Datenschutz 2013: Jede Menge Überraschungen möglich

Der Datenschutz in Deutschland wird zusehends durch Europarecht bestimmt. Wer sich deshalb als Unternehmer lockerere Vorschriften und Gesetze erhofft, wird jedoch bitter enttäuscht werden. Im Gegenteil…

Der Europäische Gerichtshof (EUGH) macht Nägel mit Köpfen. Da die nationalen Datenschutz-Aufsichtsbehörden nach europäischem Recht völlig unabhängig von staatlichem Einfluss agieren  müssen, klagten die Europa-Richter jüngst gegen die Republik Österreich, deren Datenschutzkommission in das Bundeskanzleramt eingegliedert ist. Mit Erfolg. Eine Unabhängigkeit sei nicht zu erkennen, so das Ergebnis des am 16. Oktober 2012 verkündeten Urteils. Der Richterspruch ist zugleich eine schallende Ohrfeige für die Bundesrepublik Deutschland, die ihrem südlichen Nachbarn mit einem Streithilfeschriftsatz helfen wollte, die Klage des EuGH abzuschmettern. Besonders peinlich: Die deutschen Rechtsvertreter hätten es besser wissen müssen. Denn bereits am 9. März 2010 hatte der EuGH festgestellt, dass Deutschland mit seiner bisherigen Praxis der Datenschutzaufsicht gegen EU-Recht verstößt. Bei der Überwachung und Verarbeitung personenbezogener Daten bestehe zu viel "staatliche Aufsicht", da z.B. in mehreren Bundesländern die Datenschutzaufsicht in den jeweiligen Länderinnenministerien angesiedelt sei, schrieb der EuGH den deutschen Aufsichtsbehörden ins Stammbuch. So ist inzwischen in mehreren Bundesländern wie Bayern, Berlin, Hessen und dem Saarland eine Umorganisation der Datenschutzaufsicht in Richtung Unabhängigkeit erfolgt oder im Gange.

Doch was bedeutet das für Unternehmen? Kein staatlicher Einfluss und völlige Unabhängigkeit der Aufsichtsbehörden – das klingt erst einmal nach froher Botschaft für diejenigen Unternehmen, die sich durch allzu rigide staatliche Einflussnahme auf die Datenschutzpraxis im Unternehmen in ihrer Entscheidungsfreiheit beeinträchtigt fühlen. Doch Vorsicht: Unabhängigkeit aller Bundesländer-Aufsichtsbehörden bedeutet nicht unbedingt eine lockerere Auslegung der gesetzlichen Rahmenbedingungen und erst recht nicht Rechtssicherheit. So ist beispielsweise die Einbindung des Facebook „Gefällt-mir“ Button in die Unternehmenshomepage für die Datenschutzaufsichtsbörden in Schleswig-Holstein und Hamburg aus datenschutzrechtlichen Gründen Teufelszeug, sodass sie sogar mit Bußgeldern drohten. Die Aufsichtsbehörden anderer Bundesländer hingegen sehen die Verwendung des Marketinginstruments eher locker. Folge: Die bundesländerübergreifend unterschiedliche Beurteilung ein und desselben Vorgangs schafft erst einmal eins: Unsicherheit, die sowohl betriebswirtschaftlichen als auch volkswirtschaftlichen Schaden anrichtet.

Mit Spannung darf deshalb erwartet  werden, ob sich daran etwas ändert, wenn in Europa - wie in den nächsten Jahren vorgesehen – die nationalen Datenschutzgesetze durch ein gemeinsames europäisches Recht abgelöst werden. Nach einem offiziellen Vorschlag der EU-Kommission vom 25. Januar 2012 soll in jedem europäischen  Land eine unabhängige Aufsichtsbehörde für die Umsetzung des europäischen Datenschutzrechts verantwortlich sein. Ob das auch das Ende der Länderaufsichtsbehörden in Deutschland bedeutet, steht allerdings noch in den Sternen.

Wer als Unternehmer hofft, dass mit einem gemeinsamen Europarecht auch die Datenschutzbestimmungen in Deutschland aufgeweicht werden, wird wohl eine bittere Enttäuschung erleben. Zwar sind die aktuellen Datenschutzgesetze in vielen europäischen Nachbarländern weniger streng, doch sieht der Kommissions-Vorschlag in vielen Bereichen eine Übernahme der im Bundesdatenschutzgesetz (BDSG) festgelegten Bestimmungen vor und geht teilweise sogar darüber hinaus. So sollen beispielsweise die engen Vorschriften zur Auftragsdatenverarbeitung nach deutschem Vorbild Eingang ins Europarecht finden.

Stringenter soll es beispielsweise bei der Dokumentation und Beweispflicht für die Einhaltung eines gesetzestreuen Datenschutzes zugehen. Entsprechende Verarbeitungen und Maßnahmen müssten umfangreich dokumentiert und nachweisbar sein, heißt es in Artikel 22 der EU-Vorlage. So sollen Unternehmen bei der Erhebung, Verarbeitung und Speicherung sensibler personenbezogener Daten stets die Folgen für den Datenschutz abschätzen und dokumentieren. Ergeben sich hohe Risiken, ist dann eine Konsultation und Genehmigung der zuständigen Datenschutzbehörde erforderlich.

Auf jeden Fall wird unzureichender Datenschutz Unternehmen teurer zu stehen kommen. Dafür soll ein Katalog sorgen, der Datenschutzvergehen in drei Stufen je nach Schwere abstuft und entsprechende Bußgelder vorsieht. Schon die unterste Stufe mit Bußgeldern bis zu 250.000 Euro oder bei Unternehmen bis zu 0,5 Prozent des weltweiten Jahresumsatzes kann weitaus höher sein als die jetzigen Höchstgrenzen in Deutschland. Auf der zweiten Stufe sollen bei Verstößen bis zu 500.000 Euro oder bis zu 1 Prozent des jährlichen weltweiten Umsatzes fällig werden. In schwerwiegenden Fällen sind sogar Bußgelder bis zu 1 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes möglich. Dabei fallen unter die schwerste Stufe z.B. auch rein formelle Vergehen, wie die fehlende Bestellung eines Datenschutzbeauftragten oder fehlende interne Datenschutz-Richtlinien.

Fazit von Bernd Fuhlert: Noch ist endgültig nichts entschieden. Nur eines dürfte gewiss sein: Der Datenschutz wird nicht etwa ab- sondern wahrscheinlich zunehmen. Die entsprechenden EU-Bestimmungen könnten schon 2013 verabschiedet werden und nach einer geplanten Übergangsphase von zwei Jahren den Datenschutzalltag in Deutschland bestimmen. Darauf sollten sich alle Unternehmen früh genug einstellen.