Die allgemein befürchtete Abmahnwelle blieb zwar bisher aus, allerdings bedeutet die Verordnung für die allermeisten Verantwortlichen immer noch hohe Kosten.

Die Verordnung (EU) 2016/679 („DSGVO“) ist seit dem 25.05.2018 und mithin seit über einem Jahr in Kraft. Nachfolgend geben wir Ihnen einen Überblick über die Erfahrungen, die in dieser Zeit gesammelt wurden. Zunächst ist festzustellen, dass die für die Verarbeitung personenbezogener Daten Verantwortlichen nur in wenigen Punkten Rechtsklarheit bekommen konnten. Viele Fragen, die man sich bereits vor Inkrafttreten der DSGVO gestellt hat, bleiben weiter unbeantwortet. Zwar gibt es regen Austausch unter Experten und in der Literatur, auf aussagekräftige Urteile muss jedoch noch einige Zeit gewartet werden. Dieser Umstand der Rechtsunsicherheit führt in solchen Fällen, in denen der Verantwortliche das Risiko nicht tragen kann oder möchte, dazu, dass entweder diverse Aktivitäten eingestellt oder erst gar nicht durchgeführt werden oder aber beispielsweise unzählige, teils unnötige Einwilligungen eingeholt werden, um (vermeintlich) auf der sicheren Seite zu sein. Hiervon sind insbesondere kleinere Unternehmen, aber auch Vereine betroffen, für die die DSGVO grundsätzlich dieselben Maßstäbe ansetzt wie für Großunternehmen. Insoweit wird mit großen Hoffnungen verfolgt, ob die Maßstäbe für bestimmte Gruppen von Verantwortlichen durch die Rechtsprechung noch herabgestuft werden. Weiterhin bedeutet die DSGVO für die allermeisten Verantwortlichen immer noch hohe Kosten, insbesondere Beratungskosten, sowie einen hohen betriebsinternen Aufwand. Die allgemein befürchtete Abmahnwelle blieb jedoch bisher aus. Ein Zusammenhang mit den bereits erwähnten Rechtsunsicherheiten ist hier nicht auszuschließen. Es ist insbesondere immer noch stark umstritten, ob Verstöße gegen die DSGVO überhaupt wettbewerbsrechtlich abgemahnt werden können. Jedoch wurden bereits einige Bußgelder in Deutschland verhängt. Die Gründe sind sehr unterschiedlich. Teilweise wurde das geforderte Schutzniveau nicht eingehalten oder es wurden unzureichende Kontrollmechanismen eingesetzt. In anderen Fällen sind personenbezogene Daten Dritten zugänglich geworden. Auch für das Fehlen einer Vereinbarung zur Auftragsverarbeitung wurde ein Bußgeld fällig. Die Höhe der Bußgelder war im Vergleich zu den Befürchtungen aufgrund der hohen Grenzen, die die DSGVO vorsieht, relativ gering. Das höchste in Deutschland verhängte Bußgeld betrug bisher 80.000 Euro.

Ein kleiner Ausblick in die Zukunft

Vielleicht schafft es die geplante e-Privacy-Verordnung der EU, einige Fragen, die nach Inkrafttreten der DSGVO unbeantwortet blieben, zu beantworten und Lücken zu schließen. Die Verordnung soll den Schutz der Privatsphäre im Rahmen der elektronischen Kommunikation stärken. Jedoch ist diese Verordnung heftig umstritten, sodass abzuwarten bleibt, ob sich nicht vielleicht doch die Rechtsprechung schneller entwickelt und den Verantwortlichen die notwendigen Antworten auf berechtigte Fragen gibt.

Zuerst erschienen im Niederrhein-Manager