6 Monate DSGVO – Viel Lärm um nichts?

11.12.2018

Seit Geltung der Datenschutzgrundverordnung (DSGVO) ab 25. Mai 2018 ist rund ein halbes Jahr vergangen. Nachdem sich die anfängliche Aufregung gelegt hat und viele Unternehmen sich wieder ihrem Tagesgeschäft widmen, ist Zeit für ein Zwischenfazit. Doch wie fällt das aus, nachdem Bußgelder in Millionenhöhe und die ursprünglich befürchtete Abmahnwelle weitgehend ausgeblieben sind?

Umsetzung der DSGVO stagniert

Fakt ist, dass die ursprüngliche Aufregung übertrieben war. Klingelschilder müssen nicht abmontiert werden. Patienten dürfen in Arztpraxen auch weiterhin namentlich aufgerufen werden und Kinder ihre Wünsche an Weihnachtsbäume hängen. Diese teils durch Fehlinformationen entstandenen DSGVO-Stilblüten haben nicht nur zu einer erheblichen Verunsicherung, sondern auch zu einer gewissen DSGVO-Müdigkeit beigetragen. Für viele Unternehmen ist der Datenschutz zur lästigen Pflicht geworden. Laut Branchenverband Bitkom haben rund ¾ aller Unternehmen die Anforderungen der DSGVO noch nicht umgesetzt, etliche damit gerade erst begonnen. Unternehmen sind aber gut beraten, kontinuierlich weiter an der Umsetzung der DSGVO zu arbeiten und nicht auf halbem Wege stehen zu bleiben. Denn die Aufsichtsbehörden haben mit Prüfungen der Unternehmen begonnen, z.B. das Bayerische Landesamt für Datenschutzaufsicht. Wer dann noch nicht einmal Mindestanforderungen wie Verfahrensverzeichnisse oder die Dokumentation von technischen und organisatorischen Maßnahmen (sog. TOMs) zum Schutz personenbezogener Daten vorweisen kann, muss mit empfindlichen Bußgeldern rechnen, auch wenn der Rahmen von bis zu 20 Millionen Euro am Anfang natürlich bei weitem nicht ausgeschöpft wird.

Erstes Bußgeld nach DSGVO verhängt

Anhaltspunkte, wie hoch ein erstes Bußgeld ausfallen kann, gibt eine Entscheidung der Datenschutzbehörde Baden-Württemberg gegen das soziale Netzwerk „knuddels.de“, das 20.000,- Euro wegen einer erheblichen Datenpanne zahlen muss. Durch einen Hackerangriff waren Anfang September E-Mail-Adressen und Passwörter von Nutzern im Klartext im Internet veröffentlicht worden. Dabei hat die Firma die Datenpanne nicht nur von sich aus gemeldet, sondern in vorbildlicher Weise mit der Datenschutzbehörde kooperiert, so dass das Bußgeld ohne Kooperation vermutlich weit höher ausgefallen wäre. Der Fall zeigt, dass bei der Bemessung eines Bußgeldes alle Gesichtspunkte zugunsten und zulasten des betroffenen Unternehmens berücksichtigt werden müssen und die Angemessenheit eines Bußgeldes eine Frage des Einzelfalles ist.

Betrieb von Facebook-Fanpages bleibt unsicher

Bereits kurz nach Geltung der DSGVO hat der Europäische Gerichtshof (EuGH) Anfang Juni 2018 entschieden, dass der Betreiber einer Facebook-Fanpage für die Datenverarbeitung neben Facebook mit verantwortlich ist. Dieses noch zum alten Recht ergangene Urteil des EuGH ist auch nach der DSGVO zu beachten. Nachdem zunächst befürchtet wurde, dass Facebook-Fanpages abgeschaltet werden müssen, steht heute zumindest fest, dass die Nutzer in der Datenschutzerklärung des Fanpage-Betreibers nach Art. 13, 14 DSGVO transparent über die Datenverarbeitung bei Facebook aufgeklärt werden müssen und ein Vertrag mit Facebook zur gemeinsamen Aufgabenverteilung nach Art. 26 DSGVO zu schließen ist. Facebook hat darauf zwischenzeitlich reagiert und stellt seit Anfang September 2018 eine Ergänzung zum Nutzungsvertrag zur Verfügung. Die Einzelheiten sind aber weiterhin unklar. Datenschützer fordern beim Tracking von Nutzerdaten generell eine ausdrückliche Einwilligung der jeweiligen Nutzer sowie Nachbesserungen seitens Facebook.

Fotoaufnahmen von Veranstaltungen

Vor einem halben Jahr war die Verunsicherung noch groß, ob Fotoaufnahmen von Veranstaltungen nach der DSGVO untersagt sind und ob man dafür in jedem Fall eine ausdrückliche Einwilligung der abgebildeten Personen benötigt. Diese Verunsicherung hat sich gelegt, nachdem das OLG Köln in einer Entscheidung vom 18.06.2018 bestätigt hat, dass Fotoaufnahmen jedenfalls für den journalistischen Bereich weiterhin nach den §§ 22, 23 KUG zu beurteilen sind. Gleiches gilt für künstlerische, wissenschaftliche oder literarische Zwecke. Zwischenzeitlich scheint sich auch die Ansicht durchzusetzen, dass man im Bereich der Event- und Veranstaltungsfotografie nicht „für alles eine Einwilligung“ benötigt. Fotoaufnahmen von Veranstaltungen kommen häufig auch ohne ausdrückliche Einwilligung aus und können je nach Einzelfall auf berechtigte Interessen nach Art. 6 Abs. 1 f) DSGVO gestützt werden. Nach einer Entscheidung des LG Frankfurt a.M. vom 13.09.2018 können die Grundsätze nach den §§ 22ff. KUG in die Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO mit einbezogen werden.

Abmahnwelle ausgeblieben

In den letzten 6 Monaten seit der Geltung der DSGVO ist die befürchtete Abmahnwelle weitgehend ausgeblieben. Das liegt vor allem daran, weil nach wie vor unklar ist, inwieweit eine Datenschutzverletzung nach der DSGVO mit wettbewerbsrechtlichen Mitteln abgemahnt werden kann. Dazu liegen mittlerweile 4 Gerichtsentscheidungen mit unterschiedlichem Ergebnis vor: Nach einer Entscheidung des LG Bochum vom 07.08.2018 sind DSGVO-Verstöße nicht abmahnfähig, nach LG Würzburg (Beschluss v. 13.09.2018) hingegen schon. Das LG Bochum meint, dass die DSGVO eine abschließende Regelung enthalte und wettbewerbsrechtliche Ansprüche durch Mitbewerber darin nicht vorgesehen seien. Ähnlich urteilte jüngst das LG Wiesbaden (Urteil v. 05.11.2018 – 5 O 214/18). In der Literatur ist diese Frage umstritten. Im Fall des LG Würzburg lag allerdings ein eindeutiger DSGVO-Verstoß vor, da auf einer Webseite eine völlig unzureichende Datenschutzerklärung veröffentlicht wurde und die betreffende Webseite nicht SSL-verschlüsselt war, obwohl ein Kontaktformular bereitgestellt wurde. Am 25.10.2018 hat erstmals auch ein Oberlandesgericht zu der Frage Stellung genommen. Nach OLG Hamburg können DSGVO-Verstöße durchaus abmahnfähig sein, wobei dies anhand der jeweils verletzten Norm im Einzelfall entschieden werden muss. Ähnlich hatten dies bereits einige Gerichte nach alter Rechtslage im BDSG gesehen. Vorläufiges Fazit ist jedenfalls, dass die Rechtsunsicherheit bis zu einer klärenden Entscheidung durch den EuGH weiter anhalten wird. Ein Signal, welche Richtung der EuGH einschlagen wird, erhoffen sich manche aus der Entscheidung „Fashion ID“ (Az. C-40/17) zur alten Rechtslage. In dem Fall geht es zur datenschutzrechtlichen Zulässigkeit des Facebook-Like-Button nach der alten EU-Datenschutzrichtlinie. Die Entscheidung wird auch für die Zulässigkeit nach der DSGVO bedeutsam werden. Die Schlussanträge des Generalanwalts werden für den 19.12.2018 erwartet.

Den (angeblichen) Abmahnmissbrauch hat die Bundesregierung mit zum Anlass genommen, am 11.09.2018 einen Gesetzentwurf „zur Stärkung des fairen Wettbewerbs“ vorzulegen, der auch Abmahnungen wegen DSGVO-Verstöße eindämmen soll. Der Entwurf zielt über das Ziel hinaus und wird vielfach kritisiert. Gegenwärtig ist noch nicht absehbar, welche Änderungen an dem Gesetzentwurf noch vorgenommen werden und wann das Gesetz in Kraft treten wird.

Fazit

Die ursprünglich befürchteten massenhaften Abmahnungen wegen DSGVO-Verstöße sind bislang ausgeblieben. Auch wurden keine Bußgelder in Millionenhöhe verhängt. Dennoch sind Unternehmen gut beraten, weiter an der Umsetzung der Anforderungen nach der DSGVO zu arbeiten, um für den Fall einer Beschwerde oder einer Datenpanne gut gerüstet zu sein. Ist ein Unternehmen erst einmal in das Fadenkreuz einer Datenschutzaufsichtsbehörde gelangt, ist eine gute Vorbereitung und kluges Vorgehen gefragt. Dies sollte man nicht dem Zufall überlassen.

Alle Meldungen im Überblick