AssCompact suche
Home
Steuern & Recht
20. Juni 2019
DSGVO: „Man sollte in der Praxis nicht zu ängstlich sein“

1 / 2

DSGVO: „Man sollte in der Praxis nicht zu ängstlich sein“

Rund ein Jahr, nachdem die DSGVO in Kraft trat, wirft Rechtsanwalt Dr. Lutz Keppeler von der Kanzlei Heuking Kühn Lüer Wojtek einen Blick zurück. Seiner Ansicht nach bestehen zudem bei der Auftragsdatenverarbeitung und der Datenschutzerklärung noch Unsicherheiten. Des Weiteren steht mit der E-Privacy-Verordnung schon die nächste Verordnung vor der Tür.

 

Herr Dr. Keppeler, die DSGVO hat die Maklerunternehmen aufgeschreckt. Wie lautet ein Jahr nach Inkrafttreten Ihr Fazit: Ist alles halb so wild oder schlimmer?

Die DSGVO hat sich insgesamt nicht als ein „Schrecken“ erwiesen, denn die wenigen Bußgelder, die in der Praxis bislang erlassen wurden, bezogen sich überwiegend auf ganz eindeutige Verstöße gegen die DSGVO, die sehr leicht zu vermeiden gewesen wären. Zudem wurde der Bußgeldrahmen von bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes – pro Verstoß – bislang bei Weitem kaum ausgeschöpft. In Deutschland liegen die höchsten Bußgelder bei 80.000 Euro; im Schnitt werden gegen Unternehmen Bußgelder in Höhe von 10.000 Euro verhängt. Nichtsdestotrotz hat sich das neue Datenschutzrecht als „bürokratisches Monster“ entpuppt, welches Maklerunternehmen zahlreiche Dokumentationspflichten aufbürdet. Stichworte sind hier „Verzeichnis der Verarbeitungstätigkeiten“, „Datenschutz-Folgenabschätzung“ oder „Transparenzpflichten“. Es zeigt sich aber jetzt nach einem Jahr, dass man in diesem Bereich ganz gut mit den mittlerweile bestehenden Templates und Mustern für die entsprechenden Dokumentationspflichten arbeiten und auf diese Weise den bürokratischen Umsetzungsaufwand erheblich reduzieren kann.

Große Angst bestand vor einer Abmahnwelle. Die Politik hatte teilweise angemahnt, sich bei Verstößen bei kleineren Unternehmen kulant zu zeigen. Wie schätzen Sie die Situation ein? Ist die Abmahnwelle ausgeblieben?

Die Abmahnwelle, vor der mitunter etwas „hemdsärmlige“ Datenschutzberater gewarnt haben, um ihren Klienten Angst vor der DSGVO zu machen, ist – wie von vielen Fachleuten erwartet – nahezu vollkommen ausgeblieben. Hierfür gibt es drei Hauptgründe: Erstens erfordert eine Abmahnwelle eindeutig zu identifizierende Gesetzesverstöße. Gerade die DSGVO ist aber so offen und kompliziert formuliert, dass in vielen Fällen umstritten ist, was zulässig und was eventuell abmahnfähig ist. Zweitens erhalten „Abmahnanwälte“ ja nicht die Millionenbußgelder, sondern nur eine Gebühr, die sich an den – häufig sehr geringen – Streitwerten orientiert. Drittens ist vor deutschen Gerichten grundsätzlich umstritten, ob und welche Datenschutzverstöße abgemahnt werden können. Eine Abmahnwelle ist daher auch in Zukunft nicht zu erwarten.

Grundsätzlich müssen die Anforderungen ja bereits umgesetzt sein. Was kann derjenige machen, der hier noch Lücken hat?

Jeder, der jetzt noch Lücken hat, sollte prüfen, wie er mit 20% des Aufwandes 80% der Verpflichtungen der DSGVO erfüllen kann. Hierbei sollte ein Fokus auf diejenigen Aspekte gelegt werden, die „von außen sichtbar“ sind, wie etwa die Datenschutzerklärung auf der Website oder andere Transparenzhinweise gegenüber den eigenen Kunden. Auf Basis bestehender Templates kann hierzu häufig eine Umsetzung mit sehr geringem Aufwand erfolgen.

Großes Thema war die Auftragsverarbeitung insbesondere in der Zusammenarbeit mit Pools ...

Soweit ein Makler tatsächlich im Auftrag und unter der Weisung eines anderen Maklers personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag abzuschließen. Der EuGH hat jedoch 2018 durch zwei Urteile zur sogenannten „gemeinschaftlichen Verantwortlichkeit“ die Aufmerksamkeit darauf gelenkt, dass die Zusammenarbeit mit Pools datenschutzrechtlich eher keine Auftragsverarbeitung, sondern eine „gemeinschaftliche Verantwortlichkeit“ zur Folge hat.

Gemäß Art. 26 DSGVO müssen sich daher die Teilnehmer eines Pools darauf verständigen, wer welche Verpflichtung der DSGVO gegenüber den Kunden und sonstigen Betroffenen einhält. So wäre etwa zu regeln, ob bestimmte Pool-Teilnehmer die Erfüllung der Transparenzpflichten, die Erledigung von Betroffenenanfragen oder die rechtzeitige Löschung von Daten für andere übernehmen oder ob dies jeder Pool-Teilnehmer nach gemeinsamen Vorgaben intern für sich entscheidet und umsetzt. Unabhängig von dieser internen Regelung besteht nach außen hin jedenfalls aber eine gemeinschaftliche Haftung für Datenschutzthemen, wobei im Falle der Inanspruchnahme ein Ausgleich im Innenverhältnis – je nach Zuordnung der Verantwortlichkeit und Verschuldensanteile – möglich ist.

Wichtig ist ja auch immer wieder der Umgang mit der Datenschutzerklärung. Wie und wann sollte der Makler die Datenschutzerklärung an den Kunden aushändigen?

Die Datenschutzerklärung sollte jedem neuen Kunden im Rahmen eines Erstkontakts ausgehändigt werden. Da heutzutage typischerweise E-Mail- Adressen ausgetauscht werden, bietet es sich an, eine Datenschutzerklärung per E-Mail zu versenden. Dies spart unnötige Ausdrucke und hat den Vorteil, dass man hinterher beweisen kann, wem man eine Datenschutzerklärung übergeben hat. Natürlich gibt es auch immer noch „ältere Semester“, die eine Datenschutzerklärung lieber in Papierform übergeben. In diesem Fall sollte man sich den Empfang der Datenschutzerklärung bestätigen lassen, da der Makler nach der DSGVO dazu verpflichtet ist, nachweisen zu können, dass er die Datenschutzerklärung übergeben hat. Die Versendung per E-Mail hat im Übrigen noch den Vorteil, dass geänderte Datenschutzerklärungen wiederum praktisch per E-Mail versendet werden können.