Das Inkrafttreten der DSGVO hat vor einem Jahr für viel Wirbel gesorgt. Mittlerweile ist es medial ruhiger geworden um das Thema. Liegt das daran, dass die DSGVO mittlerweile weitgehend umgesetzt ist?
Ulrike Trägner: Nein. Viele Unternehmen sind noch mitten in der Umsetzung und haben den Prozess noch lange nicht abgeschlossen. Das betrifft nicht nur kleine und mittlere Unternehmen, sondern auch große Unternehmen.
Wo gibt es die größten Baustellen?
Trägner: Die meisten Unternehmen achten - und das ist sehr sinnvoll - zunächst darauf, diejenigen datenschutzrechtlichen Anforderungen abzuarbeiten, die nach außen erkennbar sind. Dabei geht es beispielsweise um Kontaktformulare und die Datenschutzerklärung auf der Internetseite oder um Auftragsverarbeitungsvereinbarungen. Themen, die nicht unmittelbar von außen erkennbar sind, wie die Erstellung von Verarbeitungsverzeichnissen oder Risikofolgenabschätzungen, stehen an zweiter Stelle. Viele Unternehmen gehen diese erst jetzt an. Es gibt noch einiges zu tun.
Vermutlich gibt es auch das ein oder andere Unternehmen, das beim Thema DSGVO nach wie vor am Anfang steht. Was raten Sie diesen?
Trägner: Das Wichtigste ist, zunächst den Ist-Stand zu erheben und herauszufinden, was das Unternehmen braucht. Wenn wir Firmen beraten, setzen wir uns idealerweise mit Mitgliedern aus der Geschäftsführung sowie der Personal- und der IT-Abteilung an einen Tisch und informieren, was zur Umsetzung nötig ist. Dann gehen wir zusammen eine Checkliste durch und fragen ab, welche Punkte bereits erledigt sind. Am Ende steht dann ein Maßnahmenkatalog, aus dem klar hervorgeht, wer was genau zu tun hat.
Geht das auch ohne externe Hilfe?
Trägner: Ja. Dennoch halten wir externe Unterstützung für sinnvoll, da die Anforderungen der DSGVO sehr komplex sind und man nicht ohne weiteres alles erfassen und umsetzen kann. Wenn sie zumindest in zwei Stunden Beratung investieren, haben Unternehmen einen ersten Überblick und wissen, wo sie stehen.
Wie wird kontrolliert, ob die DSGVO eingehalten wird?
Trägner: Es gibt zwei Kontrollmechanismen. Der eine ist die regelmäßige Prüfung durch die Aufsichtsbehörden. Aufgrund der schieren Menge an Unternehmen können diese aber kaum vor Ort nachhalten. Deshalb gibt es schriftliche Kontrollverfahren der Behörden.
Sind hier Antworten auffällig, wird die Behörde vertieft nachhaken. Eine weitere Kontrolle kann auch durch betroffene Personen selbst stattfinden, beispielsweise in Form von Mitarbeitern, die nach einer Kündigung bei der Aufsichtsbehörde anonym Anzeige erstatten, Auskunftsansprüche geltend machen ...
Julian Modi: ... oder im Rahmen der Geltendmachung von Unterlassungsansprüchen. Diese kommen meist von Mitbewerbern, Wettbewerbsverbänden oder den Verbraucherschutzorganisationen, die mitunter gezielt nach datenschutzwidrigem Verhalten suchen und dann im Rahmen von kostenpflichtigen Abmahnungen die Abgabe einer strafbewehrten Unterlassungserklärung einfordern.
Welche finanziellen Konsequenzen sind dabei jeweils möglich?
Modi: Im ersten Fall gibt die DSGVO einen Sanktionskatalog vor. Das können bei ganz erheblichen Datenschutzverstößen bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sein.
Trägner: Dieser Rahmen muss aber nicht voll ausgeschöpft werden. Die Kriterien, wie das Bußgeld bemessen wird, stehen in Artikel 83 der DSGVO. Maßgeblich sind demnach Art, Dauer, Intensität, verursachter Schaden für die Betroffenen, Kooperationsbereitschaft mit den Behörden und ob es bereits früher Verstöße gab.
Selbst im vorbildlichsten Unternehmen kann eine Datenpanne auftreten. Könnten Sie ein typisches Beispiel und die richtige Reaktion schildern?
Trägner: Ein absoluter Klassiker ist der folgende Fall: Ein Mitarbeiter soll Kunden anschreiben und über ein neues Produkt informieren. Dieser setzt eine Mail auf und schickt sie in einem Aufwasch an alle Kunden. Anstatt die Mail aber in Blindkopie zu schicken, hat er die Mailadressen aus Versehen ins Adressfeld kopiert, so dass jeder Empfänger sehen kann, wer die Mail sonst noch erhalten hat. Weil E-Mailadressen meistens nach dem Schema Vorname.Nachname@Firma.de aufgebaut sind, lassen sich daraus eine Menge personenbezogener Informationen herauslesen.
Was wäre hier die richtige Reaktion?
Trägner: Unternehmen haben die Pflicht, Datenpannen binnen 72 Stunden der Aufsichtsbehörde zu melden. Ich würde aber davon abraten, zu lange untätig zu warten oder umgekehrt die Panne sofort zu melden. Stattdessen sollte das Unternehmen erst den genauen Sachverhalt ermitteln und Abhilfemaßnahmen ergreifen. Wenn man den Vorfall der Behörde dann fristgerecht meldet, kann man dokumentieren: Ja, wir haben eine Panne, haben aber alles was in unserer Macht steht getan, um den Schaden einzudämmen. Das spielt dann bei der Bemessung der Bußgeldhöhe eine wichtige Rolle.
Neben Bußgeldern der Behörden sind die Abmahnungen das zweite große Kostenrisiko bei den DSGVO-Verstößen. Um welche Summen geht es hier in der Regel?
Modi: Der Gegenstandswert, der in Abmahnungen von Mitbewerbern für die Geltendmachung von Unterlassungsansprüchen berechnet wird, liegt häufig bei etwa 10.000 Euro oder mehr. Aus diesem Gegenstandswert berechnen sich dann die Anwaltskosten, die in der Abmahnung verlangt werden. Das große Kostenrisiko resultiert aber nicht unbedingt aus der Abmahnung selbst, sondern vielmehr aus den drohenden künftigen Folgen, sofern wie gefordert eine strafbewehrte Unterlassungserklärung abgegeben wird. Denn dadurch verpflichte ich mich, jedes Mal eine Vertragsstrafe an den Gegner zu bezahlen, wenn ich den Datenschutzverstoß künftig wiederholen sollte. Als Vertragsstrafen werden in der Regel Beträge um die 5.000 Euro eingefordert.
Würden Sie deshalb stets den Gang zum Anwalt empfehlen?
Modi: Auf jeden Fall! Denn beileibe nicht jede Abmahnung ist berechtigt. Und selbst wenn, sollte der Unternehmer prüfen, ob, beziehungsweise in welcher Form er eine Unterlassungserklärung tatsächlich abgibt. Oft wird sehr viel mehr gefordert, als eigentlich nötig ist. Gegebenenfalls sollte der Anwalt die Unterlassungserklärung modifizieren und einschränken, bevor die Unterschrift darunter gesetzt wird. Unter Umständen kann es aber auch sinnvoll sein, sich auf ein Gerichtsverfahren einzulassen, um zu klären, ob ein Verstoß überhaupt gegeben ist.
Wie hoch ist Ihrer Einschätzung nach das Risiko, bei Verstößen tatsächlich erwischt zu werden?
Modi: Je länger die DSGVO in Kraft ist, umso höher wird sicherlich das Risiko. Die Aufsichtsbehörden machen derzeit verstärkt stichpunktartige Kontrollen. Vor allem jedoch die Abmahnungen durch Mitbewerber dürften künftig massiv zunehmen. Schließlich wird ein Unternehmer, der bereits seit dem Inkrafttreten der Datenschutzreform sehr viel Geld investiert hat, um sich datenschutzrechtlich korrekt aufzustellen, immer seltener akzeptieren, dass sein Mitbewerber hier Kosten spart und sich gleichzeitig noch einen Wettbewerbsvorteil verschafft, indem er etwa datenschutzwidrig Werbung betreibt.
Frau Trägner, Herr Modi, vielen Dank für das Gespräch!
Interview: Armin Wutzer, Helmut Hutter
