DB: Frau Block, verändert die DSGVO die Arbeit der zuständigen Aufsichtsbehörden?
Block: „Das neue Datenschutzrecht bringt viele Änderungen für diejenigen mit sich, die ihre Verfahren und Abläufe in den Unternehmen und Betrieben danach auszurichten haben. Nach der zweijährigen Übergangszeit war insbesondere um den 25. Mai, also dem Stichtag, an dem die Verordnung anzuwenden war, Verunsicherung und Sorge feststellbar. Verunsicherung, weil manche Regelungen Interpretationsspielräume lassen und auch Sorge vor der Kontrolle durch die Aufsichtsbehörden. Wie die Anwenderinnen und Anwender, so betreten auch die Aufsichtsbehörden in mancher Hinsicht Neuland. Dies gilt zum Beispiel für die neuen Regeln zur Zuständigkeit bei innerdeutschen und vor allem bei grenzüberschreitenden Fällen. Hier bedarf es noch vieler Abstimmungen zwischen den Aufsichtsbehörden in Deutschland und europaweit. Aber auch die inhaltlichen Entscheidungen erfordern im europäischen Kontext zunächst ungewohnte Kooperationen mit den Behörden in anderen Mitgliedstaaten. Das Bedürfnis nach Beratung und Unterstützung ist bei den Anwendern enorm groß. Daneben melden sich viele Bürgerinnen und Bürger, die von ihren neuen Rechten Gebrauch machen möchten. Insgesamt ist bei allen Aufsichtsbehörden ein sehr großer Anstieg an Fragen, Eingaben und auch Beschwerden zu verzeichnen. In NRW haben wir bereits jetzt mehr schriftliche Eingaben als im ganzen vergangenen Jahr 2017. Wegen des Ansturms verzögern sich die Antworten; wir kommen an die Grenzen unserer Kapazitäten. Die Dauer der Bearbeitung kann auch von den Anfragenden selbst mitgesteuert werden: Gerade von Unternehmen mit Datenschutzbeauftragten erwarten wir, dass diese vorab mit dem Sachverhalt befasst werden und eine datenschutzrechtliche Bewertung vornehmen. Anfragen, bei denen es keine solche Vorprüfung gibt, dauern entsprechend länger.“
DB: Auf welche Aspekte werden die Aufsichtsbehörden Ihrer Einschätzung nach ihren Fokus legen?
Block: „Die Verordnung bringt für uns eine Reihe neuer Aufgaben mit sich. Die Erfüllung ist zum Teil in sehr kurzen Fristen zu leisten. Wie wir unsere Kapazitäten neben den Pflichtaufgaben, auch zum Beispiel für anlasslose Prüfungen, einsetzen werden, wird auch von den Erkenntnissen aus der Praxis abhängen. In der Vergangenheit haben wir besonderes Augenmerk auf solche Wirtschaftsbereiche gelegt, die den Bürgerinnen und Bürgern aufgrund einer angespannten Marktlage ihre Daten abnötigen konnten, wie etwa in der Wohnungswirtschaft. Wir werden auch berücksichtigen, ob Unternehmen oder Branchen versuchen, die Verordnung bewusst zu umgehen. Losgelöst vom Wettbewerbsrecht gilt auch für uns: Wer sich nicht an die Verordnung hält, darf daraus keinen Vorteil ziehen.“
DB: Die Unternehmen klagen z.T. über Rechtsunsicherheit, da die genaue Auslegung einiger allgemein gehaltener Vorschriften der DSGVO durch Aufsichtsbehörden und Gerichte noch ausstehe. Können Sie das nachvollziehen und wie wird Ihre Behörde damit umgehen?
Block: „Mit Gesetzesreformen gehen immer auch Rechtsunsicherheiten einher, im Falle der DSGVO ist die Unsicherheit offenkundig besonders groß. Dies, obwohl es doch erklärtes Ziel der Verordnung ist, gerade europaweit mehr Einheitlichkeit und Klarheit im Datenschutz zu schaffen. Diesem Ziel wird sie aber nicht immer gerecht, da sie durch viele unbestimmte Rechtsbegriffe und Auslegungsspielräume teilweise nur Richtliniencharakter hat. Das darf aber nicht zulasten der Rechtsanwender gehen. Die Forderungen an die Aufsichtsbehörden, Klarheit in strittige Auslegungs- und Anwendungsfragen zu bringen, sind daher berechtigt. Praxisrelevante Themen hat die Datenschutzkonferenz früh identifiziert und Anwendungshilfen, so genannte Kurzpapiere, erstellt. Weitere Auslegungen werden durch die Rechtspraxis in der Anwendung erfolgen. Diese stehen jedoch unter dem Vorbehalt einer zukünftigen, möglicherweise abweichenden Auslegung des Europäischen Datenschutzausschusses. Weitere Klärungen sind absehbar auch durch die nationalen Gerichte und den EuGH zu erwarten.“
DB: Nach welchen Richtlinien erfolgt die Festsetzung der Höhe von Geldbußen?
Block: „Im Vordergrund der Debatte stehen häufig Geldbußen in Millionenhöhe. Unerwähnt bleibt dabei oft, dass uns die Verordnung einen ‚Werkzeugkasten‘ in die Hände gegeben hat. Auf datenschutzrechtliche Missstände können wir so, je nach Einzelfall, angemessen reagieren. Geldbußen sind dabei nur eine von vielen Möglichkeiten. An erster Stelle steht jedoch die Beratung. Von Sanktionen werden wir auch Gebrauch machen – jedoch mit Augenmaß. Artikel 83 der Verordnung gibt uns dazu das Ziel der Sanktion und verbindliche Richtlinien vor. In jedem Einzelfall sollen Geldbußen wirksam, abschreckend, aber auch verhältnismäßig sein. Berücksichtigt werden soll dabei etwa auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde. Auf dieser Grundlage muss jede Aufsichtsbehörde die Höhe einzelfallgerecht festsetzen. Auf der Ebene der Datenschutzkonferenz tauschen wir uns dazu aus. Auf europäischer Ebene gibt es derzeit eine ‚Fining Taskforce‘. Ziel ist es zunächst, die Bußgeldpraxis, insbesondere zur Höhe der Geldbußen, in den Mitgliedstaaten zu erfassen und anschließend möglichst einheitlich zu gestalten. Der Europäische Datenschutzausschuss beabsichtigt, dazu Leitlinien zu erlassen. Das ist richtig und wichtig, weil nur so ein einheitlicher Datenschutzstandard in der gesamten EU erreicht werden kann.“
DB: Die DSGVO erfährt auch Kritik. BDI-Präsident Kempf sagte kürzlich, keinesfalls dürfe das Datenschutzrecht zum Innovationshemmnis und Standortnachteil werden, und warnt vor zu rigider Anwendung. Wie schätzen Sie das ein?
Block: „Der selbst gesetzte Anspruch der Verordnung ist hoch: Stärkere Datenschutzrechte der etwa 510 Millionen Bürgerinnen und Bürger der Europäischen Union auf der einen Seite. Auf der anderen Seite soll der freie Verkehr personenbezogener Daten in einer der größten Volkswirtschaften der Welt aus Gründen des Datenschutzes weder eingeschränkt noch verboten werden. In diesem Spannungsverhältnis bewegen sich auch ihre Kritiker. Die einen halten sie für überzogen. Den anderen geht der Schutz ihrer Daten nicht weit genug. Hier wird die Praxis zeigen, ob ein guter Datenschutz Innovationshemmnis ist oder ob er nicht sogar gerade ein Standortvorteil sein kann. Ob eine Anwendung des Rechts als ‚rigide‘ empfunden wird, hängt auch von der Ausgangssituation des Betrachters ab. Die unabhängigen Aufsichtsbehörden stehen jedenfalls für eine sachgerechte und angemessene Auslegung. Eine Auswirkung ist schon festzustellen: Die Verordnung hat einen weltweiten Standard gesetzt, nicht ohne Auswirkungen auf Unternehmen außerhalb Europas. Kalifornien etwa, die Heimat zahlreicher Technologie-Unternehmen, hat sich beim jüngst verabschiedeten ‚California Consumer Privacy Act‘ an der Europäischen Verordnung orientiert. Datenschutz ‚made in Europe‘ könnte damit in Zukunft zu einem echten Gütesiegel und Standortvorteil werden.“
