Vor dem Hintergrund meines kritischen Vortrages für die GDD, in dem insbesondere die Hamburger Aufsichtsbehörde als “mein” One-Stop-Shop für den Datenschutz stark im Fokus stand, hatte mich der Behördenleiter Prof. Dr. Caspar zum gemeinsamen Austausch eingeladen, um über die Herausforderungen der Behörde zu sprechen.
Neben Prof. Caspar nahmen noch vier weitere Kollegen an dem Treffen teil, die wohl allesamt einen technischen Hintergrund hatten. Darunter einige seit vielen Jahren vertraute Gesichter, aber offenbar auch neue Mitarbeiter. Positiv überrascht war ich, dass man nicht nur Behörden-Stereotypen einstellt, sondern beispielsweise auch einen jungen Mann mit Zopf und zahlreichen Partykettchen am Arm, der mir gleich sympathisch war.
Der Austausch war insgesamt ausgewogen und ich hatte den Eindruck, größtenteils auch voller Verständnis über die unterschiedlichen Sichtweisen – wenngleich die Diskussion teilweise hitzig geführt wurde. Wir haben nicht nur über von mir vorgebrachte Beschwerden gesprochen, sondern uns vielmehr generell über Arbeitsweisen, Herausforderungen und Sichtweisen ausgetauscht.
“Ein Jahr Beschwerden-Bearbeitung im Rückstand”
Foto: HmbBfDI
So bestanden die wesentlichen Herausforderungen der Hamburger Behörde in der zu geringen Mitarbeiteranzahl zum Inkrafttreten der DSGVO. Hinzu kamen zwei Büroumzüge, mit dem Resultat, dass die Behörde heute den besten Blick auf den Hamburger „Michel“ genießt. Gleichzeitig mussten offene Stellen besetzt werden, was sich für die Behörde bei dem Hamburger Fachkräftemangel als echte Herausforderung erwies. Aber vor zwei Monaten (also im August 2019) seien nunmehr alle 37 Planstellen besetzt worden. Darunter sind auch zwei Stellen für Justiziare, die sich ab sofort um gerichtliche Auseinandersetzung kümmern sollen.
Insgesamt hat die Behörde bis heute daher nur rund 1.000 Beschwerdefälle bearbeiten können und ist laut Prof. Caspar jetzt ein Jahr im Rückstand der Beschwerden-Bearbeitung. Auf das verlockende Angebot, die Aktenordner der Fälle zu sehen, habe ich dankend verzichtet und beneide die Behörde wirklich nicht. Aber ich habe auch deutlich gemacht, dass ich die aktuelle Herangehensweise nicht für zielführend halte, da sie den Datenschutz nicht fördert.
Individuelle Beratung statt abschreckende Bestrafung
So setzt die Behörde, wie bereits schon vor der DSGVO, bei Beschwerden und Verstößen auf den Dialog mit der verantwortlichen Stelle. Sie vertritt die Meinung, dass mit dem Abstellen der einzelnen Mängel dem Datenschutz mehr gedient ist als durch ein abschreckendes Bußgeld. Schließlich würden Unternehmen praktisch bei jedem Bußgeldbescheid Rechtsmittel einlegen und so die Behörde in aufwendige Gerichtsprozesse verwickeln, die weitere Ressourcen binden. Dadurch könnten dann noch weniger Fälle bearbeitet werden und schließlich noch weniger Verstöße abgestellt werden. So die Behördenlogik.
Handelt die Behörde gesetzwidrig?
Inwieweit dieses Vorgehen allerdings mit Artikel 83, Abs. 1 der DSGVO in Einklang steht, konnte ich in diesem Zusammenhang nicht klären. Heißt es doch…
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 [Anm.: hier wird die Bußgeldhöhe geregelt] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Art. 83, Abs 1, DSGVO (Markierungen & Anm.: Autor)
Ich habe daher sehr deutlich gemacht, dass ich die Abschreckungskomponente in der Dialogstrategie der Behörde genauso wenig wiederfinde wie die Umsetzung der klaren gesetzlichen Weisung, jeden Einzelfall bei Verstößen zu sanktionieren. Fakt ist, dass bis heute nur 0,1% der bearbeiteten Beschwerdefälle überhaupt mit einem Bußgeld belegt wurden: Genau einer von rund 1.000 Fällen wurde bisher mit 4.000 € geahndet. Aber es warten ja noch rund 3.000 Fälle auf die Bearbeitung. Vielleicht wird die Quote dann besser.
Wer hat Angst vor der Aufsichtsbehörde?
Niemand!
Und wenn Sie aber kommt?
Dann verhalten wir uns eben ab dann konform!
Anarchie statt Rechtsstaat im Datenschutz
Ich bin der Auffassung, dass der Rechtsstaat am Ende des Tages nur über abschreckende Sanktionen funktionieren kann. Wenn die Polizei z. B. versuchen würde, mit jedem Täter einen langen Diskurs über seine Tat zu führen und gleichzeitig keine Bußgelder mehr verhängt, hätten wir im Verkehr das absolute Chaos und die Kriminalität wäre auf einem Höchststand. Was wir an anderen Stellen in unserer Gesellschaft nicht dulden, nämlich unsanktionierten Rechtsbruch, ist bei der Hamburger Behörde erklärte Strategie. Schließlich muss eine verantwortliche Stelle bei Kooperation mit der Behörde und Abstellen der Verstöße nicht einmal mit einem Bußgeld rechnen.
Aktiver Datenschutz ist Wettbewerbsnachteil
Als langjähriger Unternehmer habe ich der Behörde die Sicht eines Geschäftsführers geschildert: Datenschutz ist bestenfalls eine lästige Pflicht, die es mit dem geringst möglichen Aufwand zu erfüllen gilt, denn Datenschutz-Konformität bietet leider keinen wirtschaftlichen Vorteil. Im Gegenteil: De facto hat man einen klaren Wettbewerbsnachteil, wenn man pro-aktiv tätig wird. Denn die Kosten für die Beratung und Umsetzung schlagen sofort zu Buche. Warum nicht einfach auf die Behördenprüfung warten und dann die Pflichten erfüllen?
Null Risiko für anlasslose Prüfung
Das Risiko für eine anlasslose Prüfung ist gleich Null und bei nur rund 4.000 Beschwerden pro Jahr ist die Eintrittswahrscheinlichkeit für eine Prüfung ebenso gering. Es könne nach Behördeninformationen ohnehin nur noch in Beschwerdefällen geprüft werden – und natürlich mit dem bekannten Jahr Verzögerung. Wirtschaftlich macht es also bei diesem Behördenhabitus für kein Unternehmen wirklich Sinn, in den Datenschutz zu investieren.
DSGVO: scharfes Schwert nur bei den Kleinen
Wurde die DSGVO, ob der hohen möglichen Bußgelder, immer als “scharfes Schwert” im Kampf gegen die großen Datensammler und Internetkonzerne gepriesen, ist die heute gelebte Behörden-Praxis eine ganz andere. Auf meine Frage, warum große Fälle, bei denen Millionen von Bürgern betroffen sind, nicht vorgezogen werden, statt sich “um die Größe der Kamera-Hinweisschilder einer Tankstelle in Buxtehude zu kümmern”, erhielt ich die Antwort: “Weil wir hier sofort eine Verbesserung erreichen”. Ergo: Die Kleinen werden unter die Lupe genommen und zur Umsetzung gegängelt, bei den Großen schaut man lieber weg und wartet ab – aus Sorge man könne vor Gericht erliegen, viel Aufwand in einen langwierigen Fall stecken und am Ende noch Arbeitsplätze bei Hamburger Unternehmen gefährden. Der Senat wäre dann sicher noch schlechter auf die Behörde zu sprechen.
Verbesserung in Jahren
Trotz der Kritik sieht sich die Behörde auf dem richtigen Weg und hofft vor allem durch die verstärkte Belegschaft und verbesserte Prozesse zukünftig mehr Fälle abarbeiten zu können. Gleichwohl bekundete Prof. Caspar sehr klar, dass mit dem Abbau der aufgestauten Fälle nicht so schnell zu rechnen sei. Aber insbesondere in dem von mir häufiger angesprochenen Umfeld des Website Trackings sei die Behörde in verschiedenen Verfahren aktiv und spätestens im Tätigkeitsbericht 2019 würde ich mehr darüber erfahren. Wir dürfen gespannt sein.
“Das Tracking-Problem haben wir in zwei Jahren gelöst.”
Prof. Dr. Johannes Caspar, HmbBfDI
Dennoch versicherte Prof. Caspar zuversichtlich: “Das Tracking-Problem haben wir in zwei Jahren gelöst”. Eine Aussage, die bei seinen Mitarbeitern auf ein geteiltes Echo stieß und nicht gleichermaßen unterstützt wurde. Mit dem Planet49 und dem EuGH Cookie Urteil sei zwar nunmehr eine Grundlage gegeben, jedoch müssten erste Verfahren erst auf dem Rechtswege geführt werden. Und wie sich die Behörde vor Gerichtsverfahren scheut, ist bekannt.
Verfahren gegen 20.000 Google Analytics Anwender
Spannend wird es jetzt aber im Bereich Tracking trotzdem. Hier sollen der Behörde nach eigenen Angaben alleine in Hamburg rund 20.000 Websites gemeldet worden sein, die mit der Verwendung von Google Analytics gegen die Vorgaben verstoßen. Behörden anderer Bundesländer haben wohl ähnliche Beschwerden erhalten. Mehr dazu in einem separaten Beitrag.
Fazit: Kommunikation wird verbessert
Auch wenn wir hinsichtlich der Herangehensweise und Priorisierung bei Beschwerden unterschiedlicher Auffassung geblieben sind, habe ich auch Signale zur positiven Veränderung empfangen. So will man zukünftig den Beschwerdeführer transparenter und pro-aktiver über den Verfahrensverlauf informieren und sich dabei um eine Kunden-orientierte Kommunikation bemühen. Das klingt doch wenigstens nach einem kleinen Lichtblick.
[Dieser Artikel wurde am 20.10.2019 verfasst und der Hamburger Aufsichtsbehörde vorab im Volltext zur Verfügung gestellt. Eine Stellungnahme haben wir bis heute nicht erhalten.]