Jubiläum: 2 Jahre DSGVO

Am 25.05.2018 trat die DSGVO in Kraft und wirbelte in so einigen Unternehmen viel Staub auf. Die Aufregung damals war groß, doch inzwischen hat sie sich wieder gelegt. Viele Detailfragen, die 2018 noch offen waren, konnten geklärt werden. Andere Probleme warten noch weiter auf eine klare Positionierung durch die Aufsichtsbehörden oder gerichtliche Entscheidung. Wir blicken auf die vergangenen 2 Jahre zurück und beleuchten einige Highlights im Datenschutz.

Videoüberwachung

Erfreulich war die Präzisierung der Voraussetzungen für eine datenschutzkonforme Videoüberwachung durch den Europäischen Datenschutzausschuss mit den Leitlinien vom 10.07.2019. Bspw. dürften Verantwortliche nun leichter erkennen können, wie sie ihre Beschilderung rechtssicher gestalten oder was bei der Aufbewahrung zu beachten ist. Die Leitlinien zeigen auch, dass viele Videoüberwacher das Thema zu sehr auf die leichte Schulter genommen haben, und dass die Anforderungen an eine datenschutzkonforme Videoüberwachung einer tiefgehenden und sorgfältigen Prüfung bedürfen.

In unserem Blog-Artikel zum Thema Videoüberwachung finden Sie auch einen Link direkt zu den Leitlinien.

Gemeinsame Verantwortlichkeit

Bei Einführung der DSGVO war noch nicht ganz klar, was gemeinsame Verantwortlichkeit genau bedeutet und wann sie konkret vorliegt. Durch Gerichtsentscheidungen wurde inzwischen deutlicher, worauf es bei der gemeinsamen Verantwortlichkeit ankommt. Bekannt dürfte das vielbeachtete Urteil des EuGH vom 5. Juni 2018 – C-210/16 zu Facebook-Fanpages sein. Nach diesem Urteil sind Betreiber von Unternehmensseiten auf Facebook gemeinsam mit Facebook verantwortlich. Konkreter wurde der EuGH dann ein Jahr später in seinem Urteil vom 29.07.2019 – C 40/17, als er sich mit den Konsequenzen der gemeinsamen Verantwortlichkeit bei Plugins auseinandersetzte.

Für viele Verantwortliche dürfte sich an der ein oder anderen Stelle dadurch auch ergeben, dass ein Auftragsverarbeitungsvertrag nicht das richtige Mittel der Wahl ist, sondern ein Vertrag zur gemeinsamen Verantwortlichkeit abzuschließen ist.

Sie sind noch nicht sicher, wann gemeinsame Verantwortlichkeit vorliegt und was Sie dabei zu beachten haben? Hier lesen Sie mehr dazu.

Cookies, Tracking und Einwilligungen

Große Mühe bereitet nach wie vor der Einsatz von Tools auf Websites, z. B. zur Auswertung des Nutzerverhaltens durch Websitebetreiber. Gestalterische Vielfalt zeigt sich bei den Cookie-Bannern. Es dazu mehrere Entscheidungen der Gerichte (z. B. EuGH Urt. v. 1.10.2019, Az. C-673/17): Tracking ist nur bei einer echten Einwilligung durch die Nutzer zulässig! Trotzdem fällt es vielen Website-Betreibern weiterhin schwer, ihre Website datenschutzkonform zu gestalten. Die Gerichte haben bei ihren Entscheidungen die Praktikabilität der Einholung von Einwilligungen wenig gewürdigt.  Datenschutzerklärungen sind inzwischen in der Regel auf den  meisten Websites vorhanden und leicht auffindbar. Wenn es aber um ihren Inhalt geht, haben viele Betreiber noch Schwierigkeiten dabei, wie Einwilligungen DSGVO-konform eingeholt werden können.

Wenn Sie hier Hilfe benötigen, sprechen Sie uns gerne an.

Bußgelder

Am aufmerksamsten waren die Höhen der verhängten Bußgelder verfolgt worden. Während im ersten Jahr der Einführung der DSGVO die Aufsichtsbehörden vielen Verantwortlichen noch eine Gnadenfrist einräumten und eher abmahnten und ermahnten, war die Geduld im zweiten Jahr nicht mehr so groß. Bisheriger Spitzenreiter in Deutschland ist die Deutsche Wohnen SE, die ein Bußgeld in Höhe von 14,5 Mio. € von der Berliner Aufsichtsbehörde für ihren „Datenfriedhof“ (alias Archivsystem) kassierte (nicht rechtskräftig).

Davor war, weit abgeschlagen, Delivery Hero mit 195.000 € Bußgeld wegen unzulässiger Werbe-E-Mails sowie mangelhafter Löschung von Kundendaten auf dem ersten Platz in Deutschland.

Nunmehr an zweiter Stelle in Deutschland ist die 1 & 1 der Telecom mit 10.000.000 € aufgrund des mangelnden Schutzes von Kundendaten durch ausreichende technische und organisatorische Maßnahmen.

Rekordhalter innerhalb der EU ist Google. Der Bescheid in Höhe von 50 Mio. € wurde durch die französische Aufsichtsbehörde verhängt wegen unzureichender Wahrnehmung der Informationspflichten beim Betriebssystem Android.

Ansonsten war aber auch zu erkennen, dass die Aufsichtsbehörden mit Augenmaß gegen Verantwortliche vorgehen.

Noch heute wissen viele nicht, wie die Höhe des Bußgelds festgelegt wird. Unser Blogartikel und Video dazu geben Aufschluss darüber.

Zertifizierung nach DSGVO

Begrüßt worden war bei Einführung der DSGVO, dass diese eine Datenschutz-Zertifizierung gesetzlich vorsieht. Jedoch ist auch 2 Jahre später noch kein Unternehmen als Zertifizierungsstelle akkreditiert worden. Zwar kann man bereits entsprechende Anträge stellen, jedoch sind die Kriterien, die durch die Aufsichtsbehörden definiert werden, auf europäischer Ebene noch nicht abschließend festgelegt. Man beachte hierzu die „Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i. V. m. DIN EN ISO/IEC 17065“ der Datenschutzkonferenz vom 28.08.2018. Die Möglichkeit nach der DSGVO wäre daher zwar gesetzlich vorgesehen, es fehlt aber noch an der europaweiten Abstimmung zu der konkreten Umsetzung und Ausgestaltung der datenschutzrechtlichen Kriterien.

Wir selbst haben uns dazu auch bereits Gedanken gemacht. Wir prüfen Ihr Unternehmen oder einzelne Bereiche daraus gerne auf DSGVO-Konformität. Auf unserer Leistungsseite zu Audits erfahren Sie mehr. Wir sind dabei gerne auch persönlich für Sie da.

Corona

Insgesamt hat die DSGVO dem Datenschutz einen starken Aufschwung beschwert. Dies zeigte sich auch daran, dass zu Beginn der Coronakrise trotz dem Willen zur Bekämpfung des Virus gleichzeitig schnell die Frage auftauchte, wie es denn dabei mit dem Datenschutz aussehe. Gerade Arbeitgeber waren anfangs verunsichert, wie sie mit Gesundheitsdaten ihrer Mitarbeiter umzugehen hätten.

Begrüßenswert war daher die schnelle und klare Positionierung der Aufsichtsbehörden mit der „Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 13. März 2020“. Dies hat vielen Verantwortlichen die Einschätzung erleichtert, ob und welche Daten sie zur Umsetzung von Schutzmaßnahmen verarbeiten dürfen. Positiv hervorzuheben war bspw. der Leitfaden zum Homeoffice des ULD. Hier zeigten sich die Aufsichtsbehörden mit einer pragmatischen Einstellung. Gleichzeitig wiesen sie jedoch auch auf die datenschutzrechtlichen Grenzen hin. Damit traten sie einer Aufweichung des Datenschutzes zugunsten der Infektionsschutzmaßnahmen klar entgegen. Verantwortliche konnten dadurch erkennen, dass Datenschutz kein Hindernis für kurzfristige und effektive Infektionsbekämpfungsmaßnahmen ist. Auch umgekehrt helbelt das Infektionsschutzgesetz den Datenschutz nicht aus.

Wir stellen in diesem Zusammenhang nach wie vor kostenlose Homeoffice-Leitfäden für Arbeitgeber und Arbeitnehmer zur Verfügung.

Kritik und Schwächen

Kritiker bezeichneten die DSGVO als zu theoretisch und nicht praktikabel. Für viele Verantwortliche war es bei Inkrafttreten der DSGVO im Mai 2018 schwierig, die Grenzen und Möglichkeiten des rechtlich Zulässigen zu erkennen. Auch Datenschutzbeauftragte waren anfangs an einigen Stellen überfragt. Beklagt wurde, dass große Unternehmen, die mehr Budget für Datenschutz ausgeben könnten, gegenüber überforderten kleineren Unternehmen bevorzugt würden. Die Situation wurde auch nicht dadurch verbessert, dass die Aufsichtsbehörden zu wenig Personal hatten, um proaktiv auf Fragestellungen einzugehen und die DSGVO umfassend durchzusetzen. Allerdings ist dies ein Fehler, der nicht der DSGVO anzulasten ist, sondern von der finanziellen und organisatorischen Aufstellung der Aufsichtsbehörden herrührt, auf deren Forderungen die Politik trotz Nachbesserungen an einigen Stellen noch nicht ausreichend reagiert hat.

Weltweite Rezeption der DSGVO

Die DSGVO hat die EU in Sachen Datenschutz als weltweite Führungsrolle etabliert. Die EU hat damit internationale Maßstäbe für Datenschutz gesetzt und andere Staaten orientieren sich bei ihrer Gesetzgebung an den EU-weit geltenden Regelungen. Dennoch ist eine Übermittlung von Daten außerhalb der EU an Drittstaaten vielfach schwierig. Besonders wenn es um die USA geht, tun sich viele Verantwortliche schwer damit, einzusehen, dass es sich hierbei um einen aus DSGVO-Sicht unsicheren Drittstaat handelt und eine Datenübermittlung nur unter besonderen Voraussetzungen erfolgen darf.

Spannend wird die Frage nach der Zulässigkeit der Datenübermittlung nach Großbritannien nach dem Brexit werden. Welche Regelungen hier künftig gelten, bleibt mangels Ausstiegs-Vertrag weiterhin offen.

Fazit

Die DSGVO war ein Meilenstein im Datenschutz. Sie setzt die neuen Regeln innerhalb der EU und gilt als Maßstab weltweit in Sachen Datenschutz. War Datenschutz in der Vergangenheit überwiegend achselzuckend als vernachlässigbar abgetan worden, wissen die Verantwortlichen nun (auch dank hoher Bußgelder), dass sie Datenschutz ernst zu nehmen und umzusetzen haben. Viele anfängliche Unklarheiten wurden in den letzten beiden Jahren aufgeklärt, zum Teil auch durch Entscheidungen der Gerichte. Diese erwiesen sich zwar bisweilen als in der Praxis schwer umsetzbar, dafür haben sich die Aufsichtsbehörden umso mehr darum bemüht, praktische Hilfestellungen zu geben. Daher werden die Aufsichtsbehörden nun auch verstärkt Bußgelder verhängen, wenn sie Verstöße feststellen.

Verantwortliche Unternehmen sind gut beraten, sich bei Unsicherheiten Unterstützung zu holen. Unser Team aus Juristen, Datenschutz- und IT-Sicherheitsbeauftragten hilft Ihnen gerne weiter. Rufen Sie uns unter der Telefonnummer 08505 919 27-0 an oder füllen Sie unser Kontaktformular aus. Wir beraten Sie gerne!