AssCompact suche
Home
Steuern & Recht
20. Mai 2020
„Datenschutzbehörden gehen 2020 schärfer gegen Verstöße vor“

„Datenschutzbehörden gehen 2020 schärfer gegen Verstöße vor“

Datenschutzbehörden haben 2019 einen neuen Bußgeldkatalog erlassen und werden 2020 Unternehmen bei Verstößen gegen den Datenschutz strenger zur Rechenschaft ziehen, weiß Rechtsanwalt Dr. Thomas Schwenke. In einem Interview in zwei Teilen erklärt der Datenschutzexperte heute im ersten Teil wie Vermittler Schritt für Schritt ihre Maßnahmen prüfen können, um auf der sicheren Seite zu sein.

Herr Dr. Schwenke, deutsche Datenschutzbehörden haben angekündigt, dieses Jahr ihre zurückhaltende Position aufzugeben und Verstöße gegen die DSGVO in vollem Ausmaß zu ahnden. Was bedeutet das konkret?

Es ist in der Tat eine Entwicklung dahingehend zu beobachten, dass die Datenschutzbehörde den Datenschutz in Unternehmen jetzt schärfer durchsetzt. Ich hatte jetzt innerhalb eines Jahres mehr Datenschutzfälle mit Behörden als in den letzten 13 Jahren zusammen. Die Datenschutzbehörde geht Meldungen und Hinweisen öfter nach und verhängt Strafen, weil sie merkt, dass noch nicht genug passiert ist. Die deutschen Behörden haben erst 2019 einen neuen Bußgeldkatalog erlassen, um hier entsprechende Strukturen zu schaffen. Seit der DSGVO können bis zu 4% des Jahresumsatzes eines Unternehmens als Bußgeld bei Datenschutzverstößen erhoben werden. Das ist relativ viel und seither horchen die Unternehmen auf.

Es gibt jedoch unterschiedliche Stufen je nach Unternehmensgröße. Die meisten werden in die Kleinstkategorie fallen, also mit einem Jahresumsatz von 750.000 Euro. Mindestens wird ein Tagessatz von rund 1.000 Euro fällig. Je nachdem, wie schwer der Verstoß war, wie kooperativ das Unternehmen war, welche Art von Verstoß es ist, kann dieser Wert vervielfacht werden. Geahndet werden nach meiner Erfahrung häufig nicht beachtete Widerspruchsäußerungen, zum Beispiel bei Werbemails, mangelhafte Löschkonzepte im Unternehmen sowie ein nicht nachvollziehbares Verzeichnis von Verarbeitungstätigkeiten. Zu beachten ist auch, dass die Datenschutzbehörden sicher weitere Nachforschungen anstellen, wenn einmal ein Fehler bei einem Unternehmen aufgedeckt wurde.

Was sind die wichtigsten Stellschrauben, an denen gerade kleine und mittlere Unternehmen nochmal drehen können, um ihre DSGVO-Konformität zu prüfen und zu optimieren?

Was beachtet werden muss, sind Widersprüche, Auskunftsansprüche und Löschansprüche. Wenn diese eingehen, müssen sie unverzüglich, spätestens aber nach einer Frist von einem Monat, umgesetzt werden. Außerdem sollte man auf jeden Fall ein Verzeichnis von Verarbeitungstätigkeiten haben. Darin wird festgehalten, woher die Daten kommen, auf welcher Rechtsgrundlage sie verarbeitet wurden, um welche Art von Daten es sich handelt, welche Personen betroffen sind und wann sie gelöscht werden müssen.

Wichtig ist auch die Belehrung der Mitarbeiter. Jeder Mitarbeiter sollte eine Verpflichtung auf den Datenschutz abschließen. Wenn Mitarbeiter im Home-Office arbeiten, müssen die Verarbeitung im Home-Office sowie die Verarbeitung über private Geräte geregelt werden. Es geht bei der DSGVO auch darum, nachzuweisen, dass man sich über den Datenschutz Gedanken gemacht hat. Das Bemühen allein reicht zwar nicht, aber bei der Beurteilung eines Bußgeldes macht es durchaus einen Unterschied. Man sollte jedenfalls nicht so wirken, als hätte man sich keine Gedanken dazu gemacht, damit die Datenschutzbehörde gar nicht erst auf einen aufmerksam wird. Wir Rechtsanwälte sind da pragmatisch.

Versicherungsvermittler „sammeln“ im Grunde ja Daten. Wem gehören diese und was darf der Vermittler davon für seine eigene Vertriebsstrategie, zum Beispiel für personalisierte Werbung, einsetzen?

Der Begriff Dateneigentum ist etwas irreführend. Es geht hier um das Recht, über die Daten zu verfügen. Verfügungsrechte bedeuten, dass ich aufgrund eines Vertrages etwas mit den Daten machen kann; wenn der Vertrag erlischt, kann ich es nicht mehr. Man muss sich dabei an die Prüfungsvorgaben halten. Der Versicherungsvermittler muss diesen Prozess immer durchgehen, wenn er Daten verwenden möchte.

Eine Prüfung beginnt so: Man hat eine bestimmte Art von Daten und man möchte mit ihnen einen bestimmten Zweck verfolgen. Der Zweck ist zulässig, sofern er nichts Böses will. Personalisierte Werbung ist kein verbotener Zweck. Man braucht aber eine Rechtsgrundlage, auf der man die Daten verarbeitet. Denn: Jede Datenverarbeitung ist erst mal per se verboten, es sei denn, sie ist erlaubt. Rechts- bzw. Erlaubnisgrundlagen stehen im Gesetz. Das ist zum Beispiel die Verarbeitung auf Grundlage einer Einwilligung oder zur Erfüllung eines Vertrages, die Verarbeitung zur Erfüllung gesetzlicher Pflichten – das haben wir zum Beispiel zur Corona-Zeit, wenn Gäste gemeldet werden müssen.

Dann haben wir noch die Verarbeitung auf Grundlage von berechtigten Interessen. Bei besonderen Kategorien von Daten wie zum Beispiel Gesundheitsdaten ist die Verarbeitung zusätzlich eingeschränkt. Hier braucht man im Regelfall eine Einwilligung, außer sie werden dazu verwendet, für die Menschen gesundheitsförderlich zu sein.

Bleiben wir bei den normalen personenbezogenen Daten. Wie geht es weiter?

Wenn mein Zweck personalisierte Werbung ist, was ist die Rechtsgrundlage? Für die Erfüllung des Vertrages ist er nicht da. Berechtigtes Interesse greift nur, wenn die Schutzinteressen der Kunden nicht überwiegen. Der Gesetzgeber gibt hier Hinweise in den sogenannten Erwägungsgründen zur DSGVO. Darin steht: Ein berechtigtes Interesse übertrifft die Schutzinteressen, wenn die Verarbeitung zumutbar und vorhersehbar ist. Im Fall postalischer Werbung kann man davon ausgehen, dass sie für Kunden vorhersehbar und zumutbar ist – zumindest solange die Kunden über mögliche Werbung zum Beispiel in der Datenschutzerklärung belehrt wurden und dem Empfang nicht widersprochen haben. Bei E-Mail-Werbung ist dagegen grundsätzlich immer eine Einwilligung des Empfängers notwendig.

Was ist, wenn diese Prüfung negativ ausfällt?

Dann brauche ich eine Einwilligung. Meiner Erfahrung nach werden die allermeisten Fehler dadurch gemacht, dass sich Unternehmer gar keine Gedanken darüber machen. Wenn man sich keine Gedanken macht, hat man auch nichts dokumentiert und kann kein Bemühen nachweisen. Hält man sich aber daran, geht man die Schritte in Fleißarbeit durch, dann kann man schon mit der Hilfe von Informationen im Internet sehr weit kommen.

Lesen Sie auch den ersten Teil des Interviews: „Datenschutz unterscheidet nicht, ob es ein großes Unternehmen oder ein kleines ist“

Über Dr. Thomas Schwenke

Dr. jur. Thomas Schwenke, LL.M. (Auckland), DiplFinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen im Marketing- sowie Datenschutzrecht, ist zertifizierter Datenschutzauditor, podcastet unter Rechtsbelehrung.com und ist Betreiber der Plattform Datenschutz-Generator.de. Weitere Informationen: www.drschwenke.de

Bild: © tostphoto – stock.adobe.com