Eine DSGVO-Amnestie wird es nicht geben

Olga Stepanova ist Rechtsanwältin mit den Fachgebieten IT-Recht, Schutz des geistigen Eigentums (Intellectual Property) und Datenschutz bei Winheller Rechtsanwälte & Steuerberater in Frankfurt. Ihre Tätigkeitsschwerpunkte umfassen das Marken-, Urheber- und Wettbewerbsrecht. Im Datenschutzrecht berät sie insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Sie analysiert die datenschutzrechtliche Compliance in Unternehmen und entwickelt Datenschutz-Management-Systeme und Konzepte zur IT-Sicherheit.

Im Gespräch mit com! professional erklärt Olga Stepanova, wie Unternehmen rechtliche Fallstricke bei aktuellen Themen wie der DSGVO, dem Brexit und dem Einsatz von Social Media umgehen.

Olga Stepanova: Tatsächlich ist das erste Jahr, was die Klagewellen und Bußgelder anbetrifft, relativ ruhig verlaufen. Wir haben es mit einem völlig neuen, europäischen Gesetzeswerk zu tun. Auch die Abmahnvereine und Aufsichtsbehörden haben bisher Schwierigkeiten, Sachverhalte rechtlich korrekt einzuordnen. Es gab einige Abmahnungen wegen fehlender beziehungsweise fehlerhafter Datenschutzerklärungen, allerdings gibt es noch keine höchstrichterliche Entscheidung, ob Verstöße gegen die DSGVO etwa wettbewerbsrechtlich überhaupt abgemahnt werden können.

Stepanova: Diese waren bisher recht zurückhaltend bei der Sanktionierung. Vergleicht man den früheren Bußgeldrahmen des alten Bundesdatenschutzgesetzes, so konnte pro Verstoß ein Bußgeld in Höhe von maximal 300.000 Euro festgesetzt werden. Jetzt hat man eine veränderte Situation, weil die DSGVO in allen Mitgliedsstaaten der Europäischen Union anwendbar ist und die ersten Behörden damit angefangen haben, in einer erheblich höheren Größenordnung zu sank­tionieren.

Beispielsweise musste ein portugiesisches Krankenhaus allein 400.000 Euro dafür zahlen, dass zu viele Personen Zugriff auf Patientendaten hatten. In Frankreich musste Google 50 Millionen Euro zahlen, weil das Unternehmen seinen Informationspflichten nicht in transparenter Art und Weise nachgekommen ist und auch Zweifel an der Wirksamkeit der Einwilligungserklärung bestanden.

Stepanova: In Deutschland gab es laut einer Umfrage unter 14 der insgesamt 16 deutschen Landesdatenschutzbehörden bisher über 75 Fälle verhängter Bußgelder mit einem Gesamtvolumen von 449.000 Euro. Es ist nur eine Frage der Zeit, bis eine Abkehr von der zurückhaltenden Sanktions­praxis stattfindet und wesentlich höhere Bußgelder verhängt werden.

Stepanova: Das können wir gegenwärtig noch schwerlich abschätzen. Die DSGVO ist geltendes Recht, das zu befolgen ist. Unternehmen kommen auf keinen Fall um die Umsetzung herum. Insbesondere gehe ich davon aus, dass die Aufsichtsbehörden deutlich häufiger in Erscheinung treten werden, wenn sie sich sowohl fachlich als auch personell verstärkt
haben.

Die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel, hat bereits im Sommer letzten Jahres einen Fragebogen an 50 zufällig ausgewählte Unternehmen verschickt, um nach dem Stand der Umsetzung der DSGVO zu fragen. Insofern ist die Marschroute ganz klar, eine Amnestie wird es nicht geben.