IT-Recht und Datenschutz

Die DSGVO ist da, die ersten Abmahnungen auch – Was kommt nun?

Artikel drucken

07.08.2018 | Autor: Peter Huppertz LL.M.
Lesezeit: 6 Minuten

Die europäische Datenschutzgrundverordnung (DSGVO) war bereits am 24. Mai 2016 in Kraft getreten. Nach zweijähriger Übergangsfrist sind die Regelungen der DSGVO dann zum 25. Mai 2018 anwendbar geworden. Mit großer Spannung wurde erwartet, wie sich die neuen und europaweit einheitlichen Regelungen zum Datenschutz in der Praxis umsetzen lassen und wie auf fehlende Umsetzung der Vorschriften reagiert wird.

 

Zum einen betrifft dies das Vorgehen der Behörden, die nach der DSGVO wesentliche höhere Bußgelder gegen säumige Unternehmen verhängen können. Zum anderen betrifft dies diejenigen, die wegen Verstößen gegen Datenschutzvorschriften Abmahnungen aussprechen können, z.B. Mitbewerber eines Unternehmens. Nach einigen Monaten lässt sich hierzu folgende Entwicklung feststellen:

 

Vorgehen der Behörden

 

Bislang ist nicht bekannt geworden, dass die Datenschutzbehörden in Deutschland höhere Bußgelder für Datenschutzverstöße verhängt haben. Die Behörden scheinen sich diesbezüglich auch noch in einer Art „Beobachtungsphase“ zu befinden. Wie sich die Haltung der Behörden im Einzelnen darstellt, lässt sich exemplarisch an der Datenschutzbehörde aus Niedersachsen festmachen.

 

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat am 29.06.2018 eine Pressemitteilung herausgegeben, die die Herangehensweise näher beschreibt.

 

In einem ersten Schritt hat die LfD eine branchenübergreifende Querschnittsprüfung angestrengt. Zu diesem Zweck wurde ein Fragebogen an 50 Unternehmen unterschiedlicher Größe versandt, mit dem Fragen zu zehn Bereichen des Datenschutzes beantwortet werden sollen. Der Fragenkatalog ist unter dem Link http://www.lfd.niedersachsen.de/download/132359 abrufbar und betrifft folgende Bereiche:

 

  • Vorbereitung auf die DSGVO
  • Verzeichnis von Verarbeitungstätigkeiten
  • Zulässigkeit der Verarbeitung
  • Betroffenenrechte
  • technischer Datenschutz
  • Datenschutz-Folgenabschätzung
  • Auftragsverarbeitung
  • Datenschutzbeauftragter
  • Meldepflichten
  • Dokumentation

 

Adressat des Fragebogens sind zunächst 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen. Eine vollständige Prüfung einzelner Branchen sei laut der LfD im Moment nicht geplant. Es gehe zunächst darum, sich einen Überblick darüber zu verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DSGVO genutzt haben. Hauptanliegen dabei sei es zu identifizieren, ob es bei den verantwortlichen Stellen noch Nachholbedarf gibt. Laut der LfD gehe es zum jetzigen Zeitpunkt nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen.

 

Stattdessen soll aufgeklärt, sensibilisiert und wertvolle Hinweise gegeben werden. Trotzdem könne es zu einem entsprechenden Verfahren kommen, wenn während der Prüfung Verstöße gegen die DSGVO festgestellt werden. Die Mitarbeiter der LfD werden die Antworten aus den Fragebögen auswerten und anschließend Vor-Ort-Termine bei den ausgewählten Unternehmen wahrnehmen. Im Mai 2019 soll dann ein erster Abschlussbericht der Querschnittsprüfung vorliegen. Daraus können sich Anhaltspunkte ergeben, aus denen beispielsweise neue Orientierungshilfen erarbeitet werden.

 

Wie sich zeigt, gehen die Behörden daher – wie erwartet – moderat mit den neuen Anforderungen um. Dennoch steigt die Wahrscheinlichkeit, dass man zukünftig unter den Radar der Behörden kommt. Die Behörden werden wahrscheinlich immer stärker nach einzelnen ausgewählten Themen vorgehen und diese auf breiter Basis abprüfen. Hierauf sollte man als Unternehmen vorbereitet sein. In keinem Fall – und so hat es die LfD bereits angedeutet – lassen sich Verfahren wegen Datenschutzverstößen und entsprechende Bußgelder ausschließen.

 

Abmahnpraxis

 

Unabhängig vom Vorgehen der Behörden droht bei Datenschutzverstößen jedoch auch eine Abmahnung. Hier haben sich in der Praxis bereits einige Verstöße hervorgetan, die besonders häufig abgemahnt wurden und insofern von Unternehmen an vorderster Stelle geprüft werden sollen. Am häufigsten betreffen die Abmahnungen folgende Verstöße:

 

  • Fehlende Datenschutzerklärung auf einer Website
  • Fehlerhafte Einbindung von Google Fonts
  • Fehlerhafte Einbindung von Google Analytics
  • Nutzung von Facebook Plugins

 

Inwieweit eine Abmahnung aufgrund der vorgenannten (angeblichen) Verstöße gerechtfertigt ist, ist für den jeweiligen Einzelfall zu untersuchen. Oftmals zeigt sich, dass bei einer näheren Betrachtung der rechtlichen Voraussetzungen die Abmahnung keine Grundlage findet. Dies hängt allerdings von den Besonderheiten des jeweiligen Falles ab. Insbesondere ist derzeit noch umstritten, ob Unternehmen überhaupt berechtigt sind, Datenschutzverstöße ihrer Mitbewerber abzumahnen. Es steht in Frage, dass das hierzu nötige konkrete Wettbewerbsverhältnis zum Mitbewerber gegeben ist. Von den Gerichten wird dies derzeit noch unterschiedlich bewertet.

 

Die Politik scheint darauf nun reagieren und Abmahnungen wegen Datenschutzverstößen beschränken zu wollen. Im Bundestag und Bundesrat sind zu diesem Thema verschiedene Gesetzesvorhaben eingebracht worden. Zu nennen ist etwa ein Antrag der FDP-Fraktionen, missbräuchliche Abmahnungen zu verhindern. In der CDU/CSU-Fraktion gibt es Bestrebungen eine entsprechende Gesetzesänderung vorzunehmen, nach der Abmahngebühren innerhalb einer Schonfrist von bis zu 12 Monaten nicht zu erstatten sind. Auch das Bundesland Bayern hat einen entsprechenden Gesetzesentwurf eingebracht, um der rechtswidrigen Abmahnpraxis im Bereich des Datenschutzrechts vorzubeugen.

 

Diesem Entwurf zufolge müssen Anpassungen im UWG und UKlaG vorgenommen werden. Sehr wahrscheinlich werden die Gesetzesvorschläge noch zahlreiche Diskussionen nach sich ziehen, bis es zu einem finalen Entwurf kommt. In jedem Fall bleibt es zu beobachten, wie sich die Gesetzgebung in diesem Bereich weiter entwickelt und welche möglichen Beschränkungen für die Abmahnpraxis sich in der Zukunft ergeben. 

Partner
Peter Huppertz LL.M.

"Häufig empfohlen: Peter Huppertz (IP/IT)"


JUVE Handbuch Wirtschaftskanzleien 2016/2017 und 2017/2018

 

Diesen Blogartikel teilen: