Am 25.05.2018 war es so weit: Startschuss für die Umsetzung der europäischen Datenschutzgrundverordnung, kurz DSGVO. In dem selbst abgekürzt noch ziemlich langen Begriff vermengen sich Hysterie und berechtigte Sorgen, Missverständnisse und ein hoher Verwaltungsaufwand. So dürfte es mittlerweile den meisten Bürgern passiert sein, dass sie nicht nur online, sondern auch in der „realen Welt“ Formulare für private Daten ausfüllen müssen – beim Arzt, auf Ämtern, in Vereinen. Ob die meisten dieser Formulare überhaupt gelesen werden, bleibt fraglich. Der Verwaltungsaufwand und die schiere Papierwirtschaft sind relativ zum Nutzen enorm.

Auf der anderen Seite wird Datenschutz auch in Europa immer wichtiger. Legendär ist beispielsweise der Fall von Maximilian Schrems, einem Juristen aus Österreich. Als dieser 2011 seine privaten Daten von Facebook anforderte, bekam er einen Stapel aus 1.222 Seiten zurück. Der Fall offenbart, wie viel Macht soziale Netzwerke über das persönliche Leben jedes einzelnen Nutzers haben.

Ein Jahr danach – was ist anders?

An der Oberfläche ist vieles gleich geblieben. Immerhin hatte Deutschland schon vor der DSGVO einen recht weitreichenden Datenschutz; das im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung wird seit jeher großgeschrieben.

Leidtragende sind vor allem kleine Unternehmen und Vereine. Denn mit der DSGVO werden sie rechtlich auf eine Stufe mit Mediengiganten wie Facebook gestellt und unterliegen den gleichen Melde-, Auskunfts- und Dokumentationspflichten. Traurige Berühmtheit erlangten dahingehend letztes Jahr kleine Vereine, die ihre Webseiten offline nehmen mussten. Der Verwaltungsaufwand für die neue Datenschutzgrundverordnung, so die Argumentation, wäre schlichtweg nicht zu stemmen. Bei Strafen von bis zu 4% des Jahresumsatzes oder 20 Millionen Euro befinden sich kleine bis mittelständische Unternehmen hier nach wie vor in einer Zwickmühle.

In Deutschland abgemahnt wurden bislang nur grob fahrlässige Fehler. So musste das Chatportal Knuddels 20.000 Euro Strafe zahlen, weil es Passwörter seiner User unverschlüsselt gespeichert hatte. Aufgedeckt wurde der Skandal, als Hacker so die Daten hunderttausender Nutzer vergleichsweise mühelos entwenden konnten. Von dem gefürchteten Beispiel mangelnder Datenschutzerklärungen auf der Vereinswebseite kleiner Verbände ist das allerdings weit entfernt.

Zwar sind Unternehmen von der gefürchteten Abmahnwelle verschont geblieben, die schiere Anzahl von Anfragen für gespeicherte Daten oder die Löschung ebensolcher ist allerdings eine Belastung für sich. Das Ausbleiben einer Abmahnwelle ist nur bedingt richtungweisend, denn Frankreich hat auf Grundlage der DSGVO bereits ein Bußgeld von 50 Millionen Euro gegen Google verhängt. Oft kritisierte Dienstleistungen wie WhatsApp oder die Standorterkennung von Google’s hauseigenem Betriebssystem Android sind davon bislang allerdings unberührt. Ob und wann derartig harte Strafen auch in Deutschland ankommen, bleibt abzuwarten. Möglicherweise herrscht in dieser Beziehung ein Jahr nach der Umsetzung noch die Ruhe vor dem Sturm, denn auch Abmahner haben derzeit kaum Rechtssicherheit. Sollte der Gesetzgeber hier in zukünftigen Verfahren Angriffsflächen für Abmahner öffnen, könnte das zum Problem werden.

Keks oder kein Keks?

Auch an Erklärungen bezüglich der Verwendung sogenannter Cookies teilen sich die Geister. Cookies sind kleine Hilfsdateien von Webseiten, in denen temporäre Daten wie Logins oder Formulardaten eingetragen werden. Sie sollen die Bedienung einer Webseite erleichtern und speichern beispielsweise den Inhalt Ihres Warenkorbs auf Online-Shops. Weil Cookies auch private Daten enthalten können, haben sich große Banner mit Erklärungen dazu auf Webseiten etabliert. Das ist problematisch, denn die Information der Nutzer über Cookies ist datenschutzrechtlich festgelegt. Explizit gefordert wird diese Form von der Datenschutzgrundverordnung allerdings nicht, und der Nutzen sperriger Banner ist mindestens fragwürdig.

Services abgeschaltet

Bisweilen gehen einige ausländische Webseitenbetreiber, etwa aus den USA, auch zu regionalen Sperren über – ihre Inhalte sind dann innerhalb der EU nicht verfügbar. Im aktuellen rechtlichen Umfeld ist das mitunter einfacher, als sich mit den teils nebulösen Anforderungen der DSGVO auseinander zu setzen. Auf lange Sicht könnte die DSGVO Europa als Wirtschaftsstandort schaden, wenn Bürokratie und Unsicherheit den Markt beherrschen. Im Netz, wo internationale Inhalte in die EU ausgeliefert werden, ist das teilweise also schon der Fall.

Fazit

Grundsätzlich ist die DSGVO nach wie vor begrüßenswert, denn Fälle wie der Datenschutzskandal um Facebook und Datenlecks bei Google haben noch in jüngster Vergangenheit gezeigt, dass private Daten in den Händen einiger Großunternehmer gefährlich sein können. Mit der Verordnung versucht die EU ein Rechtsgut zu schützen, das in einer Zeit rapider technologischer Veränderungen zunehmend in den Hintergrund geraten ist. Zudem hat die Furore über die Datenschutzgrundverordnung dafür gesorgt, dass auch viele bislang wenig interessierte Bundesbürger sich ihrer privaten Daten bewusst werden und anfragen, was über sie gespeichert wurde.

Derzeit betrifft die DSGVO vor allem große Unternehmen wie Google und Facebook; die befürchtete Abmahnwelle für kleine Betriebe und Vereine ist bislang ausgeblieben. Trotzdem ist die Rechtslage nach wie vor unsicher und es bleibt abzuwarten, welche Konsequenzen sich aus der Verordnung auf lange Sicht ergeben. Spannend bleibt auch die Frage, ob und inwiefern Unternehmen im zweiten Jahr nach der DSGVO mit Abmahnungen oder Gewinneinbußen kämpfen müssen. Es wird sich zeigen, wie der lange Arm der DSGVO zukünftig unternehmerisches Handeln im Netz beeinflussen kann.

Haben Sie Erfahrungen mit der DSGVO gemacht? Ist die Verordnung in Ihren Augen sinnvoll oder ein Bürokratiemonster? Wir freuen uns über jeden Kommentar!

Möchten Sie Ihre Webseite nach vorne bringen und DSGVO-sicher machen? Setzen Sie sich mit uns in Verbindung!