Aktuelle rechtliche Grundlage des Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie gilt seit 2018 und wurde mit dem Zweck beschlossen
zu verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden .
Das klingt vage und ist auch so gemeint. Warum?

Anders als die meisten anderen normativen Gesetze, die konkrete Vorgaben machen, was wie wann zu tun ist und was bestraft wird, wenn es nicht so bis dahin getan wird, ist die Datenschutz-Grundverordnung prinzipienorientiert: sie enthält viele Grundsätze, die beachtet werden müssen, ohne im Text selbst genau festzulegen, wie sie im Detail umgesetzt werden müssen.

Das hat zur Folge, dass jeder, der personenbezogene Daten verarbeiten möchte, eine Reihe von Entscheidungen selbständig treffen muss, um den geforderten Schutz zu gewährleisten. Es gibt beispielsweise kein vorgegebenes Muster für eine Datenschutzbelehrung (anders als beispielsweise beim Widerrufsrecht), kein Entscheidungsschema und keine Whitelist für die Interessenabwägung, keine Formulierungsvorgaben für Einwilligungen (anders als die Verbraucherschutzrichtlinie mit ihrem “Kostenpflichtig bestellen”) und auch keine Liste von konkreten technischen Maßnahmen (wie Passwortschutz, SSL/TLS-Verschlüsselung, Rechtemanagement, etc.), die zwingend umgesetzt werden müssen. Aber es gibt sehr wohl Vorgaben, dass über den Datenschutz zu belehren, Interessen abzuwägen, Einwilligungen eindeutig und transparent zu formulieren und technische Maßnahmen zum Schutz der Daten auf dem Stand der Technik zu ergreifen sind.

Dabei haben die Datenschutzregeln transformatorischen Charakter: sie sollen dazu führen, dass Unternehmen sich grundsätzlich auf eine bestimmte Art und Weise verhalten, wenn es um personenbezogene Daten geht. Da die Verarbeitung personenbezogener Daten heutzutage nicht mehr wegzudenken ist und alle Beziehungen mit Stakeholdern (d.h. Kunden, Lieferanten, Mitarbeiter, Gesellschafter, Behörden etc.) davon betroffen sind, führt die konsequente Umsetzung des Datenschutzes zwangsläufig zu Anpassungen in fast allen Kern- und Nebentätigkeiten eines Unternehmens.

Warum wurden die Bestimmungen vage gehalten? Damit die Datenschutzregeln für alle Branchen und alle Situationen, in denen Daten verarbeitet werden, gleichermßanen funktionieren können. Die EU-Gremien haben sich dazu entschlossen, ein einzelnes Regelwerk zu schaffen, das in allen EU-Mitgliedsstaaten (mit wenigen Ausnahmen) gleich funktioniert. Es sollen dieselben Grundregeln für Apotheke und für Bäcker, für Hedge Fonds und für Kaninchenzüchtervereine, für Automobilkonzerne und für Tech Startups gelten.

Die unbestimmten Regelungen sollen aber nicht darüber hinwegtäuschen: deren Nichtbeachtung kann existenzbedrohende Folgen haben. Den Datenschutzbehörden steht ein umfangreicher Katalog an Sanktionsmöglichkeiten zur Verfügung, der neben erheblichen Bußgeldern auch Handlungs-, Löschungs- und Untersagungsverfügungen, Widerruf von Zertifizierungen und Verbot der Übermittlung von Daten an Dritte enthält. Zusätzlich dürfen aber auch Personen, deren Daten entgegen der Datenschutzregeln verarbeitet werden, zivilrechtlich dagegen vorgehen und Schadensersatz sowie Schmerzensgeld einklagen.

Die Kombination aus Regeln, die primär Grundsätze festlegen und vor Details zurückschrecken, verbunden mit empfindlichen Sanktionierungsmöglichjeiten hat zwei wichtige Folgen:

  • Wer sich nachweislich nachhaltig und im zumutbaren Umfang bemüht, die Prinzipien der Datenschutz-Grundverordnung zu beachten, kann dafür nicht bestraft werden, selbst wenn es einmal zu einem Datenleck kommt.
  • Wer nur das Mindeste tut, nur Checklisten abarbeitet und Datenschutz nur als einmalig zu erledigende Aufgabe versteht, wird es im Konfliktfall mit den Aufsichtsbehörden oder mit betroffenen Personen schwer haben, nicht in finanzielle und ggf. auch wirtschaftliche Notlage zu geraten.

Ein laufendes Datenschutzmanagement, dass kontinuierlich Auswirkungen auf die Geschäftstätigkeit hat, ist daher für jedes Unternehmen unersetzlich.