DS-GVO: „The day after“ … eine erste Bestandsaufnahme

Plötzlich DSGVO - eine Bestandsaufnahme

Am Tag, als die DS GVO kam, war die Aufregung groß. Gefühlt wie vor  einer bevorstehenden Katastrophe. Oder wie vor der weihnachtlichen Bescherung. Das hing vom eigenen Standpunkt ab. Nun ist der 25. Mai 2018 Geschichte, Anlass genug für eine erste Bestandsaufnahme.

Ganz plötzlich? Eine faule Ausrede.

Nur mal kurz zu Protokoll gegeben: Die DS GVO trat eigentlich schon am 24. Mai 2016 (!!!) in Kraft. Bis zu ihrer (end)Gültigkeit gab es also eine Übergangsfrist von 2 Jahren. Und eigentlich weist „die Neue“ an vielen Stellen große Ähnlichkeit mit dem BSDG (Bundesdatenschutz Gesetz) auf. Daher sind viele Regeln eigentlich nicht neu. Nur ab jetzt wird darauf geachtet, dass sie eingehalten werden. Und Verstöße sind kein Kavaliersdelikt mehr.

Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform, welche die Europäische Kommission am 25. Januar 2012 vorgestellt hat. Deshalb hält sich der Neuigkeitswert also in Grenzen. Spätestens seit letztem Jahr wurde in verschiedenen Medien ausreichend zum Thema informiert. Wir starteten unsere Info-Serie im Frühjahr 2017. Aber auch die beratenden Berufe hatten ebenfalls ausreichend Zeit, ihre „Schutzbefohlenen“ zu informieren und auf das Ende der Schonfrist, nämlich den 25. Mai 2018 vorzubereiten.

Chancen? Leider vertan.

Wie auch immer: alle waren überrascht. Auch unsere Regierung. Von ihren eigenen erfolgreichen Reform-Bemühungen. Und anstatt eine wirklich gute Sache zu vertreten und umsichtig einzuführen, hatte man die Angelegenheit ausgesessen. Oder vielleicht einfach nur vergessen?

Jedenfalls hätte man tatsächlich besonders den kleinen Unternehmen von Anfang an durch Förderangebote und praktische Handreichungen helfen können, ihre IT-Angelegenheiten zu ordnen und datenschutzkonform zu dokumentieren. Zum Beispiel mit Projekten wie das eingestellte eCOMM mit seinen Beratungs- und Bilduingsangeboten für KMU. Wir haben damit in der Vergangenheit gute Erfahrungen gemacht. Denn die neuen Dokumentationspflichten verhelfen zum Durchblick und zur Qualitätssicherung in der Unternehmens-IT. Weniger Datenballast, dafür mehr aktuelle und nur notwendige Daten. Und klare Abläufe. Das befreit, spart Geld und Zeit. Doch statt dessen beklagt man sich jetzt nur noch über den kurzzeitigen Mehraufwand und Stress. Schade, eigentlich.

In bester Gesellschaft – eine Bestandsaufnahme

Aber die Unternehmer sind hier nicht allein. So kommt einem die Überforderung mancher Regierungsvertreter vor wie die jährliche Überraschung der Straßenreinigungsbetriebe, dass im Winter Schnee vom Himmel fällt. Hier ein paar Beispiele:

  1. Kanzlerin Merkel bezeichnet „maches an der Datenschutzgrundverordnung eine Überforderung“ und kündigt am 10.05.2018 an, sich bezüglich der Umsetzung mit dem Innenminister beraten zu wollen. Das kann man ernst nehmen und auf Hilfe hoffen. Aber für viele kommt diese Aktion zu spät.
  2. In der Wirtschaft, vorwiegend bei eher nicht so großen Unternehmen, herrscht(e) grosse Angst vor Abmahnungen. Ganz von der Hand weisen können wir diese Befürchtung nicht. Aber Hilfe kam von unserer Justiz-Ministerin, immerhin selbst Juristin: „Ich kann Sie beruhigen. Die allermeisten Befürchtungen sind unberechtigt.“ Weiter: „Gerade kleine Unternehmen, Vereine oder Ehrenamtler müssen nicht befürchten, dass sie sofort bestraft werden, wenn sie alle Regelungen nicht umgehend umsetzen“, so Barley. Schön, dass sie die Abmahnanwälte so gut im Griff hat und für diese sprechen kann. Aber auch wenn sie die Geschäftspraktiken dieser Gilde bei ihrem Statement nicht so ganz im Blick hatte, gibt es hier Hoffnung. Denn es ist noch nicht entschieden, ob und in welcher Form Verstöße tatsächlich abmahnfähig sind.
  3. Richtig ernst wird es hier: Beim regelmässigen Treffen der Datenschutz-Behörden der Länder und des Bundes am 26. April 2018 hatte man offenbar Langeweile. In diesem DSK (Datenschutzkonferenz) genannten Gremium verständigen sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen. So sorgte die DSK mit ihrer Auslegung der DSGVO dafür, dass etwa beim Sammeln von Cookies – notwendig in der Online-Werbevermarktung fürs Targeting und Tracking – bereits jetzt stets für jede Seite und jedes Angebot eine Einwilligung des Nutzers einzuholen ist. Aber eigentlich sollte eine ensprechendce Regelung erst mit der ergänzenden und nachgeschobenen E-Privacy-Verordnung festgehalten werden. Und diese ist nicht vor 2019 zu erwarten.

Kleiner Exkurs: Störfall Cookies.

Cookies sind ein altes Werkzeug. Tatsächlich benutzen manche Webseitebetreiber die „Macht der Cookies“ für mehr als nur den stabilen Shop-Betrieb oder für die WebSite-Analyse, welche die DSK mit ihrem Vorstoß ins Visier genommen hat. Man könnte deren Auslegen nämlichtatsächlich so interpretieren, dass jede Form von WebSite-Analyse unzulässig ist, wenn es keine ausdrückliche Einwilligung vom Benutzer gibt. Das gilt auch für jede Art von Logfile-Erzeugung.