Interview mit Dr. Kazemi:
Welches Resümee ziehen Sie als Anwalt aus einem Jahr DSGVO?

Ein Jahr mit der DSGVO ist vergangen: Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung, und jeder hat eigene Erfahrungen damit gesammelt. Wir haben Rechtsanwalt Dr. Robert Kazemi dazu befragt, wie er die Einführung und Anwendung der DSGVO erlebt hat und welche Schlüsse er daraus zieht.

Dr. Kazemi ist Autor des Titels „Die EU-Datenschutz-Grundverordnung in der anwaltlichen Beratungspraxis“, der im juris PartnerModul Datenschutzrecht und im juris PartnerModul IT-Recht enthalten ist.

juris: Herr Dr. Kazemi, die DSGVO hat vielen Rechtsanwälten zu Überstunden verholfen, teils auch wegen der Anpassung des Datenschutzes in der eigenen Kanzlei. Wie haben Sie die Einführung der DSGVO aus der anwaltlichen Perspektive erlebt? Haben sich bei Ihnen Schwerpunkte der Beratung ergeben, mit denen Sie vielleicht vorher nicht gerechnet haben?

Kazemi: Besonders die letzten beiden Wochen vor Wirksamwerden der Verordnung waren von erheblicher Arbeitsüberlastung geprägt. Das Wichtigste sollte möglichst vor dem 25.05.2019 noch geklärt werden, weil die Angst vor einem Ordnungsgeld oder einer zeitnahen Abmahnung branchenübergreifend sehr hoch war. Festzustellen war, dass die von der EU vorgesehene „Übergangsfrist“ zwischen in Kraft treten der Verordnung und ihrem Wirksamwerden zwei Jahre später, so gut wie gar nicht genutzt wurde.

Im Nachhinein hätte man vielleicht gut daran getan, in Kraft treten und Wirksamwerden der Verordnung zusammenfallen zu lassen und den Verantwortlichen eine „Übergangsfrist“ einzuräumen, während der die DSGVO zwar zu beachten, die Anwendung der Bußgeldbestimmungen indes weitgehend und mit Ausnahme von gravierenden und vorsätzlichen Verstößen ausgesetzt gewesen wäre. Faktisch haben die meisten deutschen Aufsichtsbehörden einen solchen Zustand selbst hergestellt und auf eine konsequente Ausübung der ihnen zukommenden aufsichtsrechtlichen Befugnisse bis zum Jahresende des Jahres 2018 weitgehend verzichtet.

Obwohl ich gehofft und meiner Familie auch angekündigt hatte, dass die Zeit nach dem 25.05.2018 etwas ruhiger werden würde, ist der Beratungsbedarf im ersten Jahr DSGVO nicht weniger, vielleicht sogar noch etwas mehr geworden. Anfänglich bereiteten dabei branchenübergreifend vor allem die neuen Informationspflichten in Art. 13, 14 DSGVO Anwendungsschwierigkeiten. Die EU hat es versäumt, den Verantwortlichen entsprechende Musterformulare an die Hand zu geben.

Die Frage danach, wie zu informieren ist, insbesondere, ob die Information ausgehändigt und/oder deren Erhalt durch die betroffene Person bestätigt werden müsse oder ein Link auf im Internet bereitgehaltene Informationen oder der Hinweis dahingehend, dass die Informationen auf Wunsch ausgehändigt werden, als ausreichend angesehen werden kann, bereitete in den Anfangsmonaten erhebliche Probleme. Hier hat die Datenschutzkonferenz mit einigen Arbeitspapieren für mehr Klarheit gesorgt und Fälle herausgearbeitet, in denen ein schlichter Hinweis oder Verweis auf die Informationen ausreichend ist. Klargestellt wurde auch, dass man von der betroffenen Person generell nicht verlangen darf, den Erhalt der Pflichtinformationen nach Art. 13, 14 DSGVO gegenüber dem Verantwortlichen (schriftlich) zu bestätigen.

Ebenfalls erhebliche Probleme bereitete die Verpflichtung zur Anfertigung von Verarbeitungsübersichten in Art. 30 DSGVO. Dies hat mich persönlich überrascht, nachdem die hier normierten Anforderungen nicht wesentlich von denen des BDSG a.F. abweichen, das seinerseits bereits eine Verpflichtung zum Führen sog. Verfahrensverzeichnisse kannte. Die mit der Verordnung einhergehende Nachweispflicht (Art. 5 Abs. 2 DSGVO) hat offensichtlich viele Verantwortliche überhaupt erst veranlasst, sich mit den eigenen Verarbeitungstätigkeiten zu befassen und hier Dokumentationen zu beginnen.

Ein anfängliches Dauer- und Reizthema war zudem die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten. Hier war vor allem bei Rechtsanwälten, Steuerberatern und auch Ärzten sowie sonstigen Heil- und Hilfsberufen erhebliche Unsicherheit aufgekommen, nachdem die Regelungen zur verpflichtenden Bestellung eines Datenschutzbeauftragten in Art. 37 ff. DSGVO verschiedentlich dahingehend interpretiert worden waren, dass diese Berufsgruppen, sei es wegen der Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO), insbesondere von Gesundheitsdaten, oder wegen der Verarbeitung sog. Strafdaten (Art. 10 DSGVO) generell und unbeschadet der Betriebsgröße zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet seien. Zahlreiche Berater, die zuvor eher weniger auf dem Gebiet des Datenschutzes in Erscheinung getreten waren, sahen das große Geschäft und taten ihr Übrigens, um die Unsicherheit weiter zu schüren. Auch dem hat die Datenschutzkonferenz zwischenzeitlich einen Riegel vorgeschoben und deutlich gemacht, dass kleinere und mittlere Unternehmen, die regelmäßig weniger als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigen, grundsätzlich keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft. Allein der Umstand, dass ein Verantwortlicher auch Daten im Sinne der Art. 9, 10 DSGVO verarbeitet, führt daher nicht generell zu einer Bestellpflicht.

Aktuell konzentriert sich unsere Beratung verstärkt auf Einzelfragen konkreter Verarbeitungssituationen. Ebenso spielt die Beurteilung, ob meldepflichtige Verstöße im Sinne der Art. 33, 34 DSGVO vorliegen eine nicht unerhebliche Rolle in unserem Beratungsalltag.

juris: Im Vergleich zu den Regelungen des BDSG wurden mit der DSGVO die Sanktionsmöglichkeiten verschärft. Wie haben Sie die Arbeit der Datenschutzbehörden erlebt und deren Umgang mit Bußgeldern wahrgenommen?

Kazemi: Die neuen Sanktionsmöglichkeiten haben das Datenschutzrecht von einem Randthema zu einem zentralen Compliance-Thema werden lassen, welches – wesentlich mehr als noch zu Zeiten des BDSG a.F. – ein zentrales Leitungsthema geworden ist. Die Angst vor einer wesentlich verschärften Ordnungsgeldpraxis der Behörden hat sich – jedenfalls bislang – aus meiner Sicht eher nicht erfüllt. Hohe Bußgelder sind in Deutschland bislang ausgeblieben; die Behörden sind vielmehr sehr darum bemüht, Sachverhalte zusammen mit den Verantwortlichen zu erörtern und einer Lösung mit Blick auf die Zukunft zuzuführen. Sicherlich ist dies auch auf die erhebliche Belastung der Behörden mit Betroffenen- und Verantwortlichenanfragen zurückzuführen. Behördenvertreter äußern sich in Gesprächen nicht selten in der Form, dass die Flut an Eingaben kaum zu bearbeiten sei und man sich stellenweise „wie im Call-Center“ fühle. Es kann also gut sein, dass in den kommenden Monaten ein Wandel in der Sanktionspraxis festzustellen sein wird, bislang ist das aber m.E. eher nicht der Fall.

juris: Letztlich sind Bußgelder nicht die einzige Sorge der Rechtsanwender. Sind Abmahnungen aufgrund von DSGVO-Verstößen in der anwaltlichen Praxis ein regelmäßiges Thema geworden, oder ist die „Abmahnwelle“ ausgeblieben? Wie beurteilen Sie die Frage, ob Verstöße im Datenschutz wettbewerbsrechtlich abmahnbar sind?

Kazemi: Wir verzeichnen in der Beratung vermehrt Anspruchsberühmungen in Richtung Schadenersatz (Art. 82 DSGVO). Abmahnungen im klassischen Sinne sind hingegen eher selten geblieben. Sie bilden – jedenfalls in unserer Kanzlei, die sich auch auf UWG-Fragen konzentriert – sicherlich keinen Schwerpunkt der Beratungs- und Vertretungspraxis. Eine Abmahnwelle hat es nicht gegeben, m.E. ist sie auch nicht zu erwarten. Dies mag auch mit der umstrittenen Einordnung der DSGVO-Regeln als Marktverhaltensnormen einhergehen; die von den Gerichten, wie in Ihrer Fragestellung bereits angedeutet, höchst unterschiedlich beurteilt wird. Persönlich tendiere ich dazu, die DSGVO-Regeln im Wesentlichen als Marktverhaltensnormen einzustufen und Verstöße für die Verfolgung durch qualifizierte Einrichtungen und Mitbewerber zu öffnen. Datenschutzfragen haben für Verbraucher und sonstige Marktteilnehmer eine nicht unerhebliche Bedeutung; die Sensibilität für einen möglichst umfassenden Datenschutz hat m.E. eine wesentlich größere Bedeutung für (Kauf-)Entscheidungen als dies noch vor ein paar Jahren der Fall war. Die Einhaltung der DSGVO ist zudem für jeden Verantwortlichen mit erheblichen Aufwänden verbunden, was unmittelbare Auswirkungen auf seine Markt- und Absatzchancen haben kann. Wer sich nicht an die Bestimmungen der DSGVO hält, verschafft sich insoweit einen Markvorteil, was die Einordnung der DSGVO-Bestimmungen als Marktverhaltensregelungen nahe legt.

Das OLG Hamburg ist der Ansicht, dass eine Kontrolle der Einhaltung der DSGVO über die Anwendung des Lauterkeitsrechts (UWG) grundsätzlich auch Mitbewerbern und qualifizierten Einrichtungen eröffnet ist. Dies ist zu begrüßen, zeigt sich doch, dass die Aufsichtsbehörden der seit Wirksamwerden der DSGVO zu verzeichnenden Flut von Meldungen über (vermeintliche) Datenschutzverstöße, sei es durch betroffene Personen oder Verantwortliche, kaum Herr werden. Bearbeitungszeiten von mehreren Monaten bilden die Regel, nicht die Ausnahme: die effektive Durchsetzung des Datenschutzrechts erfordert daher auch die Einbindung der Zivilgerichte in die Rechtsdurchsetzung.

juris: Viele sehen die Datenschutz-Grundverordnung als bürokratisches Monster an: Der Datenschutz scheint alle davon abzuhalten, ihrer eigentlichen Arbeit nachzugehen. Sehen Sie dagegen auch positive Aspekte?

Kazemi: Ich sehe zahlreiche positive Aspekte, die mit der DSGVO einhergehen. Die DSGVO hat zu einer erheblichen Sensibilisierung auf Fragen der Datensicherheit von Verarbeitungsvorgängen beigetragen. Verantwortliche waren gezwungen, die Sicherheit nach dem Stand der Technik zu beurteilen, dies hat dazu beigetragen, dass Sicherheitslücken erkannt und geschlossen werden konnten, was nicht nur dem Schutz der betroffenen Personen, sondern auch der verantwortlichen Unternehmen dient. Insbesondere die Arbeit an Verarbeitungsübersichten, die stets auch die beim Verantwortlichen eingerichteten Technischen und Organisatorischen Maßnahmen in den Blick nehmen, haben gezeigt, dass beispielsweise die Themen Backup und Recovery und Zugriffs- und Virenschutz in vielen Unternehmen unbeschadet ihrer Größe und der Branchen in der sie sich bewegen, oft stiefmütterlich behandelt wurden. Wir haben in der Beratung festgestellt, dass beispielsweise zwar Backups gemacht werden, aber niemand je überprüft, ob diese im Bedarfsfalle auch funktionieren und ein System wiederherstellen können. Diese Prüfung ist mit der Verpflichtung in Art. 5 Abs. 1 lit. f) DSGVO und Art. 32 DSGVO zu einer zentralen Auditierungsfrage in Datenschutzprüfungen geworden. Aus meiner Erfahrung heraus, kann ich in vielen Fällen hierzu nur „zum Glück“ sagen.

Auch der Datenschutzfolgenabschätzung (Art. 35 DSGVO) kann ich viel Positives abgewinnen, denn sie verpflichtet den Verantwortlichen zu einer genauen Betrachtung seiner Verarbeitungsprozesse. Zahlreiche Unternehmen haben dies dazu genutzt, ihre Prozesse zu verschlanken und zu vereinfachen. Schließlich schafft die DSGVO in vielen Verarbeitungsbereichen neue Freiheiten und geht weg von der im BDSG teilweise vorzufindenden Einzelfallregelung. Dies ermöglicht z.T. sogar einen freieren Umgang mit Daten und schafft mehr Flexibilität.

juris: Sehen Sie einen Anpassungsbedarf der gesetzlichen Regelungen, z.B. im Hinblick auf die Notwendigkeit der Bestellung von Datenschutzbeauftragten in kleineren Vereinen?

Kazemi: M.E. ist es zu früh, die Verordnung bereits wieder zu ändern; es ist noch gar nicht genug Zeit vergangen, um sicher beurteilen zu können, ob sich die Bestimmungen in der Praxis bewähren oder nicht. Auch die neuerlichen Bestrebungen zur Anpassung des BDSG n.F. sehe ich kritisch. Hier sollen Einzelfälle geregelt und im Interesse bestimmter Beteiligter Ausnahmen geschaffen werden, die zum einen europarechtlich kritisch zu sehen sind, zum anderen auch sonst m.E. wenig Sinn machen. Sicherlich kann man darüber nachdenken, die 10-Personen-Grenze für die Bestellung eines Datenschutzbeauftragten weiter anzuheben; sie hat sich in der Vergangenheit in Deutschland indes m.E. nicht als wirklich nachteilig erwiesen. Ein betrieblicher Datenschutzbeauftragter kann für den Verantwortlichen eine wertvolle Stütze im Umgang mit Daten sein. Dies gilt gerade auch für kleine Vereine. Warum diese gänzlich von der Anwendung der DSGVO bzw. der Verpflichtung zur Bestellung eines Datenschutzbeauftragten ausgenommen werden sollten, erschließt sich mir nicht. Auch in kleineren Vereinen werden Daten verarbeitet, die schutzbedürftig sein können.

Wenn man die DSGVO anpassen bzw. Erleichterungen schaffen will, dann sehe ich insbesondere die Notwendigkeit der Schaffung von Erleichterungen bei den Informationspflichten. So sollte m.E. darüber nachgedacht werden, ob die Pflichten nach Art. 13, 14 DSGVO bspw. in Stadien der Durchführung von Due Diligence Verfahren ausgesetzt werden. Auch fragt sich, ob jede rechtsträgerwechselnde Umwandlung eines Verantwortlichen zwingend neue Informationspflichten nach Art. 13, 14 DSGVO auslösen muss. Gerade letztere Punkt kann einen Hinderungsgrund für Verschmelzungen und Umstrukturierungen in Konzernverbünden bedeuten. Hier bedarf es m.E. einer Anpassung, nicht beim Thema Datenschutzbeauftragter.

juris: Herr Rechtsanwalt Dr. Kazemi, vielen Dank für das Gespräch!

Dr. Robert Kazemi

Portraitfoto Dr. Robert Kazemi im Interview: Welches Resümee ziehen Sie als Anwalt aus einem Jahr DSGVO?

  • Partner der Bonner Rechtsanwaltskanzlei Kazemi & Partner Rechtsanwälte
  • Beratung zum Marken-, Wettbewerbs-, Datenschutz- und Medizinrecht
  • Dr. Kazemi ist Autor zahlreicher Fachbeiträge und Justiziar des Bundesverbandes der Kinderzahnärzte e.V. (BuKiZ)
  • Sein Buch „Die EU-Datenschutz-Grundverordnung in der anwaltlichen Beratungspraxis“ ist Teil mehrerer juris Produkte.

Die EU-Datenschutz-Grundverordnung in der anwaltlichen Beratungspraxis

Die EU-Datenschutz-Grundverordnung in der anwaltlichen Beratungspraxis von Dr. Robert Kazemi

„Die EU-Datenschutz-Grundverordnung in der anwaltlichen Beratungspraxis“ ist enthalten in:


juris unterstützt Sie im Bereich des Internet- und Datenschutzrechts sowie in allen weiteren Rechts- und Themengebieten.

juris PartnerModul Datenschutz

Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.

Weitere Produktinformationen
juris PartnerModul IT-Recht

Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.

Weitere Produktinformationen

Nicht das Passende für Sie dabei?
Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33

Cookies erleichtern uns die Bereitstellung und Verbesserung unserer Dienste. Mit der Nutzung unserer Webseiten erklären Sie sich einverstanden, dass wir Cookies verwenden. Der Nutzung können Sie in unserer Datenschutzrichtlinie widersprechen.

Einverstanden
X