Fast genau vor zwei Jahren trat die Datenschutz-Grundverordnung in Kraft. Eine große Mehrheit der Unternehmen wünscht sich, dass die DSGVO praxisnäher gestaltet wird. Im NW-Interview dämpft die Landesdatenschutzbeauftragte allerdings solche Hoffnungen. Aber auf was müssen sich Unternehmen inmitten der Corona-Pandemie beim Datenschutz überhaupt gefasst machen? Fragen an Barbara Thiel im NW-Interview – situationsgemäß schriftlich geführt.
Durch Corona hat, zumindest übergangsweise, die Arbeit im Home Office rasant zugenommen. Ebenso die Kommunikation über Online-Konferenzplattformen, und bei zumindest einer wurde Anfang April ja auch öffentlich über Sicherheitslücken diskutiert. Wie sehen Sie diese Entwicklung?
Die Corona-Pandemie und ihre Auswirkungen zeigen überdeutlich, wie sehr unsere Gesellschaft von einer funktionierenden digitalen Infrastruktur abhängt. Die Möglichkeiten des mobilen Arbeitens sowie des digitalen Lernens und Lehrens stehen derzeit stark im Fokus und werden sicherlich in Zukunft mehr Raum im Arbeits-, Schul- und Universitätsleben einnehmen als je zuvor. Umso wichtiger wird es sein, dabei auch die Belange des Datenschutzes in gebührender Weise zu berücksichtigen. Denn nur dann kann eine fortschreitende Digitalisierung im Sinne aller Betroffenen gelingen. Bedauerlicherweise sind wir in Deutschland insgesamt noch weit davon entfernt, eine auch im Sinne des Datenschutzes funktionierende Digitalstruktur anzubieten.
Hat sich die Entwicklung bemerkbar gemacht, etwa durch Fragen aus Unternehmen? Bieten Sie dazu Beratung an, oder gibt es Informationsmaterial?
Die Anfragen von Unternehmen zum Thema Home Office sind nicht angestiegen. Allerdings erreichen uns jetzt häufiger Fragen zum Einsatz von Video-Apps und Video-Software. Diese beantworten wir so konkret und pragmatisch wie möglich.
“INSGESAMT SIND WIR NOCH WEIT ENTFERNT DAVON, EINE AUCH IM SINNE DES DATENSCHUTZES FUNKTIONIERENDE DIGITALSTRUKTUR ANZUBIETEN.“
Die Pandemie hat viele Unternehmen in akute Existenzprobleme gebracht, allgemein werden harte Einschnitte und eine tiefe Rezession erwartet. Sie haben ja immer betont, dass Ihr Haus sowohl beratend als auch kontrollierend unterwegs ist. Nach und nach, so die ursprünglichen Pläne, wollten Sie in diesem Jahr die Kontrolle verstärken und mittelfristig auch kleinere Unternehmen in den Fokus nehmen. Was kommt jetzt auf die Firmen zu?
Die Anzahl von Beschwerden über datenschutzrechtliche Verstöße von Unternehmen, die mein Haus erreichen, hat durch die Corona-Pandemie nicht abgenommen. Diesen Beschwerden und natürlich auch den von Verantwortlichen gemeldeten Datenpannen gehen wir weiterhin nach, wie es unser gesetzlicher Auftrag vorsieht.
Darüber hinaus hatten wir anlasslose Kontrollen für dieses Jahr geplant, zu deren Art und Umfang ich im Vorfeld aber natürlich nichts sagen kann. Wir werden nun erst einmal die weitere Entwicklung verfolgen, zu gegebener Zeit unsere Arbeitsplanung überdenken und möglicherweise neu ausrichten. Das heißt aber nicht, dass der Datenschutz in Zeiten der Krise seine Berechtigung verloren hat. Ganz im Gegenteil: Gerade die jetzige Zeit macht seine Bedeutung besonders deutlich. Zudem sind grundlegende gesetzliche Anforderungen auch in wirtschaftlich schwierigen Zeiten zu beachten und einzuhalten.
Wurden in Niedersachsen bislang bereits Bußgelder verhängt, oder stehen solche Verfahren gerade vor dem Abschluss?
Insgesamt habe ich 2019 aufgrund von Verstößen gegen die DSGVO Geldbußen in Höhe von fast 480 000 Euro ausgesprochen, von denen aber ein großer Teil noch nicht rechtskräftig ist. Was dieses Jahr betrifft: Ich bin mir der wirtschaftlichen Auswirkungen der Pandemie sehr bewusst. Diese können selbstverständlich auch Einfluss auf Bußgeldverfahren haben. Eine generelle Aussetzung von Verfahren gibt es allerdings nicht, ebenso wenig pauschale „Rabatte“. Das hängt auch damit zusammen, dass die Pandemie-Auswirkungen auf die verschiedenen Branchen höchst unterschiedlich sind. Sofern Verantwortliche nachweislich unter den Auswirkungen der Pandemie leiden, kann dies bei der Höhe der Geldbuße berücksichtigt werden. Auch Zahlungserleichterungen wie zum Beispiel Ratenzahlung sind möglich. Im Übrigen gewähren wir zurzeit beantragte Fristverlängerungen großzügig, soweit das gesetzlich möglich ist.
Inwieweit honorieren Sie bei Verstößen Einsicht und Kooperation der jeweiligen Unternehmen?
Zunächst einmal ist der Verantwortliche schon von Gesetzes wegen verpflichtet, mit uns als Aufsichtsbehörde zusammenzuarbeiten. Die ganz normale, durchschnittliche Erfüllung dieser Pflicht wird sich daher nicht positiv auswirken. Kommt ein Unternehmen der Pflicht zur Kooperation nicht nach oder macht sogar unwahre Angaben, ist allein deswegen eine Geldbuße bis zu 10 Mio. Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes möglich.
Geht die Kooperation aber deutlich über das zu erwartende Maß hinaus, werden wir das bei der Bußgeldzumessung zu Gunsten des Verantwortlichen berücksichtigen. Das kann beispielsweise der Fall sein, wenn die Dauer des Verstoßes näher spezifiziert wird oder wenn freiwillig Beweismaterial geliefert wird. Wie hoch der Abschlag ausfällt, hängt letztlich vom Einzelfall ab.
Auch sonst ist das sogenannte „Nachtatverhalten“ von großer Bedeutung. Ein nicht bloß taktisches Geständnis zeugt von Einsicht, Reue und der Bereitschaft zur Besserung. Es deutet auf eine positive Grundhaltung zum Datenschutzrecht hin und kann geeignet sein, das behördliche und gerichtliche Verfahren abzukürzen.
In einer Querschnittsbefragung haben Sie vor gut einem Jahr verschiedene Unternehmen in zehn Fragenkomplexen befragt. Der Kriterienkatalog zu den einzelnen Fragen umfasste insgesamt rund 200 Punkte. Ist das praktikabel, vor allem, wenn man eine ganze Reihe von Prozessen mit diesen umfangreichen Anforderungen abgleichen müsste?
Anhand dieses Katalogs kann jeder Verantwortliche ganz konkret und detailliert überprüfen, wie gut er die Vorgaben der DSGVO umsetzt. Kein Unternehmen wird gezwungen, den Kriterienkatalog 1:1 anzuwenden, aber ich finde, er macht die Vorschriften der DSGVO deutlich greifbarer.
Im vergangenen Jahr haben die Industrie- und Handelskammern bundesweit Unternehmen gefragt, welche Prioritäten sie beim Bürokratieabbau sehen. Klar an der Spitze: die Datenschutz-Grundverordnung. Nach den Umfrageergebnissen wünschen sich drei Viertel der kleineren und 68 Prozent der größeren Unternehmen eine praxisnähere Gestaltung der DSGVO.
Bei den Unternehmen steht noch vor den Genehmigungsfristen die Datenschutzgrundverordnung bei der Bürokratiebelastung ganz oben. Was sagen Sie Unternehmen, die sich davon betroffen fühlen?
Vorweg sage ich: Es handelt sich bei der DSGVO um ein europäisches Gesetz, das auch nur auf EU-Ebene modifiziert werden kann.
Ich verstehe auch, dass es an manchen Regelungen der Verordnung Kritik gibt. Andererseits halte ich die dadurch entstandene Mehrbelastung nicht für so groß, wie sie manchmal öffentlich beklagt wird. Das ist zumindest dann so, wenn man das Thema Datenschutz schon vor der Geltung der DSGVO ernst genommen hat. Und genau da liegt – so fürchte ich – bei vielen das eigentliche Problem.
Ende dieses Monats soll eigentlich eine erste Evaluierung der DSGVO auf europäischer Ebene vorliegen. Bleibt es bei diesem Termin?
Die DSGVO verpflichtet in Artikel 97 die EU-Kommission zur Vorlage eines ersten Evaluationsberichtes an das EU-Parlament und den Rat bis zum 25. Mai 2020. Der Europäische Datenschutzausschuss hat Mitte Februar seine Stellungnahme zur Evaluation verabschiedet, in die auch die Sichtweise der deutschen Aufsichtsbehörden eingeflossen ist. Insofern liegt der Ball jetzt wieder bei der Kommission. Informationen zum Zeitplan der Kommission liegen mir aber nicht vor.
Die DSGVO ist jetzt seit ziemlich genau zwei Jahren in Kraft. Was hat sie in dieser Zeit bewirkt?
Die Anwendung der DSGVO war in den ersten knapp zwei Jahren aus meiner Sicht erfolgreich. Zu diesem Schluss kommt auch der Europäische Datenschutzausschuss in seiner Stellungnahme zur Evaluation der EU-Kommission. Die DSGVO hat den Datenschutz als Grundrecht gestärkt und zu einer einheitlicheren Auslegung datenschutzrechtlicher Grundsätze beigetragen.
Insgesamt hat die ganze Aufregung um die Verordnung dafür gesorgt, dass das Thema Datenschutz überhaupt in einer breiten Öffentlichkeit stattfindet. Das war nicht immer so. Diese gestiegene Wahrnehmung und Sensibilität manifestieren sich zum Beispiel ganz deutlich in den Beschwerden, die in meiner Behörde eingehen, insgesamt 1882 im Jahr 2019. Es wissen nun mehr Menschen, dass sie bestimmte Rechte haben und dass sie diese auch durchsetzen können. Gleichzeitig sorgt gerade der erhöhte Bußgeldrahmen dafür, dass auch bei den Verantwortlichen für die Datenverarbeitung der Schutz dieser Daten einen höheren Stellenwert einnimmt. Natürlich muss man aber auch anerkennen, dass gerade für KMU die Umsetzung der DSGVO herausfordernd war und weiter ist.
Der größte Vorteil für die Verarbeiter von Daten ist sicherlich der One-Stop-Shop-Mechanismus. Er sorgt dafür, dass multinational operierende Unternehmen eine Aufsichtsbehörde als festen Ansprechpartner und damit auch mehr Rechtssicherheit haben. Mir ist aber auch bewusst, dass dieser Mechanismus nicht nur Positives mit sich bringt, gerade was die Durchsetzung der DSGVO gegenüber den großen Datensammlern aus USA betrifft. Gerade gegenüber Konzernen wie Facebook und Google kann und muss sich die Aufsicht verbessern. Außerdem können die europäischen Verfahren, die auch die kooperierenden Aufsichtsbehörden vor große Herausforderungen stellen, sich länger hinziehen, als wir uns das wünschen würden. Aber ich denke, die Komplexität dieser Prozesse und die dadurch erzielte Harmonisierung der Aufsicht rechtfertigen das.
Bei den Unternehmen gibt es den Wunsch, die Datenschutzgrundverordnung praxisnah zu gestalten. Wo sehen Sie Ansatzpunkte? Und stehen die vielleicht schon im Evaluierungsbericht?
Es wird schwierig, die DSGVO selbst praxisnäher zu gestalten. Ein solches Gesetzeswerk braucht einfach einen gewissen Abstraktionsgrad, damit es nicht bei jeder technischen Innovation neu geschrieben werden muss. Aber natürlich gibt es Passagen, zu denen ich mir Konkretisierungen wünsche würde, zum Beispiel zur Reichweite des Auskunftsanspruchs oder zur Meldung von Datenschutzverletzungen.
Ich gehe aber nicht davon aus, dass sich der erste Evaluierungsbericht bereits mit diesen konkreten Fragen beschäftigen wird. Nach allem was wir wissen, werden erst einmal die Wirkung der Angemessenheitsbeschlüsse der Kommission sowie die Zusammenarbeit der Aufsichtsbehörden im Fokus stehen.
Welche Regelung der DSGVO würden Sie ganz persönlich als erstes über Bord werfen?
Über Bord werfen würde ich keine, das wäre nach einer so kurzen Geltungsdauer auch nicht angemessen. Aber natürlich muss man die Frage stellen, wo es Schwierigkeiten in der Praxis gibt. Ich denke da zum Beispiel an die Erfüllung der Informationspflichten. Es erscheint mir doch etwas lebensfremd, dass der Verantwortliche umfassende Informationen erteilen soll, wenn er telefonisch eine Bestellung aufnimmt oder einen Termin notiert. Ein gestuftes Verfahren wäre hier praktikabler, in dem zunächst nur die wichtigsten Informationen gegeben werden und dann auf weitere Ausführungen im Internet oder auf einem Faltblatt verwiesen wird.
[vc_row][vc_column][vc_text_separator title=“Kontakt zum Autor“][/vc_column][/vc_row][vc_row][vc_column width=“1/2″][vc_column_text]
Klaus Pohlmann
[/vc_column_text][vc_column_text]Sie haben Fragen oder Anregungen?Dann schreiben Sie dem Autor:[/vc_column_text][vc_btn title=“E-Mail schreiben“ color=“warning“ align=“left“ css=“.vc_custom_1508406554351{margin-left: 10px !important;padding-left: 10px !important;}“ link=“url:mailto%3Apohlmann%40hannover.ihk.de|||“][/vc_column][vc_column width=“1/2″][vc_single_image image=“1304″ alignment=“center“ style=“vc_box_circle_2″][/vc_column][/vc_row]
