Europäische Datenschutzgrundverordnung gilt und wirft Fragen auf

Nach zwei Jahren Übergangsfrist gilt jetzt seit dem 25. Mai die europäische Datenschutzgrundverordnung (DSGVO) in allen EU-Staaten. Ziel der Neuregelung ist es, einheitliche Datenschutzstandards zu etablieren, den Bürgern größere Rechte im Hinblick auf die Verwendung ihrer Daten zu gewähren und durch deutlich erhöhte Strafen gegen Datenmissbrauch vorzugehen. Nicht überall wird die Umstellung positiv gesehen.

Zu großer DSGVO-Aufwand für Kleinunternehmen?

Als zu groß wird gerade für Kleinunternehmen der Aufwand eingestuft, der etwa für die Dokumentation der Datenverarbeitungsprozesse oder für die Erfüllung der erweiterten Auskunfts- und Informationspflichten zu erbringen ist.

Darüber hinaus wird kritisiert, dass viele konkrete Details zu den neuen Vorgaben unklar und unspezifisch bleiben, sodass selbst Experten auf viele Fragen keine genauen Auskünfte geben können. Auch der Grünen-Politiker Jan-Philipp Albrecht, der an Reform mitgewirkt hatte, räumte ein, dass viele Betroffene erst sehr spät über die Änderungen informiert worden seien.

Trotz hohem Aufwand noch zu wenige Optionen gegen Google, Facebook & Co.

Grundsätzlich positiv sieht dagegen etwa der Datenschutzexperte Thilo Weichert die Neuregelung, bezeichnete sie in einem Interview mit dem Deutschlandfunk jedoch lediglich als Zwischenlösung. So seien die Datenschutzbehörden nach wie vor nicht in der Lage, in einem ausreichenden Maße gegen datensammelnde Konzerne wie Google oder Facebook vorzugehen.

Beispiel: WhatsApp teilt jetzt seine Daten mit  Facebook

Wie zur Bestätigung dieser Aussage dieser Auffassung wird die populäre Messenger App WhatsApp die Nutzerdaten entgegen ursprünglicher Zusagen nun doch mit Facebook teilen, das den Messenger-Dienst vor einigen Jahren übernommen hatte.

  • Bislang hatte etwa in Deutschland eine Anordnung des Hamburger Datenschutzbeauftragten diese Datenweitergabe an Facebook verhindert.
  • Mit dem Inkrafttreten der DSGVO wird nun jedoch die irische Datenschutzbehörde für Facebook federführend sein, und das in Deutschland gerichtlich bestätigte Verbot der Weitergabe kann somit nicht mehr durchgesetzt werden.
  • Entsprechend enttäuscht zeigte sich der Datenschutzbeauftragte Johannes Caspar gegenüber dem IT-Nachrichtendienste Golem.de. Er spricht von einer absurden Entwicklung, sollte der Einstieg in die DSGVO nun mit einem Massenaustausch von Nutzerdaten erfolgen, der zuvor nach altem Recht untersagt war.

Justizministerin sieht Vorteile der DSGVO

Deutlich zufriedener zeigte sich Bundesjustizministerin Katarina Barley, die die Reform gegen Kritik verteidigte.

  • Sie sieht vor allem die Verbraucher als Gewinner, die künftig ihre Rechte besser durchsetzen können, wie sie in einem Interview mit der Funke-Mediengruppe ausführte.
  • Dies gelte auch dann, wenn es gegen große Internetkonzerne gehe. Dabei verwies sie auf den deutlich erhöhten Strafrahmen, der es ermögliche, selbst die Großkonzerne empfindlich zu treffen, indem bei Verstößen gegen die Datenschutzregeln Strafen in Höhe von bis zu 4 Prozent des weltweiten Umsatzes fällig werden können.
  • Durch die größere Transparenz und klareren Regeln profitierten die Verbraucher und erhielten wieder mehr Kontrolle über ihre Daten.

Allerdings hatten in den letzten Wochen auch einige Länder- Datenschutzbeauftragte vor Panikmache gewarnt, die gerade KMU zu Fehleinschätzungen der Änderungen und Gefahren verleiten könne.

Was sagen die Datenschutzbehörden?

Zwar haben die Datenschutzbehörden nun bessere Durchsetzungsmöglichkeiten, um Verstöße zu ahnden, doch versprach der hessische Datenschutzbeauftragte Michael Ronellenfitsch einen eher rücksichtsvollen Umgang mit Betroffenen. Bisher sei man eher zahnlos gewesen und habe jetzt durch die Reform zwar Zähne bekommen, was aber nicht heiße, dass man nun bissig geworden sei, versuchte er die Ängste angesichts der potenziell sehr hohen Bußgelder abzubauen.

In ähnlicher Weise äußerte sich auch der baden-württembergische Datenschutzbeauftragte Stefan Brink, der die Datenschutzaufsicht in Deutschland in einem Interview mit T-Online als „Scheinriesen“ bezeichnete, die schon aus Kapazitätsgründen gar nicht in der Lage seien, eine effektive und dabei flächendeckende Kontrolle durchzuführen.

  • Lediglich ein Drittel der Länderbehörden sei ausreichend vorbereitet, gerade in kleineren Bundesländern sei der Personalbestand nicht aufgestockt worden, sodass zusätzliche Kontrollen kaum möglich seien.
  • Ohnehin sei es so, dass rein rechnerisch ein Betrieb nur alle 218 Jahre mit einer anlasslosen Überprüfung rechnen müsse.

Als Entwarnung sollte es nicht verstanden wissen, den nicht nur die anlasslose Überprüfung kann Missstände in der Umsetzung aufdecken.

DSGVO-Abmahnwellen zu befürchten?

Schon bei früheren Veränderungen von Verpflichtungen, speziell solchen von Gewerbetreibenden im Internet, gab es nach dem In Kraft treten gesetzlichen Neuregelungen, etwa zum Impressum oder zum Benennen von OS-Schlichtungsstellen häufig ein ausgeprägtes Abmahnverhalten, etwa von Konkurrenten oder auch als anwaltliches Geschäftsmodell.

Dies ist auf die Schnelle noch nicht in hoher Zahl wahrscheinlich, da auch für Abmahnwillige erst klar werden muss, wie genau die Behörden reagieren und welche Versäumnisse von den Gerichten sanktioniert werden. Schließlich geht auch der Abmahnende das Risiko ein, auf den Kosten, den eigenen und denen des sich wehrenden Abgemahnten, sitzen zu bleiben. Hier ist vor Massenabmahnungen zumindest mit einer Orientierungsphase zu rechnen, zumal nicht klar ist, wie Verstöße gegen die DSGVO aus UWG-Sicht zu betrachten sind.

DSGVO-Umfrage im März bei 300 KMU

Eine Forsa-Umfrage ergab im März noch einen großen Wissens- und Handlungsrückstand. 

  • Demnach hatten rund 36 % der befragten Unternehmen noch gar nichts von der neuen Datenschutzgrundverordnung gehört.
  • Weitere 20 % gaben an, noch keinerlei Vorbereitungen getroffen zu haben.
  • Lediglich 22 % haten bereits Vorbereitungen getroffen, 
  • und ebenfalls 22 % befanden sich in der Planungsphase für die entsprechenden Umstellungsmaßnahmen.
  • Bei den kleinsten Unternehmen mit bis zu neun Beschäftigten fielen die Zahlen sogar nochmals etwas schlechter aus, hier waren 38 % komplett ahnungslos.

An der im März und April durchgeführten Befragung nahmen 300 Entscheider aus kleinen und mittleren Betrieben mit bis zu 249 Arbeitnehmern teil.

Als ein wichtiger Grund für die unzureichende Vorbereitung auf die DSGVO nannten viele Befragte unzureichende Informationen.

Gerade bei kleinen Unternehmen herrscht nach wie vor große Unsicherheit darüber, ob und wie sie die neuen Anforderungen im Hinblick auf den Datenschutz reagieren müssen.
Externes Know-how durch Hinzuziehen von Beratern kommt für viele schon aus Kostengründen kaum in Frage, zudem dürfte es derzeit sehr schwerfallen, in der Kürze der Zeit noch einen solche Fachkraft engagieren zu können.

Hilfestellung von Datenschutzbehörde

Die Datenschutzbehörden der Länder bieten Informationsmaterial an.

Beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein wurde eine neue Praxis-Reihe mit Ratgebern zur Datenschutzgrundverordnung herausgegeben.

  • Die beiden ersten Publikationen befasse sich zum einen mit dem Thema Datenschutz im Verein, sowie der Problematik des Datenschutzbeauftragten.
  • Der nächste angekündigte Leitfaden wird eine Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung beinhalten. Weitere Themen sind in Vorbereitung.