Frau Dr. Jungkind, eineinhalb Jahre nach Einführung der Datenschutz-Grundverordnung (DSGVO) haben Unternehmen offenbar noch Schwierigkeiten mit deren Umsetzung, was sich an den erheblichen Bußgeldern des Berliner Datenschutzbeauftragten und anderer europäischer Datenschutzbehörden ablesen lässt. Wie gut sind Unternehmen ausgerüstet?Die überwiegende Zahl der Unternehmen hat in den letzten Jahren erhebliche Anstrengungen unternommen, um die Datenschutz-Compliance im Unternehmen zu erhöhen. Dies betrifft insbesondere die Überprüfung der Rechtmäßigkeit von Datenverarbeitungen, die Information von Mitarbeitern und Geschäftspartnern hierüber, die Dokumentation der Beauftragung von Dienstleistern und die organisatorische Neuaufstellung des Datenschutzteams. Dennoch gibt es Schwachstellen. Dazu gehören insbesondere die auch vom Berliner Datenschutzbeauftragten bemängelte Speicherung nicht mehr benötigter Daten und das Fehlen von Löschkonzepten. Was hindert Unternehmen an der Einhaltung der rechtlichen Vorgaben?Die Gründe hierfür sind vielfältig. Nicht alle Unternehmen haben es geschafft, ihre teils ad hoc aufgesetzten DSGVO-Projekte in nachhaltige Compliance-Arbeit zu überführen. Vielen fällt es auch nicht leicht, ausreichende Ressourcen zu finden, um die Digitalisierung der Geschäftsprozesse trotz technischer Komplexität in angemessener Zeit zu bewältigen. Manche Unternehmen müssen beispielsweise zur Umsetzung von Löschanforderungen erst ältere IT-Systeme durch moderne ersetzen, die das Löschen von Daten überhaupt zulassen. Internationale Konzerne hadern auch mit unterschiedlichen rechtlichen Anforderungen in Europa und anderen Rechtsordnungen. Selbst innerhalb Europas gelten teilweise immer noch unterschiedliche Regeln, zum Beispiel für die Verwendung von Cookies. Werden die verhängten Bußgelder andere Firmen zur verbesserten Datenschutz-Compliance anhalten?Der von den Behörden intendierte Weckruf für alle Unternehmen wird seine Wirkung nicht verfehlen. Zahlreiche Bußgeldverfahren sind aber noch nicht gerichtlich entschieden. Beispielsweise ist bei der Sanktionierung des Verstoßes gegen Löschpflichten sicherlich in die Bemessung des Bußgelds einzustellen, inwieweit mit der fortgesetzten Speicherung ein konkretes Risiko oder gar ein Schaden für die Privatsphäre der Betroffenen verbunden ist. Die Sanktionen sind aber deutlich.Das von den deutschen Datenschutzbehörden kürzlich veröffentlichte Konzept zur Bußgeldzumessung kann jedenfalls für Unternehmen mit hohen Umsätzen selbst bei geringen Verstößen zu gravierenden Bußgeldrisiken führen. Denn anstelle einer Bewertung des Verstoßes soll allein aufgrund des (Konzern-)Umsatzes eine Art Tagessatz definiert werden, der dann anhand der Schwere des Verstoßes und sonstiger Umstände nur noch modifiziert wird. Demgegenüber fehlen Leitlinien dazu, in welchen Fällen ein Bußgeld überhaupt angebracht ist und wie schwerwiegend ein Verstoß ist. Das Konzept steht daher in der Kritik. Wie können die Datenschutzbehörden die Unternehmen bei ihren Compliance-Anstrengungen unterstützen?Die Datenschutzbehörden in Deutschland und Europa sind weiterhin gefragt, die Unternehmen bei der Anwendung des Datenschutzrechts in der Praxis zu beraten sowie Geschäftsmodelle, Produkte und Datenverarbeitungen zu bewerten. Nach unserer Erfahrung werden individuelle Anfragen aber vielfach mangels Kapazität nicht bearbeitet. Zugleich bilden allgemeine Stellungnahmen die vielfältigen Anwendungsfälle in der Praxis nicht ab und erschweren durch starre Vorgaben einzelfallgerechte Lösungen. Tendenziell sind die Vorgaben auch restriktiv, etwa wenn eine Einwilligung für den Einsatz von Tracking Tools externer Anbieter gefordert wird. Die Akzeptanz datenschutzrechtlicher Anforderungen steigt, wenn sich deren Anwendung stärker an den Bedürfnissen der Unternehmenspraxis orientiert. Dr. Vera Jungkind ist Partnerin von Hengeler Mueller in Düsseldorf. Die Fragen stellte Sabine Wadewitz.