Vor einem Jahr bestand ein wahrer Hype um den Start der DSGVO.

War der Aktionismus berechtigt? War es vor allem richtig, sich mit Schnell-Aktionen einmalig dem Datenschutz zu widmen und das Thema dann wieder schlafen zu legen?

In den Immobilienunternehmen hat die Umsetzung der DSGVO stark begonnen. Die Nachfrage danach, es richtig zu machen, war im Mai 2019 sehr hoch. Vor allem die „abmahnsichere Webseite“ war die wichtigste Umsetzung, die die Unternehmen umgesetzt sehen wollten.

Zu den am meisten nachgefragten Services und Arbeiten zählten:

• Verschlüsselung Webseite
• Kontaktformular ergänzen
• Datenschutzerklärung neu schreiben
• Impressum an aktuelle Gegebenheiten anpassen
• Einwilligung von Kunden für „Alles und Jedes“ einholen
• E-Mails mit (untergeschobener) Einwilligung an Bestandskunden senden

Bei der Ausführung haben Agenturen und Webseiten-Designer, die sehr beliebt gewordenen Generatoren für Datenschutzerklärungen, IT-Abteilungen, Geschäftsführungen mit guten PC-Kenntnissen u.a. Helfer gut unterstützt.

Danach trat zu Unrecht ein gewisser Erledigungseffekt ein.

Datenschutz ist ein Marathon

Eine Webseite muss nur einmal verschlüsselt und ein Kontaktformular nur einmal angefasst werden. So weit – so richtig.

Eine Datenschutzerklärung auf der Webseite soll aber alle technischen Verarbeitungen von personenbezogenen Daten auf der Webseite abbilden und die Kunden, die diese Webseite besuchen, über diese Verarbeitungsvorgänge richtig und vollständig informieren.

Wenn nun eine Datenschutzerklärung mit einem Generator im Mai 2018 erstellt worden ist, stellt sich die Frage, ob die so gefertigte Fassung immer noch Gültigkeit hat und auch wirklich alle Verarbeitungsvorgänge widerspiegelt.

Wird an der Webseite in technischer Hinsicht etwas geändert, kann dies die Anpassung der Datenschutzerklärung nach sich ziehen. Denn: mit jeder technischen Änderung kann ein neuer Verarbeitungsvorgang für die Erfassung von IP-Adressen u.ä. einhergehen.

Wann wird die Änderung der Datenschutzerklärung erforderlich?

Immer dann, wenn neue technische Verarbeitungsvorgänge im Vergleich zur bisherigen Ausführung in die Webseite integriert werden.

Die Liste der Veränderungen auf Webseiten kann mit vielen Beispielen unterlegt werden.

Es lohnt sich deshalb, zugleich mit der Beauftragung von Veränderungen an der Webseite auch die Datenschutzerklärung überprüfen zu lassen bzw. die erforderlichen Ergänzungen für die neuen technischen Features in die Datenschutzerklärung aufzunehmen.

DSGVO ist viel Datenschutzrecht und erfordert Auslegung

Die vielen auslegungspflichtigen Rechtsbegriffe in der DSGVO zeigen, dass hier sehr viel mehr Datenschutzrecht gefordert ist als dies bislang von vielen Unternehmen zugestanden worden ist. Das macht es vor allem für Geschäftsleitungen und IT-Abteilungen in den Unternehmen schwierig.

Da noch viele Fragen von den Datenschutzbehörden offen gelassen worden sind, gibt es nur wenige Handlungsanleitungen anhand derer gearbeitet werden kann.

Vorhanden sind eine Anleitung und Zusammenstellung von möglichen technischen und organisatorischen Maßnahmen, Muster für ein Verarbeitungsverzeichnis und einen Vertrag zur Auftragsverarbeitung, die Liste der Tätigkeiten, für die eine Datenschutzfolgeabschätzung erforderlich ist.

Akzeptanz der DSGVO kann von Aufsichtsbehörden unterstützt werden

Dennoch zeigt sich bei der Erstellung z.B. eines Auftragsverarbeitungsvertrages, dass Beteiligte in den beiden Unternehmen die inhaltlichen Anforderungen sehr unterschiedlich auslegen. Deshalb wird vielfach darüber diskutiert, was der Inhalt eines solchen Vertrages sein muss. Damit wird die datenschutzrechtliche Auftragsverarbeitung zum juristischen Spezialgebiet.

Diese Entwicklung erhöht die Akzeptanz er DSGVO in den Unternehmen nicht. Im Gegenteil fühlen sich die Verantwortlichen in den Unternehmen vielfach überfordert mit den aufgeworfenen Fragestellungen. Dies kann auch zu einer fatalen „Dann-eben-nicht“-Haltung führen.

Kundenbeschwerden als Treiber für weitere Datenschutzaktivitäten in den Unternehmen

Bei Kundebeschwerden spielt die rechtliche Einordnung von Sachverhalten eine wichtige Rolle. Datenschutzbeauftragte aus den Unternehmen kommen deshalb oft an ihre Grenzen, wenn diese nicht umfassend rechtlich geschult sind.

Wie ist ein Sachverhalt auszulegen oder einzuordnen? Wie werden die durchgeführten Maßnahmen vor dem Hintergrund der DSGVO gegenüber den Aufsichtsbehörden gerechtfertigt? Welche Dokumentation des eigenen Verhaltens kann späteren Bußgeldern vorbeugen?

Die Beschwerden von Kunden können in den Unternehmen durchaus Folgen haben, an die zunächst nicht gedacht wird.

Nach einer Beschwerde klären Aufsichtsbehörden den Sachverhalt auf. Die Unternehmen wirken an der Aufklärung mit. Auf diesem Weg können Lücken in den unternehmensinternen Prozessen aufgeklärt werden. Diese spielen bei der Verhängung eines Bußgeldes eine wichtige Rolle.

Beschwerden von Kunden beruhen auf den unterschiedlichsten Sachverhalten. Unternehmen sollten die eigene Handlungsweise im Umgang mit personenbezogenen Daten aus Sicht ihrer Kunden betrachten.

Einfache Faustregel: „Wäre ich damit einverstanden, wenn ein anderes Unternehmen mit meinen Daten so umgeht, wie ich gerade plane mit den Daten meiner Kunden umzugehen?“

Aus der Aufklärung dieser Lücken und Sachverhalte ergeben sich große Chancen für die Unternehmen im Datenschutz. Aufgrund der aufmerksamen Öffentlichkeit ist die Zahl der Kundenbeschwerden an die Aufsichtsbehörden im ersten Jahr sehr stark gestiegen. In der Abarbeitung dieser Beschwerden nehmen die Bußgeldverfahren und Hinweise der Aufsichtsbehörden ebenfalls zu.

Und die Abmahnungen?

Die erwartete Abmahnwelle ist ausgeblieben, weil Rechtsunsicherheit besteht, wer überhaupt Abmahnungen in welchen Fällen möglicher Verstöße gegen die Vorschriften der DGSVO aussprechen darf. Die üblichen Verdächtigen unter den Abmahnenden warten auf eine klare Linie in der Rechtsprechung. Und diese ist nicht erkennbar.

Einige Landgerichte billigen einem Wettbewerber das Recht zu, Abmahnungen auf datenschutzrechtliche Tatbestände zu stützen. Andere Landgerichte sehen die Sanktionen, die in der DSGVO selbst enthalten sind, als abschließend an und billigen deshalb Wettbewerbern kein Recht zur Abmahnung zu.

Das OLG Hamburg hat als erstes Oberlandesgericht entschieden, dass die Abmahnung von datenschutzrechtlichen Verstößen von Wettbewerbern dann zulässig ist, wenn die Vorschriften, gegen die verstoßen werden, als marktverhaltensregulierende Vorschriften anzusehen sind. Das dürfte bei einer nicht vollständigen oder fehlenden Datenschutzerklärung in Zukunft wohl der Fall sein.

Kommt noch eine Abmahnwelle?

Diese Rechtsprechung des OLG Hamburg wird sich voraussichtlich durch weitere Entscheidungen von anderen OLG verfestigen. In dem Maß, wie die Rechtsprechung die Abmahnfähigkeit von datenschutzrechtlichen Verstößen als Abmahngrund anerkennt, werden die Abmahnungen zunehmen, weil die Abmahnenden keine negative Kostenfolge zu fürchten haben.

Es verhält sich wie mit der Abmahnung von fehlenden Angaben zur Energieeinsparverordnung in der Immobilienwerbung gem. § 16a EnEV. Nachdem die Rechtsprechung klargestellt hatte, dass auch Immobilienmakler diese Angaben in der Immobilienwerbung zwingend angeben müssen, setzte die eigentliche Abmahnwelle erst ein und hält bis heute an.

Die Unternehmen stehen im Datenschutzrecht erst am Anfang von möglichen Abmahnungen.

Grafiken:

© by www.datenschutz.immobilien, Sven R. Johns