DSGVO – ePrivacy – Bußgelder: Status quo 2019

Die Datenschutzgrundverordnung (DSGVO) überfordert bis heute viele Menschen und Unternehmen. Die Regelungen sind „schwergängiger“ als das bisherige deutsche Datenschutzrecht, auch wenn die neuen Regeln den alten inhaltlich stark ähneln. Wie genau am Ende die ePrivacy-Richtlinie in Deutschland umgesetzt wird, ist noch nicht klar. Insgesamt kann man sagen, dass werbefinanzierte Webangebote durch diese Anforderungen deutlich eingeschränkt werden.

Daniel Simon, QUADRESS GmbH
Geschäftsführer und Datenschutz-Experte

Daniel Simon ist Datenschutz-Experte und Inhaber mehrerer Marketing- und Technologie-Unternehmen. Bereits während seines Logistik-Studiums in Dortmund gründete er sein erstes Unternehmen, die QUADRESS GmbH. Seit über zehn Jahren beschäftigt er sich intensiv mit der Ausgestaltung und Anwendung der geltenden Datenschutzgesetze und vertritt als Vorstand des Deutsche Robinsonlisten e.V. den fairen datenschutzrechtlichen Interessenausgleich zwischen Unternehmen und Verbrauchern. Mit seiner Expertise zu datengetriebenem Marketing, Unternehmensentwicklung und Datenschutz berät er heute zahlreiche Unternehmen und Startups.

 

Ein Jahr DSGVO – ein Statusbericht.

Insbesondere die Informationspflichten der DSGVO bringen für viele Unternehmen hohen bürokratischen Aufwand mit sich. Dass beispielsweise für Vereine und Kleinstunternehmen im Grunde dieselben Anforderungen gelten wie für Konzerne wie Facebook und Google, halte ich persönlich für einen der Konstruktionsfehler des Regelwerkes. Ein großer Teil der medialen Aufregung über die DSGVO basiert leider auf Unkenntnis dieser neuen Regeln. Es ist teilweise auch schockierend, welches Ausmaß „Falschmeldungen“ in den letzten zwölf Monaten genommen haben.

Bußgelder für Verstöße gegen die DSGVO steigen.

Die DSGVO hat für viele Unternehmer auch aufgrund der möglichen Strafen für Verstöße in hohem Maße an Bedeutung gewonnen. Zum Hintergrund: Statt bisher bis zu 300.000 Euro sind nun Bußgelder in Millionenhöhe möglich. In Deutschland sind Bußgelder bisher jedoch moderat ausgefallen. Auf jeden Fall hat die Preisentwicklung dafür gesorgt, dass sich manche Unternehmen erstmals mit einer ernsthaften Einstellung und dem notwendigen Budget dem Thema Datenschutz gewidmet haben.

Ein Jahr lang haben Datenschutzbehörden, Unternehmen und Verbraucher intensiv die Praxis der DSGVO gelebt: Es wurden massenhaft AV-Verträge abgeschlossen, Datenschutz-Dokumentationen erstellt, die Behörden wurden teilweise mit Anfragen und Meldungen von Datenschutzverstößen überschüttet. Gefühlt war es von Seiten der Behörden eher ruhig – das wird sich jedoch aktuell schnell ändern! Nach einer ersten Überforderung mit den neuen Themen werden die Datenschutzbehörden jetzt proaktiv, prüfen zahlreiche Unternehmen und schicken ihre Prüfungsfragebögen raus. Die Bestrafung durch Bußgelder nimmt gerade und zügig ihren Anfang.

Eine gute Vorbereitung minimiert das Risiko von Bußgeldern.

Jedes (Industrie-)Unternehmen sollte seine internen Prozesse und Dokumentationen spätestens jetzt DSGVO-konform haben. Darüber hinaus muss bei jeder Verarbeitung von personenbezogenen Daten die Rechtsgrundlage geklärt sein und gegebenenfalls ein AV-Vertrag dazu abgeschlossen sein. Ansonsten kann es in der nahen Zukunft leider teuer werden.

Die Umsetzung der DSGVO im europäischen Ausland ist sehr verschieden.

Grundsätzlich stellt die DSGVO ein einheitliches und verbindliches Regelwerk für alle europäischen Länder dar. Durch Öffnungsklauseln gibt es jedoch in jedem Land noch einige Besonderheiten, die gegebenenfalls beachtet werden müssen. Außerdem ist der Umgang mit Bußgeldern, vor allem was die Höhe angeht, sehr unterschiedlich. Deutschland hatte bereits in der Vergangenheit ein hohes Datenschutzniveau und dementsprechend viel Erfahrung mit Bußgeldern. Diese sind unter dem Bundesdatenschutzgesetz (BDSG) bis heute eher moderat und mit Bedacht ausgefallen. Daran hat sich auch nach Einführung des DSGVO bisher nicht viel geändert. Von bisher rund 100 verhängten Bußgeldern (in Summe von ca. 450.000 Euro) in Deutschland nach DSGVO ist der überwiegende Teil im vierstelligen Bereich.

In Ländern im Süden und Osten Europas wie Portugal, Spanien und Polen sieht es hingegen ganz anders aus. Da wurden auch schon sechsstellige Bußgelder verhängt, nicht zuletzt deshalb, weil Behörden in diesen Ländern das erste Mal in der Lage waren, mit Datenschutzverstößen Geld verdienen zu können. Irland ist aktuell in der Kritik, im Datenschutz extrem konzernfreundlich zu sein. Selbst bei eklatanten Verstößen ortsansässiger Unternehmen wie Facebook und Google werden die Behörden kaum aktiv. Man kann sich sogar die Frage stellen, ob die DSGVO nicht am One-Stop-Shop scheitern könnte, weil sich große Tech-Unternehmen in Irland der DSGVO entziehen.

Die Befugnis zur Abmahnung liegt bei den Aufsichtsbehörden.

Die Befugnis zur Verhängung von Bußgeldern liegt bei den jeweils zuständigen Aufsichtsbehörden. Diese haben sicherzustellen, dass die Verhängung der Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag sind – neben Art, Schwere und Dauer, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes – eine ganze Reihe von Kriterien zu berücksichtigen. Im Rahmen dieses Kriterienkatalogs ist es den Aufsichtsbehörden überlassen, über das Verhängen von Geldbußen und deren Höhe nach eigenem Ermessen zu entscheiden. Dadurch ergeben sich gewisse Spielräume, in denen sich die Aufsichtsbehörden frei bewegen können, auch wenn die Aufsichtsbehörden zu einer einheitlichen Anwendung der DSGVO in der Union angehalten sind.

Machen Sie Ihre Hausaufgaben und achten Sie auf die Ländergepflogenheiten.

Meine Empfehlung an Industrieunternehmen, die international agieren, ist: Machen Sie Ihre Hausaufgaben, die Ihnen die DSGVO auferlegt hat! Setzen Sie einen Datenschutzbeauftragten ein, der sich alle Prozesse im Unternehmen anschaut und datenschutzkonform gestaltet. Wenn Sie in andere europäische Länder personenbezogene Daten übermitteln oder Daten aus diesen Ländern verarbeiten, informieren Sie sich vorher, wie die Bußgelder der Behörden dieses Landes bisher ausgefallen sind. Prüfen und achten Sie verstärkt darauf, dass in diesen Ländern den Datenverarbeitungsprozessen besondere Beachtung geschenkt werden sollte.

Da stehen wir jetzt: Online-Tracking und die ePrivacy-Richtlinie.

Im Gegensatz zur DSGVO ist die ePrivacy-Richtlinie keine Verordnung, sondern eine Richtlinie. Das heißt, dass diese erst noch in „nationales Recht“ transferiert werden muss, was größere Anpassungsspielräume als im Falle der DSGVO zulässt. Ursprünglich war geplant, dass die ePrivacy gleichzeitig mit der DSGVO verabschiedet werden sollte. Nach aktuellem Stand der Dinge wird diese jedoch nicht vor 2020 in Kraft treten und somit bis 2022 keine Anwendung finden.

Darauf sollte man unbedingt achten.

Das Wichtigste, was die ePrivacy-Richtlinie über die DSGVO hinaus regelt, ist das Online-Tracking und der Einsatz von Cookies. Darüber hinaus wird es noch weitere Regelungen geben zu Themen wie zum Beispiel Telefon- und E-Mail-Marketing.

Nach aktuellem Stand der Dinge im Bereich ePrivacy kann man folgendes zu den Themen Cookies und Tracking sagen – angelehnt an die Aussagen der Datenschutzkonferenz (DSK):
Deutschland behält, was den Einsatz von Cookies angeht, zumindest vorerst eine Sonderrolle. Deutschen Werbetreibenden steht im Unterschied zu anderen europäischen Partnern der gesamte Katalog von Erlaubnistatbeständen aus Art. 6 DSGVO offen. Das heißt, neben der Einwilligung kommt vor allem dem Erlaubnistatbestand des berechtigten Interesses besondere Bedeutung zu.

Trotzdem wird es wohl darüber hinaus so sein, dass Webseiten übergreifendes Tracking, der Einsatz von Third-Party-Cookies sowie Targeting und Cross-Device-Tracking stets einer Einwilligung bedürfen. Falls diese Einwilligung über ein Cookie-Hinweis-Banner eingeholt werden soll, werden an dessen Ausgestaltung sehr strenge Maßstäbe gesetzt. Der EuGH wird sich voraussichtlich noch in 2019 zu den Anforderungen einer Einwilligung, die Webseiten-Betreiber für Tracking-Cookies einholen, äußern.

Die ePrivacy-Richtlinie ist noch nicht konkret.

Wie genau am Ende die ePrivacy-Richtlinie in Deutschland umgesetzt wird, ist noch nicht klar. Insgesamt kann man sagen, dass werbefinanzierte Webangebote durch diese Anforderungen deutlich eingeschränkt werden. Für Industrieunternehmen wird dies, zumindest was die eigene Webseite angeht, wahrscheinlich zu keinen übermäßigen Einschränkungen führen.

Zu beachten ist vor allem, den Cookie-Hinweis auf der eigenen Webseite nach Klärung durch den EuGH entsprechend anzupassen. Soll die Datenverarbeitung auf berechtigte Interessen gestützt werden, sollte das Banner erkennbar der bloßen Information dienen und einen Link auf die Datenschutzerklärung oder sonstige Seiten, auf denen Betroffene ihre Widerspruchsrechte ausüben können, enthalten. Sollen Einwilligungen eingeholt werden, sind weitere Vorgaben zu berücksichtigen.