NJW Editorial  

Heft 22/2018


Gekommen, um zu bleiben?  

Nun ist sie endlich da: Die Datenschutz-Grundverordnung (DS-GVO), eines der wohl bedeutendsten Gesetze der EU der letzten Jahre. In Kraft ist sie schon seit zwei Jahren. Doch in der Praxis scheinen datenverarbeitende Stellen erst in den letzten Wochen vor dem Tag ihrer Anwendbarkeit realisiert zu haben, was da auf sie zukommt. In der Öffentlichkeit waren daher in den Monaten vor dem 25.5. auch vermehrt Stimmen aus dem Mittelstand zu vernehmen, die DS-GVO überfordere mit ihren Pflichten kleinere und mittlere Unternehmen. Selbst die Bundeskanzlerin äußerte sich zu dem Regelwerk. Dabei ist sein Inhalt – vor allem, wenn man ihn aus Sicht des deutschen BDSG betrachtet – gar nicht so revolutionär.

Richtig an der Kritik der Wirtschaft (aber auch von Vereinen, Verbänden und aus dem Handwerk) dürfte sein, dass die DS-GVO keine generelle „KMU-Ausnahme“ beinhaltet. Sie wurde, das erkennt man an vielen Stellen, „für“ die großen Online-Unternehmen geschrieben. Die gesetzlichen Pflichten gelten aber zum ganz überwiegenden Teil für jegliche Stelle, die mit personenbezogenen Daten umgeht. Nur vereinzelt findet sich eine Ausnahme für Einheiten unter 250 Mitarbeiter. Das nun aufkommende Unverständnis der Wirtschaft mag andererseits recht einfach zu erklären sein: Viele betroffene Unternehmen haben sich bisher schlicht nicht an die geltenden Vorgaben gehalten. Jetzt von Null anzufangen, ist dann ein massiver Aufwand. Zumal als Verschärfung und zusätzlicher Druck die stark erhöhten Bußgeldandrohungen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Vorjahrs hinzukommen.

Die Möglichkeit für Aufsichtsbehörden, bei Datenschutzverstößen Bußgelder zu verhängen, ist nicht neu. Doch wenn die datenverarbeitende Stelle in Zukunft patzt, kann es sehr teuer werden. Wirklich neu ist die Einführung der „Rechenschaftspflicht“ in Art. 5 II DS-GVO. Datenverarbeiter sind verpflichtet, stets nachweisen zu können, dass sie datenschutzkonform agieren. Wer Unternehmen berät, weiß aber, dass es heutzutage keine absolute Datenschutzkonformität gibt. Werden wir uns also auch nach dem 25.5. in einer Situation wiederfinden, in der sich das Datenschutzrecht in der Praxis dadurch auszeichnet, dass es nicht beachtet wird? Die Antwort werden mehrere Faktoren geben. Zum Beispiel die Vollzugstätigkeit der chronisch unterbesetzten und unterfinanzierten Aufsichtsbehörden. Aber auch die Klagefreudigkeit von Wettbewerbern oder Verbrauchern. Letztere erhalten etwa einen umfassenden Schadensersatzanspruch. Man wird, nach ein paar Jahren der Erprobung und den daraus gewonnenen Erfahrungen, daher auch nicht davor zurückschrecken dürfen, laut über eine eventuell erforderliche Reform nachzudenken. Denn in einem Punkt dürfte breite Einigkeit bestehen: Niemandem nützt ein Gesetz, das in der Praxis nicht beachtet wird.

 

Editorial

PDF öffnen  Dr. Carlo Piltz, Berlin