Jubiläum: 4 Jahre DSGVO

Die letzten zwei Jahre waren für alle Akteure von Corona geprägt. Aus datenschutzrechtlicher Sicht bestand eine besondere Herausforderung darin, die politischen Vorgaben zum Infektionsschutz in praktikabler Weise im Betrieb umzusetzen. Als Stichworte seien hier nur 3G-Kontrolle, Home-Office und die Corona-Warn-App genannt. Ein besonderer Fokus lag für uns darin, trotz der erforderlichen Maßnahmen den Beschäftigtendatenschutz nicht aus den Augen zu verlieren und ausgewogene Lösungen für unsere Kunden zu erarbeiten. Auch die Datenschutzaufsichtsbehörden nahmen sich dieser Problemstellung an und veröffentlichten verschiedene Leitlinien zum datenschutzkonformen Coronaschutz.

Als einer der wichtigsten Wendepunkte der letzten Jahre ist sicherlich das sog. „Schrems II“-Urteil des EuGH zu betrachten – wurden doch durch dieses Urteil die juristischen Vorgaben für den Datenaustausch mit den USA und anderen Staaten außerhalb der Europäischen Union massiv erhöht.  Auch wenn seit diesem wegweisenden Urteil fast 2 Jahre vergangen sind, ist immer noch nicht vollständig geklärt, wie die hohen juristischen Hürden in der Praxis umzusetzen sind. Große Hoffnungen werden daher auf das derzeit verhandelte Abkommen zwischen der EU und den USA gelegt, um zumindest den Datenexport in die USA wieder datenschutzkonform gestalten zu können.

4 Jahre DSGVO liegen zurück, in denen wir die Praxis der Aufsichtsbehörden und Gerichte verfolgt haben und wir stellen fest, dass viele Unternehmen in der Vergangenheit Buß- und Schmerzensgelder zu zahlen hatten. Wie die Statistik zeigt, verhängen die Aufsichtsbehörden Bußgelder mit Augenmaß. Dass Fehler jedoch auch teuer sein können, belegt ein Causa aus der Marketing-Branche: So kostete die Verwendung der Daten von Gewinnspielteilnehmern für Werbezwecke ein deutsches Unternehmen mehr als 1,2 Millionen Euro.

Die bis jetzt höchsten Bußgelder in Deutschland – in zwei Einzelfällen mit entsprechenden Summen über 35 bzw. über 10 Mio. Euro – haben Unternehmen wegen unzulässiger Mitarbeiterüberwachung kassiert. Gleichermaßen mehrere Millionen Euro könnte ein mutmaßlicher DSGVO-Verstoß wegen ggf. unrechtmäßig gespeicherten Mieterdaten einen deutschen Immobilienkonzern kosten: Der Streit ist aktuell beim EuGH anhängig.

Außer deutschen Instanzen rückte zum Beispiel auch die luxemburgische Datenschutzbehörde in unseren Fokus. Diese verhängte gegen ein Unternehmen ein Bußgeld, da dieses ihren Datenschutzbeauftragten nicht mit den nötigen Ressourcen ausgestattet hatte.

Durch unsere Datenschutzbeauftragten sind wir immer nahe an der datenschutzrechtlichen Praxis und den tatsächlichen Herausforderungen unserer Kunden. So konnten wir in den letzten Jahren feststellen, dass die Rechte der Betroffenen immer relevanter werden. Insbesondere von Kunden und Arbeitnehmern werden diese verstärkt ausgeübt. So gehört das Auskunftsrecht nach Art. 15 DSGVO inzwischen fast zu den Klassikern eines Kündigungsschutzprozesses.

Außerdem wird es zunehmend wichtiger, die bereits ergriffenen Technischen und Organisatorischen Maßnahmen regelmäßig einer Wirksamkeitsprüfung zu unterziehen. Der technische Fortschritt macht sich auch bei den Möglichkeiten krimineller Angreifer bemerkbar. So kann es sein, dass IT-Sicherheitsmaßnahmen, die bei Einführung vor 2 oder 3 Jahren aktuell waren, bereits jetzt als veraltet und nicht mehr angemessen eingestuft werden müssen.

Auch zukünftig werden wir mit Interesse die weiteren Entwicklungen im Bereich der datenschutzrechtlichen Praxis beobachten. Ein besonderes Augenmerk liegt dabei auf der Analyse von Gerichtsurteilen und verhängten Bußgeldern, um unseren Kunden eine risikobasierte und pragmatische Beratung anbieten zu können.

Sie haben Zweifel, ob Ihre Geschäftsprozesse alle DSGVO-konform sind oder Sie benötigen Unterstützung im betrieblichen Datenschutz? Dann kontaktieren Sie uns gerne!