© akindo/iStock© akindo/iStock

    informiert

    DSGVO: Drohen 2019 Abmahnungen und Strafen?

    Anders als befürchtet hat die Einführung europaweit einheitlicher Datenschutzregeln im Mai 2018 keine Flut von wettbewerbsrechtlichen Abmahnungen ausgelöst. Auch die Aufsichtsbehörden zeigten sich bisher milde und verhängten erst wenige Strafen. Das muss aber nicht so bleiben. 

    Die Aufregung war groß. Was kommt da auf uns zu, fragten sich viele Unternehmen verunsichert, als mit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 eine neue Zeitrechnung im Umgang mit personenbezogenen Daten begann. Das Regelwerk vereinheitlichte das zuvor höchst unterschiedliche Datenschutzrecht in Europa und löste viele bis dahin gültige Vorschriften des deutschen Bundesdatenschutzgesetzes ab.

    Unternehmen sahen sich plötzlich einer Vielzahl von neuen Informations- und Dokumentationspflichten gegenüber. Ein Beispiel: Seit Inkrafttreten der DSGVO sind kleine wie große Betriebe verpflichtet, jeden Geschäftspartner bereits bei der Erhebung von Daten darüber zu informieren, wie sie dessen Angaben verwerten. Also etwa, wie lange die Daten gespeichert werden, wer der Datenschutzbeauftragte des Unternehmens ist und wie dieser erreichbar ist. Bei Nichtbefolgen von Datenschutzvorschriften gab es früher allenfalls eine Ermahnung. Seit Ende Mai 2018 drohen empfindliche Strafen. Schon in leichten Fällen können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes betragen. Bei schweren Verstößen kann die Aufsichtsbehörde eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängen.

    Vorerst gilt: Entwarnung

    Aus Sorge davor, teuer geahndete Fehler zu begehen, hatten manche Unternehmen in den ersten Monaten nach Inkrafttreten der DSGVO darauf verzichtet, die Bonität von Kunden oder Lieferanten abzufragen. Sie hatten Zweifel, ob die Betreffenden dem nicht zunächst zustimmen müssen. Einige wenige Unternehmen hatten sogar kurzfristig ihren Auftritt im Internet gelöscht, um findigen Anwälten keinen Ansatz für eine Abmahnung zu bieten.

    Die wichtigsten Infos für Unternehmer im Mittelstand, kurz und verständlich erklärt – das bietet der Creditreform Magazin Newsletter einmal pro Woche. Interessiert? Dann klicken Sie hier, um sich anzumelden!

    Ein gutes halbes Jahr nach Inkrafttreten der neuen Vorschriften lässt sich sagen: Es ist alles weit weniger schlimm gekommen als befürchtet. Weder hat es eine Welle von Abmahnungen wegen vermeintlicher Regelverstöße gegeben. Noch haben die Aufsichtsbehörden flächendeckend strenge Kontrollen durchgeführt und massenhaft Bußgelder in Millionenhöhe verhängt. In Deutschland gab es im vergangenen Jahr sogar nur einen geahndeten Gesetzesverstoß. Die Bußgeldstelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg verhängte eine Geldbuße von 20.000 Euro gegen einen Social-Media-Anbieter, der die Passwörter seiner Nutzer im Klartext, also unverschlüsselt, gespeichert hatte. Damit hatte das Unternehmen seine Pflicht zur „Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten“ verletzt. Auch europaweit wurde nur eine weitere substanzielle Geldstrafe wegen eines Verstoßes gegen die neuen Datenschutzregeln bekannt. Ein Krankenhaus in Portugal wurde von der nationalen Datenschutzbehörde CNPD zur Zahlung von 400.000 Euro verpflichtet, weil es zugelassen hatte, dass zu viele Personen Patientendaten einsehen konnten.

    Thomas Riemann, Leiter der Rechtsabteilung der Wirtschaftsauskunftei Creditreform, hält es für möglich, dass die (personell zunehmend besser ausgestatteten) Aufsichtsbehörden im Verlauf des Jahres 2019 energischer kontrollieren und auch vermehrt Bußgelder verhängen werden. „Anscheinend haben die Datenschützer den Unternehmen zunächst eine Art Schonzeit gewährt, um das Regelwerk umzusetzen“, vermutet er. Dafür spricht, dass die Datenschutzkonferenz (DSK), also die Datenschutzbehörden des Bundes und der Länder, bereits seit Monaten regelmäßig sogenannte Kurzpapiere veröffentlicht, wie nach ihrer Auffassung die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Damit sollen Unternehmen mehr Rechtssicherheit erhalten.

    Auch die bisher ausgebliebene Welle von Abmahnungen könnte mit Verzögerung einsetzen. Denn noch ist unter Juristen umstritten, ob Verstöße gegen die Datenschutzregeln überhaupt von Wettbewerbern verfolgt werden können und somit eine Abmahnung rechtfertigen. Das Landgericht Bochum hatte im August 2018 in einem entsprechenden Verfahren Zweifel an dieser Praxis geäußert. Dagegen steht eine Entscheidung des Landgerichts Würzburg, das die wettbewerbsrechtliche Abmahnbarkeit von DSGVO-Verstößen bejahte. Das Oberlandesgericht Hamburg wiederum hatte sich in einem im Oktober abgeschlossenen Verfahren nicht grundsätzlich festlegen wollen und für ein „Es kommt darauf an“ plädiert. Zur allgemeinen Rechtsunsicherheit trägt auch bei, dass das Bundesjustizministerium derzeit einen Gesetzesentwurf vorbereitet, der missbräuchlichen, also nur zur Gebührenerzielung ausgesprochenen Abmahnungen, einen Riegel vorschieben soll. Fälle, in denen Unternehmen wegen geringfügiger Verstöße gegen Vorschriften, beispielsweise die Abkürzung des Vornamens im Impressum einer Internetseite oder die Verwendung der Angabe „zwei Wochen“ statt „14 Tage“, Post von Anwälten bekamen, soll es künftig nicht mehr geben.

    Löschen: ja, aber

    Creditreform hat seit der Einführung der DSGVO vermehrt Anfragen von Unternehmen und Verbrauchern erhalten, die wissen wollten, was über sie gespeichert ist. In vielen Fällen wurde auch ein Antrag gestellt, die Daten zu löschen. Die DSGVO macht zu diesem Punkt keine klaren Vorgaben. Es heißt nur, dass die Angaben zu löschen sind, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Eine Fristenregelung, wie sie § 35 des Bundesdatenschutzgesetzes (BDSG) nennt (Negativmerkmale werden nach drei Jahren gelöscht), fehlt. Der Verband der Wirtschaftsauskunfteien hat deshalb gemäß § 40 DSGVO eigene Verhaltensregeln entworfen, die im Wesentlichen der bisherigen Löschpraxis nach dem BDSG entsprechen. Das bedeutet, dass Negativmerkmale weiterhin drei Jahre nach Erledigung gelöscht werden. Dies geschieht nun sogar taggenau und nicht, wie zuvor üblich, ab dem Jahresende.


    Wir freuen uns über Diskussionen und Ihre Kommentare.
    Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

    Kommentar absenden

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    CAPTCHA-Bild

    *

    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>