO-Anforderungen vorhanden. Nachholbedarf besteht typischerweise bei der systematischen Rechtsmäßigkeitsprüfung von Datenverarbeitungsprozessen, der Etablierung von Prozessen zur Erfüllung der Betroffenenrechte, z.B. auf Auskunft, Berichtigung und Datenübertragbarkeit, und der Erstellung sowie Implementierung eines DSGVO-konformen Löschkonzepts.
Keine Schonfrist mehr
Auch wenn viele Fragen im Zusammenhang mit der DSGVO noch nicht abschließend geklärt sind, gibt es keine Schonfrist mehr zur Umsetzung der DSGVO. Bei erheblichen und klaren Verstößen, insbesondere gegen grundlegende und unstreitige Anforderungen der DSGVO drohen schon jetzt Bußgelder.
Das Ausbleiben der Abmahnwelle und die Tatsache, dass bislang noch keine behördlichen Kontrollen stattgefunden haben, bedeuten nicht, dass Unternehmen jetzt nichts mehr tun müssen. Sie sollten vielmehr weiterhin konsequent an der Umsetzung der DSGVO-Anforderungen, insbesondere an ihrer „DSGVO-Grund-Compliance“ arbeiten sowie Prozesse und Ressourcen aufbauen, um den Datenschutz dauerhaft in ihrem Unternehmen zu verankern.