DSGVO als Druckmittel
Unzufriedene Kunden, die Händler mit Nachfragen zur Verwendung ihrer persönlichen Daten drangsalieren, und gekündigte Mitarbeiter, die von ihrem Ex-Arbeitgeber detaillierte Auskünfte über gespeicherte Informationen verlangen. Die Datenschutzgrundverordnung hat durchaus das Potenzial, auch als Druckmittel eingesetzt zu werden. Ende April 2021 will das Bundesarbeitsgericht (BAG) einen Fall entscheiden, in dem ein ExBeschäftigter von seinem ehemaligen Brötchengeber verlangt, ihm neben seinen personenbezogenen Daten auch den gesamten E-Mail-Verkehr, in dem sein Name genannt wird, herauszugeben. Ein Arbeitsgericht in Niedersachsen hatte diesen Anspruch zunächst verneint, das Landesarbeitsgericht jedoch zumindest teilweise bejaht. So landete der Fall nun vor dem höchsten bundesdeutschen Arbeitsgericht.
Experten beobachten einen Trend, wonach Datenschutzregeln in Konflikten zwischen Beschäftigten und Unternehmen immer öfter als Druckmittel eingesetzt werden. Dabei kann es beispielsweise darum gehen, mit einem Verweis auf mögliche Schadenersatzforderungen wegen DSGVO-Verstößen Abfindungszahlungen in die Höhe zu treiben.
Das Problem an dieser Stelle: Die DSGVO definiert nicht bis ins letzte Detail, wie weit der Auskunftsanspruch Betroffener in Sachen der Verwendung ihrer persönlichen Daten reicht. Dazu kommt, dass zwischen verschiedenen Rechten abgewogen werden muss. Unternehmen haben ein Recht darauf, Betriebs- und Geschäftsgeheimnisse zu wahren. Dieses könnte durch die Herausgabe von E-Mails gefährdet sein. Außerdem könnten persönliche Daten von Dritten betroffen sein. Diese Grauzone dürfte Anwälte und Richter hierzulande noch über Jahre beschäftigen.
genutzt, die Kundendaten enthalten. Dadurch sind die personenbezogenen Daten von den restlichen Daten getrennt und können beispielsweise selektiv gelöscht werden.
Die IT-Architektur wird dadurch zwar etwas komplizierter, aber es fallen im Laufe der Jahre keine Altlasten an. So können bei einem solchen Vorgehen auch zusätzliche Systeme, etwa durch den Aufkauf eines Unternehmens, sehr leicht in die bestehende Kundenverwaltung integriert werden.
Es ist ein recht hoher Aufwand, eine derartige Lösung zu implementieren. Deshalb ist es nicht wahrscheinlich, dass Unternehmen auf Pseudonymisierung setzen. Wer allerdings als Startup bei Null anfängt, kann über einen solchen Ansatz nachdenken. Leider gibt es keine technische saubere Lösung, die alle Löschpflichten der DSGVO korrekt umsetzen kann. Pseudonymisierung ist lediglich ein gangbarer Mittelweg.
„Wer die vorhandenen Löschpflichten konsequent zu Ende denkt, schneidet Deutschland und Europa von den Vorteilen des CloudComputings ab. Das kann kein Politiker ernsthaft wollen“, warnt Fachanwalt Keppeler. Ein besonderes Problem sind die Rechtsunsicherheiten, die durch millionenschwere Bußgelder bei gleichzeitig wenig konkreten Richtlinien entstehen. Viele der hier kurz vorgestellten Detailfragen müssten entweder auf dem Verordnungswege oder durch Gerichte geklärt werden – beides steht noch aus.
Braucht es ein Bundesamt für Datenschutz in der Informationstechnik?
Es fehlt also an einer einheitlichen Richtlinie durch den Gesetzgeber oder den Bundesdatenschutzbeauftragten, wie etwas konkret im Einzelfall umgesetzt werden soll. Besonders bei Lösungen aus der Cloud, speziell von internationalen Anbietern, fehlt es zusätzlich häufig an einer Beratung seitens der Anbieter.
Zudem finden die Unternehmen nicht genug fachlich kompetente Ansprechpartner. Weder die Datenschutzbehörden noch die Industrieund Handelskammern (IHKn) besitzen die personellen Ressourcen, den Beratungsbedarf zu erfüllen.
Der aber ist hoch, ähnlich wie beim verwandten und in einigen Teilen deckungsgleichen Thema Informationssicherheit. Doch im Gegensatz zum Datenschutz gibt es dort etablierte Strukturen, die den Unternehmen Rechtssicherheit geben und darüber hinaus praktische Hilfen. Gemeint sind das BSI (Bundesamt für Sicherheit der Informationstechnik) und seine Grundschutzkataloge. Vor allem kleinere und mittelgroße Unternehmen mit keiner oder nur einer kleinen IT-Abteilung profitieren stark davon.
Aus der Rechtsunsicherheit und dem Mangel an praxistauglichen Detailregeln lassen sich zwei Forderungen an Verbandsvertreter und Politiker ableiten.
Erstens wäre eine Gesetzesänderung sinnvoll, die eine Ausnahmeregel wie im alten BDSG in den Gesetzestext aufnimmt. Sie muss nicht so weit gefasst sein, dass die Löschrechte von Privatpersonen durch die Hintertür wieder aufgehoben werden. Aber sie sollte es den Unternehmen leichter machen, die Anforderungen der DSGVO zu erfüllen.
Zweitens fehlt eine kompetente und schlagkräftige Beratungsstelle, die der Wirtschaft bei der Umsetzung der DSGVO-Details hilft. Das muss keine Behörde sein, eine gemeinsame Organisation der Industrie- und Handelskammern (IHKn) wäre ein idealer Ansprechpartner. Sie könnte dann dafür sorgen, dass das in vielen IHKn bereits vorhandene Knowhow auch bundesweit nutzbar gemacht wird.
Diese beiden Maßnahmen können dabei helfen, die DSGVO für die Wirtschaft handhabbar zu machen und Rechtsrisiken zu senken.