R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
BB 2018, I
Wybitul 

Die DSGVO tritt in Kraft – wie geht es weiter?

Abbildung 1

Ab Ende Mai gilt die DSGVO für Unternehmen und Behörden in der gesamten EU. Gerade für Unternehmen hat das neue Datenschutzrecht erhebliche Auswirkungen. Aber auch für Datenschutzbehörden, Gerichte, Datenschutzbeauftragte, Manager, Anwälte und Berater wird sich vieles ändern. Internetfirmen, insbesondere globale soziale Netzwerke, aber auch andere Unternehmen haben bereits seit Langem damit begonnen, ihre Geschäftsmodelle auf die DSGVO umzustellen. Die genauen Folgen des verschärften Datenschutzrechts lassen sich derzeit nicht absehen. Dennoch kann man schon jetzt Prognosen treffen, welche Konsequenzen die DSGVO wohl in den nächsten Monaten und Jahren bringt.

Die Datenschutzbehörden werden bei der Umsetzung des neuen Rechts eine zentrale Rolle spielen. Die meisten europäischen Datenschutzbehörden sind allerdings bereits jetzt mit der Beratung zur DSGVO komplett ausgelastet. Man darf bezweifeln, dass die deutschen Datenschutzbehörden bei der Verhängung von hohen Bußgeldern eine Vorreiterrolle in der EU einnehmen werden. Bereits in der Vergangenheit waren die Behörden in anderen Mitgliedstaaten deutlich aktiver, wie etwa die französische CNIL. Auch in Gesprächen mit deutschen Behördenvertretern hört man oft, dass sie die ersten hohen Bußgelder nach der DSGVO eher von den Behörden süd- oder osteuropäischer Mitgliedstaaten erwarten. Das Fazit der Behördenvertreter: Es wird wohl noch eine Weile dauern, bis in Deutschland mit sehr hohen Bußgeldern zu rechnen ist. Mittelfristig kommen hier auf Unternehmen aber erhebliche Risiken zu. Ermittlungsverfahren wegen möglichen Datenschutzverstößen sind oft komplex und nehmen einige Zeit in Anspruch. Daher sind in Deutschland hohe Bußgelder wohl nicht vor 2019 zu erwarten.

Nur wenige Unternehmen werden die DSGVO schon bis zum 25. Mai 2018 ansatzweise vollständig umsetzen können. Die Wirtschaft ist gut beraten, sich vor allem auf Maßnahmen zu konzentrieren, die es ihr später erlauben, sich vor Gericht erfolgreich gegen Bußgelder, Schadensersatzansprüche und andere drohende Nachteile zu verteidigen. Es dürfte aber kaum ein Unternehmen geben, das nicht deutlich über diesen Zeitpunkt hinaus umfangreiche weitere Maßnahmen zur Umsetzung der DSGVO durchführen wird – oder jedenfalls sollte. Manche Unternehmen prüfen derzeit sogar, ob sie Rückstellungen wegen möglicher Bußgelder nach der DSGVO bilden müssen.

Auch für Betriebsräte hat die DSGVO Folgen. § 75 Abs. 2 BetrVG verpflichtet sowohl Arbeitgeber als aus Arbeitnehmer, die Persönlichkeitsrechte der Arbeitnehmer zu schützen. Art. 88 DSGVO fordert Schutzmaßnahmen für Betriebsvereinbarungen, die die Verarbeitung personenbezogener Daten im Beschäftigungskontext regeln. Eine Übergangsregelung für alte Betriebsvereinbarungen gibt es nicht. Daher verhandeln viele Arbeitgeber derzeit mit ihren Betriebsräten über Rahmen-Betriebsvereinbarungen zur Umsetzung der wichtigsten Anforderungen der DSGVO. Der Abschluss solcher Vereinbarungen kann auch in späteren Gerichts- oder Bußgeldverfahren ein wesentlicher Baustein einer effektiven Verteidigungsstrategie sein, wenn man beweisen muss, dass man die Anforderungen des neuen Datenschutzrechts auch am Arbeitsplatz richtig umgesetzt hat.

Die Erfahrung zeigt zudem, dass viele Unternehmen Risiken durch Schadensersatzansprüche wegen tatsächlichen oder auch nur behaupteten Datenschutzverstößen unterschätzen. Die DSGVO bringt neue Möglichkeiten für Abmahnanwälte, Verbraucherverbände, Arbeitnehmeranwälte und andere auf Verbraucherschutz, Datenschutz oder Arbeitsrecht spezialisierte Rechtsberater. Denn nach Art. 82 DSGVO sind künftig auch immaterielle Schäden nach Datenschutzverstößen zu ersetzen, also sogenannte Nichtvermögensschäden. Und in aller Regel verletzen Datenschutzverstöße vor allem das Persönlichkeitsrecht und nicht das Vermögen. Das alte BDSG sah keine solchen Ansprüche wegen immaterieller Schäden vor. Die Erwägungsgründe der DSGVO weisen dagegen sogar ausdrücklich darauf hin, dass der Begriff des Schadens weit ausgelegt werden soll und dass von einer unzulässigen Datenverarbeitung betroffene Personen einen vollständigen und wirksamen Schadensersatz erhalten sollen. Hier kommen auf Gerichte und Daten verarbeitende Unternehmen voraussichtlich viele Schadensersatzprozesse zu. Schließlich wirken sich Datenschutzverstöße selten allein auf einen einzelnen Mitarbeiter oder Kunden aus. Auch ohne das derzeit in der Regierungskoalition diskutierte Gesetz zu Musterfeststellungsklagen bietet die DSGVO bereits jetzt einige Möglichkeiten für Verbandsklagen. In den zu erwartenden Schadensersatzprozessen selbst dürfte vor allem die Beweislast Unternehmen vor hohe Hürden stellen. Denn nach Art. 24 DSGVO müssen für eine Datenverarbeitung Verantwortliche nachweisen können, dass sie personenbezogene Daten den Vorgaben des neuen Datenschutzes entsprechend verarbeiten. In der Praxis wird es Unternehmen vor Gericht oft schwer fallen, zu beweisen, dass sie sämtliche Anforderungen der DSGVO richtig umgesetzt haben.

Im Ergebnis bleibt der neue Datenschutz für Unternehmen, Behörden, Gerichte und Verbraucher auch über den Mai 2018 hinaus eine Herausforderung. Richtig spannend dürfte es für alle Beteiligten werden, wenn die Datenschutzbehörden die ersten hohen Bußgelder verhängen oder Abmahn- oder Verbraucherschutzanwälte die ersten Abmahnungen oder Schadensersatzforderungen wegen tatsächlichen oder behaupteten Datenschutzverstößen verschicken.

Tim Wybitul, CIPP/E, RA/FAArbR, ist Partner der Sozietät Hogan Lovells International LLP. In Frankfurt a. M. leitet er die Hogan Lovells Compliance & Investigations-Gruppe. Er berät deutsche und internationale Unternehmen umfassend zu Fragen des Datenschutzes. Wybitul ist Autor zahlreicher Publikationen, darunter dem im Mai 2017 in der dfv Mediengruppe, Fachbereich Recht und Wirtschaft, erschienenen Handbuch “EU-Datenschutz-Grundverordnung”. Er ist im Beirat des Betriebs-Berater und des Compliance-Berater (CB) sowie Mitherausgeber der Zeitschrift für Datenschutz (ZD).

 
stats