Am 25.05.2019 wird die Datenschutzgrundverordnung ein Jahr alt. Ein Jahr, das für die meisten Unternehmer von Verunsicherung hinsichtlich der umzusetzenden Regelungen sowie zu erwartenden Sanktionen – z. B. von Aufsichtsbehörden oder aber durch abmahnende Mitbewerber oder Anwälte – geprägt war.

Die meisten Unternehmen gingen die Angelegenheit pragmatisch an: Was muss ich tun, um keine bußgeldbewehrten Verstöße oder Abmahnungen zu riskieren? Die Firmenwebsite wurde mit einer Datenschutzerklärung versehen und die wichtigsten Punkte mit Außenwirkung in Angriff genommen (z. B. Bestellung eines Datenschutzbeauftragten und Meldung gegenüber der Aufsichtsbehörde). Dies stellt allerdings nur eine Erstmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar.

Wie ist die Entwicklung bei den wettbewerbsrechtlichen Abmahnungen? Wie agieren die Aufsichtsbehörden?

Wettbewerbsrechtliche Abmahnungen

Nach einem Jahr lässt sich sagen: Die gefürchtete Abmahnwelle ist – ausgenommen einige Einzelfälle – bislang ausgeblieben. Der Gesetzgeber hat das weiterhin bestehende Problem drohender Abmahnungen erkannt und Schritte in die Wege geleitet, um Unternehmer zu schützen. Bundesjustizministerin Katarina Barley (SPD) ließ inzwischen einen Gesetzesentwurf erarbeiten, welcher grundsätzlich die Gefahr durch Abmahnmissbrauch verringern und damit die Unternehmer entlasten soll. Der Entwurf lässt sich  hier abrufen.

Selbstständige und kleine Unternehmen sollen damit nicht mehr kostenpflichtig abgemahnt werden dürfen, falls sie den Informationspflichten nicht im Detail nachkommen. Das heißt aber nicht, dass Wettbewerber gar nicht mehr aus Datenschutzgründen abmahnen dürfen – die Abmahnungen müssen aber sehr gut begründet werden.

Ob die neue gesetzliche Regelung einer missbräuchlichen Abmahnindustrie wirksam den Wind aus den Segeln nimmt, wird sich noch zeigen.

Grundsätzlich lässt sich sagen, dass die größere Gefahr für Unternehmen von anderer Seite droht, und zwar von Seiten der Aufsichtsbehörden.

Arbeit der Aufsichtsbehörden – Karenzfrist vorüber

Nach den aktuell verfügbaren Informationen über die Tätigkeit der für den Datenschutz zuständigen Aufsichtsbehörden ist mit einer vermehrten Prüftätigkeit ab dem Jahr 2019 zu rechnen.

Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink kündigte im WDR an, 2019 werde das Jahr der Kontrollen. „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.“ Es wird ausdrücklich davor gewarnt, unnötige Risiken einzugehen.

Auch in Bayern kündigt sich eine neue Tätigkeitsausrichtung der Aufsichtsbehörden an, da die Personaldecke zu dünn sei. Im Tätigkeitsbericht 2017/2018 des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) heißt es, die Prioritäten müssten aufgrund der dünnen Personaldecke neu ausgerichtet werden. Bislang hat sich das BayLDA vor allem als Berater verstanden, der bei der Umsetzung der notwendigen Maßnahmen zur Seite steht. Das sei aufgrund der bestehenden Prüfpflichten so aber nicht mehr durchführbar.

Im Umkehrschluss heißt das: Weniger beraten, mehr kontrollieren.

Den vollständigen Bericht gibt es hier zu lesen.

Unternehmer müssen also damit rechnen, zukünftig mit höherer Wahrscheinlichkeit das Ziel von Kontrollen zu werden. Momentan sind vor allem sogenannte KMUs (kleine und mittlere Unternehmen) Ziel der Aufsichtsbehörden.

Eine gute Vorbereitung ist unerlässlich, da bei Datenschutzverstößen erhebliche Sanktionen drohen: Bereits weniger gewichtige Verstöße können zu Geldbußen in Höhe von € 10.000.000 oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs führen, je nachdem, welcher der Beträge höher ist.

Wie solche Kontrollen aussehen, zeigt der bereits in Verwendung befindliche Fragebogen des BayLDA (hier abrufbar). Dort wird u. a. abgefragt:

• Ist in vollständiges Verarbeitungsverzeichnis vorhanden?

• Existiert ein Löschkonzept?

• Sind die Beschäftigten zur weisungsgebundenen Verarbeitung personenbezogener Daten in ihrem Arbeitsbereich sensibilisiert und verpflichtet?

• Ist ein dokumentierter Prozess vorhanden, wie mit Auskunftsansprüchen von Betroffenen umgegangen wird?

• Gibt es einen dokumentierten Prozess, um Datenschutzverletzungen innerhalb 72 Stunden (auch an Wochenenden/Feiertagen) bei der zuständigen Aufsichtsbehörde zu melden?

Erhalten Sie einen solchen Fragebogen, sollten bereits alle Vorkehrungen getroffen sein, um die dort geforderten Angaben machen zu können. Ein Erledigen der Anforderungen erst nach Erhalt eines solchen Schreibens ist nicht möglich.

Sofern noch nicht geschehen, muss dringend ein Datenschutzkonzept erstellt werden. Folgendes Schema haben wir in unserer Kanzlei für Unternehmen erarbeitet und auch bereits bei Mandanten umgesetzt. Mit dessen Hilfe ist eine schnelle und maßgeschneiderte Umsetzung der Anforderungen auch in Ihrem Unternehmen möglich:

 

Sprechen Sie uns an, wir unterstützen Sie gerne bei der Erfüllung Ihrer gesetzlichen Verpflichtungen!

 

Ihre Kanzlei LORZ + PARTNER mbB