Kurswechsel beim Datenschutz Vom Berater zum Kontrolleur

Von Daniel Gräfe 

Landesdatenschützer Stefan Brink hat angekündigt, die Zahl der Kontrollen massiv zu erhöhen und die Beratung zurückzufahren. Was das für Firmen und Vereine bedeutet.

Künftig mehr Augenmerk auf Kontrollen: Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Foto: dpa
Künftig mehr Augenmerk auf Kontrollen: Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Foto: dpa

Stuttgart - Landesdatenschützer Stefan Brink ist derzeit in einer misslichen Lage. Gerne würde er vor allem die kleineren Firmen und Vereine über die Datenschutz-Grundverordnung (DSGVO) beraten, die seit dem 25. Mai vergangenen Jahres gilt. Doch die Aufgabe der 60 Mitarbeiter starken Behörde ist es auch, mögliche Verstöße zu kontrollieren und zu sanktionieren. Brink vollzieht deshalb zurzeit einen Kurswechsel: weniger Beratung, mehr Aufsicht. Lediglich 13 Kontrollen seien es im vergangenen Jahr gewesen. Für dieses Jahr soll ihre Zahl auf 250 steigen.

Geprüft würde unter anderem die Datenspeicherung bei Arztpraxen, Apotheken und Krankenhäusern, bei ­Polizei, Versicherungen sowie Autoherstellern. Man werde auch unangekündigt und stichprobenartig kontrollieren. Strafen würden allerdings nur bei gravierenden ­Verstößen ausgesprochen und nur, wenn „klare Rechtsverletzungen“ nicht beseitigt würden, sagt Brink und verspricht: Ehrenamtlich tätige Vereine und kleine Firmen ohne größere Datenverarbeitungen stünden nicht im ­Fokus.

„Das wird für Missstimmung sorgen“, sagt der Landesdatenschützer

Auch wenn die Beratungsveranstaltungen noch immer ausgebucht seien: „Wir müssten weiter beraten, können aber nicht. Das wird für Missstimmung sorgen“, so Brink. Und man werde auch nicht alle gemeldeten potenziellen Verstöße weiterverfolgen können. Das ist beim Beschäftigtendatenschutz zum Beispiel der Fall, wenn es um unerlaubte Videoaufnahmen geht. „In weniger gravierenden Fällen werden wir oft nur eine Empfehlung aufgrund der Schilderung des Mitarbeiters geben können. Dieser muss sich dann entscheiden, ob er einen Anwalt einschaltet. Wir haben die Grenzen unserer Belastbarkeit erreicht.“ Wie viele Mitarbeiter er für angemessen halte, sagte Brink nicht. Das werde er im Mai dieses Jahres dem Landtag erklären.

Bereits im ersten Quartal 2019 verhängte der Landesdatenschützer Bußgelder in Höhe von 100 000 Euro – so viel wie im gesamten Jahr 2018. Ein Grund ist auch die gestiegene Anzahl der Beschwerden. Vor allem die Beschwerden gegenüber Unternehmen schnellten mit Einführung der DSGVO nach oben. Im sogenannten nicht-öffentlichen Bereich nahmen sie im vergangenen Jahr im Vergleich zum Vorjahr um 45 Prozent auf 2714 zu. Die Zahl der Beschwerden sei in diesem Jahr wider Erwarten nicht zurückgegangen, so Brink. „Aber das ist natürlich auch positiv, dass immer mehr Bürger ihre Rechte entdecken.“ Neben Beschwerden beim Beschäftigtendatenschutz beklagen sich die Bürger vor allem über ungenügende Informationspflichten auf Webseiten, rechtswidrige Videoüberwachungen und unerlaubte Zustellung von Werbung.

Unternehmer und Selbstständige fürchten die Abmahnanwälte

Sorgen bereiten den Unternehmern, Selbstständigen und Vereinen, dass Abmahnanwälte gezielt nach Datenschutzverstößen suchen könnten. Den vermutlich ersten Versuch von Abmahnungen im großen Stil hat es im März dieses Jahres gegeben. Ein erst kürzlich eingetragener Verein aus Norddeutschland verschickte bundesweit rund 1200 Abmahnungen, etwa 80 davon wurden laut Landesdatenschützer Stefan Brink in den Südwesten versandt, darunter seien vor allem Ärzte, aber auch andere Gewerbetreibende. Abgemahnt werden sollte eine mangelnde Verschlüsselung von Webseiten, so dass eingegebene Verbraucherdaten von dritter Seite hätten eingesehen werden können.

Der Mainzer Rechtsanwalt Niklas Plutte, der einige der abgemahnten Webseitenbetreiber vertritt, betonte aber, dass der Verein die Unternehmen gar nicht hätte abmahnen dürfen – auch wenn ein Verstoß gegen die DSGVO vorgelegen habe. Abmahnen dürften nur „qualifizierte Einrichtungen“ wie zum Beispiel anerkannte Verbraucherschutzverbände, die dafür lediglich eine Aufwandpauschale erhielten; je nach Sichtweise auch Konkurrenten im Sinne des Gesetzes gegen unlauteren Wettbewerb (UWG). Beides treffe hier nicht zu. Der betreffende Verein wiederum sieht sich legitimiert, hat allerdings laut einem Medienbericht zuletzt nur noch Hinweise statt Abmahnungen verschickt und um Spenden gebeten, anstatt Abmahnkosten zu fordern.

Die Abmahnanwälte sind in Lauerstellung

„Der Verein hat sich verkalkuliert“, meint Plutte. „Wir werden allen Mandanten empfehlen, unsere Anwaltskosten einzuklagen als Schadenersatz.“ Plutte schätzt aber, dass es künftig andere Anwälte im großen Stil mit Abmahnungen versuchen werden „mit besseren Modellen“. Momentan sei jedoch umstritten, ob man gegen DSGVO-Vorschriften überhaupt über das Gesetz gegen den unlauteren Wettbewerb abmahnen dürfe.

Bisher haben die Gerichte dies teils bestätigt, teils aber auch verneint. Demnächst könnte sich der Europäische Gerichtshof zur Abmahnfähigkeit von DSGVO-Verstößen äußern. „Niemand weiß, wie es ausgehen wird – weder Professoren, Behörden noch Anwälte“, so Plutte. „Wenn es eine Entscheidung gibt, dass abgemahnt werden darf, wird es sicher Abmahnwellen geben. Solange das nicht geklärt ist, trauen sich die Abmahnanwälte nicht aus der Deckung.“