Die Europäische Datenschutz-Grundverordnung (DSGVO) trat am 24. Mai 2016 in Kraft, ab dem 25. Mai 2018 ist sie anzuwenden. Dr. Martin Schirmbacher, Fachanwalt für IT-Recht, erklärt die wesentlichen Inhalte der Verordnung, weist auf Knackpunkte hin und gibt einen Karriereausblick für Juristen, die sich mit dem Datenschutz beschäftigen. Die Fragen stellte Christoph Berger
Zur Person
Dr. Martin Schirmbacher ist Rechtsanwalt bei Härting Rechtsanwälte in Berlin und Fachanwalt für IT-Recht. Zudem ist er unter anderem Co-Chair des Technology Law Committee der International Bar Association und Mitglied des Fachanwaltsausschusses für den Fachanwalt für
Informationstechnologierecht der Rechtsanwaltskammer Berlin.
Herr Dr. Schirmbacher, was sind die Gründe für die Einführung der Europäischen Datenschutz-Grundverordnung, kurz DSGVO?
Bei der DSGVO handelt es sich um europäisches Recht, es ist eine EU-Verordnung, die weitgehend unterschiedslos in allen EU-Ländern gelten soll. In der Theorie sollen mit ihr alle Unternehmen in der EU das gleiche Recht haben. Zudem war ein Ansatz, dass man den Datenschutz auf ein neues digitales Level hebt, in dem Themen wie Big Data oder digitales Arbeiten von Zuhause mit abgedeckt werden. Das ist aber nur schlecht gelungen.
Der ganz große Wurf ist die DSGVO daher nicht, vielmehr hat man vor allem bisher geltendes Recht fortgeschrieben. Europaweit überlegen Juristen nun, was uns das neue Recht eigentlich in Bezug auf neue Techniken sagt. Jede Woche erscheinen neue juristische Aufsätze und Blog-Beiträge, in denen zum Beispiel gefragt wird: Wie sieht es aus mit künstlicher Intelligenz und Datenschutz? Befriedigende Lösungen gibt es nicht.
Sie haben es gesagt: Es wurde vor allem geltendes Recht fortgeschrieben. Gibt es trotzdem wesentliche Neuerungen?
Unternehmen, die bisher compliant waren und alles umfangreich dokumentiert haben, haben möglicherweise überhaupt nicht so viel zu tun. Eine wesentliche Veränderung des neuen Rechts ist aber, dass sich der Fokus ändert: Bisher ging es vor allem darum, nichts falsch zu machen. Nun können Behörden anlassfrei zum Beispiel Fragenkataloge verschicken, anhand derer die Unternehmen nachweisen müssen, dass sie sich datenschutzkonform verhalten. Die Beweis- und Darlegungslast ändert sich somit. Das führt zu umfangreichen Dokumentationen, aus denen ersichtlich wird, was man im Datenschutz alles macht.
Was Neuerungen in Bezug auf die Digitalisierung betrifft, so gibt es nun zum Beispiel „Privacy by Design“ und „Privacy by Default“ als Schlagworte in der Verordnung – was in der praktischen Anwendung bisher aber noch keine große Rolle spielt. Dabei geht es darum, dass man sein gesamtes Datenschutzsystem so aufbaut, dass es mit möglichst wenig personenbezogenen Daten auskommt und jede Datenverarbeitung eine Zustimmung des Nutzers braucht. Und neu sind die horrenden Bußgelder, die bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen können. In welchem Umfang von den Bußgeldern Gebrauch gemacht wird, weiß man momentan noch nicht.
Wen betrifft die DSGVO?
Alle Unternehmen sind von der DSGVO betroffen. Es gibt wohl kein Unternehmen mehr, das keine elektronische Datenspeicherung hat. Sie gilt für Tischler mit zwei oder drei Angestellten wir für uns als Kanzlei mit gut 50 Leuten oder aber die großen Konzerne mit den vielfältigsten Datenschutz-Themen.
Wie sind die Unternehmen auf die DSGVO vorbereitet?
Sehr unterschiedlich. Wir bearbeiten Projekte seit Ende 2016. Eine Bank zum Beispiel arbeitet mit 100 Leuten und uns seit diesem Zeitpunkt an der Umsetzung der Vorgaben. Sie sind sehr gut aufgestellt, selbst die haben aber Angst, dass sie es nicht bis zum Stichtag schaffen. Es gibt andere, auch zum Teil größere Unternehmen, die haben den Ernst der Lage noch nicht erkannt. Bei uns gehen derzeit jeden Tag Anfragen ein, Angebote für Datenschutzprojekte zu machen. Da wundere ich mich ein wenig über den späten Zeitpunkt. Wichtig ist diesbezüglich vor allem, dass die Unternehmen intern Ressourcen dafür schaffen: Man kann noch so ein toller Datenschützer sein, wenn man die Datenverarbeitungsvorgänge in den Unternehmen nicht kennt, nutzt dies nicht viel. Die Unternehmen müssen Zeit haben, zu den relevanten Fragen Rede und Antwort zu stehen.
Wie geht man als Jurist mit all den Unklarheiten um?
Man muss seinen Mandanten die Leitplanken aufzeigen, erklären, was das Gesetz sagt, um ihnen dann einen Rahmen innerhalb dieser Leitplanken zu geben, in denen sie sich möglichst sicher bewegen können. Beispiel Big Data: Überlegen Sie sich, welche Daten sie zu welchem Zweck sammeln und informieren Sie Ihre Kunden über das Datensammeln. Daraus ergibt sich dann natürlich ein gewisser Spielraum, in dem man agieren kann.
Brauchen Sie dafür Verständnis über die eingesetzten Technologien?
Man muss kein ITler sein, um im Datenschutz zu beraten, auch wenn ein gewisses Grundverständnis natürlich hilft. Die Erwartung der Mandanten ist auch, dass man gewisse IT-Vorgänge kennt – zumindest die Basics. Programmieren müssen Sie nicht können.
Wie gehen Sie als Kanzlei mit der DSGVO um?
Auch wir haben ein DSGVO-Projekt und müssen dies neben all der Mandanten-Arbeit abarbeiten. Wir haben verschiedene IT-Systeme, Anwalts-Software oder auch Smartphones im Einsatz et cetera. Somit haben auch wir unsere Hausaufgaben zu machen.
Und wie bewerten Sie die Einstiegschancen für Juristen im Bereich des Datenschutzes?
Wenn man sich beeilt, hat man derzeit sehr gute Chancen, der Markt an Experten ist leergefegt. Perspektivisch gehen die Meinungen auseinander. Spannend wird sein, zu sehen, wie sich der Markt nach dem 25. Mai, wenn die großen Projekte abgeschlossen sind, entwickeln wird. Ich bin der Meinung, dass der Datenschutz wie Steuern und Arbeitsschutz zum Einmaleins der Unternehmen gehören wird. Wir haben auch Wirtschaftsjuristen, die das Thema bei uns bearbeiten – eine für mich durchaus ebenfalls sinnvolle Kombination. Klar ist aber: Viel größer als momentan könnte der Hype nicht sein.