Beitrag von Dr. Frank H. Thiele
Gesperrte Webseiten, abgemeldete Kontaktformulare und hastig gelöschte Kundendaten– nach einem Dornröschenschlaf während der zweijährigen Übergangsfrist zur Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO), setzte kurz vor dem 25. Mai 2018 hektischer Aktionismus ein. Unternehmen sind verunsichert, während Verbraucher sich einer Flut von Informationen gegenüber sehen, die sie kaum verarbeiten können. Die Datenschutzbehörden wiegeln ab und findige Abmahnanwälte reiben sich die Hände.
Die Ziele der DSGVO sind unbestritten richtig. Sie soll in der gesamten EU ein einheitliches Datenschutzniveau etablieren und Verbrauchern ihr Grundrecht auf „informationelle Selbstbestimmung“ garantieren, indem sie den „gläsernen Kunden“ verhindert. Das Gesetz zielt somit auf die Datenkraken Google, Facebook und Co, die Nutzer mit Informationen zu ihren Hobbies, Vorlieben und Konsumverhalten buchstäblich zahlen lassen. Diese werden durch die Unternehmen dann munter miteinander ausgetauscht und verknüpft, weiterverkauft und für individualisierte Werbung eingesetzt. Der Verbraucher wird dabei gezielt manipuliert. Im Interesse des mündigen Konsumenten sowie einer funktionierenden Demokratie ist dem unbedingt ein Riegel vorzuschieben.
Im Visier stehen die Großen, aber getroffen hat es den Mittelstand, Vereine und Kommunen! Denn die DSGVO gilt auch für Kleinstunternehmen und -institutionen, sobald personenbezogene Daten automatisiert verarbeitet oder in Dateisystemen gespeichert werden (sollen). Darunter fallen auch geschäftliche Kontaktdaten sowie IP-Adressen. Der Einsatz eines PCs zum Schreiben von Rechnungen oder Einladungen, für Unternehmenszwecke gespeicherte Telefonnummern im Smartphone oder die Adressvervollständigung im E-Mailprogramm bedeuten, dass die DSGVO beachtet werden muss.
In der Praxis leider nicht so einfach: Denn die DSGVO lässt sich nicht nach einer „Checkliste“ abarbeiten. Sogenannte „Öffnungsklauseln“ erlauben den Mitgliedsstaaten zudem, nationale Regeln zur Ausgestaltung der DSGVO zu treffen. In Deutschland gibt es neben der DSGVO also weiterhin ein Bundesdatenschutzgesetz sowie 16 Landesdatenschutzgesetze plus Datenschutzvorschriften in Spezialgesetzen. Und die E-Privacy-Verordnung, welche die DSGVO beim Schutz der elektronischen Kommunikation ergänzen soll (z.B. hinsichtlich des Einsatzes von „Cookies“ über Webseiten), konnte aufgrund von Streitigkeiten auf EU-Ebene noch nicht verabschiedet werden. Obwohl damit auch nicht vor 2019 zu rechnen ist, geistert der Entwurf bereits durch die Datenschutzszene und schafft zusätzlichen Druck und Verwirrung darüber, welche Vorschriften tatsächlich aktuell einzuhalten sind.
Leider spielten die Aufsichtsbehörden bislang keine glückliche Rolle. Konnten die EU-Regelungen zunächst nicht streng genug sein, wird nun beschwichtigt, im Vergleich zum alten deutschen Datenschutz ändere sich kaum etwas. Der hessische Landesdatenschutzbeauftragte geißelte gar öffentlich „unseriöse Geschäftemacher“, welche die allgemeine Verunsicherung um die neuen Regelungen ausnutzten, indem sie „überflüssige Beratung“ anböten. Doch nicht zuletzt fehlende Hinweise zur konkreten Praxisanwendung sowie handwerkliche Mängel führten zu genau dieser „allgemeinen Verunsicherung“. So wurde das Hessische Gesetz zur Anpassung an die DSGVO erst im April 2018 verabschiedet und ist laut Netzpolitik.org das „schlechteste Informationsfreiheitsgesetz Deutschlands“.
Kein Wunder, dass die Mehrzahl der deutschen Unternehmen aktuell nicht DSGVO-konform ist. Aber Kopf in den Sand stecken und hoffen, dass nichts passiert? Angesicht der hohen Ansprüche an die Unternehmen, den erweiterten Betroffenenrechten und dem massiv erhöhten Strafrahmen eine fahrlässige Haltung. Zumal die Abmahnmaschinerie wie befürchtet pünktlich angelaufen ist.
Was sollen Unternehmen nun tun? Zum ersten ist es – salopp gesagt – besser, spät anzufangen als nie. Also warten Sie nicht länger: Unsicherheiten in der Auslegung könnten zwar zu Fehlern in der Umsetzung führen. Dies ist aber immer noch besser als eine Missachtung der Gesetze durch stoisches Ignorieren. Zweitens: Holen Sie sich Unterstützung durch Datenschutz-Experten. Hören Sie sich in Ihren Netzwerken um und achten Sie auf Qualifikation und Erfahrung. Und berücksichtigen Sie: Auch hier hat Qualität Ihren angemessenen Preis. Drittens: Nutzen Sie Ihren gesunden Menschenverstand. Betrachten Sie die DSGVO nach ihrem Zweck – dem Schutz des Verbrauchers – und versuchen Sie, dies in Ihrem Arbeitsalltag umzusetzen. So entstehen auch positive Aspekte für Ihr Unternehmen: Brauchen Sie wirklich alle gesammelten und gespeicherten Daten? Machen Sie einen digitalen „Frühjahrsputz“. Viertens: Schließen Sie sich mit Leidensgenossen zusammen. So habe ich z.B. als externer Datenschutzbeauftragter im Auftrag von Handwerkerschaften aus der Rhein-Main-Region die Unterstützung ihrer Mitgliedsunternehmen gebündelt übernommen. Damit entstehen Synergieeffekte, auch auf Kostenseite. Und zu guter Letzt: Auch Datenschutz-Experten müssen derzeitig abwägen und aufgrund Ihrer Kenntnisse und Erfahrungen empfehlen bzw. entscheiden. Die aktuellen Grauzonen werden entweder durch den Gesetzgeber noch ausgestaltet oder durch Gerichte in den nächsten Jahren aufgrund eingereichter Klagen geklärt. Dies ist zwar kein Trost, könnte aber letztlich das für Sie notwendige Startsignal für Ihre Auseinandersetzung mit der DSGVO sein.