Vor dem Wirksamwerden der DSGVO am 25. Mai 2018 sorgten die hohen vorgesehenen Geldbußen sowie die Angst vor Abmahnungen für viel Aufregung um die Folgen fehlender DSGVO-Compliance. Eine Abmahnwelle blieb in dem ersten DSGVO-Jahr aus und die Behörden machten von dem neuen Sanktionsrahmen nur behutsam Gebrauch. Dennoch zeigen erste Bußgelder, welche Datenschutzverstöße dringend vermieden werden sollten.
Zwar kann von Rechtssicherheit noch keine Rede sein. Allerdings können neben Stellungnahmen der Behörden nach dem ersten Jahr mit der DSGVO auch erste gerichtliche Entscheidungen als Auslegungshilfe herangezogen werden. In der Beratung begleiten uns dabei weiterhin einige Schwerpunktthemen.
Trend zur gemeinsamen Verantwortlichkeit
Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO stellt schon mangels entsprechender oder vergleichbarer Regelungen im BDSG-alt eine der wesentlicheren Änderungen dar, die die DSGVO mit sich brachte.
In den Fokus der breiteren Öffentlichkeit gelangte die gemeinsame Verantwortlichkeit maßgeblich durch die Fanpage-Entscheidung des EuGH. Das Gericht entschied, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Datenverarbeitung verantwortlich ist und sorgte damit für einigen Wirbel. Auch die weniger beachtete Zeugen Jehovas Entscheidung des EuGH sowie die erwartete Entscheidung in der Sache Fashion-ID verdeutlichen die Bandbreite möglicher Konstellationen einer gemeinsamen Verantwortlichkeit.
Auswirkung hat die Rechtsprechung insbesondere für die Überprüfung bestehender Auftragsverarbeitungsvereinbarungen. Durch die geringen Anforderungen, die der EuGH an die Einwirkungsmöglichkeiten zur Festlegung der Mittel und Zwecke der Verarbeitung stellt, werden die Anwendungsfälle der Auftragsverarbeitung weniger. Ebenfalls auf den Prüfstand gehören Konstellationen, die bislang als Übermittlung zwischen zwei eigenständigen Verantwortlichen gehandhabt wurden. Ist eine gemeinsame Verantwortlichkeit gegeben und es fehlt an einer entsprechenden Joint-Controller-Vereinbarung kann ein Bußgeld drohen (Art. 83 Abs. 4 lit. a DSGVO).
Tracking, Targeting und Cookie-Banner
Für viel Unsicherheit sorgt auch weiterhin die Frage unter welchen Voraussetzungen Tracking und Targeting nach der DSGVO zulässig ist. Die anhaltende Verwirrung ist dabei maßgeblich auf die Folgen der fehlenden Verabschiedung der ePrivacy Verordnung und unglückliche Stellungnahmen der Datenschutzbehörden zurückzuführen. So gehen die Behörden in ihrer kürzlich veröffentlichten Orientierungshilfe für Anbieter von Telemedien trotz viel Kritik auch weiterhin davon aus, dass der Einsatz von Tracking und Targeting Tools grundsätzlich nur auf Grundlage einer Einwilligung zulässig sei. An die Wahl der Rechtsgrundlage anknüpfend stellen sich einige praktische weitere Fragen hinsichtlich der grundsätzlichen Notwendigkeit sowie der technischen und rechtlichen Gestaltung etwaiger Cookie-Banner.
Umsetzung von Informationspflichten
Rechtlich weniger kontrovers aber von großer praktischer Bedeutung ist die Umsetzung der umfangreichen Informationspflichten. Anpassungen der Datenschutzinformationen waren auch für solche Unternehmen obligatorisch, die schon vor der DSGVO Datenschutz ernst genommen haben. Hier besteht für Unternehmen nun vor allem die Herausforderung die entsprechenden Dokumente regelmäßig zu pflegen und auf dem aktuellen Stand zu halten. In der Natur der Sache liegend sind Verstöße gegen die Informationspflicht besonders offensichtlich und wurden von den Behörden bereits geahndet.
So verhängte die polnische Aufsichtsbehörde gegen ein Unternehmen ein Bußgeld in Höhe von knapp über 200.000 EUR wegen der Verletzung der Informationspflichten aus Art. 14 DSGVO. Das Unternehmen hatte aus öffentlich zugänglichen Quellen Daten gesammelt, in einer Datenbank zusammengetragen und es dabei aus wirtschaftlichen Erwägungen unterlassen die Betroffenen zu informieren.
Neben fehlenden wirksamen Einwilligungen waren die Informationspflichten auch bei der durch die französische Aufsichtsbehörde verhängten Rekord-Geldbuße gegen Google in Höhe von 50 Millionen Euro relevant. Bemängelt wurde insbesondere, dass die ohnehin zu allgemein gehaltenen Informationen auf unterschiedlichen Dokumenten verteilt und erst über diverse Buttons und Links vollständig abrufbar waren.
Auch durch die deutschen Behörden ist diesbezüglich mit verschärften Kontrollen zu rechnen. Derzeit prüft etwa das Bayerische LDA die Einhaltung von Informationspflichten in Bewerbungsverfahren.
Ohne Datensicherheit kein Datenschutz
Erst durch funktionierende technische und organisatorische Lösungen können die Daten betroffener Personen effektiv geschützt werden. Zahlreiche Datenpannen auch nach Wirksamwerden der DSGVO zeigen, dass mitunter geeignete Prozessen zur Gewährleistung dieser Lösungen fehlen.
Gleich bei zwei höheren Bußgeldern der baden-württembergischen Aufsichtsbehörde spielten unzureichende oder fehlende technische organisatorische Maßnahmen eine Rolle. Dabei kam ein soziales Netzwerk, das Passwörter ihrer Nutzer im Klartext gespeichert hatte mit einem Bußgeld in Höhe von 20.000 Euro nur deshalb so glimpflich davon, weil es besonders gut mit den Behörden kooperierte und unverzüglich Maßnahmen zur Information der Nutzer sowie zur Verbesserung ihrer IT-Sicherheitsarchitektur unternahm. In einem anderen Fall, bei dem „versehentlich Gesundheitsdaten im Internet landeten“, wurden 80.000 Euro Geldbuße fällig.
Weitere internationale Bußgelder zeigen, dass fehlende effektive Schutzmaßnahmen vor allem dann problematisch sind, wenn besonders sensible Daten verarbeitet werden.
Die Stadtverwaltung der norwegischen Stadt Bergen zahlte ein Bußgeld in Höhe von umgerechnet ca. 170.000 Euro, weil sie bei der Verarbeitung von Schülerdaten keine angemessenen Schutzmaßnahmen getroffen hatte. Bei dem Betrieb einer digitalen Lernplattform waren Leistungsbewertungen und weitere personenbezogene Daten von Schülerinnen und Schülern für Unberechtigte einsehbar. Ein portugiesisches Krankenhaus erhielt eine Geldbuße in Höhe von 400.000 Euro, weil ein funktionierendes Zugriffs- und Berechtigungskonzept fehlte, wodurch Gesundheitsdaten statt nur für die behandelnden Ärztinnen und Ärzte für weitaus mehr Personen innerhalb des Krankhauses zugänglich waren.
Abmahnwelle ausgeblieben
Die im Vorfeld von einigen Seiten befürchtete Abmahnwelle blieb in dem ersten Jahr mit der DSGVO hingegen aus. Stattdessen handelt es sich bei den bekannt gewordenen Abmahnungen bislang um Einzelfälle. Wie auch schon nach altem Recht bleibt die grundsätzliche Abmahnfähigkeit von Datenschutzverstößen nach dem UWG weiterhin umstritten. Daran haben auch vereinzelte gerichtliche Entscheidungen deutscher Gerichte nach Wirksamwerden der DSGVO nichts geändert. Klarheit kann – wie in vielen anderen Fragen rund um die DSGVO – nur durch erste Entscheidungen des EuGH erwartet werden.