Editorial : Nach dem Sturm ist vor dem Sturm : aus der RDV 4/2018, Seite 183 bis 184
Seit fast zwei Monaten gilt die DS-GVO bzw. ist das novellierte BDSG in Kraft. Die mediale Berichterstattung über die vermeidlichen bürokratischen oder unerfüllbaren Anforderungen des neuen Datenschutzrechts sind wieder abgeklungen. Im Alltag erkennbar angekommen sind die neuen Datenschutzanforderungen bei kleinen und mittelgroßen Unternehmen sowie Freiberuflern: Die Datenschutzerklärungen auf den Websites wurden angepasst. Die Arzthelferin übereicht „Patienteninformationen zum Datenschutz“ und dokumentiert die Übergabe im Patienteninformationssystem, so wie es das ULD vorgeschlagen hat. Damit ist aber noch nicht bewiesen, dass die neuen datenschutzrechtlichen Anforderungen auch gelebt werden.
Die Aufsichtsbehörden haben signalisiert, dass sie für eine Übergangszeit nach dem 25. Mai dieses Jahres noch nicht jeden Datenschutzverstoß mit Bußgeldern ahnden möchten. Jedoch hat die LfD Niedersachsen größen- und branchenübergreifend 150 Unternehmen mit einem Fragebogen angeschrieben, in dem detailliert nach der Umsetzung der DS-GVO gefragt und um Vorlage von Dokumenten gebeten wird. Diese Umfrage hat zunächst das Ziel, „sich einen Überblick darüber zu verschaffen, wie die Firmen die zweijährige Übergangszeit bis zur Geltung der DS-GVO genutzt haben“. Es gehe zum jetzigen Zeitpunkt nicht vorrangig darum, möglichst viele Fehler zu finden und Bußgelder zu verhängen. Trotzdem könne es natürlich zu einem entsprechenden Verfahren kommen, wenn während der Prüfung Verstöße gegen die DS-GVO festgestellt werden.
Von den deutschen Aufsichtsbehörden sind bisher keine Fälle bekannt geworden, wonach ein Bußgeld auf Grundlage der DS-GVO verhängt worden ist. Bei eindeutiger Rechtslage werden die Aufsichtsbehörden jedoch Verstöße mit Bußgeldern sanktionieren müssen. Die Vorgaben des Abs.1 verlangen, dass die Verhängung von Bußgeldern wirksam, verhältnismäßig und abschreckend ist. Dabei ist das Erfordernis, dass die Ahndung auch „abschreckend“ wirkt, aus deutscher Sicht auf die Rechtsanwendung im Datenschutz ein Novum. Die Abschreckung ist dabei nicht spezialpräventiv auf den betroffenen Verantwortlichen bezogen, sondern soll überdies generalpräventiv sein und den verwaltungsrechtlichen Aktionen mehr Wirkung verleihen. Ein Vertreter einer Aufsichtsbehörde kündigte bereits an, einem Arzt, der Patientenakten im Altpapier entsorgt hat, mit einem Bußgeld in Höhe von 100.000 Euro zu sanktionieren.
Die Unternehmen bleiben also gehalten, ihre Geschäftsprozesse regelmäßig auf Datenschutzkonformität zu prüfen. Eine wichtige Rolle hat dabei der betriebliche Datenschutzbeauftragte als Berater der Unternehmen, Risiken zu erkennen und zu minimieren. Forderungen aus Teilen der Politik und einiger Verbände mit dem Argument der Entlastung der Wirtschaft die Bestellvorrausetzungen des BDSG aufzugeben, sind dabei nur kontraproduktiv. Einsparpotenziale sind mit Blick auf die Vorhaltung von Fachkompetenz angesichts der komplexen Rechtslage im Unternehmen nicht ersichtlich. Eher besteht die Gefahr, die Anforderungen des Datenschutzrechts aus dem Auge zu verlieren. Das kann aber sehr teuer werden.
Andreas Jaspers
RA Andreas Jaspers Rechtsanwalt Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).