JUVE: Ist der Hype um die DSGVO aus Ihrer Sicht nun vorbei?
Axel von dem Bussche: Ganz und gar nicht, das Ganze geht jetzt überhaupt erst richtig los. Alle Maßnahmen vor dem 25. Mai waren vorbereitend. Ob diese im Einzelnen Bestand haben werden, muss sich nun erweisen. Zudem hat immer noch eine Vielzahl von Unternehmen – gerüchteweise bis zu 50 Prozent – mit der Umsetzung der DSGVO noch gar nicht begonnen. Die Unternehmen werden nun aber von verschiedenen Seiten hinsichtlich der Tragfähigkeit der DSGVO-Compliance „getestet“. Neben den Aufsichtsbehörden machen spürbar mehr Betroffene ihre Rechte geltend. Darüber hinaus werden Verbraucherschutzorganisationen aktiv. Eine Vielzahl von NGOs bringt sich in Stellung. Schließlich üben Unternehmen, die die DSGVO mittlerweile umgesetzt haben, einen ganz erheblichen Druck auf die übrigen Marktteilnehmer aus. Diese Unternehmen werden zukünftig nur noch mit solchen Geschäftspartnern agieren, die einen rechtssicheren Datenaustausch gewährleisten können. Diese Entwicklung ist unumkehrbar.
Die Aufsichtsbehörden drohen mit immensen Strafzahlungen, wenn Unternehmen der DSGVO nicht genügen. Bisher kam es aber noch nicht dazu. Sind die Behörden am Ende nur zahnlose Tiger?
Das wird sich eher mittel- bis langfristig zeigen. Unmittelbar scheinen die Aufsichtsbehörden selbst gleichermaßen von der Wucht und Masse der Aufgaben überrollt worden zu sein. Daraus machen die Behörden auch gar keinen Hehl.
Das heißt, Unternehmen, die die Frist versäumt haben, können auf eine Schonfrist seitens der Aufsichtsbehörden hoffen?
Personell und fachlich können die Aufsichtsbehörden derzeit nach meiner Einschätzung nur bei offensichtlichen Datenschutzverstößen auch Bußgeldverfahren durchführen. Sie müssen nicht nur eine Vielzahl Neuregelungen umsetzen, sondern haben auch erweiterte Aufgaben, etwa bei Meldung von Datenschutzverstößen. Dazu kommt, dass sie sich mit Behörden aus anderen europäischen Mitgliedsstaaten vernetzen müssen. Da sind viele Fragen offen und es fehlt an einem routinierten Austausch. Schließlich nehmen Meldungen von Datenschutzverstößen durch besorgte Bürger oder Mitarbeiter von Unternehmen eklatant zu. Bearbeitungsfristen im schriftsätzlichen Austausch von bis zu zwei Jahren sind zurzeit nicht selten. Dies alles sollte Unternehmen aber nicht fälschlich in Sicherheit wiegen. Denn nach einer Übergangszeit von vermutlich zwei Jahren werden auch die Aufsichtsbehörden handlungsfähig sein und eine härtere Gangart einlegen. Die Unternehmen, die bislang zunächst abgewartet haben, sollten diese vorübergehende „Schonfrist“ nutzen.
Hinzu kommt, dass Unternehmen auch von ihren Lieferanten erwarten, datenschutzrechtlich gut aufgestellt zu sein. Wie erhöht das den Druck?
Die ordnungsgemäße Umsetzung der DSGVO wird dadurch zu einem handfesten Wettbewerbsfaktor. Wer die neuen Spielregeln nicht beherrscht und weiter beim alten Mindset bleibt, also der Behandlung personenbezogener Daten keine besondere Aufmerksamkeit schenkt, riskiert Wettbewerbsnachteile. Auch das beste und günstigste Produkt kann sich in einer Ausschreibung nicht mehr durchsetzen, wenn es den Anforderungen der DSGVO nicht entspricht. Gleiches gilt für Dienstleistungs- oder Softwareunternehmen, die ihren Kunden nicht den entsprechenden DSGVO-Komfort anbieten können. Andersherum haben solche Unternehmen gegenüber ihren Wettbewerbern einen Vorteil, die proaktiv die ordnungsgemäße Umsetzung der DSGVO kommunizieren.
Das Gespräch führte Eva Flick. Das gesamte Interview lesen Sie in der aktuellen Ausgabe des JUVE Rechtsmarkt 11/2018.
