Die DS-GVO wird fünf Jahre alt
Seit dem 25.05.2018 gilt die europäische Datenschutz-Grundverordnung (DS-GVO), die zwei Jahre zuvor mit einer zweijährigen Übergangsfrist in Kraft trat. Ihr fünfter Geburtstag ist Grund genug, einen Blick auf die letzten fünf Jahre zu werfen.
Mit dem Ziel angetreten, die Marktmacht der europäischen Verbraucher deutlich zu stärken, wurde natürlichen Personen durch die DS-GVO umfassende Rechte auf Auskunft, Löschung, Berichtigung ihrer personenbezogenen Daten zugesprochen.
Vor fünf Jahren herrschte allerorts große Unsicherheit. Galt es doch neue Datenschutz-Prozesse in bestehende Unternehmensstrukturen zu implementieren und die wirtschaftlichen Risiken möglicher Datenschutzverstöße aufgrund der gestiegenen Bußgeldhöhen abzuschätzen.
Unternehmen war zum Beispiel unklar, wie die Datenschutzerklärungen der Websites zu gestalten sind, wie mit Visitenkarten umzugehen ist, wie und auf welche Weise Einwilligungen einzuholen sind, und ob man Patienten im Wartezimmer noch namentlich aufrufen dürfe.
Fünf Jahre später ist das Mitdenken von Datenschutzprozessen in nahezu allen Wirtschaftsbereichen zu einer Selbstverständlichkeit geworden und die Sensibilisierung bezüglich datenschutzrechtlicher Themen bei den Geschäftsführern, aber auch bei den Beschäftigten deutlich ausgeprägter als noch vor dem 25. Mai 2018. Auch wenn immer noch nicht alle Unklarheiten gelöst sind, ist die DS-GVO mittlerweile im Alltag der Unternehmen angekommen.
Für großen Aufruhr sorgte im Sommer 2020 das sog. Schrems II-Urteil des EuGH. Seitdem ist der Datentransfer in die USA datenschutzrechtlich problematisch, da das sog. Privacy Shield, durch welches das Datenschutzniveau als in der EU gleichwertig eingestuft wurde, ungültig wurde. Eine Lösung könnte ein neues Abkommen der EU und der USA sein. Die laufenden Verhandlungen ziehen sich aber noch hin und ob und wann dieses Abkommen in Kraft treten wird, ist noch unsicher.
Was immer deutlicher wird, ist dass selbst US-Großkonzerne wie Google oder Meta an der DS-GVO nicht mehr vorbeikommen, auch weil europäische Datenschutzaufsichtsbehörden vermehrt von der Möglichkeit Gebrauch machen, Unternehmen bei schweren Datenschutzverstößen mit Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes zu belegen.
Pünktlich zum Ehrentag der DS-GVO hat dann auch die irische Datenschutzaufsichtsbehörde (DCP) ein Bußgeld in der Rekordhöhe von 1,2 Milliarden Euro gegen den Meta Konzern aufgrund des nicht datenschutzkonformen Umgangs mit Nutzerdaten von EU-Bürgern verhängt, da die Vorgaben des Schrems II-Urteils von 2020 immer noch nicht umgesetzt werden (HEUSSEN-Blog). Dieses Beispiel zeigt eindrucksvoll die Konsequenz, mit der europäische Aufsichtsbehörden inzwischen Datenschutzverstöße ahnden.
Unterstützung erhalten die Datenschutzprüfer durch den EuGH, welcher kürzlich mit einem äußerst praxisrelevanten Urteil zu Art. 82 DS-GVO für Aufsehen sorgte. Das oberste europäische Gericht kam zu dem Schluss, dass beim datenschutzrechtlichen immateriellen Schadenersatzanspruch nach Art. 82 DS-GVO keine Erheblichkeitsschwelle erforderlich ist. Dies bedeutet, dass auch sehr niedrigschwellige immaterielle Schäden wie ein „ungutes Gefühl“ oder ein „gefühlter Kontrollverlust“ ohne ernstliche Schäden, zu einem Anspruch auf Schadensersatz nach Art. 82 DS-GVO führen können (HEUSSEN-Blog). Aus diesem Grund wird vor allem das Thema Schadensersatz das Wirtschaftsleben weiterhin prägen und begleiten.
Dies dürfte aber auch für andere datenschutzrechtliche Themen gelten, die jüngst in der Datenschutzwelt Experten und Unternehmen beschäftigt haben. Betroffene Unternehmen erinnern sich etwa noch gut an die „Google Fonts Abmahnwelle“, bei der zahlreiche Websitebetreiber aufgrund des nicht datenschutzkonformen Einsatzes von Google Fonts in professioneller Weise rechtsmissbräuchlich abgemahnt wurden (HEUSSEN-Blog).
Wie sehr die Stärkung der betroffenen Rechte in der EU vorangetrieben wird, zeigt auch das aktuelle Urteil des EuGH zum Auskunftsanspruch nach Art. 15 DS-GVO (HEUSSEN-Blog). In seinem Urteil hat dieser den Inhalt und den Umfang des Rechts einer betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten präzisiert. Das Recht auf Erhalt einer Kopie dieser Daten umfasst demnach die Aushändigung einer originalgetreuen und verständlichen Wiedergabe aller Daten an die betroffene Person. Durch die Entscheidung des EuGH wird für die Adressaten eines Auskunftsersuchens nach Art. 15 Abs. 3 DS-GVO mehr Klarheit über den Umfang der herauszugebenden Daten geschaffen. Für Unternehmen bedeutet diese Entscheidung in der Praxis allerdings ein deutliches Mehr an Arbeitsaufwand, um der weiten Auslegung des EuGH in Bezug auf Art. 15 DS-GVO gerecht werden zu können.
Fazit
Das große Ziel des europäischen Verordnungsgebers mit dem dieser die DS-GVO im Jahr 2018 auf den Weg brachte, nämlich die Marktmacht von Verbrauchern im digitalen Wirtschaftsraum vollumfänglich zu stärken, ist zwar noch nicht gänzlich erreicht, dessen Umsetzung jedoch aufgrund der zunehmende Wahrnehmung von Kontroll- und Sanktionsfunktionen durch die Datenschutzaufsichtsbehörden auf einem guten Weg.
Ebenso wichtig wie die Wahrung des Datenschutzes ist es aber die wirtschaftlichen Interessen und das Innovationspotenzial dabei nicht unnötig einzuschränken. Die Auflösung dieser teils widerstreitenden Interessen dürfte zu den größten Herausforderungen gehören, welche die DS-GVO in ihrem neuen Lebensjahr zu meistern hat.
des Autors
des Autors