HSP Summit 2019

Ein Jahr DSGVO!

| Redakteur: Peter Schmitz

Seit einem Jahr muss in Deutschland die EU-Datenschutz-Grundverordnung (DSGVO) angewendet werden.
Seit einem Jahr muss in Deutschland die EU-Datenschutz-Grundverordnung (DSGVO) angewendet werden. (Bild: Noerr LLP / Pexels)

Die Datenschutz-Grundverordnung (DSGVO) gilt jetzt seit fast einem Jahr. Noch immer bereitet die Umsetzung der DSGVO Probleme. Doch manche Sorgen von Unternehmen waren unbegründet. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei der Noerr LLP, Honorarprofessor an der Universität Passau und Keynote-Speaker beim Hosting & Service Provider Summit 2019.

Security-Insider: Die Datenschutz-Grundverordnung ist jetzt seit fast einem Jahr EU-weit in Anwendung. Wie ist Ihr Eindruck nach fast einem Jahr, ist die DSGVO eine Erfolgsstory oder ein Drama?

Prof. Dr. Peter Bräutigam: Einerseits ist die DSGVO eine Erfolgsgeschichte, weil sie auf internationaler Ebene eine Aufmerksamkeit erregt hat, die weit über Europa hinausragt. Damit ist das Thema in Asien und Amerika in den Fokus gerückt und es gibt nicht wenige Kanzleien, die mittlerweile auch in Amerika Unternehmen beraten, die in Europa Geschäfte machen. Mittel- und langfristig könnte sich so ein gemeinsames – nicht unbedingt auf der DSGVO fußendes – Verständnis des Datenschutzes entwickeln.

Ergänzendes zum Thema
 
Der HSP Summit – Inhalte, Konzept und Anmeldung

Andererseits wurden nicht alle Aspekte mit dem letzten Mut angegangen, zum Beispiel das Thema Einwilligung. Sie kennen diese ellenlangen Einwilligungen, die man selbst als Jurist beinahe nicht versteht. Da sind Chancen vergeben worden, den Zustimmungsprozess für Verbraucher verständlicher, leichter und wirksamer zu gestalten – etwa mit Medieninstrumentarien, Filmen oder Ampelsystemen.

Security-Insider: Was waren, Ihrer Ansicht nach, die größten Fehler, die bei der Einführung der DSGVO vom Gesetzgeber und von den Unternehmen gemacht wurden?

Bräutigam: Mit seinem Verbotsprinzip konnte sich der Gesetzgeber nicht von einem althergebrachten Modell lösen, das möglicherweise nicht zukunftsfähig ist. Bei diesem repressiven Ansatz ist alles verboten, dem nicht explizit zugestimmt wurde. Der Gedanke einer Kommerzialisierung von Daten wurde nicht umgesetzt. Das wird dann schwierig, wenn eine Einwilligung zurückgezogen, Daten aber schon verkauft wurden.

Die Unternehmen haben meines Erachtens gar nicht so viele große Fehler gemacht. Bußgelder, Gesetzgebungstakt und große Medienbegleitung dürften allerdings dazu beigetragen haben, dass das Thema Datenschutz nicht mehr nur mitläuft, sondern entsprechend ernst genommen wird.

Security-Insider: Sind die deutschen Unternehmen und die deutschen Provider im Speziellen Stand heute so weit in der Umsetzung der Datenschutz-Grundverordnung gekommen wie es erforderlich ist?

Bräutigam: Also da ist viel gemacht worden. Je größer die Provider und je größer die Unternehmen sind, desto mehr wird man auch hier die Complianceprozesse für die DSGVO sehen. Die Projekte schon lang ausgerollt, aber sicher noch nicht fertig – das ist ein „ongoing process“.

Das sieht man auch insbesondere bei den Providern, die ja entsprechend ihrer Örtlichkeiten der Server auch international der DSGVO Genüge tun müssen, sprich die Stichworte sind da ganz klar: Musterklauseln oder auch Privacy Shield. Also auch hier sieht man sehr schön auch die Provider geben an, welche Rechenzentren es sind und Wechsel von Rechenzentren sind auch nicht mehr so einfach möglich, weil es eben wirklich drauf ankommt, in welchem Land das Rechenzentrum liegt – innerhalb oder außerhalb EU; haben wir einen Privacy Shield oder haben wir entsprechende Strandardvertragsklauseln.

Dazu noch ein Wort zum Brexit. Für den Fall, dass Großbritannien die EU verlässt hat das auch Auswirkungen für Dienstleister, die nicht sofort von der Insel in ein EU-Land umziehen können. Deswegen sollte man beispielsweise im noch Vorfeld Model Clauses vereinbaren. Eine Datenverarbeitung lässt sich schließlich nicht per Fingerschnipp zu neuen Providern umzuziehen: Das sind dann Migrationsprojekte, die auch Monate dauern. Aber während der Monate ist dann alles unwirksam. Und da gibt es ja dann beim harten Brexit auch keine Übergangsvorschriften.

DSGVO und Abmahnungen – Viel Lärm um Nichts

UWG und Datenschutz-Grundverordnung

DSGVO und Abmahnungen – Viel Lärm um Nichts

26.03.19 - DSGVO und „Abmahnwelle“ wurden lange Zeit im selben Atemzug genannt. Die legislatorischen Ziele der DSGVO rückten dabei zunehmend in den Hintergrund. Doch gerade diese Ziele sind es, die erklären können, warum mit der DSGVO bisher keine „Abmahnwelle“ einherging und wohl auch nicht einhergehen wird. lesen

Security-Insider: Sind inzwischen alle, oder wenigstens die wichtigsten Fragen rund um die DSGVO geklärt oder ist da für den Gesetzgeber, die Gerichte und die Aufsichtsbehörden noch viel zu tun?

Bräutigam: Insbesondere beim Thema gemeinsame Verantwortlichkeit gibt es noch viel zu tun. Die scharfe Trennung zwischen Auftragsdatenverarbeiter und dem klassischen „Herrn der Daten“, der selbst Daten verarbeitet und für alles verantwortlich ist, verwischt zusehends. So bieten soziale Netzwerke Dritten die Möglichkeit, Daten zu verarbeiten – beispielsweise von Interessengruppen. Und diese Abgrenzung ist bis jetzt gesetzlich nicht kontrolliert worden. Man hat lediglich eine gemeinsame Verantwortlichkeit festgestellt. Und da tut sich jetzt ein großes Feld auf, wie man denn diese gemeinsamen Verantwortlichkeiten abgrenzt.

Security-Insider: DSGVO, Bußgelder und Abmahnungen wurden lange Zeit im selben Atemzug genannt. Ist es so schlimm gekommen, wie befürchtet?

Bräutigam: Angesichts der in Artikel 83 DSGVO vorgesehenen Sanktionsmaßnahmen lassen sich Bußgelder noch als zurückhaltend betrachten, allerdings bewegen wir uns in einem höheren Rahmen als bisher – wo wir bei ein paar zigtausend Euro waren. Die französische Datenschutzbehörde CNIL hat gegen Google schon eine Strafe von 50 Millionen Euro verhängt. In Portugal wurde ein 400.000 Euro für den fahrlässigen Umgang mit Patientendaten eines Krankenhauses fällig, in Baden-Württemberg wurden versehentlich ins Internet gelangte Daten mit 80.000 Euro geahndet. Und so wird es weitergehen.

Bei Abmahnungen besteht Kernfrage darin, ob die Datenschutznormen in der DSGVO wettbewerbsschützend sind. Hier gibt es unterschiedliche Auffassungen. Das Landgericht Würzburg hat im September 2018 geurteilt: Datenschutzerklärungen sind als Betroffenenrecht wettbewerbsschützend und ich kann einen Rechtsbruch dann auch bejahen. Das Landgericht Bochum argumentierte allerdings bereits im August 2018: Artikel 77 bis 84 DSGVO sind Individuenrechte und die Sanktionen durch die Behörden nach Artikel 83 DSGVO entsprechend statuiert ist abschließend. Damit auch Mitbewerber klagen können, hätte das der Gesetzgeber explizit vorsehen müssen. Aktuell wird im Bundesrat diskutiert, Artikel 3a UWG klarstellend so zu ergänzen, dass Datenschutzverstöße nicht darunterfallen.

Security-Insider: Selbst wenn ein Unternehmen/Provider heute personenbezogene Daten DSGVO-konform verarbeitet, wie kann es eigentlich sicherstellen, dass das auch in einem Jahr noch so ist?

Bräutigam: Das ist ein laufender Prozess. Man ist nicht DSGVO-konform, indem man ein Compliance-Projekt umsetzt und dann die Hände in den Schoß legt. Das Datenschutzrecht entwickelt sich auch international weiter. Es gibt jetzt entsprechende Nachkorrekturen in den einzelnen Gesetzen, Anwendungshinweise und Leitlinien der Datenschutzbehörden – zu finden beispielsweise auf der Webseite der https://www.datenschutzkonferenz-online.de/ Datenschutzkonferenz. Vom Europäischen Gerichtshof werden zudem Entscheidungen zum Privacy Shield erwartet.

Eine gute Compliance-Organisation und saubere Prozesse sind die Grundlage, um solche Konturierungen oder Verfeinerungen ins Unternehmen einzuspeisen.

► Mehr Infos zum HOSTING & SERVICE PROVIDER Summit 2019

Prof. Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Honorarprofessor an der Universität Passau – leitet als Koordinierender Partner den Bereich Commercial und ist Mitglied der Practice Group IT, Outsourcing & Datenschutz. Neben seiner langjährigen praktischen Tätigkeit als Anwalt im IT-Recht publiziert und referiert er regelmäßig zu aktuellen Fragen des IT-Vertragsrechts. So ist er u.a. Herausgeber des Handbuchs IT-Outsourcing - das demnächst in 4. Auflage unter dem Titel „IT-Outsourcing und Cloud-Computing“ erscheinen wird - und Mitherausgeber der Neuen Juristischen Wochenschrift (NJW). Neben seinem Engagement in verschiedenen Vereinigungen (u.a. Stellvertretender Vorstandsvorsitzender bei der Deutschen Gesellschaft für Recht und Informatik [DGRI], Vice Chair des Cyber Crime Committees der International Technology Law Association [ITechLaw]) gehört Prof. Dr. Peter Bräutigam dem geschäftsführenden Ausschuss der Arbeitsgemeinschaft IT-Recht im deutschen Anwaltverein [DAVIT] an und ist Beiratsvorsitzender der Stiftung Datenschutz. Prof. Bräutigam ist außerdem Keynote-Speaker beim Hosting & Service Provider Summit 2019.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45911726 / Compliance und Datenschutz )