Ein Jahr DSGVO

Die Datenschutzgrundverordnung der EU in der Rückschau

Datenschutz ist schön, macht aber viel Arbeit. Auch wenn vieles noch zu klären ist: Die DSGVO schärft den Blick für den Umgang mit sensiblen Daten und ist NICHT der Teufel an der Wand. Mit einer Handvoll ausgewählter Maßnahmen lässt sich eine Website schnell »wasserdicht« machen.

Inhalt

❯ Blick in den Rückspiegel ∙❯ Was sich seit Mai 2018 getan hat ∙ ❯ DSGVO: Ein europäisches Statement ∙ ❯ Von ausgebliebenen Abmahnwellen ∙ ❯ Ist die DSGVO ein Erfolg? ∙ ❯ Die Wermutstropfen ∙ ❯ Offene Baustellen ∙ ❯ Verknüpfte Gesetzgebungen ∙ ❯ Wie gehen »kleine« Websites mit der DSGVO um? ∙ ❯ Was Chuck Norris mit all dem zu tun hat

Weltuntergang in fünf, vier, drei ...

Die mangelnde administrative Vorbereitung und fehlende Moderation der neuen Regeln, die von Datenschützern übrigens mehrheitlich begrüßt werden, führte folgerichtig  zu der erwartbaren Erregungsspirale. Die Wirtschaft sah sich mit ruinösen Mehrkosten konfrontiert, Unternehmen zur Geschäftsaufgabe gezwungen und der kleine Blogger und Gewerbetreibende war vollends verwirrt. Wunderbare Zeiten also für Apokalyptiker und Schlangenölverkäufer, wo doch eine ordentliche Datenschutzerklärung erst einmal ausgereicht hätte.

Auf der großen Bühne

Was hat sich in den zwölf Monaten nach dem Einschlag des Asteroiden namens DSGVO getan? Da wäre zunächst einmal die Makroebene mit der Anzahl von über 70 durch die Behörden in Deutschland verhängten Geldstrafen. Das Handelsblatt beziffert in einer eigenen Umfrage den Umfang der verhängten Bußgelder auf rund 450 Euro. Wesentlich spektakulärer ist die von der französischen Datenschutzbehörde gegen Google verhängte Rekord-Strafe von 50 Mio. Euro. Damit wurden zwei Verstöße geahndet: Google stellt keine transparenten Informationen über die Datennutzung bereit sowie keine wirksame Einwilligung für die Nutzung der Daten zu Werbezwecken. Beide Sachverhalte hatte man übrigens als Otto-Normal-User längst vermutet. Es ist ein Verdienst der DSGVO, diese Vermutung durch geltendes Recht ersetzt zu haben.

Oft vergessen: die DSGVO gilt europaweit

Natürlich kann Google immer noch Beschwerde gegen das Bußgeld einlegen. Und natürlich hat wieder einmal der österreichische Aktivist Max Schrems den Stein ins Rollen gebracht. So wie damals, 2015, mit seiner Klage gegen Facebook vor dem Europäischen Gerichtshof, in deren Folge das zwischen der EU und den USA ausgehandelte »Safe Harbour-Abkommen« gekippt wurde. 2017 hat Schrems dann »noyb« gegründet, »none of your business«. Die NGO will eine europaweite Datenschutz-Plattform etablieren und geltendes Recht durchsetzen, allen voran die DSGVO. Dass die kein Papiertiger ist, zeigt das Bundeskartellamt. Dort hatte man gegen Facebook bereits 2016 ein Verfahren wegen Verdachts auf Marktmachtmissbrauch durch Datenschutzverstöße eröffnet. Anfang 2019 nun untersagte das Bundeskartellamt »die Zusammenführung von Nutzerdaten aus verschiedenen Quellen«. Und weiter: »Facebook darf seine Nutzer künftig nicht mehr zwingen, einer faktisch grenzenlosen Sammlung und Zuordnung von Nicht-Facebook-Daten zu ihrem Nutzerkonto zuzustimmen«, so Andreas Mundt, Präsident des Bundeskartellamtes. Auch diese Maßnahme geht auf die neuen Möglichkeiten zurück, welche die DSGVO Datenschützern an die Hand gibt.

Viele Beschwerden, kaum Abmahnungen

Während bei den Konzernen die wirtschaftspolitische Dimension des Datenschutzes erkennbar wird, tun sich die Verbraucher mit insgesamt 37.148 Beschwerden wegen mangelhaften Datenschutzes hervor. Die befürchtete Abmahnwelle ist jedoch ausgeblieben. Bei den zugestellten Schriftsätzen geht es hauptsächlich um fehlende oder nicht DSGVO-konforme Datenschutzerklärungen. Die Abmahnbarkeit von DSGVO-Verstößen ist mit einem Urteil des Oberlandesgerichtes Hamburg als letzten Stand der Dinge grundsätzlich bestätigt worden. Allerdings werden sich die alte UWG- und die neue DSGVO-Rechtssprechung erst noch finden müssen. Während das UWG (Gesetz gegen den Unlauteren Wettbewerb) die Marktteilnehmer vor unlauteren geschäftlichen Praktiken schützt, geht es bei der DSGVO um Grundrechte und Grundfreiheiten natürlicher Personen sowie die informationelle Selbstbestimmung. Der Frontverlauf zwischen beiden Rechtsbereichen dürfte noch eine zeitlang unscharf bleiben.

Ist die DSGVO jetzt »ein Erfolg«?

Es geht um den Schutz persönlicher Daten und so betrachtet, ist die DSGVO ein Erfolg, trotz der anfänglichen Verunsicherung. Verbraucher und Unternehmen beschäftigen sich gleichermaßen mit diesem wichtigen Thema, wenn auch per Gesetz dazu gedrängt. »Datensparsamkeit« und Transparenz sind nun einmal wünschenswert und haben eine weitreichende gesellschaftliche Dimension. Die Nonchalance, mit der Unternehmen und Institutionen teilweise Persönlichkeitsrechte untergraben, ist in keiner Weise von praktischen Erwägungen gedeckt. Den Datenschutz aus Sicht einer einzelnen Person zu organisieren, stärkt die Rechte des Einzelnen.

Die Wermutstropfen

Wie so oft schließt sich an ein Lob der Tadel an. Rechtsunsicherheit und fehlende Praxis im Alltag machen die DSGVO zu einer sperrigen Pflicht, die Geld kostet und nicht automatisch zu sicheren Lösungen führt. Zudem gilt das Regelwerk in gleichem Maße wie für Google auch für den Betreiber einer Vereinswebsite und das ist doch eher fatal. Dass sich Bundesjustizministerin Katarina Barley (SPD) dieser Tage offen dafür gibt, die DSGVO zu entschärfen, ist daher angebracht; zumindest für private und kleingewerbliche Zwecke. Sonst wird hier mit den sprichwörtlichen Kanonen auf Spatzen geschossen.

Der Teufel liegt – na klar – im Detail

Neben den beschriebenen Vor- und Nachteilen hält die »digitale Realität« eine Reihe von Fallstricken bereit, die Fachleuten Kopfzerbrechen bereitet.

• Social Media: Die rechtliche Handhabe von Like- und Sharing-Buttons, bei denen Code von externen Anbietern in die Website integriert wird, ist gesteigert prekär (selbst bei Hinweisen in der Datenschutzerklärung).
• Google Analytics: Verlangt (mindestens) einen Vertrag zur Auftragsdatenverarbeitung mit Google plus Hinweis in der Datenschutzerklärung. Beim Conversion-Tracking wird es noch komplizierter.
• Google Maps: Nicht wenige Anwälte raten von der Verwendung ab, denn Google kann ab dem Moment, in dem eine Map aufgerufen wird, Informationen über den User sammeln. Hier ist eine zweistufige Lösung im Gespräch: Erst zustimmen, dann wird die Map geladen.
• Google Webfonts: Wird in vielen Content-Management-Systemen als Standard eingesetzt, doch dabei werden Daten an Google gesendet.
• Datenspeicherung der Websitebetreiber bzw. Hoster: Dürfen aus Sicherheitsgründen IP-Adressen gespeichert werden und wenn ja, für wie lang? Oder geht das nur anonymisiert?
• Fotografien: Als »personenbezogene Daten« fallen Fotos in den Geltungsbereich der DSGVO. Zwar besteht weiterhin nach dem Kunsturhebergesetz (KUG) das Recht am eigenen Bild, doch wie wird zukünftig das »berechtigte Interesse« des Publishers gegen die Privatsphäre des Abgebildeten austariert?

EU-Urheberrecht, ePrivacy, Urheberrechtsrichtlinie, Kunsturhebergesetz …

Zu allem Überfluss hat das Europäische Parlament gerade ein neues Urheberrecht aufgelegt. Das war überfällig, viele Regelwerke sind älter als 15 Jahre und bilden die digitalen Quantensprünge bei weitem nicht ab. Doch auch hier waren Profis am Werk, wie der Verweis auf eine Google-Rubrik von Memes belegt (»auf die man richtig draufklicken kann«), einer der eher harmloseren Scherze eines der Urheber des neuen Rechts. Der weitaus größere ist Artikel 17 (vormals 13), der die sogenannten »Upload-Filter« beinhaltet. Betrachtet man außerdem die bestehenden verschiedenen Urheberrechtsrichtlinien, in denen es ebenfalls um Copyright-Fragen geht, die ePrivacy-Richtlinie und nicht zuletzt das 2001 aktualisierte Kunsturhebergesetz, dann gesellt sich die DSGVO zu einem illustren Kreis von Regelwerken, die eine einfache Handhabung einfacher Sachverhalte nahezu unmöglich machen und selbst Experten überfordern. Betrachtet man neben dem Otto-Normal-User zusätzlich den Otto-Normal-Websitebetreiber, dann entsteht der Eindruck, daas beide eigentlich gar nichts richtig machen können, nie. Die Zahl der Grenz- und Zweifelsfälle im Spannungsfeld der Regelwerke könnte in entmutigender Anzahl zunehmen. Da hilft nur eines: Augenmaß.

Das kleine Einmaleins der Prävention – aus Sicht des Users

Noch sind viele Erbsenzähler im Dienstleistermarkt unterwegs, die jedes nur erdenkliche Szenario als maximale Bedrohung klassifizieren. Ja, es gibt umfangreichen Klärungsbedarf und, nein, nicht jede Lücke ist ein Leck. Hier gilt es, die einzelnen Maßnahmen nach ihrem Wirkungsgrad abzuwägen, wonach sich aus unserer Sicht folgende Empfehlungen ergeben:

• Datenschutzerklärung: Wissen Sie was Sie tun und erklären Sie dies.
• Vereinbaren Sie schriftlich die Datenverarbeitung im Auftrag mit Ihren Dienstleistern.
• Ermöglichen Sie Einsicht und Steuerung datenschutzrelevanter Funktionen Ihrer Website: Cookies, Tracking-Deaktivierung, ...
• Vermeiden Sie die unmittelbare Integration von Drittanbietern ohne Berücksichtigung in Ihrer Datenschutzerklärung oder Steuerungsmöglichkeit.

Wie es weitergeht

Auch wenn sie noch nicht am Horizont zu sehen sind: Es wird mehr und mehr pragmatische Lösungen geben, um die Untiefen der Regelwerke zu umschiffen. An manchen Stellen wird weniger mehr sein, die eigene Website muss schließlich nicht alles können. Technische Entflechtungen von Diensten hätten dabei auch rechtliche Klarheit zur Folge. Und schließlich sind Nachbesserungen in der Rechtspraxis möglich.

Für die Umsetzung gilt: Suchen Sie sich fachlichen Beistand bei der Priorisierung und setzen die wichtigsten Punkte zuerst um, anstatt aus dem Stand sämtliche denkbaren Anforderungen in ein Projekt zu gießen. Chuck Norris hat die DSGVO auch schon umgesetzt. Vollständig. Zwei Mal.