Ein hölzerner Hammer neben einem Dollarzeichen, das die finanzielle Auswirkung (Renner) und die Einhaltung gesetzlicher Vorschriften (DSGVO) in der Bilanz (Bilanz) symbolisiert.

13. August 2021

Drei Jahre DSGVO – eine Bilanz von Dr. Cornelius Renner

Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Höchste Zeit also für eine kleine Bilanz. Wir sprachen dazu mit Dr. Cornelius Renner, Rechtsanwalt und Partner bei der Kanzlei LUTZ | ABEL.

Ist die anfängliche Euphorie mittlerweile der Ernüchterung gewichen? Oder anders gefragt: Haben die großen “Datenkraken” – im Gegensatz zum Mittelstand – überhaupt etwas zu befürchten bei Verstößen?

Eine Euphorie hat es eigentlich nur bei Datenschützern gegeben, beim Mittelstand konnte man angesichts der im Raum stehenden Bußgelder eher von einer Hysterie sprechen.

Weder Euphorie noch Hysterie waren allerdings berechtigt. Was den Mittelstand angeht, hat sich sicher bewahrheitet, dass die DSGVO einen großen bürokratischen Aufwand und damit auch hohe Kosten verursacht. Ebenso hat sich bestätigt, dass viele Anforderungen unpraktikabel und schwer zu erfüllen sind. Auf der anderen Seite stehen Google, Facebook, Amazon & Co. Hier kann man trotz einiger Millionenbußgelder durchaus von Ernüchterung sprechen.

Jedoch kommen Datenschutzbehörden in den zuständigen Mitgliedsstaaten mit der Verfolgung von Verstößen kaum hinterher. Der überwiegende Teil der US-Unternehmen hat ihren europäischen Sitz in Irland, sodass vor allem die irischen Behörden mit dem Thema befasst sind. Und diese haben leider bislang wenig erreicht. Jedoch hat der Europäische Gerichtshof jüngst entschieden, dass künftig nicht nur die Behörde im Sitzland Datenschutzverstöße verfolgen kann, was durchaus zu einer Verbesserung der Situation führen könnte.

„Die Bußgelder klingen zwar massiv, sind aber wenig schmerzhaft für IT-Unternehmen mit hohen Gewinnen.“

Die bislang verhängten Bußgelder klingen zwar massiv, sind aber etwa für Facebook, gemessen am Gewinn – auch bei vollständiger Ausschöpfung – wenig schmerzhaft. Das Problem ist, dass die Bußgelder an den Umsatz (maximal 4 Prozent) anknüpfen. Ein großes IT-Unternehmen, das deutlich weniger Kosten hat, weil es nichts produziert und zudem im außereuropäischen Ausland wegen geringerer Arbeitnehmerrechte weniger Kosten hat, erreicht bei gleichem Umsatz einen deutlich höheren Gewinn als etwa ein Unternehmen der deutschen Autoindustrie. Damit kann ein Ausschöpfen des Bußgeldrahmens z. B. bei Facebook, vielleicht 10 Prozent des Gewinns erreichen, wohingegen es den Gewinn bei einem deutschen Automobilhersteller komplett „aufsaugen“ kann.

Als weiteres Problem erweist sich der Missbrauch der DSGVO durch die von der Datenverarbeitung Betroffenen. Ich hatte bereits mit einer Reihe von Fällen zu tun, in denen Internetnutzer sich für eine große Masse von Newslettern angemeldet und dann Auskunftsansprüche über ihre gespeicherten Daten geltend gemacht haben. Diese wurden dann nicht alle fristgerecht erfüllt, worauf die Nutzer Klage auf Ersatz ihres immateriellen Schadens erhoben haben, den die DSGVO – zumindest dem Wortlaut nach – bei Verstößen ohne weitere „Hürden“ vorsieht.

Auf der „Haben-Seite“ steht aber, und das ist durchaus ein großer Verdienst der DSGVO, dass die Sensibilität von Unternehmen und Betroffenen deutlich gestiegen ist.

Gesetze sind das eine, deren Durchsetzung das andere. Was läuft aus Ihrer Sicht gut und wo gibt es weiterhin Defizite?

Positiv ist, wie bereits angeführt, dass viele Unternehmen mit Daten sensibler umgehen. Es wird vor allem vermehrt darauf geachtet, „Datenfriedhöfe“ mit nicht mehr benötigten Daten zu vermeiden. Löschpflichten werden ernster genommen, wodurch sich das Risiko ungewollter Datenabflüsse reduziert.

Es gibt aber noch immer zahlreiche kleinere und mittelgroße Unternehmen, die nicht einmal die „Basics“ vorweisen können – wie z. B. ausreichende Datenschutzinformationen oder ein Verzeichnis ihrer Verarbeitungstätigkeiten.

Das größte Defizit ist aber, wie ebenfalls schon angesprochen, die schlechte Durchsetzung gegenüber den großen Datensammlern. Diese machen zumindest teilweise immer noch mit den Daten, was sie wollen.

Ein Mann in Anzug und Krawatte posiert für ein Foto und demonstriert damit seine souveräne Einhaltung der DSGVO. — *Dr. Cornelius Renner ist einer der besten Rechtsanwälte im Bereich IT-Recht in Deutschland.*
*Handelsblatt & Best Lawyers 2021*

Wie sieht die Zukunft aus? Wo sehen Sie die DSGVO in fünf Jahren?

Ich hoffe, dass der Gesetzgeber die Erfahrungen mit der DSGVO in den nächsten Jahren kritisch evaluiert und einerseits dort nachbessert, wo sich Maßnahmen als reine bürokratische Anforderungen ohne große Wirkungen herausgestellt haben, und andererseits dort, wo Sanktionsmöglichkeiten offenbar nicht ausreichen. Beispielsweise sollten die Sanktionsmechanismen überarbeitet werden und die missbräuchliche Geltendmachung von Ansprüchen besser verhindert werden.

Auf der anderen Seite wünsche ich mir aber auch Lösungen auf der technologischen Seite. Wenn kein Unternehmen mit vertretbarem Aufwand in der Lage ist, auf Dienste in den USA (wie etwa AWS oder Google-Dienste) zu verzichten und damit gezwungen wird, die Daten durch US-Unternehmen verarbeiten zu lassen – was derzeit datenschutzkonform schlicht kaum möglich ist –, wäre es an der Zeit, gleichwertige europäische Lösungen anzubieten.