Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

Anders als befürchtet hat die Einführung europaweit einheitlicher Datenschutzregeln im Mai 2018 keine Flut von wettbewerbsrechtlichen Abmahnungen ausgelöst. Auch die Aufsichtsbehörden zeigten sich bisher milde und verhängten erst wenige Strafen. Das muss aber nicht so bleiben. 

 

© akindo/iStock

Die Aufregung war groß. Was kommt da auf uns zu, fragten sich viele Unternehmen verunsichert, als mit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 eine neue Zeitrechnung im Umgang mit personenbezogenen Daten begann.

Das Regelwerk vereinheitlichte das zuvor höchst unterschiedliche Datenschutzrecht in Europa und löste viele bis dahin gültige Vorschriften des deutschen Bundesdatenschutzgesetzes ab.

Unternehmen sahen sich plötzlich einer Vielzahl von neuen Informations- und Dokumentationspflichten gegenüber. Ein Beispiel: Seit Inkrafttreten der DSGVO sind kleine wie große Betriebe verpflichtet, jeden Geschäftspartner bereits bei der Erhebung von Daten darüber zu informieren, wie sie dessen Angaben verwerten.

Also etwa, wie lange die Daten gespeichert werden, wer der Datenschutzbeauftragte des Unternehmens ist und wie dieser erreichbar ist. Bei Nichtbefolgen von Datenschutzvorschriften gab es früher allenfalls eine Ermahnung. Seit Ende Mai 2018 drohen empfindliche Strafen. Schon in leichten Fällen können die Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes betragen.

Bei schweren Verstößen kann die Aufsichtsbehörde eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängen.

 

Vorerst gilt: Entwarnung

Aus Sorge davor, teuer geahndete Fehler zu begehen, hatten manche Unternehmen in den ersten Monaten nach Inkrafttreten der DSGVO darauf verzichtet, die Bonität von Kunden oder Lieferanten abzufragen. Sie hatten Zweifel, ob die Betreffenden dem nicht zunächst zustimmen müssen. Einige wenige Unternehmen hatten sogar kurzfristig ihren Auftritt im Internet gelöscht, um findigen Anwälten keinen Ansatz für eine Abmahnung zu bieten.

Ein gutes halbes Jahr nach Inkrafttreten der neuen Vorschriften lässt sich sagen: Es ist alles weit weniger schlimm gekommen als befürchtet. Weder hat es eine Welle von Abmahnungen wegen vermeintlicher Regelverstöße gegeben. Noch haben die Aufsichtsbehörden flächendeckend strenge Kontrollen durchgeführt und massenhaft Bußgelder in Millionenhöhe verhängt.

In Deutschland gab es im vergangenen Jahr sogar nur einen geahndeten Gesetzesverstoß. Die Bußgeldstelle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg verhängte eine Geldbuße von 20.000 Euro gegen einen Social-Media-Anbieter, der die Passwörter seiner Nutzer im Klartext, also unverschlüsselt, gespeichert hatte.

Damit hatte das Unternehmen seine Pflicht zur „Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten“ verletzt. Auch europaweit wurde nur eine weitere substanzielle Geldstrafe wegen eines Verstoßes gegen die neuen Datenschutzregeln bekannt. Ein Krankenhaus in Portugal wurde von der nationalen Datenschutzbehörde CNPD zur Zahlung von 400.000 Euro verpflichtet, weil es zugelassen hatte, dass zu viele Personen Patientendaten einsehen konnten.

„Anscheinend haben die Datenschützer den Unternehmen zunächst eine Art Schonzeit gewährt, um das Regelwerk umzusetzen“

Thomas Riemann, Creditreform

Thomas Riemann, Leiter der Rechtsabteilung der Wirtschaftsauskunftei Creditreform, hält es für möglich, dass die (personell zunehmend besser ausgestatteten) Aufsichtsbehörden im Verlauf des Jahres 2019 energischer kontrollieren und auch vermehrt Bußgelder verhängen werden. „Anscheinend haben die Datenschützer den Unternehmen zunächst eine Art Schonzeit gewährt, um das Regelwerk umzusetzen“, vermutet er.

Dafür spricht, dass die Datenschutzkonferenz (DSK), also die Datenschutzbehörden des Bundes und der Länder, bereits seit Monaten regelmäßig sogenannte Kurzpapiere veröffentlicht, wie nach ihrer Auffassung die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte. Damit sollen Unternehmen mehr Rechtssicherheit erhalten.

Auch die bisher ausgebliebene Welle von Abmahnungen könnte mit Verzögerung einsetzen. Denn noch ist unter Juristen umstritten, ob Verstöße gegen die Datenschutzregeln überhaupt von Wettbewerbern verfolgt werden können und somit eine Abmahnung rechtfertigen. Das Landgericht Bochum hatte im August 2018 in einem entsprechenden Verfahren Zweifel an dieser Praxis geäußert.

Dagegen steht eine Entscheidung des Landgerichts Würzburg, das die wettbewerbsrechtliche Abmahnbarkeit von DSGVO-Verstößen bejahte. Das Oberlandesgericht Hamburg wiederum hatte sich in einem im Oktober abgeschlossenen Verfahren nicht grundsätzlich festlegen wollen und für ein „Es kommt darauf an“ plädiert.

Zur allgemeinen Rechtsunsicherheit trägt auch bei, dass das Bundesjustizministerium derzeit einen Gesetzesentwurf vorbereitet, der missbräuchlichen, also nur zur Gebührenerzielung ausgesprochenen Abmahnungen, einen Riegel vorschieben soll. Fälle, in denen Unternehmen wegen geringfügiger Verstöße gegen Vorschriften, beispielsweise die Abkürzung des Vornamens im Impressum einer Internetseite oder die Verwendung der Angabe „zwei Wochen“ statt „14 Tage“, Post von Anwälten bekamen, soll es künftig nicht mehr geben.

Löschen: ja, aber

Creditreform hat seit der Einführung der DSGVO vermehrt Anfragen von Unternehmen und Verbrauchern erhalten, die wissen wollten, was über sie gespeichert ist. In vielen Fällen wurde auch ein Antrag gestellt, die Daten zu löschen. Die DSGVO macht zu diesem Punkt keine klaren Vorgaben. Es heißt nur, dass die Angaben zu löschen sind, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Eine Fristenregelung, wie sie § 35 des Bundesdatenschutzgesetzes (BDSG) nennt (Negativmerkmale werden nach drei Jahren gelöscht), fehlt. Der Verband der Wirtschaftsauskunfteien hat deshalb gemäß § 40 DSGVO eigene Verhaltensregeln entworfen, die im Wesentlichen der bisherigen Löschpraxis nach dem BDSG entsprechen. Das bedeutet, dass Negativmerkmale weiterhin drei Jahre nach Erledigung gelöscht werden. Dies geschieht nun sogar taggenau und nicht, wie zuvor üblich, ab dem Jahresende.