6 Monate DSGVO – Alles klar?

Massenhafte Briefe, E-Mails und sonstige Benachrichtigungen über geänderte Datenschutzerklärungen kündigten im Frühjahr einen Meilenstein des Verbraucherschutzes an: die EU-Datenschutz-Grundverordnung (DSGVO). Seit dem 25. Mai gelten nun die neuen EU-Datenschutzregeln einheitlich in allen 28 EU-Ländern. Sie sollen Verbraucher besser vor Datenmissbrauch schützen.

Norman Wirth, Rechtsanwalt bei Wirth Rechtsanwälte

Norman Wirth, Rechtsanwalt bei Wirth Rechtsanwälte

Die Menschen sollen wissen, wer was wozu mit ihren Daten macht, und hierauf Einfluss haben, also vor der Datenverarbeitung auch zustimmen. Somit wird die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden deutlich strenger geregelt als bisher.

Aber inzwischen zeigt sich: Auch 6 Monate nach Inkrafttreten sorgen die neuen EU-Datenschutzregeln noch für große Unsicherheit. Interpretation, Auslegung und Sicherheit bedürfen einer langen Zeit. Problematisch ist vor allem, dass der Geltungsbereich der DSGVO allumfassend weit gezogen ist. Es heißt in Art. 2 DSGVO:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Diese sperrige Wortwahl lässt es nicht sofort erkennen, aber: Damit betrifft die DSGVO den Friseur mit seiner Kundendatei, die Kfz-Werkstatt, Facebook, Krankenhäuser, jeden Vermieter, Versicherer, Google, Kitas und Sportvereine und quasi jeden Gewerbetreibenden und damit auch alle Versicherungsmakler und natürlich auch alle Versicherungsagenturen.  Der Oberbegriff für alle ist dabei „Verpflichtete“. Jeder ist verpflichtet, sich an die neuen Regeln zu halten.

Viele Fragen sind ungeklärt. Insgesamt herrscht noch immer eine starke Verunsicherung unter den Verpflichteten. Eines ist klar erkennbar: Große Unternehmen handeln und sind – bei allem zu betreibendem Aufwand – eher in der Lage, mit den Anforderungen klarzukommen, als die vielen Einzelkämpfer und kleinen Unternehmen. Viele haben aus Angst vor Abmahnungen oder hohen Bußgeldern ihre digitalen Aktivitäten eingestellt oder zumindest eingeschränkt, ob es nur die Facebookpräsenz war oder auch gleich die eigene Website, die vom Netz genommen wurde.

Die Gefahr lauert von zwei Seiten: Abmahnungen von Wettbewerbern, Abmahnanwälten oder Verbraucherschutzvereinen oder Bußgelder der Aufsichtsbehörden.

Eines der größten Angstthemen ist die umfangreiche Dokumentations- und Nachweispflicht. Diese neuen bürokratischen Anforderungen erfordern hohen zeitlichen Aufwand und kosten damit bares Geld. Es ist grundsätzlich ein enormer bürokratischer Aufwand, den die DSGVO von den Unternehmen insbesondere über die Erstellung des sogenannten „Verfahrensverzeichnisses“ verlangt.

Aber: Auch dieser Aufwand ist zu bewältigen. Das Gesetz ist da und es macht keinen Sinn, es zu ignorieren. Es gibt sinnvolle, preiswerte und individuelle Lösungen, wie zum Beispiel unter www.vermittler-datenschutz.de.

Zu beobachten sind bisher eigentlich nur zwei Verhaltensvarianten unter den Verpflichteten in Bezug auf die DSGVO: diejenigen, die wenn möglich schon zum Inkrafttreten im Mai 2018 DSGVO-ready sein wollten und regelmäßig auch waren, und diejenigen, die voller Frust über die aus ihrer Sicht neuerliche Regulierungsorgie das Handtuch warfen und nach dem Motto „erst mal abwarten“ agieren.

Letzteres ist keinesfalls zu empfehlen! Datenschutz ist Chefsache! Kopf in den Sand kann teuer werden!

Die Gefahr lauert von zwei Seiten: Abmahnungen von Wettbewerbern, Abmahnanwälten oder Verbraucherschutzvereinen oder Bußgelder der Aufsichtsbehörden.

Die Aufsichtsbehörden sind aktuell zwar noch völlig überfordert. Aber auch hier sind gravierende Unterschiede festzustellen. So hat Niedersachsen schon vor Monaten umfangreiche Fragebögen im Rahmen einer branchenübergreifenden Querschnittsprüfung an 50 Unternehmen unterschiedlichster Größe verschickt, um den Stand der Umsetzung der DSGVO abzufragen. Zudem gilt immer: Behörden müssen bei Kundenbeschwerden aktiv werden und prüfen dann sicherlich auch grundsätzlich, wie die Vorgaben der DSGVO konkret umgesetzt wurden. Wer dann gar nichts nachweisen kann, hat definitiv ein Problem.

Abmahnungen: Wir haben bisher zwar nicht die prophezeiten Abmahnwellen. Das will aber nichts heißen. Wenn nicht zügig das schon avisierte Gesetz zur Eindämmung des Abmahnunwesens kommt, ist damit zu rechnen, dass sich die Befürchtungen noch realisieren. Die einschlägigen Abmahnanwälte stehen jedenfalls Gewehr bei Fuß und haben schon den einen oder anderen Testballon gestartet. Bisher ist auch noch etwas umstritten, ob DSGVO-Verstöße überhaupt abmahnbar sind.

Eine erste Gerichtsentscheidung zu diesem Thema mit Signalwirkung ist jedoch vor Kurzem ergangen: Laut Beschluss des Landgerichts Würzburg vom 13.9.2018 (Gz.: 11 O 174/18 UWG) können Verstöße gegen die Datenschutzgrundverordnung einen abmahnfähigen Wettbewerbsverstoß darstellen. In dem aktuellen Beschluss des Landgerichts Würzburg wurde einer Rechtsanwältin der Betrieb einer unverschlüsselten Homepage untersagt, die zudem keine ausreichenden Datenschutzhinweise enthielt.

Spannend war hier vor allem die Frage, ob Verstöße gegen die Datenschutzgrundverordnung abmahnfähig sind, wovon das Landgericht Würzburg ohne nähere Begründung ausging. Weitere Urteile zu dieser Thematik werden sicher demnächst ergehen. Sollten andere Gerichte es ebenso wie Würzburg sehen, dürfte mit deutlich mehr Abmahnungen zu rechnen sein. Ganz zu schweigen von dem unsäglichen Versuch, nicht über Abmahnung, sondern über die Geltendmachung von Schmerzensgeld Profit aus dem neuen Gesetz zu schlagen. So erhielt ein norddeutsches Versicherungsmaklerunternehmen einen Brief von einem bekannten Abmahnanwalt, in dem im Namen einer Frau aus Sachsen 3.500 Euro geltend gemacht wurden. Die Frau hatte auf der Website des abgemahnten Maklerunternehmens eine Anfrage zu einer privaten Krankenversicherung über ein Kontaktformular übersandt, die auch durch das Unternehmen beantwortet wurde. Im Nachhinein habe die Frau dann feststellen müssen, dass das Maklerunternehmen „die personenbezogenen Daten über das Kontaktformular ohne https als Transportverschlüsselung“ einsetzte.

Die Website hatte kein SSL-Zertifikat. Die fehlende SSL-Verschlüsselung wurde als erheblicher Verstoß bei der Verarbeitung personenbezogener Daten und „als drastische Missachtung der Vorschriften der DSGVO“ bezeichnet. Des Weiteren wurde eine mangelhafte Datenschutzerklärung moniert.

Begründet wurde dann die Höhe des geforderten Schadenersatzes/Schmerzensgeldes mit „personal distress“ (persönliche Belastung/persönliches Leid) der betroffenen Frau. Hinzu käme die auch zwingend nach DSGVO zu berücksichtigende Abschreckungsfunktion.

Fazit

Wer sich mit der DSGVO noch gar nicht befasst, sollte das schleunigst tun. Und wer sich damit bereits intensiv befasst hat und meint, DSGVO-konform aufgestellt zu sein, sollte sich das Thema für kommendes Jahr auf Wiedervorlage legen.

Mitarbeiterschulung und -belehrung, Aktualisierung des Verarbeitungsverzeichnisses, Überprüfung der vertraglichen Regelungen mit externen Unternehmen – alles dies muss regelmäßig überprüft werden. Das ist nicht anders als der TÜV für das Auto oder die Prophylaxe beim Zahnarzt.

Norman Wirth, Rechtsanwalt, Fachanwalt für Versicherungsrecht, Datenschutzbeauftragter (TÜV®), Wirth-Rechtsanwälte Rechtsanwälte in Partnerschaft mbB, Mail: info@wirth-rae.de

Mehr spannende Themen im experten Report 11/18

 

Bilder: (1) © Nomad_Soul / fotolia.com (2) © Wirth-Rechtsanwälte PartmbB (3) © experten-netzwerk GmbH