„Die große Welle an Abmahnungen ist bisher ausgeblieben. Das liegt auch daran, dass die Rechtslage, ob Abmahnungen bei Verstößen gegen die DSGVO überhaupt zulässig sind, bisher nicht eindeutig ist“, erklärt Elmar Sommerfeld, Rechtsanwalt und Ausbildungsleiter der Lutop Datenschutz Akademie GmbH aus Essen. Deutlich wird dies zum Beispiel durch zwei sich widersprechende Urteile von Landgerichten: Das Landgericht Bochum hat am 7. August 2018 in einem Fall, bei dem der Kläger u. a. unvollständige AGB abgemahnt hatte, geurteilt: Die Abmahnung ist nicht zulässig. Gegensätzlicher Auffassung ist das Landgericht Würzburg in seinem Beschluss vom 13. September 2018: Die Abmahnung eines Klägers, der eine unzureichende Datenschutzerklärung als Wettbewerbsverstoß beanstandete, wurde akzeptiert. „Wenn in naher Zukunft höhere Gerichte Urteile zu dieser Fragestellung fällen, wird es spannend. Dann könnte die bisher ausbleibende Abmahnwelle vielleicht doch noch kommen“, so Elmar Sommerfeld. Wie schwerfällig die Umsetzung der DSGVO hierzulande ist, zeigt auch eine repräsentative Befragung des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien BITKOM unter mehr als 500 Unternehmen (siehe Grafik): Demnach war im September 2018 gerade einmal ein Viertel der Betriebe laut eigenen Aussagen DSGVO-konform – das ist derselbe Wert wie aus einer Befragung im Mai 2018.
Das sagt die Aufsichtsbehörde NRW
Die Datenschutzaufsichtsbehörden der Bundesländer sorgen mit verschiedenen Maßnahmen dafür, dass die neuen Gesetze eingehalten und Verstöße auch geahndet werden. Bisher haben sie sich mit Kontrollen und Sanktionen noch zurückgehalten und setzen vor allem auf Beratung. So, wie bei der Informationsveranstaltung „Sieben Monate DSGVO: Eine erste Bilanz – Erste Erfahrungen und Herausforderungen im unternehmerischen Alltag“, die am 22. Januar 2019 in der IHK Köln stattfand. Die Vertreterin der Aufsichtsbehörde NRW dort war Referentin Dr. Andrea Stubbe. Sie stellte u. a. fest: „Seit Anwendungsbeginn der Datenschutz-Grundverordnung haben uns etwa 8.000 Eingaben erreicht. Etwa 12.000 Eingaben im gesamten Jahr 2018. Davon erfasst sind auch Beschwerden, die wir nicht gesondert erfassen. Zusätzlich haben uns zahlreiche telefonische Anfragen und Eingaben erreicht. Dieses hohe Niveau an Beschwerden und Beratungsanfragen setzt sich unverändert fort.“ Beratungsbedarf bestehe bei den Unternehmen abhängig von Branche und Unternehmensgröße bei Grundsatzfragen, aber auch bei sehr komplexen datenschutzrechtlichen Detail- und Einzelfragen. „Schwerpunkte liegen zum Beispiel bei den Informationspflichten nach Artikel 13 und 14 DSGVO, dem Auskunftsersuchen nach Art. 15 DSGVO, der Auftragsverarbeitung und gemeinsamen Verantwortlichkeit, Löschkonzepten, Datenportabilität, Verhaltensregeln (Codes of Conducts – CoCs) und der Bestellung von Datenschutzbeauftragten“, fasst Dr. Stubbe zusammen.
Vom Datenschutzbeauftragten bis zur Zertifizierung
Für Unternehmer gibt es verschiedene Wege, die eigene DSGVO-Compliance zu überprüfen und einzuhalten. Zahlreiche Anbieter bieten Ausbildungen zum Datenschutzbeauftragten an oder stellen bei Bedarf externe Beauftragte. Wer seine Compliance nicht nur intern überprüfen, sondern auch extern kommunizieren möchte, kann sich neuerdings auch zertifizieren lassen. „Eine Zertifizierung ist nicht nur ein Nachweis für die eigene Compliance und damit für die Vertrauenswürdigkeit gegenüber Externen, sondern sie schafft auch mehr Awareness und Verständnis für das Thema bei den Mitarbeitern. Für die Aufsichtsbehörde bedeutet sie zudem mehr Struktur bei einer möglichen Überprüfung”, meint Ulf Theike, Geschäftsführer TÜV NORD Systems mit Sitz in Essen.
Was heißt das jetzt für die Unternehmen?/
Auch wenn es noch rechtliche Grauzonen gibt und der Gesetzgeber bisher gnädig gestimmt ist, sollten Betriebe das Thema DSGVO nicht auf die leichte Schulter nehmen. „Es gibt zum Beispiel das Einfallstor der unzufriedenen Mitarbeiter oder Kunden. Jeder kann etwas anzeigen bei der Aufsichtsbehörde und diese muss dem auch immer nachgehen. Diesem Risiko sollten sich vor allem kleine Betriebe bewusst sein“, erklärt Elmar Sommerfeld. Die Unternehmen haben individuell ganz unterschiedliche Hausaufgaben in Bezug auf die DSGVO zu erledigen. Checklisten, dokumentierte und für Externe nachvollziehbare Schritte sind sicherlich ein erster guter Weg dorthin. „Ich sehe es sehr kritisch, wenn Unternehmen noch gar nichts gemacht haben, nach dem Motto ‚es passiert doch eh nichts‘. Da hat man auf Behördenseite sicherlich kein Verständnis mehr für“, warnt Sommerfeld. Auf die Frage, ob sich die Betriebe in naher Zukunft auf mehr Kontrollen und Sanktionen seitens der Behörde einstellen müssen, antwortet Dr. Stubbe: „Ziel der Aufsichtsbehörden ist es, in jedem Einzelfall datenschutzrechtliche Missstände angemessen zu beheben. Der ‚Werkzeugkasten‘, den die Verordnung den Aufsichtsbehörden in die Hände gegeben hat, sieht auch Sanktionen und Überprüfungen vor. Davon werden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß. An erster Stelle steht zunächst die Beratung.“
Thomas Corrinth
| redaktion@regiomanager.de
Teilen: