Datenschutz 2020. Regina Mühlich
und die Datenschutzbeauftragten galten eher als Verhinderer denn als Unterstützer. Diese „Neuerungen“ waren aber bereits im „alten“ Datenschutzrecht vorhanden und mussten schon vor der DSGVO beachtet und umgesetzt werden. Seitens der Datenschutzaufsichtsbehörden, der Datenschutzkonferenz (DSK), des Europäischen Datenschutzausschusses (EDSA) und der Gesetzgebung bedarf es immer noch einiges an Unterstützungshilfen sowie spezialgesetzlicher Datenschutzbestimmungen und Aufklärung durch die Datenschutzexperten.
Am 22.11.2018 hat der LfDI Baden-Württemberg die erste Geldbuße in Deutschland verhängt (
Die Wirksamkeit der DSGVO macht sich mittlerweile auch in der Höhe der Bußgelder bemerkbar: So verhängte der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) am 09.12.2019 ein Bußgeld i. H. v. 9,5 Mio. Euro gegen einen TK-Provider, die Berliner Beauftragte für Datenschutz und Informationsfreiheit 14,5 Mio. Euro gegen eine börsennotierte Immobiliengesellschaft.
|
|
Eine Übersicht der durch die Aufsichtsbehörden innerhalb der EU verhängten Bußgelder bietet die Webseite: https://www.enforcementtracker.com. |
Sanktionen und Bußgelder sind normalerweise ein schlechter Ratgeber, um gesetzeskonform und compliant als Unternehmen zu agieren. Andererseits sind sie aber ein probates Mittel, um Unternehmen zur Einhaltung von gesetzlichen Vorgaben zu bewegen. Und im Datenschutzrecht geht es schließlich um unser aller Rechte: dem Recht auf Selbstbestimmung und dem Persönlichkeitsrecht – kurzum um das „Recht auf Datenschutz“.
Die Anzahl der den deutschen Aufsichtsbehörden gemeldeten Datenschutzverstöße hat sich seit dem Inkrafttreten der DSGVO mehr als verzehnfacht. In einer digitalen Welt, in der wir leben, passieren eben auch viele Fehler. Dies zeigt, dass die Aufmerksamkeit und die Verantwortung sowie die Wichtigkeit des Datenschutzes größer geworden sind.
Nebenbei „doktert“ der Gesetzgeber am Datenschutzrecht. Im Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU), das am 25.11.2019 in Kraft getreten ist, wurde am Garanten und bewährten Konzept des Datenschutzbeauftragten gerüttelt. Die Benennungspflicht in einer Organisation wurde von zehn auf 20 Personen heraufgesetzt (§ 38 BDSG n. F.). In anderen Mitgliedstaaten schaut man dagegen mit Anerkennung auf das langjährige und bewährte deutsche Datenschutzniveau.
Um millionenfach personenbezogene Daten zu verarbeiten, braucht es heutzutage nur wenige Personen. Die Grenze der Benennungspflicht an der Zahl der Mitarbeiter festzumachen, zeigt, dass die Regierungskoalition die Digitalisierung nicht wirklich verstanden hat. Für die Wirtschaft wird dabei „Bürokratieabbau“ angeführt. Die Benennungspflicht für behördliche Datenschutzbeauftragte steht dabei allerdings nicht zur Debatte. Dies zeigt wiederholt, dass es gar nicht um Bürokratieabbau geht. Die Anforderungen der DSGVO bleiben – auch ohne DSB – bestehen, worauf Politik und Wirtschaftsverbände gerne vergessen hinzuweisen (vgl.
Auch vor diesem Hintergrund gilt es, in der Datenschutzpraxis vieles umzusetzen und neu zu strukturieren, um als Organisation „compliant“ zu sein. Datenschutz ist kein Produkt. Datenschutz ist ein Prozess – ein ewiger Prozess.
Fußnoten:
Vgl. https://www.golem.de/news/dsgvo-oberste-datenschuetzerin-beendet-posse-um-klingelschilder-1810-137197.html (zuletzt aufgerufen am: 29.01.2020).
Vgl. dpa: „DSGVO: Bislang 75 Bußgelder wegen Verstößen“ (vom 12.05.2019), auf: https://www.heise.de/newsticker/meldung/DSGVO-Bislang-75-Bussgelder-wegen-Verstoessen-4420368.html (zuletzt aufgerufen am: 29.01.2020).
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2018/11_DigitalisierungUndDatenschutz.html (zuletzt aufgerufen am: 29.01.2020).
{Beschäftigtendatenschutz}
Zu den wichtigsten Rechtsquellen im Datenschutz zählt das Unionsprimärrecht mit dem Vertrag über die Arbeitsweise der Europäischen Union (AEUV) und dem Vertrag über die Europäische Union (EUV) sowie der Grundrechtecharta der Europäischen Union (GRCh).
In der Praxis des Beschäftigtendatenschutzes hat allerdings das Unionssekundärrecht mit der DSGVO überragende Bedeutung. Hier sind die Grundsätze nach Art. 5 Abs. 2 DSGVO und die vom Verantwortlichen getroffenen technisch-organisatorischen Maßnahmen (TOM) gem. Art. 24 Abs. 1 DSGVO stets im Blick zu behalten.
Für den deutschen Rechtsanwender erscheint dabei die Regelungstechnik der DSGVO ungewohnt schwammig. Die mit Art. 4 DSGVO im Allgemeinen Teil vorangestellten Begriffsbestimmungen und Definitionen vermitteln eine trügerische Sicherheit. Das liegt nicht nur an dem vom deutschen Gesetzgeber bekannten Prinzip, allgemeine Grundsätze „vor die Klammer“ zu ziehen, sondern auch an den Überschriften der Norm. Diese vermitteln den Eindruck einer vollständigen und abschließenden Regelung, obwohl sich verstreut weitere wichtige Regelungen finden, die unter derselben Überschrift hätten abgehandelt werden können.
Auch die vielfach offenen Begrifflichkeiten verwirren. In dem für Unternehmen wichtigen Kap. IV, das die Vorschriften für Verantwortliche und Auftragsverarbeiter enthält, fehlt ein Pflichtenkatalog mit zuverlässigen und griffigen Formulierungen dieser Pflichten. Stattdessen verwendet der Verordnungsgeber im zentralen Art. 24 Abs. 1 Satz 1 DSGVO unbestimmte Rechtsbegriffe wie „Eintrittswahrscheinlichkeit“, „Schwere der Risiken“ und „geeignete Maßnahmen“.
Es wird vermutlich einmal mehr Aufgabe der Rechtsprechung