Sehen die DS-GVO kritisch: Niko Härting und Sebastian Schulz (Foto: Härting Rechtsanwälte)
Nachgefragt bei: Prof. Niko Härting und Sebastian Schulz
Härting: „Anwälte und Berater sind die großen Nutznießer der Datenschutzreform”
ESV-Redaktion Recht
12.03.2018
In gut zwei Monaten wird die Datenschutz-Grundverordnung betriebliche Realität. Was davon zu halten ist, welche Risiken es gibt und wer Nutznießer der DS-GVO ist, darüber sprach die ESV-Redaktion mit den Rechtsanwälten Prof. Niko Härting und Sebastian Schulz in einem zweiteiligen Interview.
Am 25.05.2018 lösen vor allem die DS-GVO und das neue BDSG die bis dahin geltenden nationalen Regelungen ab. Was sind aus Ihrer Sicht die gravierendsten Änderungen?
Niko Härting: Gravierend sind die drakonischen Bußgelder von bis zu 20 Millionen Euro. Ansonsten ändert sich beim Datenschutzrecht wenig. Es bleibt bei einem bürokratischen Datenschutzrecht, das die Pixel zählt. Wer in Aktenordnern und Datenverzeichnissen fein säuberlich Buch über Datenverarbeitungsvorgänge führt, wird auch in Zukunft wenig zu befürchten haben.
Sebastian Schulz: Stimmt. Auf der Ebene des materiellen Rechts wird es wohl keine größeren Veränderungen geben. Der Teufel liegt auch hier im Detail. Wie weit etwa das neue Kopplungsverbot des Art. 7 Abs. 4 reicht, ist gegenwärtig völlig unklar. Und wenn Sie heute drei Unternehmen fragen, wie dort mit dem neuen Recht auf Datenportabilität umgegangen wird, bekommen Sie mit Sicherheit drei völlig unterschiedliche Antworten.
Kritiker behaupten, die Vorgaben der DS-GVO und des neuen BDSG wären komplex und strukturlos. Viele Unternehmen könnten diese bis zum Inkrafttreten nicht erfüllen. Teilen Sie diese Auffassung?
Sebastian Schulz: Komplex war das Datenschutzrecht schon immer. Erst recht, seit dem sich der Fokus von Regulierung und Enforcement auf den nicht-öffentlichen Bereich verschoben hat. Und auch mit der vermeintlichen Struktur war es bei genauerem Hinsehen nicht weit her. Datenschutzrecht war und ist Abwägungsrecht und bleibt es erst recht nach der Grundverordnung. Für Datenverarbeiter ist das Chance und Risiko zugleich, wobei der unterkomplexe One-Fits-All-Ansatz der DS-GVO bei allen Bestrebungen hin zu maximaler Compliance noch für lange Zeit für Rechtsunsicherheit sorgen wird.
Niko Härting: 100 Prozent Compliance gibt es ohnehin nicht. Das ist beim Datenschutz nicht anders wie bei vielen anderen Themen. In welchem Unternehmen wird schon jede Detailregel des Arbeitsschutzrechts akribisch eingehalten? Welches Unternehmen führt seine Bücher so, dass es über jeden steuer- oder bilanzrechtlichen Einwand erhaben ist?
Was müsste beim Datenschutzrecht geändert, nachgebessert werden?
Niko Härting: Das Datenschutzrecht stammt aus den 70er-Jahren. Es bleibt durch die DS-GVO weitgehend gleich. Jede Verarbeitung personenbezogener Daten bedarf einer gesetzlichen Legitimation. So die Theorie, die Wirklichkeit ist längst anders. Wir brauchen ein Datenschutzrecht, das Alltagskommunikation nur sehr wenig reglementiert und dafür rote Linien bei Big Data und Künstlicher Intelligenz, kurz: KI, zieht. Die DS-GVO ist weitgehend risikoblind, Big Data kennt sich ebenso wenig wie KI.
Sebastian Schulz: Wobei man nicht vergessen darf, dass sich mittlerweile das Regel-Ausnahme-Prinzip in der Praxis in weiten Teilen ohnehin schon in sein Gegenteil verkehrt hat. Abseits der neuen oder nicht mehr ganz so neuen datenschutzrechtlichen Herausforderungen unserer Zeit findet sich noch für praktisch jede Verarbeitung eine Rechtfertigung. Ärgerlich finde ich nach wie vor den ausgeprägten Einwilligungsfetisch der DS-GVO. Dass über die strengen Vorgaben hierzu genau das Gegenteil erreicht wird und die Einwilligung in der Praxis noch weiter an Relevanz verlieren wird ist ein untrügliches Zeichen für die Realitätsferne des Verordnungsgebers.
Wird sich die aktuelle Aufregung rasch legen, so wie etwa nach der AGG-Einführung?
Niko Härting: Ich bin mir nicht sicher, ob die Parallele zum AGG stimmt, da das AGG keine drakonischen Bußgelder kennt. Dennoch werden sich die Dinge etwas beruhigen. Man wird merken, dass die Datenschutzbehörden nur punktuell das neue Recht durchsetzen können und es in weiten Bereichen dabei bleibt, dass das eiserne Recht und die gelebte Wirklichkeit wenig gemein haben.
„DS-GVO zum Anlass nehmen, die eigene Datenschutzorganisation zu hinterfragen”
Sebastian Schulz: Ich teile diese Annahme. Den Unternehmen, die teilweise unglaubliche personelle und finanzielle Kapazitäten in das Thema stecken, hilft das freilich wenig. Andererseits ist es meines Erachtens auch nicht unschädlich, wenn man die Umstellung auf die DS-GVO einmal zum Anlass nimmt, seine eigene Datenschutzorganisation – sofern eine solche überhaupt vorhanden ist – einmal zu hinterfragen. Denn bei allem Ungemach mit den neuen Vorgaben dürfen wir nicht vergessen, dass es im Datenschutzrecht um Persönlichkeitsschutz geht.
Neu gefasst - und für die Unternehmen ein wichtiges Thema - ist die Folgenabschätzung nach Art. 35 DS-GVO. Was sind die Kernpunkte und welche Rechtsfolgen hat es, wenn diese Datenschutz-Folgenabschätzung, kurz: DSFA, unterbleibt?
Niko Härting: Neu ist die Datenschutz-Folgeabschätzung nicht. Sie hieß bislang „Vorabkontrolle“ und war nicht so liebevoll-kleinteilig geregelt, wie dies in der DS-GVO der Fall ist. Bei der Einführung „risikoreicher“ Datenverarbeitungsverfahren schreibt die DS-GVO eine Folgenabschätzung vor. Es gibt ein geregeltes Verfahren, das zu dokumentieren ist. Möchte ein Krankenhaus beispielsweise Gesundheitsdaten wissenschaftlich aufarbeiten, muss es nachweisen können, dass ihm die Risiken bewusst waren, die mit einer solchen Analyse verbunden sind. Zudem bedarf es einer Dokumentation von Verschlüsselungs-, Pseudonymisierungs- und anderen Maßnahmen, die der Risikominimierung dienen. Am Ende hat man ein schönes Papier, für das man am besten eine PinG-Arbeitshilfe verwendet. Das Papier zieht man aus der Schublade, wenn sich die Datenschutzaufsicht einmal für das Verfahren interessieren sollte.
Sebastian Schulz: Und kann man dann ein entsprechendes Prüfprotokoll nicht aus der Schublade ziehen, wird es mit Sicherheit teuer. Denn die DSFA ist als Element der Eigenkontrolle gerade auf die Minimierung von Risiken für die Betroffenen vor der Inbetriebnahme potentiell riskanter neuer Verarbeitungsverfahren angelegt. Fehlt es an der erforderlichen Dokumentation, ist dies nicht einfach nur ein Compliance-Verstoß. Der Verantwortliche signalisiert der Behörde damit vielmehr, dass er seine Pflichten entweder nicht kennt oder ihm diese schlicht egal sind. Der eigentliche Vorwurf muss sich aber auch hier an den Verordnungsgeber richten. Die bereits angesprochenen kleinteiligen Vorgaben, die im Rahmen der Durchführung einer DSFA einzuhalten sind, sind in ihrer praktischen Umsetzung auch für erfahrene Datenschützer extrem anspruchsvoll. Ein Lichtblick ist da das jüngst online gestellte Tool der CNIL, eine Hilfestellung, die man sich auch von den deutschen Aufsichtsbehörden wünscht.
Was ändert sich grundsätzlich bei den Informationspflichten?
Niko Härting: Bislang waren Informationspflichten nur sehr vereinzelt und rudimentär geregelt. Jetzt schreibt die DS-GVO auf zwei Seiten umfangreiche Belehrungen vor. Datenschutzhinweise auf Websites und in Katalogen müssen in Zukunft viel ausführlicher sein. Zudem wird jeder Arbeitnehmer über den Umgang mit „seinen“ Daten detailliert zu informieren sein.
Worauf sollte man sich als Unternehmer also ab dem 25.05.2018 einstellen?
Niko Härting: In jedem Unternehmen sollten die Basics stimmen. Es sollte ein Verarbeitungsverzeichnis geben und – wo erforderlich – einen Datenschutzbeauftragten. Dazu ein paar Richtlinien zum Umgang mit Daten, zur Datensicherheit und zu den Betroffenenrechten. Wenn es an diesen Basics fehlt und eine Beschwerde kommt, kann es ungemütlich werden.
Sebastian Schulz: Wobei gerade im Onlineumfeld ganz besondere Sorgfalt auf die Einhaltung der proaktiven Informationspflichten gelegt werden sollte. Unternehmen mit Internetauftritt liegen naturgemäß deutlich eher in der Schusslinie von Abmahnvereinen, enttäuschten Kunden oder den Aufsichtsbehörden. Wer hier eine ordnungsgemäße Datenschutzerklärung vermissen lässt, löst weitere Beißreflexe aus. Kurzum, das Frontend muss sauber sein.
Und worauf sollte man sich als Datenschützer einstellen?
Niko Härting: Datenschützer dürfen sich weiter auf viel Arbeit freuen. Anwälte und Berater sind die großen Nutznießer der Datenschutzreform. Paradiesisch.
Lesen Sie in Teil 2 des Doppelinterviews:Beschäftigtendatenschutz, Neues zum Verarbeitungsverzeichnis, Betroffenenrechte.
(ESV/bp, mp)
Niko Härting: Gravierend sind die drakonischen Bußgelder von bis zu 20 Millionen Euro. Ansonsten ändert sich beim Datenschutzrecht wenig. Es bleibt bei einem bürokratischen Datenschutzrecht, das die Pixel zählt. Wer in Aktenordnern und Datenverzeichnissen fein säuberlich Buch über Datenverarbeitungsvorgänge führt, wird auch in Zukunft wenig zu befürchten haben.
Sebastian Schulz: Stimmt. Auf der Ebene des materiellen Rechts wird es wohl keine größeren Veränderungen geben. Der Teufel liegt auch hier im Detail. Wie weit etwa das neue Kopplungsverbot des Art. 7 Abs. 4 reicht, ist gegenwärtig völlig unklar. Und wenn Sie heute drei Unternehmen fragen, wie dort mit dem neuen Recht auf Datenportabilität umgegangen wird, bekommen Sie mit Sicherheit drei völlig unterschiedliche Antworten.
Kritiker behaupten, die Vorgaben der DS-GVO und des neuen BDSG wären komplex und strukturlos. Viele Unternehmen könnten diese bis zum Inkrafttreten nicht erfüllen. Teilen Sie diese Auffassung?
Sebastian Schulz: Komplex war das Datenschutzrecht schon immer. Erst recht, seit dem sich der Fokus von Regulierung und Enforcement auf den nicht-öffentlichen Bereich verschoben hat. Und auch mit der vermeintlichen Struktur war es bei genauerem Hinsehen nicht weit her. Datenschutzrecht war und ist Abwägungsrecht und bleibt es erst recht nach der Grundverordnung. Für Datenverarbeiter ist das Chance und Risiko zugleich, wobei der unterkomplexe One-Fits-All-Ansatz der DS-GVO bei allen Bestrebungen hin zu maximaler Compliance noch für lange Zeit für Rechtsunsicherheit sorgen wird.
| ESV-Akademie: DSGVO - Ein Blick nach vorne |
Welche Themen werden uns ab dem 25. Mai beschäftigen? Nutzen Sie den Frühbucherpreis bis 20. April für diese hochkarätig besetzte Veranstaltung am Stichtag der Datenschutzgrundverordnung. Referenten sind u.a.:
|
Niko Härting: 100 Prozent Compliance gibt es ohnehin nicht. Das ist beim Datenschutz nicht anders wie bei vielen anderen Themen. In welchem Unternehmen wird schon jede Detailregel des Arbeitsschutzrechts akribisch eingehalten? Welches Unternehmen führt seine Bücher so, dass es über jeden steuer- oder bilanzrechtlichen Einwand erhaben ist?
Was müsste beim Datenschutzrecht geändert, nachgebessert werden?
Niko Härting: Das Datenschutzrecht stammt aus den 70er-Jahren. Es bleibt durch die DS-GVO weitgehend gleich. Jede Verarbeitung personenbezogener Daten bedarf einer gesetzlichen Legitimation. So die Theorie, die Wirklichkeit ist längst anders. Wir brauchen ein Datenschutzrecht, das Alltagskommunikation nur sehr wenig reglementiert und dafür rote Linien bei Big Data und Künstlicher Intelligenz, kurz: KI, zieht. Die DS-GVO ist weitgehend risikoblind, Big Data kennt sich ebenso wenig wie KI.
Sebastian Schulz: Wobei man nicht vergessen darf, dass sich mittlerweile das Regel-Ausnahme-Prinzip in der Praxis in weiten Teilen ohnehin schon in sein Gegenteil verkehrt hat. Abseits der neuen oder nicht mehr ganz so neuen datenschutzrechtlichen Herausforderungen unserer Zeit findet sich noch für praktisch jede Verarbeitung eine Rechtfertigung. Ärgerlich finde ich nach wie vor den ausgeprägten Einwilligungsfetisch der DS-GVO. Dass über die strengen Vorgaben hierzu genau das Gegenteil erreicht wird und die Einwilligung in der Praxis noch weiter an Relevanz verlieren wird ist ein untrügliches Zeichen für die Realitätsferne des Verordnungsgebers.
| Zur Person: Sebastian Schulz |
| Sebastian Schulz ist seit 2009 als Rechtsanwalt zugelassen. Nach seiner Tätigkeit als Referent für Datenschutz und Informationsfreiheit im Deutschen Bundestag arbeitet der Jurist seit 2012 beim E-Commerce-Verband bevh als Leiter Rechtspolitik und Datenschutz. Seit 2016 ist er of Counsel bei Härting Rechtsanwälte und Redaktionsmitglied der Fachzeitschrift PinG (Privacy in Germany) |
Wird sich die aktuelle Aufregung rasch legen, so wie etwa nach der AGG-Einführung?
Niko Härting: Ich bin mir nicht sicher, ob die Parallele zum AGG stimmt, da das AGG keine drakonischen Bußgelder kennt. Dennoch werden sich die Dinge etwas beruhigen. Man wird merken, dass die Datenschutzbehörden nur punktuell das neue Recht durchsetzen können und es in weiten Bereichen dabei bleibt, dass das eiserne Recht und die gelebte Wirklichkeit wenig gemein haben.
„DS-GVO zum Anlass nehmen, die eigene Datenschutzorganisation zu hinterfragen”
Sebastian Schulz: Ich teile diese Annahme. Den Unternehmen, die teilweise unglaubliche personelle und finanzielle Kapazitäten in das Thema stecken, hilft das freilich wenig. Andererseits ist es meines Erachtens auch nicht unschädlich, wenn man die Umstellung auf die DS-GVO einmal zum Anlass nimmt, seine eigene Datenschutzorganisation – sofern eine solche überhaupt vorhanden ist – einmal zu hinterfragen. Denn bei allem Ungemach mit den neuen Vorgaben dürfen wir nicht vergessen, dass es im Datenschutzrecht um Persönlichkeitsschutz geht. Neu gefasst - und für die Unternehmen ein wichtiges Thema - ist die Folgenabschätzung nach Art. 35 DS-GVO. Was sind die Kernpunkte und welche Rechtsfolgen hat es, wenn diese Datenschutz-Folgenabschätzung, kurz: DSFA, unterbleibt?
Niko Härting: Neu ist die Datenschutz-Folgeabschätzung nicht. Sie hieß bislang „Vorabkontrolle“ und war nicht so liebevoll-kleinteilig geregelt, wie dies in der DS-GVO der Fall ist. Bei der Einführung „risikoreicher“ Datenverarbeitungsverfahren schreibt die DS-GVO eine Folgenabschätzung vor. Es gibt ein geregeltes Verfahren, das zu dokumentieren ist. Möchte ein Krankenhaus beispielsweise Gesundheitsdaten wissenschaftlich aufarbeiten, muss es nachweisen können, dass ihm die Risiken bewusst waren, die mit einer solchen Analyse verbunden sind. Zudem bedarf es einer Dokumentation von Verschlüsselungs-, Pseudonymisierungs- und anderen Maßnahmen, die der Risikominimierung dienen. Am Ende hat man ein schönes Papier, für das man am besten eine PinG-Arbeitshilfe verwendet. Das Papier zieht man aus der Schublade, wenn sich die Datenschutzaufsicht einmal für das Verfahren interessieren sollte.
| Zur Person: Prof. Niko Härting |
| Niko Härting ist seit 1993 Rechtsanwalt und seit 1996 Partner bei der Rechtsanwaltspartner-Gesellschaft, die seinen Namen trägt: Härting Rechtsanwälte. An der Berliner Hochschule für Recht und Wirtschaft hat Härting seit 2012 eine Honorarprofessur inne. Der Datenschutzexperte ist zudem Herausgeber der im Erich Schmidt Verlag erscheinenden Fachzeitschrift PinG (Privacy in Germany). |
Sebastian Schulz: Und kann man dann ein entsprechendes Prüfprotokoll nicht aus der Schublade ziehen, wird es mit Sicherheit teuer. Denn die DSFA ist als Element der Eigenkontrolle gerade auf die Minimierung von Risiken für die Betroffenen vor der Inbetriebnahme potentiell riskanter neuer Verarbeitungsverfahren angelegt. Fehlt es an der erforderlichen Dokumentation, ist dies nicht einfach nur ein Compliance-Verstoß. Der Verantwortliche signalisiert der Behörde damit vielmehr, dass er seine Pflichten entweder nicht kennt oder ihm diese schlicht egal sind. Der eigentliche Vorwurf muss sich aber auch hier an den Verordnungsgeber richten. Die bereits angesprochenen kleinteiligen Vorgaben, die im Rahmen der Durchführung einer DSFA einzuhalten sind, sind in ihrer praktischen Umsetzung auch für erfahrene Datenschützer extrem anspruchsvoll. Ein Lichtblick ist da das jüngst online gestellte Tool der CNIL, eine Hilfestellung, die man sich auch von den deutschen Aufsichtsbehörden wünscht.
Was ändert sich grundsätzlich bei den Informationspflichten?
Niko Härting: Bislang waren Informationspflichten nur sehr vereinzelt und rudimentär geregelt. Jetzt schreibt die DS-GVO auf zwei Seiten umfangreiche Belehrungen vor. Datenschutzhinweise auf Websites und in Katalogen müssen in Zukunft viel ausführlicher sein. Zudem wird jeder Arbeitnehmer über den Umgang mit „seinen“ Daten detailliert zu informieren sein.
„Transparenz ist ohne Frage die heilige Kuh des Datenschutzrechts”
Sebastian Schulz: Informationen, die die Wenigsten überhaupt proaktiv zur Verfügung gestellt bekommen wollen. Transparenz ist ohne Frage die heilige Kuh des Datenschutzrechts. Die Belehrungsarien der DS-GVO sind infolge ihrer Uferlosigkeit aber nicht mehr als eine Verpflichtung zur Irrelevanz. Im Übrigen mit überaus praktischen Folgefragen: Ob es beispielsweise genügt, den Pflichtenkatalog auf kleineren Printmedien auch über Medienbrüche verfügbar zu machen, ist gegenwärtig nicht klar. Die Aufsichtsbehörden tendieren hier leider zu einer restriktiven Sichtweise mit der Folge, dass auf Werbemitteln im Postkartenformat für die eigentliche Werbebotschaft nicht mehr als das Briefmarkenfeld übrig bleiben wird.Worauf sollte man sich als Unternehmer also ab dem 25.05.2018 einstellen?
Niko Härting: In jedem Unternehmen sollten die Basics stimmen. Es sollte ein Verarbeitungsverzeichnis geben und – wo erforderlich – einen Datenschutzbeauftragten. Dazu ein paar Richtlinien zum Umgang mit Daten, zur Datensicherheit und zu den Betroffenenrechten. Wenn es an diesen Basics fehlt und eine Beschwerde kommt, kann es ungemütlich werden.
Sebastian Schulz: Wobei gerade im Onlineumfeld ganz besondere Sorgfalt auf die Einhaltung der proaktiven Informationspflichten gelegt werden sollte. Unternehmen mit Internetauftritt liegen naturgemäß deutlich eher in der Schusslinie von Abmahnvereinen, enttäuschten Kunden oder den Aufsichtsbehörden. Wer hier eine ordnungsgemäße Datenschutzerklärung vermissen lässt, löst weitere Beißreflexe aus. Kurzum, das Frontend muss sauber sein.
Und worauf sollte man sich als Datenschützer einstellen?
Niko Härting: Datenschützer dürfen sich weiter auf viel Arbeit freuen. Anwälte und Berater sind die großen Nutznießer der Datenschutzreform. Paradiesisch.
Lesen Sie in Teil 2 des Doppelinterviews:Beschäftigtendatenschutz, Neues zum Verarbeitungsverzeichnis, Betroffenenrechte.
 |
PinG Privacy in Germany Die Zeitschrift für alle, die mit Datenschutz in Unternehmen zu tun haben und bei der regelkonformen Umsetzung stets auf der sicheren Seite sein wollen:
PinG ist interdisziplinär, international, intermedial: PinG versteht sich als Forum für ein breites interdisziplinäres Meinungsspektrum. Hier schreiben Insider, Experten und hochkarätige Autoren aus aller Welt. |
(ESV/bp, mp)
Programmbereich: Wirtschaftsrecht