ZAP 19/2019, Datenschutzgrundverordnung (DSGVO): Ein Rück- und Ausblick

Der 25.5.2018 ist in meinem Kalender rot markiert und das hat im Wesentlichen zwei Gründe: Die EU-Datenschutzgrundverordnung (DSGVO) entfaltete zu diesem Zeitpunkt ihre volle Wirkung – genau wie das reformierte Bundesdatenschutzgesetz (BDSG) – und darüber hinaus handelte es sich auch noch um einen Freitag. Als u.a. auf das Datenschutzrecht spezialisierter Anwalt hatte ich die Hysterie, die etwa seit Mitte 2017 rund um die Einführung der neuen Datenschutzregeln herrschte, in dieser Form zwar nicht vorhergesehen, aber doch gewusst, dass ich am Ende dieses besonderen Tages sicherlich einen "Absacker" vertragen könnte. In der Tat beschloss ich den Tag mit einem alkoholhaltigen Kaltgetränk auf der Terrasse, um endlich etwas "durchatmen" zu können. Denn mit Beginn des Jahres 2018 war zu beobachten, dass tagtäglich die Panik rund um das "DSGVO-Mysterium" bei deutschen Unternehmen stark anstieg – und zugleich auch die diesbezüglichen Anfragen.

Um es mal so auszudrücken: Jeder Datenschutzrechtler wird mir zustimmen, wenn ich sage, dass in dieser Zeit ein Mangel an Mandaten ebenso wenig vorhanden war wie die Gefahr von Langeweile – ganz im Gegenteil. Der Zeitraum von Mitte 2017 bis zum 25.5.2018 war wohl die arbeitsamste Zeit meiner nun immerhin über 15-jährigen Anwaltstätigkeit, in der ich schon so manche Gesetzesreform, aber noch nie solch eine regelrechte Panik erlebt habe. Das mag zum einen durch die massiv gestiegenen Bußgelder, zum anderen aber auch durch ein typisches Verhaltensmuster erklärlich sein. Wenn man zu Schulzeiten am Montag eine Klausur schreiben musste, wann hat man dann angefangen zu lernen? Genau, sonntagabends (jedenfalls haben das nicht-repräsentative Umfragen im Familien- und Bekanntenkreis ergeben). Und so sind wohl auch einige Unternehmen das Projekt "DSGVO-Umstellung" angegangen, nämlich auf den "letzten Drücker". Erschwerend kam hinzu, dass nur ein verschwindend geringer Prozentsatz der Mandanten bereits eine vorbildliche Ausgangslage in puncto Datenschutz vorzuweisen hatte. Die meisten musste man vielmehr von "Null auf Hundert" bringen, obwohl die Zeit drängte und täglich neue Anfragen hinzukamen.

Genauso unerklärlich wie die entstandene Panik war ihr plötzliches Nachlassen, denn ab Montag, den 28.5.2018, herrschte eine fast schon unheimliche Stille in der Kanzlei und das Telefon stand tatsächlich einmal länger als fünf Minuten still. Die wenigen Mandanten, die tatsächlich bis zum Stichtag die Vorgaben der DSGVO (zumindest weitgehend) umgesetzt hatten, atmeten durch und widmeten sich wieder ihrem Tagesgeschäft. Alle anderen schienen sich zu sagen: "Naja, wenn wir es bis jetzt nicht geschafft haben, ist es jetzt auch egal". Hinzu kam, dass die befürchteten Abmahnwellen ausblieben, weshalb alle dann halbwegs beruhigt in die Sommerzeit übergingen. Und fast schon erwartungsgemäß erwachten nach der Sommerpause dann die Behörden, die offenbar bemerkt hatten, dass die DSGVO auch für sie gilt. Allerdings hatten sie im Verhältnis zu nicht-öffentlichen Stellen deutlich weniger Leidensdruck, denn der deutsche Gesetzgeber hatte in § 43 Abs. 3 BDSG dafür gesorgt, dass gegen sie keine Bußgelder erlassen werden können.

Leider existiert keine entsprechende Norm für uns Rechtsanwälte, daher ist im Hinblick auf die Umsetzung der DSGVO eine "Vogel Strauß"-Taktik tabu. Dankenswerterweise finden sich insbesondere auf der Website des Deutschen Anwaltvereins (DAV) Vorlagen für die wichtigsten Datenschutzdokumente kostenfrei zum Download. Dies erleichtert zwar die Umsetzung der zentralen datenschutzrechtlichen Dokumentations- bzw. Informationspflichten, entbindet aber natürlich nicht von den restlichen Vorgaben des Gesetzgebers. Grundsätzlich haben Anwälte die DSGVO genauso einzuhalten wie andere Freiberufler, Unternehmen oder Behörden auch. Im Hinblick auf ihre Stellung als Berufsgeheimnisträger gibt es allerdings einige Einschränkungen. So müssen z.B. die allgemeinen Datenschutzhinweise nicht an Gegner übermittelt werden (vgl. § 29 Abs. 2 BDSG). Außerdem stehen den Datenschutz-Aufsichtsbehörden gegenüber Anwälten nur eingeschränkte Kontrollmöglichkeiten zu. Gleichwohl drohen im schlimmsten Fall auch unserem Berufsstand Geldbußen, so dass die zentralen DSGVO-Anforderungen tunlichst umgesetzt werden sollten: Größeren Kanzleien (derzeit noch ab 10, bald ab 20 Mitarbeitern, der Bundesrat hat am 20.9.2019 einen entsprechenden Gesetzentwurf angenommen) müssen einen Datenschutzbeauftragten benennen und diesen bei der zuständigen Aufsichtsbehörde melden, die Datenschutzerklärung auf der Kanzlei-Website ist DSGVO-konform bereitzustellen, die allgemeinen Datenschutzhinweise sind jedem neuen Mandanten, Mitarbeiter, Dienstleister etc. zur Verfügung zu stellen und das Verzeichnis von Verarbeitungstätigkeiten sowie die Aufstellung der technischen und organisatorischen Maßnahmen sind anzulegen und aktuell zu halten. Außerdem müssen Betroffenenrechte gewahrt und etwaige Datenpannen gemeldet werden. Insbesondere sollten alle Maßnahm...