Mit Hochdruck haben viele Unternehmen, Vereine und staatliche Stellen auf den Beginn der Gültigkeit der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 hingearbeitet und versucht den mit der DSGVO verbundenen Belastungen Herr zu werden.

Nachdem sich der Staub nun etwas gelegt hat, drängt sich die Frage auf: Was ist seitdem passiert?

Viele Beschwerden und überlastete Aufsichtsbehörden

Tatsächlich erreichte die Aufsichtsbehörden unmittelbar nach dem 25.05.2018 – nach eigenen Angaben – eine wahre Flut an Beratungsanfragen und Beschwerden über vermeintliche Datenschutzverstöße. Nach Zeitungsberichten verzeichneten Aufsichtsbehörden zwischen doppelt und zehnmal so viele Eingänge wie vor dem 25.05.2018. Vor diesem Hintergrund ist es wenig überraschend, dass nicht nur die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff sich intensiv um eine deutliche Aufstockung ihres stark geforderten Personals bemüht. Inhaltlich betrafen Beschwerden v.a. die Bereiche Onlinehandel, Social Media und Videoüberwachung. Einer der ersten proaktiven Schritte der Aufsichtsbehörden war die Versendung von Fragebögen. So hat z.B. die niedersächsische Aufsichtsbehörde branchenübergreifend 50 Unternehmen um die Beantwortung eines Fragenkatalogs gebeten, um sich einen Überblick über den „Nachholbedarf“ bei Unternehmen zu verschaffen. Im Hinblick auf das weitere Vorgehen hat die Aufsichtsbehörde nach Auswertung der Fragebögen bereits Schwerpunktprüfungen in bestimmten Branchen in Aussicht gestellt.

DSGVO-Abmahnwelle?

Viele Unternehmen bewegte im Zuge der Umstellung auf die Anforderungen nach der DSGVO auch die Sorge vor einer Vielzahl von datenschutzrechtlichen Abmahnungen (v.a. durch Mitbewerber). Auch politisch wurde dieses Thema intensiv diskutiert. Justizministerin Barley kündigte bereits an, regulativ gegen missbräuchliche datenschutzrechtliche Abmahnungen vorgehen zu wollen. Auch wenn einige Abmahnungen versandt wurden, so blieb eine große „Abmahnwelle“ bisher wohl aus. Nach wie vor ist ohnehin rechtlich sehr umstritten, inwieweit Datenschutzverstöße als sog. Marktverhaltensregeln nach dem UWG abmahnfähig sind. Bis in dieser Frage durch den Gesetzgeber oder höchstrichterliche Rechtsprechung Klarheit geschaffen wird, dürfte allerdings noch etwas Zeit vergehen.

Facebook-Fanpage Betreiber und Betriebsräte als Verantwortliche?

Die meistbeachtete gerichtliche Entscheidung zum Datenschutz seit Gültigkeit der DSGVO hat der Europäische Gerichtshof (EuGH) zur Verantwortlichkeit bei Facebook-Fanpages getroffen. Am 5. Juni 2018 entschied er, dass Facebook und der jeweilige Betreiber datenschutzrechtlich gemeinsam verantwortlich sind. Auch wenn diese Entscheidung unmittelbar nur die bisherige Datenschutzrichtlinie 95/46/EG betrifft, so gilt die getroffene Wertung auch für die DSGVO. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) wies im Anschluss unmittelbar auf den bestehenden dringenden Handlungsbedarf für Fanpage-Betreiber und deren zahlreiche Pflichten hin. Die komplexe Prüfung der Frage, welche Stelle über die Zwecke und Mittel der Datenverarbeitung (mit-)entscheidet und damit verantwortlich für die Einhaltung zahlreicher DSGVO-Pflichten ist, bildet für Unternehmen eine der größten Fehlerquellen. Aktuell wird diese Frage auch im Zusammenhang mit Betriebsräten sehr kontrovers diskutiert. So wird entgegen der bisher wohl vorherrschenden Meinung zunehmend vertreten, dass Betriebsräte selbst als Verantwortliche einzuordnen und damit die Erfüllung der Pflichten sicherstellen müssen.

DSGVO als Vorbild für Kalifornien

Die Strahlkraft der DSGVO geht allerdings nicht nur auf Grund ihres ohnehin erweiterten Anwendungsbereichs über Europa hinaus. Kürzlich hat der von zahlreichen Tech-Unternehmen im Silicon Valley geprägte Bundesstaat Kalifornien den sog. California Consumer Privacy Act verabschiedet, der am 1. Januar 2020 in Kraft treten soll. Dabei ließ er sich wohl auch von der DSGVO inspirieren. Gleichzeitig stellt dieses Gesetz eine Reaktion auf die Diskussion um Facebook und das Datenanalyse-Unternehmen Cambridge Analytica dar. Im Consumer Privacy Act finden sich u.a. Regelungen, wonach Unternehmen offenlegen müssen, welche Kunden-/Nutzerdaten gespeichert werden, und Nutzer eine kommerzielle Verwendung von Daten untersagen können.

Ausblick

Die beschriebenen Entwicklungen nach dem 25. Mai 2018 zeigen, wie dynamisch der Bereich des Datenschutzrechts ist. Weitere Entwicklungen zeichnen sich ab. So forderte das EU-Parlament die EU-Kommission am 5. Juli 2018 in einer Resolution auf, den sog. EU-U.S. Privacy Shield auszusetzen, wenn bis zum 1. September 2018 kein ausreichender Schutz personenbezogener Daten gewährleistet wird. Der Privacy Shield dient vielen Unternehmen als Grundlage für einen Datentransfer in die USA. Auch die Artikel-29-Datenschutzgruppe, der Zusammenschluss der europäischen Aufsichtsbehörden, hatte 2017 zuvor bereits Kritik am Privacy Shield geäußert. Zudem befindet sich auch die ePrivacy-Verordnung, die v.a. Sonderregelungen zur DSGVO für den Bereich der elektronischen Kommunikation vorsieht, nach wie vor in der Abstimmung auf europäischer Ebene. Wann diese allerdings in Kraft tritt, ist aktuell noch nicht absehbar. Unternehmen sollten die aktuelle Phase nutzen und ihre Bemühungen zur Umsetzung der DSGVO-Anforderungen nicht abreißen lassen. Gleichzeitig empfiehlt es sich, die zahlreichen datenschutzrechtlichen Entwicklungen weiterhin aktiv zu beobachten.