Das Alte im neuen Gewand

von Dr. Sonja Kreß und Dr. Thomas Weimann // Deutschland ist beim Datenschutzrecht in Europa Vorreiter.  Die Datenschutzrechtsexperten Dr. Sonja Kress und Dr. Thomas Weimann sehen in der neuen Verordnung dennoch die Chance auf einen Bewusstseinswandel.

Über Datenschutz wird derzeit so viel diskutiert wie noch nie. Das liegt zum einen am Facebook-Skandal, zum anderen an der neuen Datenschutz-Grundverordnung (DSGVO). Die wird am 25.05.2018 die bislang geltenden Datenschutzgesetze in den EU-Mitgliedstaaten ablösen.

Diese Neuregelung des Datenschutzrechts führt dazu, dass Verbraucher aktuell in unterschiedlichsten Bereichen und auf unterschiedlichste Weise über neue Datenschutzregelungen informiert werden.

In Unternehmen finden zum Beispiel Mitarbeiterschulungen statt; Fitnessstudios fordern ihre Mitglieder auf, Fitnesspläne in Zukunft mit nach Hause zu nehmen und nicht mehr in frei zugänglichen Ordnern im Studio aufzubewahren; Social Media-Plattformen wie Facebook, Instagram oder Pinterest fordern ihre Nutzer auf, neue Datenschutzerklärungen zu akzeptieren.

Die DSGVO ist so neu aber gar nicht. Sie ist bereits am 25.05.2016 in Kraft getreten. Die Unternehmen hatten also zwei Jahre Zeit, ihre Prozesse auf die neue Rechtslage einzustellen. Nicht alle haben rechtzeitig mit den Vorbereitungen begonnen und versuchen nun, unter Hochdruck die Forderungen der DSGVO umzusetzen. Maßgebliche Änderung und letztlich wohl auch der Grund für die breite Aufmerksamkeit ist das gesteigerte finanzielle Risiko. Denn während bislang maximal ein Bußgeld von 300.000 Euro angesetzt wurde, können nun bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernjahresumsatzes fällig werden. Damit hat sich der Bußgeldrahmen um den Faktor 70 erhöht!

Zusätzlich können betroffene Personen Schadensersatzansprüche geltend machen oder Schmerzensgeld fordern. Aufgrund des in der Öffentlichkeit erhöhten Bewusstseins in Bezug auf Datenschutzrechte ist davon auszugehen, dass hiervon auch Gebrauch gemacht werden wird.

Was das Datenschutzniveau in Deutschland betrifft, so ist das verglichen mit anderen europäischen Ländern recht hoch. Grundlage hierfür ist das bestehende Bundesdatenschutzgesetz (BDSG). So gilt zum Beispiel der Grundsatz, dass nur dann personenbezogene Daten erhoben, verarbeitet und genutzt werden dürfen, wenn hierfür entweder eine gesetzliche Rechtfertigung besteht oder eine Einwilligung der betroffenen Person vorliegt. Die Einwilligung ist und bleibt nur dann rechtlich wirksam, wenn die betroffene Person zuvor ausführlich und in verständlicher Weise über die geplante Datenverarbeitung aufgeklärt wurde.

Außerdem müssen personenbezogene Daten schon immer gelöscht werden, wenn sie für den Vertragszweck nicht mehr erforderlich sind und keine Aufbewahrungspflicht besteht. Damit sind insbesondere großen Datensammlungen „auf Vorrat“ (Stichwort: Big Data) auch schon durch die bislang geltenden Datenschutzregelungen eine rechtliche Grenze gesetzt.

All diese Verpflichtungen aus dem Datenschutzrecht gelten jedoch nicht, wenn Daten im persönlichen oder familiären Umfeld verarbeitet werden. Wenn zum Beispiel Adresslisten von Freunden angelegt werden, fällt das nicht unter das Datenschutzgesetz. Wer aber selbstständig ist und einen Blog betreibt und beispielsweise über ein Kontaktformular Adressen erhebt, verarbeitet damit personenbezogene Daten und muss sich deshalb an die Vorgaben des Datenschutzrechts und an die neue DSGVO halten.

Es bleibt abzuwarten, wie sich der Bewusstseinswandel bei Unternehmen und in der Bevölkerung entwickelt. Dabei wird maßgeblich sein, ob die Aufsichtsbehörden tatsächlich von ihrem Recht Gebrauch machen, wesentlich höhere Bußgelder zu fordern.


Dr. Sonja Kress und Dr. Thomas Weimann sind Rechtsanwälte der Kanzlei BRP Renaud und Partner mbH. Sie beraten schwerpunktmäßig im IT- und Datenschutzrecht.

Kommentar verfassen