Seit einem halben Jahr ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft. Die mit ihr verbundene Unsicherheit ist jedoch kaum kleiner geworden. Insbesondere mittelständische Unternehmen hoffen auf eine Vereinfachung des neuen Datenschutzrechts. Trotzdem sind sie gut beraten, in die Datenschutzkonformität ihrer Betriebsabläufe zu investieren.
Es klingt wie ein Witz, ist aber bitterer Ernst. Der Eigentümerverband „Haus und Grund“ warnte seine Mitglieder, das Anbringen von Klingelschildern ohne Einwilligung der Mieter sei möglicherweise unzulässig. Hintergrund der Warnung war eine Empfehlung der Wiener Datenschutzbehörde. Nachdem ein Mieter geklagt hatte, rieten die Datenschützer der städtischen Wohnungsverwaltung, im Hinblick auf die DSGVO sämtliche Namensschilder neben dem Klingelknopf abzumontieren und durch Nummern zu ersetzen.
Inzwischen hat die deutsche Bundesdatenschutzbeauftragte, Andrea Voßhoff, Entwarnung gegeben. Namen auf Klingelschildern anzubringen sei keine automatisierte Datenverarbeitung und falle mithin nicht unter die DSGVO. Bloß ein Sturm im Wasserglas also? Wahrscheinlich. Doch der Klingelschild-Fall zeigt exemplarisch, welche Verunsicherung das neue Datenschutzrecht ein halbes Jahr nach seinem Inkrafttreten immer noch verursacht.
DSGVO-Verstöße abmahnfähig?
Unsicherheit herrscht auch bei einem spezifisch deutschen Problem: den Abmahnungen. Sind Verstöße gegen das neue Datenschutzrecht abmahnfähig? Namhafte Juristen wie der Münchner Professor und UWG-Kommentator Helmut Köhler meinen nein. Die DSGVO schließt ihrer Ansicht nach wettbewerbsrechtliche Abmahnungen aus, da sie die Rechtsfolgen einer Verletzung abschließend regelt. Dennoch ließen dubiose Abmahnversuche nicht lange auf sich warten. So mahnte eine Augsburger Kanzlei im Namen einer Hamburger Kosmetikerin bundesweit Friseursalons ab, weil auf deren Webseiten angeblich die Datenschutzerklärung fehlte.
Mittlerweile liegen erste Gerichtsentscheidungen vor. Das Landgericht Bochum hält DSGVO-Abmahnungen durch Konkurrenten für unzulässig. Das Landgericht Würzburg ist anderer Meinung. Ohne nähere Begründung sieht es in einer ungenügenden Datenschutzerklärung eine Wettbewerbsverletzung, die einen Unterlassungsanspruch begründet.
Etwas differenzierter fällt die erste gerichtliche Entscheidung aus. Das Hanseatische Oberlandesgericht wendet sich zwar gegen die Ansicht, die Aufzählung der Sanktionsmöglichkeiten in der DSGVO sei abschließend. Es sieht allerdings nicht in jedem Verstoß gegen die EU-Verordnung eine Anspruchsgrundlage für wettbewerbsrechtliche Abmahnungen. Vielmehr sei zu prüfen, ob es sich bei der verletzten Norm um eine Marktverhaltensregel handle. Sollte sich die Auffassung der Hamburger Richter durchsetzen, wird die Unsicherheit in Bezug auf datenschutzrechtliche Abmahnungen noch länger anhalten. Denn in diesem Fall muss die Rechtsprechung zuerst klären, welche Normen der DSGVO den Charakter einer Marktverhaltensregel haben und welche nicht.
Erste Bußgeldbescheide
Neben den Abmahnungen durch Konkurrenten ist es vor allem die Strafdrohung der DSGVO, die Unternehmern schlaflose Nächte bereitet. Bei einem Verstoß sieht die Verordnung ein Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Die meisten Datenschutzbehörden in Deutschland haben bisher noch keine Bußgeldbescheide erlassen.
Eine erste Sanktion wurde aus Baden-Württemberg bekannt. Der dortige Landesbeauftragte für Datenschutz verhängte gegen die Chat-Plattform Knuddels ein Bußgeld von 20.000 Euro, weil sie die Passwörter ihrer Nutzer im Klartext speicherte. Die Passwörter gelangten zusammen mit anderen Nutzerdaten durch einen Hackerangriff an die Öffentlichkeit. Dass die Strafe nicht höher ausfiel, hängt damit zusammen, dass die Plattform konstruktiv mit der Datenschutzbehörde zusammenarbeitete. Einen spektakulären Fall haben die portugiesischen Behörden zu vermelden. Ein Krankenhaus in der Nähe von Lissabon muss 400.000 Euro zahlen, weil es den Zugriff auf die Patientendaten nicht genügend schützte. Offenbar hatten fast 1.000 Benutzer eine Zugriffsberechtigung als Arzt, obwohl die Klinik nur 300 Mediziner beschäftigt.
Die beiden Fälle lassen ungefähr vermuten, in welchem Rahmen sich die Strafen bewegen werden. Schwere Verstöße großer Organisationen können durchaus mit sechs- oder siebenstelligen Beträgen geahndet werden. Kleine und mittlere Unternehmen haben für typische Datenschutzverletzungen dagegen eher ein Bußgeld von einigen Tausend Euro zu erwarten – vor allem, wenn sie mit den Behörden kooperieren. Im Moment sind die meisten Datenschützer der Bundesrepublik aufgrund der durch die DSGVO ausgelösten Beschwerdeflut am Anschlag ihrer Kräfte. Deshalb hält sich die Gefahr einer Bestrafung noch in Grenzen.
Unternehmen mit DSGVO-Umsetzung im Rückstand
Begrenzt sind allerdings auch die Fortschritte bei der Umsetzung des neuen Datenschutzrechts. Ende September hatte gemäß einer Umfrage des Branchenverbands Bitkom erst ein Viertel der Unternehmen die DSGVO vollständig umgesetzt – gleich viele wie bei der Befragung im Mai! Vierzig Prozent der Umfrageteilnehmer gaben an, die Datenschutzbestimmungen mehrheitlich implementiert zu haben, dreißig Prozent waren mitten im Umsetzungsprozess und fünf Prozent hatten erst damit begonnen.
Vier von fünf Unternehmen beklagten den höheren Aufwand durch das geänderte Datenschutzrecht. Dies deckt sich mit unserer Kundenumfrage vom Mai, in der 79 Prozent der Befragten angaben, die DSGVO habe ihnen bereits erhebliche Kosten verursacht. Am meisten Mühe bereiten den Unternehmen gemäß Bitkom-Studie die zusätzlichen Dokumentations- und Informationspflichten. Fast alle Befragten forderten eine Nachbesserung des Datenschutzrechts. Sie erhoffen sich vor allem Erleichterungen für kleinere Betriebe. Was sich Unternehmer sicherlich genauso wünschen, sind Schritte gegen missbräuchliche Abmahnungen aufgrund der DSGVO.
Investitionen in DSGVO-Konformität notwendig
Ihr Wunsch könnte in Erfüllung gehen. Justizministerin Katarina Barley bereitet derzeit ein „Gesetz zur Stärkung des fairen Wettbewerbs“ vor, um den Abmahnmissbrauch in die Schranken zu weisen. Der Gesetzentwurf sieht höhere Anforderungen an die Klagebefugnis und eine Senkung der finanziellen Anreize für Abmahner vor. Zudem soll im Wettbewerbsrecht der „fliegende Gerichtsstand“, die Möglichkeit des Klägers, sein Gericht praktisch nach Belieben auszuwählen, wegfallen. Einen Schritt weiter geht eine Bundesratsinitiative von Bayern, die wettbewerbsrechtliche Abmahnungen auf Grundlage der DSGVO gänzlich verunmöglichen will.
Die beiden Gesetzesvorschläge sind zu begrüßen. Ebenso ist zu hoffen, dass sowohl der nationale als auch der europäische Gesetzgeber die Datenschutzbestimmungen vereinfachen und besser an die Erfordernisse des Mittelstands anpassen. Doch bis dahin gilt die DSGVO in ihrer heutigen Fassung. Ihre Auslegung ist zwar in vielen – zu vielen! – Bereichen noch unsicher. Die Unsicherheit darf den Unternehmen, die mit der Umsetzung der EU-Verordnung im Rückstand sind, indes keinen Vorwand bieten, abzuwarten. Denn das Abwarten könnte sie teurer zu stehen kommen als die unterlassenen Investitionen in den Datenschutz.
