Herr Dr. Keppeler, die DSGVO hat die Maklerunternehmen aufgeschreckt. Wie lautet ein Jahr nach Inkrafttreten Ihr Fazit: Ist alles halb so wild oder schlimmer?
Die DSGVO hat sich insgesamt nicht als ein „Schrecken“ erwiesen, denn die wenigen Bußgelder, die in der Praxis bislang erlassen wurden, bezogen sich überwiegend auf ganz eindeutige Verstöße gegen die DSGVO, die sehr leicht zu vermeiden gewesen wären. Zudem wurde der Bußgeldrahmen von bis zu 20 Mio. Euro oder bis zu 4% des weltweiten Jahresumsatzes – pro Verstoß – bislang bei Weitem kaum ausgeschöpft. In Deutschland liegen die höchsten Bußgelder bei 80.000 Euro; im Schnitt werden gegen Unternehmen Bußgelder in Höhe von 10.000 Euro verhängt. Nichtsdestotrotz hat sich das neue Datenschutzrecht als „bürokratisches Monster“ entpuppt, welches Maklerunternehmen zahlreiche Dokumentationspflichten aufbürdet. Stichworte sind hier „Verzeichnis der Verarbeitungstätigkeiten“, „Datenschutz-Folgenabschätzung“ oder „Transparenzpflichten“. Es zeigt sich aber jetzt nach einem Jahr, dass man in diesem Bereich ganz gut mit den mittlerweile bestehenden Templates und Mustern für die entsprechenden Dokumentationspflichten arbeiten und auf diese Weise den bürokratischen Umsetzungsaufwand erheblich reduzieren kann.
Große Angst bestand vor einer Abmahnwelle. Die Politik hatte teilweise angemahnt, sich bei Verstößen bei kleineren Unternehmen kulant zu zeigen. Wie schätzen Sie die Situation ein? Ist die Abmahnwelle ausgeblieben?
Die Abmahnwelle, vor der mitunter etwas „hemdsärmlige“ Datenschutzberater gewarnt haben, um ihren Klienten Angst vor der DSGVO zu machen, ist – wie von vielen Fachleuten erwartet – nahezu vollkommen ausgeblieben. Hierfür gibt es drei Hauptgründe: Erstens erfordert eine Abmahnwelle eindeutig zu identifizierende Gesetzesverstöße. Gerade die DSGVO ist aber so offen und kompliziert formuliert, dass in vielen Fällen umstritten ist, was zulässig und was eventuell abmahnfähig ist. Zweitens erhalten „Abmahnanwälte“ ja nicht die Millionenbußgelder, sondern nur eine Gebühr, die sich an den – häufig sehr geringen – Streitwerten orientiert. Drittens ist vor deutschen Gerichten grundsätzlich umstritten, ob und welche Datenschutzverstöße abgemahnt werden können. Eine Abmahnwelle ist daher auch in Zukunft nicht zu erwarten.
Grundsätzlich müssen die Anforderungen ja bereits umgesetzt sein. Was kann derjenige machen, der hier noch Lücken hat?
Jeder, der jetzt noch Lücken hat, sollte prüfen, wie er mit 20% des Aufwandes 80% der Verpflichtungen der DSGVO erfüllen kann. Hierbei sollte ein Fokus auf diejenigen Aspekte gelegt werden, die „von außen sichtbar“ sind, wie etwa die Datenschutzerklärung auf der Website oder andere Transparenzhinweise gegenüber den eigenen Kunden. Auf Basis bestehender Templates kann hierzu häufig eine Umsetzung mit sehr geringem Aufwand erfolgen.
Großes Thema war die Auftragsverarbeitung insbesondere in der Zusammenarbeit mit Pools ...
Soweit ein Makler tatsächlich im Auftrag und unter der Weisung eines anderen Maklers personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag abzuschließen. Der EuGH hat jedoch 2018 durch zwei Urteile zur sogenannten „gemeinschaftlichen Verantwortlichkeit“ die Aufmerksamkeit darauf gelenkt, dass die Zusammenarbeit mit Pools datenschutzrechtlich eher keine Auftragsverarbeitung, sondern eine „gemeinschaftliche Verantwortlichkeit“ zur Folge hat.
Gemäß Art. 26 DSGVO müssen sich daher die Teilnehmer eines Pools darauf verständigen, wer welche Verpflichtung der DSGVO gegenüber den Kunden und sonstigen Betroffenen einhält. So wäre etwa zu regeln, ob bestimmte Pool-Teilnehmer die Erfüllung der Transparenzpflichten, die Erledigung von Betroffenenanfragen oder die rechtzeitige Löschung von Daten für andere übernehmen oder ob dies jeder Pool-Teilnehmer nach gemeinsamen Vorgaben intern für sich entscheidet und umsetzt. Unabhängig von dieser internen Regelung besteht nach außen hin jedenfalls aber eine gemeinschaftliche Haftung für Datenschutzthemen, wobei im Falle der Inanspruchnahme ein Ausgleich im Innenverhältnis – je nach Zuordnung der Verantwortlichkeit und Verschuldensanteile – möglich ist.
Wichtig ist ja auch immer wieder der Umgang mit der Datenschutzerklärung. Wie und wann sollte der Makler die Datenschutzerklärung an den Kunden aushändigen?
Die Datenschutzerklärung sollte jedem neuen Kunden im Rahmen eines Erstkontakts ausgehändigt werden. Da heutzutage typischerweise E-Mail- Adressen ausgetauscht werden, bietet es sich an, eine Datenschutzerklärung per E-Mail zu versenden. Dies spart unnötige Ausdrucke und hat den Vorteil, dass man hinterher beweisen kann, wem man eine Datenschutzerklärung übergeben hat. Natürlich gibt es auch immer noch „ältere Semester“, die eine Datenschutzerklärung lieber in Papierform übergeben. In diesem Fall sollte man sich den Empfang der Datenschutzerklärung bestätigen lassen, da der Makler nach der DSGVO dazu verpflichtet ist, nachweisen zu können, dass er die Datenschutzerklärung übergeben hat. Die Versendung per E-Mail hat im Übrigen noch den Vorteil, dass geänderte Datenschutzerklärungen wiederum praktisch per E-Mail versendet werden können.
Die E-Privacy-Verordnung sollte ursprünglich mit der DSGVO kommen, wurde aber verschoben. Wann ist damit zu rechnen und was soll die Richtlinie bewirken?
Hier haben sich die entsprechenden Stellen der EU deutlich verkalkuliert. Angesichts der anstehenden Europawahl kann es gut sein, dass der bisherige Entwurf des EU-Parlaments erst noch einmal überarbeitet werden muss. Auf Basis der dann bestehenden drei Entwürfe von Parlament, Rat und Kommission wird – wenn es gut läuft – bis Ende 2019 ein finaler Wortlaut verhandelt, der nach einer Übergangsfrist von vermutlich sechs bis zwölf Monaten 2020/2021 in Kraft treten wird.
Welche Auswirkungen könnte die E-Privacy-Verordnung auf Maklerunternehmen haben?
Die E-Privacy-Richtlinie wird vor allem neue und verbindliche Regeln für Online-Marketing, E-Mail-Marketing und Telefonanrufe zu Werbezwecken enthalten. Die aktuellen Entwürfe enthalten hierzu aber sehr unterschiedliche Regelungen, weshalb es derzeit für Maklerunternehmen noch nicht zweckmäßig ist, das Marketing an mögliche zukünftige Regeln anzupassen. Hier sollte lieber abgewartet werden, bis der finale Wortlaut der E-Privacy Verordnung verfügbar ist.
Auf der einen Seite wird der Datenschutz verschärft, andererseits spricht die Branche von den Chancen von Big Data. Es sollen immer mehr Daten gesammelt und ausgewertet werden. Hechelt hier der Datenschutz den tatsächlichen Entwicklungen hinterher?
Das Datenschutzrecht formuliert ausschließlich abstrakte Vorgaben für die Zulässigkeit einer Datenverarbeitung. Begriffe wie „Big Data“, „künstliche Intelligenz“ oder „Smart Contracts“ sind in der Datenschutzgrundverordnung ebenso wenig zu finden wie weitere aktuelle Schlagworte, etwa „legal tech“, „Smart Home und Smart Metering“, „Industrie 4.0“ usw. Wie scharf die allgemeinen Datenschutzregeln tatsächlich am Ende des Tages ausgelegt werden, wird der Europäische Gerichtshof entscheiden. Dies allerdings vermutlich zu einem Zeitpunkt, zu dem die Technologie, über die entschieden wird, bereits wieder veraltet ist.
Die DSGVO rühmt sich ihrer „Technikneutralität“ mit der Begründung, dass neue technologische Phänomene ohnehin nicht rechtzeitig durch den Gesetzgeber erfasst werden können. Dies führt allerdings in der Wirtschaft zu einer erheblichen Unsicherheit bei der Nutzung dieser neuen Technologien, was wiederum in ganz Europa – im Vergleich zu den USA oder zu Asien – einen erheblichen Standortnachteil darstellt. In der Praxis sollte man hier nicht zu „ängstlich“ sein, insbesondere wenn Wettbewerber auch auf ähnliche moderne Technologien setzen.
Bild: © Coloures-Pic – stock.adobe.com
Das Interview lesen Sie auch in AssCompact 06/2019, Seite 116 f. und in unserem ePaper.
- Anmelden, um Kommentare verfassen zu können