(openPR) Wir alle haben noch den 25. Mai des letzten Jahres in Erinnerung, an dem jeder einzelne von uns mit einer Flut an E-Mails buchstäblich überrollt wurde. Der Grund: alle Unternehmen, die unsere Daten besitzen und verarbeiten waren fortan gesetzlich dazu verpflichtet über Ihre Datenschutzregelungen zu informieren.
Fast seit einem Jahr ist die Datenschutz Grundverordnung (DSGVO) mittlerweile anwendbares Recht und nach und nach begegnet uns das Thema auch zunehmend im Alltag. Ob beim Arzt oder Friseur, auf der Homepage des bevorzugten Online-Shops, und sogar bei manchen Einzelhändlern stehen sie mittlerweile – Datenschutzhinweise. Die wenigsten wissen damit etwas anzufangen oder interessieren sich dafür, umso berechtigter erscheint dem belästigten Verbraucher die Frage: kann man sie nicht einfach weglassen?
Die Datenschutzexperten von Nickel Rechtsanwälte der Harald Nickel Rechtsanwälte Partnerschaftsgesellschaft in Hanau kommunizieren die Antwort. Grundsätzlich ist jeder, der personenbezogene Daten verarbeitet, verpflichtet, die Betroffenen über Einzelheiten der Verarbeitung zu informieren. Diese Regelung mag beim Arzt, Friseur und im Einzelhandel wo der Datenverarbeitende gleichzeitig auch den persönlichen Kontakt mit dem Betroffenen pflegt, verständlicherweise von untergeordneter Bedeutung. Hier bietet es sich daher an, Datenschutzhinweise lediglich hinter der Theke vorzuhalten, um sie auf Anfrage vorzuzeigen zu können. Anders sieht es aber aus, wenn dem Betroffenen nicht klar ist, welche seiner Daten verarbeitet werden und wofür diese genutzt werden, wie dies vor allem im Internet der Fall ist. Oder haben Sie sich nicht auch schon einmal gewundert, von wem Sie an besagtem Tag im Mai alles eine E-Mail erhalten haben?
Dennoch – so der Experte - haben gerade viele kleinere Unternehmen die Anforderung der DSGVO auch jetzt noch nicht hinreichend umgesetzt. Das sowohl mit dem Risiko der Ahndung, wie der Pflicht zu Schadensersatz. Bislang hatte dies, gemessen an der bisherigen Sanktionspraxis der Datenschutzaufsichtsbehörden, noch keine nennenswerten Konsequenzen. Darauf kann man aber immer weniger vertrauen, wie einige jüngere Behördenentscheidungen zeigen. Auch trifft die Pflicht zur Umsetzung, bis auf wenige seltene Ausnahmen, nahezu jeden, der sich im Geschäftsverkehr bewegt. Es reicht bereits ein unzufriedener Mitarbeiter oder Kunde, der eine entsprechende Meldung an die zuständige Behörde nutzt, um seinen Unmut kundzutun. Sogleich setzt die vom Gesetz vorgeschriebene Maschinerie von Prüfung und ggf. Ahndung ein.
Ende 2018 berichtete die Presse noch breit über erste nach der DSGVO verhängte Bußgelder. Was Ende 2018 noch größere Pressemitteilungen wert war, ist nun bereits Alltag geworden. Ohne weitere öffentliche Wahrnehmung sind mittlerweile bundesweit zahlreiche Bußgelder wegen Verstößen gegen die DSGVO und das Bundesdatenschutzgesetz (BDSG) in seiner aktuellen Fassung verhängt worden. Eine weit größere Zahl an Verfahren läuft noch und täglich werden es mehr. Wie jüngst auch einem Bericht des Handelsblatts zu entnehmen war, sind Kontrollen und Sanktionen durch Datenschutz-Aufsichtsbehörden nach einer kurzen Phase des Innehaltens nach Einführung der DSGVO nun alltäglich geworden. Die Zeit der ersten Zurückhaltung der Behörden, in der sie sich auch neu aufgestellt haben ist vorbei. In Bayern beispielsweise laufen aktuell ca. 100 Bußgeldverfahren. Der Großteil wird durch Beschwerden Betroffener ausgelöst, so gingen z. B. in Thüringen offenbar bereits 22.000 Eingaben ein. Auch die verhängten Bußgelder steigen nach anfänglicher Zurückhaltung der Behörden. Aktuell werden die noch weit größere Rahmen bietenden Regelungen mit Bußgeldern bis annähernd 100.000 Euro zwar mit wachsender Tendenz, aber noch immer nicht voll ausgeschöpft.
Aus diesem Grund sollten Unternehmen rechtzeitig vorbeugen. Vielfach genügt nicht, was aus dem Internet heruntergeladen oder per Post ins Haus geflattert ausreichende rechtliche Vorsorge verspricht, ohne dieses Versprechen angesichts des Erfordernisses einer individuellen Prüfung der Spezifika jedes einzelnen Unternehmens einhalten zu können. Denn wenn es doch einmal auf die Datenschutzfrage ankommt, ist die Ausarbeitung des vorgeschriebenen Datenschutzkonzeptes von heute auf morgen nicht mehr ohne weiteres möglich. Abhängig von der Unternehmensgröße, Geschäftsfeld, Marktpräsenz, Art und Umfang der Datenverarbeitungstätigkeiten und Komplexität der Geschäftsprozesse, kann die Einführung und Umsetzung eines angemessenen Datenschutz-Management-Systems sehr viel Zeit in Anspruch nehmen und interne Ressourcen binden. Die Datenschutzerklärung, die beim Verbraucher ankommt ist oft nur die Spitze des Eisbergs. Eine Erfahrung, die viele Unternehmen in den vergangenen zwei Jahren gemacht haben. Aus diesem Grund hat es sich die Kanzlei Nickel zur Aufgabe gemacht, maßgeschneiderte Datenschutzkonzepte für ihre Mandanten zu entwickeln, die der jeweiligen Unternehmens-Realität angemessen Rechnung tragen.
Harald Nickel, Rechtsanwalt
