az-Serie DSGVO Teil 4a

„Behörden sind nicht Ihre Gegner“

Friederike Detmering, Rechtsanwältin für Datenschutz, Kanzlei Reed Smith
Foto: Privat
Friederike Detmering, Rechtsanwältin für Datenschutz, Kanzlei Reed Smith

Die DSGVO ist in Kraft getreten: Für noch nicht perfekt vorbereitete Unternehmen stellt sich die Frage, ob Behörden sofort sanktionieren oder ob ihnen trotz Übergangszeit noch Zeit bleibt. Eine Rechtsanwältin klärt über Sanktionen auf. Grundsätzlich gilt, das erste Mittel der Wahl sind Verwarnungen, Sanktionen folgen bei groben Verstößen.

Drohen Unternehmen sofort hohe Bußgelder, die von den Aufsichtsbehörden für Datenschutz verhängt werden? Schließlich hat es eine zweijährige „Übergangszeit“ – sowohl für große Unternehmen, kleine Betriebe und andere „verantwortliche Stellen“ als auch für die Behörden selbst – gegeben.

Trotz dieser Vorbereitungszeit sind allerdings auch die Datenschutzbehörden vieler Mitgliedstaaten (17 von 24 befragten Staaten Anfang Mai) noch nicht perfekt vorbereitet – es fehle an Personal und notwendigen nationalen Gesetzen. Für Deutschland gilt das so nicht: Jedes Bundesland besitzt seine eigene Behörde und hat zusätzlich mit kompetentem Personal aufgestockt. Zudem existiert bereits seit 2017 das neue Bundes<Gewollte_Trennstelle>datenschutzgesetz, BDSG.

Allerdings gibt es Neuerungen mit der DSGVO, deren praktische Umsetzung sich nicht eindeutig aus dem Gesetz ergibt. Beispielsweise, ob datenschutzrechtliche Informationen ausreichend verständlich sind oder ob manche personenbezogenen Daten wirklich ohne Einwilligung verarbeitet werden dürfen. Darüber hinaus steht die „E-Privacy-Verordnung“ noch aus, um Fragen zu Cookies auf Webseiten zu klären.

Bei solch unklaren Themen werden Behörden nicht sofort einschreiten, sondern abwarten, bis die Sachverhalte geklärt sind – durch behördliche Leitlinien, Gerichtsentscheidungen und die E-Privacy-VO.

In klar geregelten Bereichen sollten Betriebe jedoch vorbereitet sein, denn in solchen Fällen dürften die Behörden sofort handeln: dazu zählen Verarbeitungsverzeichnisse, Datenschutzerklärungen, Einwilligungen (zum Beispiel Newsletter), Auftragsverarbeitungsvereinbarungen, Datenschutzbeauftragte. Gleichzeitig sind die Behörden offen für Argumente, vorausgesetzt, die verantwortliche Stelle hat sich erkennbar Gedanken gemacht und den Datenschutz nicht einfach ignoriert.

Es bleibt abzuwarten, wie sich die Behörden gegenüber kleinen Betrieben positionieren werden. Geldbußen sollen zwar wirksam, verhältnismäßig und abschreckend sein, dafür sind aber keinesfalls die Höchstsätze erforderlich. Außerdem gehören nicht nur Geldbußen zum Maßnahmenpaket, sondern Behörden können unter anderem auch „nur“ verwarnen und eine datenschutzkonforme Umsetzung anmahnen. Jedenfalls sollten Behörden nicht als Gegner gesehen werden, sondern als kompetente Ansprechpartner bei offenen Fragen und Anliegen. Weitere nützliche Informationen finden Sie hier.

Die Kommentare für diesen Artikel sind geschlossen.

stats