Tagungsbericht
7. Göttinger Forum IT-Recht 2021
7. Göttinger Forum IT-Recht 2021 – Sind 3 Jahre DSGVO genug?
In wenigen Wochen feiert die DSGVO ihren dritten, eigentlich sogar ihren fünften Geburtstag – viele Vorträge datieren diesen Tag bereits nach vorne. Doch noch immer sorgt die europäische Verordnung zum Datenschutz hierzulande für Unzufriedenheit und bietet ein uneinheitliches Bild.
Dies war auch der Grundtenor am zweiten Tag vom 7. Göttinger Forum IT-Recht, das sich als Online-Veranstaltung ganz dem Datenschutzrecht widmete und mit Barbara Thiel, LfDI aus Niedersachsen und Prof. Johannes Caspar, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zwei prominente Vertreter der deutschen Aufsichtsbehörden als Redner präsentieren durfte. Hinzu kamen zwei Anwälte einer Großkanzlei und die Juristin für Datenschutz bei Zalando SE aus Berlin. Alle wesentlichen Perspektiven konnten daher abgebildet werden.
Eine Imagekrise?
Bereits die einführenden Worte des Moderators, Herrn Rechtsanwalt Dr. Gregor Scheja von Scheja und Partner Rechtsanwälte aus Bonn sollten deutlich machen: Der Datenschutz befindet sich aktuell in einer Imagekrise. „Man könnte fast meinen, ohne Datenschutz hätten wir kein Corona mehr“, formulierte der Jurist zu Beginn der Veranstaltung das aktuelle Lagebild. Wer die Talkshows der letzten Wochen verfolgt hat, wird sich diesem Gefühl wohl anschließen müssen.
Und so hatten die zwei Vertreter*innen der nördlichen Aufsichtsbehörden die schwierige Rolle, in der fast schon aussichtslosen Lage die Arbeit und insgesamt die DSGVO doch noch zu verteidigen und als den häufig gehörten „Exportschlager“ der EU gut zu verkaufen.
Doch während Barbara Thiel diese Verteidigung relativ gut gelang, machte Prof. Caspar aus Hamburg gar keinen großen Hehl daraus, dass ihm der Vollzug des Rechts im Wege der aufsichtsbehördlichen Arbeit auf europäischer Ebene aktuell missfällt. Dies ließ bereits die Überschrift seines Vortrages erkennen, in der von einer „Mogelpackung DSGVO“ die Rede war.
Dieser Trend sollte sich auf der Online-Veranstaltung fortsetzen: Die zwei Rechtsanwälte von Hogan Lovells aus Hamburg verdeutlichten die uneinheitliche Rechtsdurchsetzung unter der DSGVO und auch die Rechtsanwältin Malgorzata Steiner, MPP (Harvard) aus dem Hause der Zalando SE knüpfte an diese Kritik an, skizzierte aber anschauliche Lösungsansätze bzw. „Chancen“ durch das europäische Datenschutzzecht.
Bußgeldpraxis in Niedersachsen
Den Auftakt der Veranstaltung am Freitag machte die Juristin Barbara Thiel von der Niedersächsischen Aufsichtsbehörde, die sich der Bußgeldpraxis der Datenschutzaufsicht widmete und sodann einige Zahlen aus ihrem Bundesland vorstellte: Im Jahre 2020 wurden 28 Bußgelder aus insgesamt 82 Verfahren über insgesamt 10.56 Millionen Euro in Niedersachsen verhängt, wovon schon 23 Bußgeldbescheide rechtskräftig sind.
Bedenkt man, dass von dieser Summe 10.4 Millionen Euro dem spektakulären Fall der Videoüberwachung zugerechnet werden (unser Bericht), fallen auf die restlichen 27 Bußgeldbescheide gerade einmal zusammenaddiert 160.000 Euro. Unter diesen Adressaten befindet sich ein Arzneimittelhersteller, eine Rechtsanwaltskanzlei, ein Industrieunternehmen, ein Spediteur und zahlreiche Privatpersonen, die zumeist durch den Einsatz von Dashcams der Aufsichtsbehörde aufgefallen waren. Frau Thiel ließ durchblicken, dass nicht immer gleich die hohen Bußgeldbeträge auftreten müssen. Und der größte Fall aus Niedersachsen mit dem zweistelligen Millionenbußgeld sei noch nicht rechtskräftig, da hier die Gegenseite fristgerecht Einspruch eingelegt habe.
Wie ein solches Verfahren vor dem Landgericht dann ausgehen könne, zeige das Urteil des LG Bonn im Prozess gegen „1&1“. Hier obsiegte zwar der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber dem Grunde nach, musste jedoch zusehen, wie das verhängte Bußgeld von rund 10 Millionen Euro auf knapp unter eine Million Euro vom Gericht reduziert wurde (wir berichteten).
Daraufhin stellte Frau Thiel die Vorgaben an ein Bußgeldverfahren nach der DSGVO vor. Ein Bußgeld sollte in jedem Fall „wirksam, verhältnismäßig und abschreckend“ sein, um so das Vertrauen der Allgemeinheit in staatliche Aufgabe zu schaffen, ebenso aber auch durch die abschreckende Wirkung neue Verstöße möglichst zu verhindern.
Abweichende Bußgeldkonzepte
Es war offenkundig, dass die einzelnen Mitgliedstaaten unterschiedliche Konzepte und Berechnungsmodelle zu Bußgeldern unter der DSGVO entwickelten und hier eine eklatante Ungleichheit auf der europäischen Ebene besteht. Und selbst die horrenden Summen aus „UK“ wurden vor der zuständigen Aufsichtsbehörde angesichts der derzeitigen Corona-Pandemie jüngst verringert. So hatte die ICO die Bußgelder gegen British Airways und Marriott teilweise erheblich reduziert, wie beispielsweise von 110 auf 20 Millionen (im Fall Marriott). Die Summen wären wohl kaum haltbar gewesen, da die Unternehmen aktuell riesige Verluste schreiben.
Hierzulande hatte die DSK im Oktober 2019 ihr Konzept zur Bußgeldbemessung festgelegt bzw. veröffentlicht, auf dessen Bemessungsgrundlage die teilweise hohen Bußgelder in Deutschland ergingen (unser Bericht hierzu).
Auf europäischer Ebene wäre der EDSA (Europäischer Datenschutzausschusses) dafür ausgelegt, für einen einheitlichen Rahmen in den 27 Mitgliedstaten zu sorgen. So gäbe es laut Frau Thiel gewisse Bestrebungen in dem Ausschuss, eine Leitlinie zur Methodik der Bemessung von Bußgeldern zu entwickeln, damit keine nationalen Alleingänge mehr zu erwarten seien, sondern ein europäisches Konzept zur Anwendung käme. Aber wegen des andauernden Abstimmungsprozesses dauere es noch.
Die LfDI aus Niedersachsen stellte jedoch in Aussicht: Sollte es neue Erkenntnisse aus den derzeit laufenden europäischen Abstimmungen geben, würden Veränderungen oder Ergänzungen an dem DSK-Konzept vorgenommen werden. Aber momentan würde man noch weiter am DSK Konzept festhalten.
Die letzten Minuten ihrer Rede widmete Frau Thiel dem besagten Urteil vom LG Bonn, das mehrere bemerkenswerte Erkenntnisse mit sich brachte. Zum einen wäre hier vom Gericht der Unternehmensbegriff der DSGVO konkretisiert und analog zum Kartellrecht angewandt worden, womit das „Unternehmen“ als wirtschaftliche Einheit aller Unternehmensteile verstanden werde und der gesamte Konzernumsatz heranzuziehen sei, somit also der funktionale Unternehmensbegriff manifestiert worden sei. Zum anderen habe das Gericht deutlich gemacht, dass für die Annahme eines Verstoßes nicht die Handlung einer Leitungsperson erforderlich sei im Rahmen der Zumessung, d.h. §§ 30, 130 OWiG im Datenschutzrecht nicht anwendbar seien.
Einen kleinen versteckten Tipp gab die Datenschützerin aus Niedersachsen dann doch noch: So wären grundsätzlich „Verständigungsgespräche“ auf Basis eines gezielten Austausches zwischen der Aufsichtsbehörde und dem Verantwortlichen im Falle einer drohenden Sanktion denkbar, die einen „gewissen Korridor“ für ein Bußgeld vorsehen könnten, so dass die Einsicht und ein kurzes Verfahren berücksichtigt werden könnten – und dann zu geringeren Bußgeld führen würden. Damit habe man bereits in Niedersachsen gute Erfahrung machen können bzw. sei man offen für solche Absprachen.
Bußgeldpraxis in Hamburg
Anschließend durfte Prof. Dr. Johannes Caspar (HmbBfDI) seine Sicht auf den Vollzug des Rechts unter der DSGVO schildern. Doch zunächst resümierte der Jurist die Arbeitsweise der letzten Jahre. Die DSGVO solle insbesondere das europäische Big Data und die Tech Giganten betreffen und regeln – und nicht den kleinen Bäcker um die Ecke, bei welchem ohnehin schon das BDSG viele Jahre zuvor griff. So ginge es um „das Recht der kleinen Leute vor dem Schutz der großen Dienste“. Und „diese müssen die Regeln auf unserem Spielfeld einhalten“ meinte Prof. Dr. Caspar.
Zwar sei das allgemeine „DSGVO Bashing“ plump und mache gar keinen Sinn, aber es gäbe ohne Weiteres viele Kritikpunkte an der Verordnung. Nach wie vor fehle es an Rechtsicherheit und ebenso an einem einheitlichen Vorgehen auf europäischer Ebene. Es sei nicht mehr nachvollziehbar, warum nach über drei Jahren noch kein Bußgeldkonzept des EDSA bestehe – und nationale Aufsichtsbehörden selber im Alleingang tätig werden würden, erklärte der Jurist.
Zurzeit bestünde eine ungünstige Regelungsstrategie und es sei unverständlich, warum Handwerker und Mittelständer von selben Regelungen erfasst werden wie große globale Unternehmen (wie z.B. WhatsApp). Doch nicht nur dies führe zu Unverständnis. Vielmehr konstatierte Prof. Caspar, dass es an einer Verzugsgerechtigkeit fehle: „Bußgelder gegen Big Tech finden quasi nicht statt.“ Hinzu kämen viel zulange Verfahren.
Das Dilemma lasse sich sehr gut an Max Schrems erkennen, der im Jahr 2011 begonnen hätte, gegen die Datenübermittlung in die USA von Facebook zu klagen. 10 Jahre und zwei EuGH Urteile später sei dies weitgehend wirkungslos. Und insbesondere die sog. Schrems II Entscheidung sei derart massiv und weit, dass der gesamte Datenaustausch von EU in die USA quasi ohne Rechtsgrundlage und diese Datenverarbeitung nicht wirksam sei. Zudem beträfe dies quasi alle Unternehmen und alle Dienste. Der HmbBfDI hofft vielmehr auf ein Urteil „Schrems III“, das möglicherweise zu mehr Klarheit führt.
Dabei zeige sich die Hamburger Aufsichtsbehörde sogar recht einsichtig in der aktuellen Lage: Man müsse die Wirklichkeit berücksichtigen und könne nicht derzeit wegen des Einsatzes von Videokonferenztools durch Schulen Bußgelder verhängen, bekundete Prof. Dr. Johannes Caspar.
Das größte Problem sei jedoch der Vollzug: Die nationale Umsetzung sei gut und klappe hierzulande, aber es fehle an dem europäischen „kooperativen Vollzug“ bzw. einer europäischen Umsetzungsstrategie. Es bedürfe eines EDSA Konzepts, das jedoch nach so langer Zeit immer noch nicht bestehe, wiederholte der Jurist.
Zentrale Bußgeldstelle gefordert
Die Ausgangslage ist auch unter dem Begriff „One-Stop-Shop“ bekannt, das im Datenschutzrecht „eines des kompliziertesten Verwaltungsverfahrens auf der Welt“ sei und derzeit quasi nicht stattfände.
Zunächst würde im Rahmen des Kohärenzverfahrens (Art. 63 DSGVO) die federführende Behörde am Hauptsitz der Firma handeln, aber auch andere Behörden anderer Länder können „Einspruch“ ausüben und am Ende können alle Mitgliedstaaten dann gemeinsam entscheiden. Doch dieses europäische Kohärenzverfahren fände derzeit kaum statt – und der eigentliche Gedanke der DSGVO, weltweit eine Harmonisierung zu erreichen, erst Recht nicht, wie es sich an den Verfahren gegen Clubhouse, den Gesichtserkennungsdienst Clearview (hier) oder TikTok (hier und hier) zeige. Clubhouse habe bis heute nicht geantwortet, so Prof. Johannes Caspar.
Wenn alle Mitgliedstaaten zuständig seien, dann fühle sich keiner verantwortlich bzw. angesprochen. Das einzig „erfolgreiche“ Verfahren in diesem Sinne war der Vorgang gegen Twitter, der zu einem eher geringen Bußgeld von weniger als einer halben Millionen Euro führte. Es erfolge kein Verzug auf europäischer Ebene, obwohl eine Menge ganz schwerer Fälle vorläge. Hier passiere nichts, obwohl hohe Bußgelder denkbar wären und sehr zügig hätten verhängt werden müssen, resignierte der Hamburger Datenschützer.
Das Konzept der DSGVO zeigt hier ganz eindeutig seinen Nachteil. Die Regelung, dass die federführende Behörde am Sitz des Unternehmens tätig werde, berühre massiv deren Handlungsfreiheit und sei falsch. Das Einschreiten der Aufsicht beeinflusse natürlich die örtliche Wirtschaft und Jobs, die dann Probleme habe, im öffentlichen Bereich das durchzusetzen. Ebenso läge das sog. „Forumshopping“ vor, indem die Unternehmen leider oftmals vor Ort weniger Steuern zahlen und daher der Datenschutzvollzug nicht so hart sei. Viel besser wäre eine zentrale Bußgeldstelle.
Doch der Landesdatenschutzbeauftragte Hamburgs führte noch weiter aus: Mittlerweile würden sich schon Unternehmen in Hamburg darüber beschweren, dass z.B. die Bußgelder national höher ausfielen als in Irland oder im Ausland und so kein fairer Wettbewerb bestehe. Das führt zu einem zersplitterten digitalen Markt und einer Benachteiligung der Hamburger Firmen.
Das Ziel müsse eine Harmonisierung in Europa mit Standards sein. Daher müsse es eine Zentralisierung des Vollzugs auf eine neue europäische Aufsichtsbehörde erfolgen, damit das Datenschutzrecht und auch die Anwendung europaweit mehr Akzeptanz und Legitimität erfahre.
Die Sichtweise der Anwaltschaft
Im nächsten Block stellten Rechtsanwalt Dr. Christian Tinnefeld und Rechtsanwalt Dr. Henrik Hanßen von Hogan Lovells International LLP, Hamburg Ihre Sicht der Rechtsanwendung dar.
Die Internationalen Ziele des einheitlichen europaweiten Bußgeldes (so auch nach Erwägungsgrund 13) seien derzeit verfehlt. Und auf die Leitlinie des EDSA warte man immer noch. Die Mängel an der Harmonisierung sowie die unterschiedlichen Strategien in den Mitgliedstaaten lassen sich an Anzahl und Höhe der Bußgelder erkennen.
Ähnliche Rechtsunsicherheiten und Fragezeichen bestehen nach Ansicht vom Rechtsanwalt Dr. Henrik Hanßen auch im Bereich des Schadensersatzes nach Art. 82 DSGVO. Haben wir überhaupt eine Haftung nach europäischen Maßstäben? Oder müsse nicht eine weitere Schmerzensgeld-Haftung nach der DSGVO wegen europarechtlichem Effizienzgebot vereinheitlich werden?
Schadensersatz und Schmerzensgeld
Im Folgenden skizzierte der Hamburger Rechtsanwalt die einzelnen Tatbestandsvoraussetzungen des Anspruchs auf Schadensersatz aus der DSGVO, veranschaulichte insbesondere die relevanten Verstöße gegen die DSGVO, die ggfs. einen solchen Anspruch begründen (können).
Vor allem der Begriff des Schadens wird derzeit von den ersten Gerichtsentscheidungen abweichend verstanden – so reiche die Rechtsprechung vom weiten Schadensbegriff (jeder Verstoß gegen die DSGVO) bis zu einem restriktiven Schadensbegriff, der eine gewisse Bagatellschwelle (mehr hierzu) vorsehe.
Von Gerichten wurde bereits ein Schaden im Falle der abstrakten Eignung einer Rufschädigung oder bei „Angst und Stress“ angenommen, was ausreichte, um dem Kläger ein Schmerzensgeld zuzusprechen.
Doch möglicherweise könnte hier – in naher Zukunft – mehr Rechtssicherheit erschaffen werden, denn Deutschland habe per Vorlage vom 14. Januar 2021 an den EUGH diese Frage an das höchste europäische Gericht abgegeben.
Die Sichtweise der Unternehmen
Im anschließenden Vortrag sollte Frau Rechtsanwältin Malgorzata Steiner, MPP (Harvard), Zalando SE, Berlin die Perspektive der Unternehmen vertreten. Und auch sie stellte in ihren Beitrag die eklatanten Missverhältnisse innerhalb Europas vor.
Doch selbst in Deutschland zeigten die letzten Monate die unterschiedlichen Bewertungen der Aufsichtsbehörden. Beispielsweise sei bereits hierzulande im ersten und nun auch im zweiten Lockdown der Einsatz von Videokonferenztools unterschiedlich von den Aufsichtsbehörden bewertet bzw. an unterschiedliche Anforderungen gestellt worden. Aber auch Facebook werde in den einzelnen Mitgliedstaaten unterschiedlich verwendet, auch von den jeweiligen öffentlichen Stellen.
Schließlich stellte die Juristin fest, dass es keine Guidelines vom Europäischen Datenschutzausschuss zur Bußgeldbemessung gebe und sogar nationale Guidelines zu abweichenden Ergebnissen führe.
Exemplarisch zeigte sie das Bußgeldverfahren gegen den Kurznachrichtendienst Twitter wegen einer verzögerten Meldung einer Datenpanne (siehe hier). Die zuständige Aufsichtsbehörde (Irland DPC) schlug ein Bußgeld in Höhe von 150.000 – 300.000 Euro vor. Nach dem Bußgeldkonzept der DSK hätte ein solches in Höhe von 7 bis 22 Millionen Euro im Raume gestanden. Der Kompromiss nach dem Streitbeilegungsverfahren gem. Art. 65 DSGVO führte im Ergebnis zu dem Bußgeld in Höhe von 450.000 Euro.
Die Juristin von Zalando verdeutlichte im weiteren Verlauf die Konsequenzen aus dem uneinheitlichen Bild: Es bestünden große Unsicherheiten, abweichende Rechtsfolgen, weshalb auch die Kosten für Compliance bei den Unternehmen stiegen.
Insgesamt ergebe dies Nachteile im globalen Wettbewerb (ohne den erwarteten Standortvorteil der DSGVO), warum auch das Vertrauen in den Datenschutz sinke. Und noch weitere Folgen würden drohen: Diese Situation könne zu einer Innovationsbremse bzw. rückständigen Produkte und Dienstleistungen führen.
Ihr Fazit lautete: Ein vernünftiges, risikobasiertes Handeln des Unternehmens dürfte nicht bestraft werden; vielmehr seien europäisches, strategisches Handeln und europäische Standards zu fordern mit dem Fokus auf Sanktionen von größeren Verstößen.
Dem können wir uns nur anschließen.
Quelle: datenschutz-notizen.de
Autor: Conrad S. Conrad, Senior Berater Datenschutz (datenschutz nord GmbH)