Eine DSGVO-Amnestie wird es nicht geben

Olga Stepanova ist Rechtsanwältin mit den Fachgebieten IT-Recht, Schutz des geistigen Eigentums (Intellectual Property) und Datenschutz bei Winheller Rechtsanwälte & Steuerberater in Frankfurt. Ihre Tätigkeitsschwerpunkte umfassen das Marken-, Urheber- und Wettbewerbsrecht. Im Datenschutzrecht berät sie insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). Sie analysiert die datenschutzrechtliche Compliance in Unternehmen und entwickelt Datenschutz-Management-Systeme und Konzepte zur IT-Sicherheit.

Im Gespräch mit com! professional erklärt Olga Stepanova, wie Unternehmen rechtliche Fallstricke bei aktuellen Themen wie der DSGVO, dem Brexit und dem Einsatz von Social Media umgehen.

Olga Stepanova: Tatsächlich ist das erste Jahr, was die Klagewellen und Bußgelder anbetrifft, relativ ruhig verlaufen. Wir haben es mit einem völlig neuen, europäischen Gesetzeswerk zu tun. Auch die Abmahnvereine und Aufsichtsbehörden haben bisher Schwierigkeiten, Sachverhalte rechtlich korrekt einzuordnen. Es gab einige Abmahnungen wegen fehlender beziehungsweise fehlerhafter Datenschutzerklärungen, allerdings gibt es noch keine höchstrichterliche Entscheidung, ob Verstöße gegen die DSGVO etwa wettbewerbsrechtlich überhaupt abgemahnt werden können.

Stepanova: Diese waren bisher recht zurückhaltend bei der Sanktionierung. Vergleicht man den früheren Bußgeldrahmen des alten Bundesdatenschutzgesetzes, so konnte pro Verstoß ein Bußgeld in Höhe von maximal 300.000 Euro festgesetzt werden. Jetzt hat man eine veränderte Situation, weil die DSGVO in allen Mitgliedsstaaten der Europäischen Union anwendbar ist und die ersten Behörden damit angefangen haben, in einer erheblich höheren Größenordnung zu sank­tionieren.

Beispielsweise musste ein portugiesisches Krankenhaus allein 400.000 Euro dafür zahlen, dass zu viele Personen Zugriff auf Patientendaten hatten. In Frankreich musste Google 50 Millionen Euro zahlen, weil das Unternehmen seinen Informationspflichten nicht in transparenter Art und Weise nachgekommen ist und auch Zweifel an der Wirksamkeit der Einwilligungserklärung bestanden.

Stepanova: In Deutschland gab es laut einer Umfrage unter 14 der insgesamt 16 deutschen Landesdatenschutzbehörden bisher über 75 Fälle verhängter Bußgelder mit einem Gesamtvolumen von 449.000 Euro. Es ist nur eine Frage der Zeit, bis eine Abkehr von der zurückhaltenden Sanktions­praxis stattfindet und wesentlich höhere Bußgelder verhängt werden.

Stepanova: Das können wir gegenwärtig noch schwerlich abschätzen. Die DSGVO ist geltendes Recht, das zu befolgen ist. Unternehmen kommen auf keinen Fall um die Umsetzung herum. Insbesondere gehe ich davon aus, dass die Aufsichtsbehörden deutlich häufiger in Erscheinung treten werden, wenn sie sich sowohl fachlich als auch personell verstärkt
haben.

Die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel, hat bereits im Sommer letzten Jahres einen Fragebogen an 50 zufällig ausgewählte Unternehmen verschickt, um nach dem Stand der Umsetzung der DSGVO zu fragen. Insofern ist die Marschroute ganz klar, eine Amnestie wird es nicht geben.

Stepanova: Sollte der Brexit tatsächlich ungeregelt ablaufen, hat die Europäische Kommission bereits angekündigt, dass Großbritannien nicht als sicherer Drittstaat eingestuft wird. Dies bedeutet, dass Daten nur aus der EU nach Großbritannien transferiert werden dürfen, wenn ausreichende Garantien vorhanden sind. Dies könnten im Einzelfall EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules (BCR) sein.

Die einfachste Lösung wären dabei die Standardvertragsklauseln, durch die letztlich eine Pflicht des in UK ansässigen Datenimporteuers begründet wird, die importierten Daten unter anderem ausschließlich nach den Weisungen des Datenexporteurs zu verarbeiten.

Stepanova: Eine Vorbereitung ist möglich, indem man zunächst prüft, inwieweit ein Drittstaatentransfer überhaupt erforderlich ist. Kann man beispielsweise auf in der EU ansässige Cloud-Dienste zurückgreifen, wäre dies der einfachste Weg, weil dadurch der Drittstaatentransfer umgangen wird.

Stepanova: Dann wird es komplizierter und man sollte sich Gedanken über die angesprochenen Binding Corporate Rules machen. Diese sind zwar weitestgehend sicher, allerdings ist die Implementierung mit einem nicht zu unterschätzenden Personal- und Kosteneinsatz verbunden. Diese Lösung ist sinnvoll, wenn der Konzern bereits bestehende BCR auf Großbritannien ausweiten kann oder wegen seiner multinationalen Tätigkeit ohnehin geplant hat, diese einzuführen.

Man muss sich jedoch bewusst sein, dass die Implementierung eine gewisse Zeit in Anspruch nimmt, sodass man gegebenenfalls auf eine Zwischenlösung wie die Standardvertragsklauseln ausweichen muss.

Daneben gibt es noch ein paar Ausnahmetatbestände in der Datenschutz-Grundverordnung, die sich jedoch kaum dafür eignen, einen dauerhaften Datenexport nach UK sicherzustellen. Sie sind für Ausnahmefälle gedacht, beispielsweise Datenverarbeitung zum Schutz lebenswichtiger Inte­ressen, und gerade nicht für die routinemäßige Datenübermittlung.

Stepanova: Eine gesetzliche Pflicht gibt es nicht. Jedoch empfiehlt es sich aus vielerlei Gesichtspunkten da­rüber aufzu­klären, dass ein Chatbot eingesetzt wird. In nichtjuristischer Hinsicht ist das wichtig, um die Erwartung des Kunden zu steuern, da dieser sich ärgern könnte, beispielsweise eine generische Antwort zu erhalten, wenn er denkt, es würde ein Mensch mit ihm kommunizieren.

Stepanova: Aus juristischer Perspektive muss das Unternehmen zum Beispiel in der Datenschutzerklärung darüber informieren, dass je nach Einzelfall Profiling vorliegen kann. Dies kann der Fall sein, wenn der Chatbot nicht nur die Kundenanfrage beantwortet, sondern auch im Wege des Machine Learnings die Daten zur Verbesserung seiner Künstlichen Intelligenz nutzt. In den meisten Fällen wird eine solche weitergehende Verarbeitung nur auf Grundlage einer informierten Einwilligung des Kunden möglich sein, sodass man spätestens bei den Angaben zum Verarbeitungszweck über den Chatbot aufklären muss.

Stepanova: Beides ist möglich. Letztlich verbietet die DSGVO nicht die Datenverarbeitung, vielmehr ist ein Kernziel der Verordnung, den „free flow of data“ sicherzustellen – es geht darum, dass der Betroffene stets weiß, was genau mit seinen Daten passiert und wie diese verarbeitet werden. Stützt das Unternehmen die Verarbeitung auf eine passende Rechtsgrundlage und informiert es den Betroffenen auf eine transparente Art und Weise, Stichwort Datenschutzerklärung, ist die Verarbeitung rechtmäßig, sodass der Einsatz der Chat­bots keine gesonderte Problematik darstellt.

Stepanova: Dies ist stets eine unternehmenspolitische Entscheidung, die gut überlegt sein sollte. Man muss natürlich auch bedenken, dass viele Kunden dennoch Facebook nutzen, auch wenn sie ihre Daten nur ungern dort sehen.

Ich denke, es ist schon ein Erfolg der Datenschutz-Grundverordnung, dass Kunden überhaupt sensibel für das Thema sind. Der Einsatz in datenschutzrechtlicher Hinsicht stellt kein Problem dar, sofern der Betroffene ordnungsgemäß über den Einsatz des Chatbots via Facebook informiert wird, so wie es die Lufthansa getan hat.

Stepanova: Der Einsatz von Social Media bietet eine gute Gelegenheit, sich bei einem breiten Publikum vorzustellen und mit gezielten Aktionen Aufmerksamkeit auf sich zu ziehen, die bestenfalls in Kundenbeziehungen münden. Die Kehrseite eines Auftritts in sozialen Netzwerken ist natürlich, dass man einem lawinenartigen Auftreten negativer Kritik ausgesetzt werden kann, weil die Plattform es ermöglicht, viel einfacher mit dem Unternehmen zu interagieren.

Was die freie Meinungsäußerung der Mitarbeiter anbetrifft, so findet diese ihre Grenzen in der Loyalitätspflicht zum Arbeitgeber. Sie kann durch Schmähkritik oder die Verletzung der Verschwiegenheitspflicht im Internet zu einer arbeitsrechtlichen Sanktionierung führen, beispielsweise Kündigung oder Abmahnung. Hier genügt es schon, wenn sich der Mitarbeiter durch einen Klick des Facebook-„Gefällt mir“-Buttons gegenüber dem Unternehmen abfällig äußert oder dessen Reputation erheblich schädigt. Das kann zum Beispiel auch dadurch erfolgen, dass auf der eigenen Pinnwand ein den Arbeitgeber beleidigender Beitrag gepostet wird, wenn er öffentlich oder zumindest für eine Vielzahl von Facebook-Nutzern, darunter Arbeitskollegen, sichtbar ist. Insofern ist stets Vorsicht geboten, im Zweifel ist es immer besser, die Privatsphäre-Einstellungen anzupassen, damit der Arbeitgeber entsprechende Posts gar nicht erst sieht.

Stepanova: Dies fängt beim Datenschutz an und geht über das Wettbewerbsrecht bis hin zum allgemeinen Zivilrecht. Aufgrund der hohen Regelungsdichte müssen Unternehmen zusehen, dass sie die Bestimmungen des Telemediengesetzes einhalten und beispielsweise auch auf ihrer Facebook-Fanpage ein Impressum einpflegen. In datenschutzrechtlicher Hinsicht ist es etwa erforderlich, Verträge über die gemeinschaftliche Verantwortlichkeit abzuschließen, und darauf zu achten, dass man Chat-Verläufe nach Zweckerreichung und dem Ablauf etwaiger Aufbewahrungsfristen löscht. Zu den Face­book-Fanpages gibt es auch ein Urteil des Europäischen Gerichtshofs (EuGH).

Stepanova: Ich bin mir sicher, dass die neuen Technologien den anwaltlichen Tätigkeitsbereich stark verändern werden. Wir sehen jetzt schon, wie viele Lösungen für Verbraucher entwickelt wurden, um den Zugang zum Recht zu erleichtern. Als Beispiel wären hier die automatisierten Flugentschädigungsplattformen zu nennen.

Daneben entstehen Technologien, die Rechtsanwälten den Arbeitsalltag dadurch erleichtern, dass sie diejenigen Zwischenschritte übernehmen, die nicht notwendigerweise eine anwaltliche Tätigkeit erfordern. Ich sehe hier ganz klar mehr Chancen als Risiken, weil es beispielsweise nicht vonnöten ist, jeden Standardvertrag eigenhändig zu schreiben und dadurch „das Rad neu zu erfinden“. Was früher durch Zuhilfenahme von Musterhandbüchern praktiziert wurde, wird jetzt noch effektiver. Die Software denkt mit und pflegt eigenständig Namen oder Adressen ein. Um ehrlich zu sein, macht es auch viel mehr Spaß, sich spannenden Rechtsfragen zu widmen, als die mühsame, wenig fordernde, aber erforderliche Arbeit zu verrichten, die gute Legal-Tech-Anwendungen ohnehin schneller und besser erledigen. Legal Tech ist insofern kein Ersatz, sondern Hilfsmittel für Rechtsanwälte.

Stepanova: Wir nutzen schon seit mehreren Jahren Legal Tech, um unsere Arbeit effizienter zu machen. Dies fängt bei den einfachen Tools wie der automatisierten Erstellung von Standardverträgen an und geht über automatisierte Auswertungen von Transaktionsdaten von Kryptowährungswallets und -börsen zwecks Erstellung von Steuererklärungen für Kryptohändler bis zum Einsatz eines Algorithmus, der automatisiert Markenverletzungen im Internet ausfindig macht.

Man muss sich vergegenwärtigen, dass es Tätigkeiten gibt, die KI beziehungsweise Legal Tech besser und schneller durchführen können als der Mensch. Zum Beispiel kann der erwähnte Algorithmus in Sekundenschnelle aufgrund vorgegebener Matrizen Markenrechtverletzungen identifizieren und eine punktgenaue Analyse aufbereiten. Ein Mensch würde hierfür vielleicht mehrere Tage benötigen.

com! professional: Sie halten im November auf der TechWeek in Frankfurt den Vortrag „3 reasons why Blockchain and GDPR are a perfect match“. Datenschutz und Blockchain schließen sich nicht aus?

Stepanova: Ich stelle Lösungen und Ansatzpunkte vor, die je nach Einsatzbereich in Betracht kommen könnten. Da­bei geht es um die verschiedenen Blockchain-Arten und um die jeweils dafür passenden Lösungen. Es geht mir darum, aufzuzeigen, dass es Möglichkeiten gibt und Unternehmen sich nicht durch den weit­verbreiteten Mythos, dass Datenschutz in der Blockchain nicht funktioniert, bremsen lassen sollten.