DS-GVO: „The day after“ … eine erste Bestandsaufnahme

Plötzlich DSGVO - eine Bestandsaufnahme

Am Tag, als die DS GVO kam, war die Aufregung groß. Gefühlt wie vor  einer bevorstehenden Katastrophe. Oder wie vor der weihnachtlichen Bescherung. Das hing vom eigenen Standpunkt ab. Nun ist der 25. Mai 2018 Geschichte, Anlass genug für eine erste Bestandsaufnahme.

Ganz plötzlich? Eine faule Ausrede.

Nur mal kurz zu Protokoll gegeben: Die DS GVO trat eigentlich schon am 24. Mai 2016 (!!!) in Kraft. Bis zu ihrer (end)Gültigkeit gab es also eine Übergangsfrist von 2 Jahren. Und eigentlich weist „die Neue“ an vielen Stellen große Ähnlichkeit mit dem BSDG (Bundesdatenschutz Gesetz) auf. Daher sind viele Regeln eigentlich nicht neu. Nur ab jetzt wird darauf geachtet, dass sie eingehalten werden. Und Verstöße sind kein Kavaliersdelikt mehr.

Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform, welche die Europäische Kommission am 25. Januar 2012 vorgestellt hat. Deshalb hält sich der Neuigkeitswert also in Grenzen. Spätestens seit letztem Jahr wurde in verschiedenen Medien ausreichend zum Thema informiert. Wir starteten unsere Info-Serie im Frühjahr 2017. Aber auch die beratenden Berufe hatten ebenfalls ausreichend Zeit, ihre „Schutzbefohlenen“ zu informieren und auf das Ende der Schonfrist, nämlich den 25. Mai 2018 vorzubereiten.

Chancen? Leider vertan.

Wie auch immer: alle waren überrascht. Auch unsere Regierung. Von ihren eigenen erfolgreichen Reform-Bemühungen. Und anstatt eine wirklich gute Sache zu vertreten und umsichtig einzuführen, hatte man die Angelegenheit ausgesessen. Oder vielleicht einfach nur vergessen?

Jedenfalls hätte man tatsächlich besonders den kleinen Unternehmen von Anfang an durch Förderangebote und praktische Handreichungen helfen können, ihre IT-Angelegenheiten zu ordnen und datenschutzkonform zu dokumentieren. Zum Beispiel mit Projekten wie das eingestellte eCOMM mit seinen Beratungs- und Bilduingsangeboten für KMU. Wir haben damit in der Vergangenheit gute Erfahrungen gemacht. Denn die neuen Dokumentationspflichten verhelfen zum Durchblick und zur Qualitätssicherung in der Unternehmens-IT. Weniger Datenballast, dafür mehr aktuelle und nur notwendige Daten. Und klare Abläufe. Das befreit, spart Geld und Zeit. Doch statt dessen beklagt man sich jetzt nur noch über den kurzzeitigen Mehraufwand und Stress. Schade, eigentlich.

In bester Gesellschaft – eine Bestandsaufnahme

Aber die Unternehmer sind hier nicht allein. So kommt einem die Überforderung mancher Regierungsvertreter vor wie die jährliche Überraschung der Straßenreinigungsbetriebe, dass im Winter Schnee vom Himmel fällt. Hier ein paar Beispiele:

  1. Kanzlerin Merkel bezeichnet „maches an der Datenschutzgrundverordnung eine Überforderung“ und kündigt am 10.05.2018 an, sich bezüglich der Umsetzung mit dem Innenminister beraten zu wollen. Das kann man ernst nehmen und auf Hilfe hoffen. Aber für viele kommt diese Aktion zu spät.
  2. In der Wirtschaft, vorwiegend bei eher nicht so großen Unternehmen, herrscht(e) grosse Angst vor Abmahnungen. Ganz von der Hand weisen können wir diese Befürchtung nicht. Aber Hilfe kam von unserer Justiz-Ministerin, immerhin selbst Juristin: „Ich kann Sie beruhigen. Die allermeisten Befürchtungen sind unberechtigt.“ Weiter: „Gerade kleine Unternehmen, Vereine oder Ehrenamtler müssen nicht befürchten, dass sie sofort bestraft werden, wenn sie alle Regelungen nicht umgehend umsetzen“, so Barley. Schön, dass sie die Abmahnanwälte so gut im Griff hat und für diese sprechen kann. Aber auch wenn sie die Geschäftspraktiken dieser Gilde bei ihrem Statement nicht so ganz im Blick hatte, gibt es hier Hoffnung. Denn es ist noch nicht entschieden, ob und in welcher Form Verstöße tatsächlich abmahnfähig sind.
  3. Richtig ernst wird es hier: Beim regelmässigen Treffen der Datenschutz-Behörden der Länder und des Bundes am 26. April 2018 hatte man offenbar Langeweile. In diesem DSK (Datenschutzkonferenz) genannten Gremium verständigen sich die Datenschutzbehörden des Bundes und der Länder auf gemeinsame Positionen. So sorgte die DSK mit ihrer Auslegung der DSGVO dafür, dass etwa beim Sammeln von Cookies – notwendig in der Online-Werbevermarktung fürs Targeting und Tracking – bereits jetzt stets für jede Seite und jedes Angebot eine Einwilligung des Nutzers einzuholen ist. Aber eigentlich sollte eine ensprechendce Regelung erst mit der ergänzenden und nachgeschobenen E-Privacy-Verordnung festgehalten werden. Und diese ist nicht vor 2019 zu erwarten.

Kleiner Exkurs: Störfall Cookies.

Cookies sind ein altes Werkzeug. Tatsächlich benutzen manche Webseitebetreiber die „Macht der Cookies“ für mehr als nur den stabilen Shop-Betrieb oder für die WebSite-Analyse, welche die DSK mit ihrem Vorstoß ins Visier genommen hat. Man könnte deren Auslegen nämlichtatsächlich so interpretieren, dass jede Form von WebSite-Analyse unzulässig ist, wenn es keine ausdrückliche Einwilligung vom Benutzer gibt. Das gilt auch für jede Art von Logfile-Erzeugung.

Bei letzteren könnte man noch mit „berechtigtem Interesse“ als „Erlaubnistatbestand“ argumentieren. Aber auf Cookies könnte man, zumindest theoritisch, technisch verzichten. Doch das würde den Einsatz von Google Analytics, Piwik/Matomo & Co. sinnlos machen. In jedem Fall bedeutete der Auswurf der DSK panische, hektische und teilweise völlig überzogene Aktivitäten bei vielen Unternehmen.

Hilfloser Aktionismus

So produzierte der vorauseilende Gehorsam der Profi-Datenschützer einerseits unnötigen Streß bei Website-Betreibern, während die Justizministerin an der falschen Stelle beschwichtigt und die Kanzlerin viel zu spät für Entlastung sorgen will.

Dass uns Behörden und ähnliche Institutionen nicht immer nur hilfreich unterstützen, hat keinen Neuigkeitswert. Aber auch bei den „Betroffenen“ – hier sind nicht die Bürger im Sinne der DS-GVO gemein, sondern die Webseitebetreiber – hat die DS-GVO bemerkenswerte Reaktionen ausgelöst.

Wieder ein paar Beispiele

  1. Beinah konsequent die auf die DS-GVO reagiert haben: Los Angeles Times, Chikago Tribune und einige mehr. Diese Medien haben ihre WebSite mal eben komplett schlossen und sind seit dem 25.05.2018 mit Hinweis auf die DS-GVO nicht mehr aus Deutschland erreichbar.
  2. Ganz konsequent: die Rechtsanwaltskammer Düsseldorf. Diese schaltete ihren Webserver komplett ab.
  3. Hunderte andere Betreiber von Shops, Foren, Blogs und anderen WebSites folgten einem dieser beiden ruhmreichen Beispiele.

Auch nicht schlecht: die klassische Fehler.

  1. Die notwendige Datenschutz-Information einer WebSite wird von vielen im Impressum oder unter „Facts“ versteckt. Das ist nicht zulässig.
  2. Bezüglich der Nutzung von Cookies werden fehlerhafte (und damit unzulässige) Angaben gemacht
  3. Auftragsverarbeiter werden nicht genannt. Manche Unternehmen wissen vermutlic gar nicht, wer der technische Betreiber ihrer WebSites ist.
  4. In vielen dieser Fälle, die wir zu sehen bekamen, wurde die Datenschutzerklärung mit einem der kostenfreien Online-Generatoren zusammengeklickt. Allerdings vergaß man vorher, die richtigen Fragen zu stellen. Oder die gestellten Fragenrichtig zu beantworten.
  5. Bei einem Dienstleister für Datenschutz fanden wir die Datenschutzerklärung ausschliesslich im pdf-Format zum Download, obwohl sie eigentlich ohne zusätzliche Software lesbar sein müsste. Dazu fällt einem dann auch nichts mehr ein…

Gar nicht lustig

Auch wenn der eine oder andere Punkt unserer kleinen Bestandsaufnahme des beispielhaften Versagens vielleicht amüsant wirkt, zeigt sie uns, dass der Datenschutz im weiteren Sinne von allen Beteiligten auf der einen Seite des Tisches bisher nicht wirklich ernst genommen wurde. Wir können nur hoffen, dass sich das bald ändert.

Die „andere Seite“, nämlich die Verbraucher, hat bereits bewiesen, wie wichtig ihnen das Thema Datenschutz ist. Sonst würden wir Konzerne wie Facebook, Google & Co. heute nicht mit dieser kaum noch zu überblickenden Marktmacht sehen. Es wird uns allen gut tun, mit dem „neuen Gold der Moderne“, unseren Daten, wieder bewusster umzugehen. Und es bleibt spannend, wie die Verbraucher mit ihrem neuen „Spielzeug“, nämlich dem Recht auf Auskunft und Löschung (= Vergessen werden), umgehen werden.