DSGVO und die Folgen: Die große Datenschutzpanik
In dieser Woche treten europaweit neue Regeln für den Datenschutz in Kraft. Unternehmen, Vereine und Privatleute sind in heller Aufregung. Zu Unrecht.
Auch im Digitalzeitalter sind Visitenkarten nicht auszurotten. Ab kommenden Freitag könnte das zum Problem werden, fürchtet der Präsident des Digitalverbands Bitkom, Achim Berg. Dann gelten in ganz Europa die neuen, strengen Regeln der Datenschutzgrundverordnung (DSGVO). „Wenn mir dann jemand eine Visitenkarte gibt, muss ich ihm streng genommen sagen, was ich mit den Daten mache“, sagt Berg. Sie einfach so ins Adressverzeichnis einzutragen und daraufhin künftig Mails zu verschicken, könnte bei strenger Auslegung der DSGVO zum Problem werden.
Es ist nur ein Extremfall von vielen, mit denen sich derzeit Unternehmen, Vereine oder Privatleute herumschlagen. In 99 Artikeln wird auf 150 Seiten geregelt, wie künftig Daten erhoben, gespeichert und genutzt werden dürfen. Grundsätzlich sollen persönliche Informationen dadurch besser geschützt werden, in vielen Fällen braucht es dafür eine Einwilligung. Bürger haben Auskunftsansprüche oder können sich ihre Daten auch herausgeben oder löschen lassen. Bei Verstößen drohen saftige Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Das soll vor allem helfen, die hiesigen Vorschriften gegenüber Google & Co durchzusetzen. Angesichts des jüngsten Datenskandals bei Facebook werden die neuen europäischen Regeln selbst in den USA als mögliches Vorbild gelobt.
Viele kleine Firmen sind besorgt
Doch sie gelten nicht nur für eine Handvoll Internetriesen, sondern genauso für Handwerksbetriebe oder Sportvereine. Viele Betroffene sind daher in heller Aufregung. Während große Unternehmen oft schon seit Monaten oder noch länger ihre Datenverarbeitungsprozesse durchleuchten, sind es vor allem kleine Firmen, die erst kürzlich festgestellt haben, dass sie auch von den Regeln betroffen sind. Auch Vereine oder Privatleute, die eigene Blogs oder Webseiten betreiben, machen sich Sorgen. Viele fühlen sich so damit überfordert, ihre Seiten DSGVO-konform anzupassen, dass sie gar überlegen, die Angebote vom Netz zu nehmen. „Ich kriege echt den Koller“, schreibt beispielsweise Gabriele Conrath, die ein Handarbeitsblog betreibt. „Müssen wir nun wirklich unseren Blog löschen, wenn wir uns nicht an alles halten?“
Dazu tragen viele Beiträge bei, die im Internet kursieren bei, in denen Webseitenbetreiber erklären, dass sie künftig den Stecker ziehen. Die Sorgen riefen gar die Bundeskanzlerin auf den Plan. „Manches ist wirklich eine Überforderung“, sagte Angela Merkel kürzlich auf einer CDU-Veranstaltung in Berlin und kündigte Gespräche mit dem zuständigen Innenminister an, um kurzfristig Lockerungen zu erreichen. Kurz darauf ruderte der Regierungssprecher zurück: Es werde keine Änderungen in letzter Minute geben. Schließlich sind die Regeln bereits seit zwei Jahren bekannt, da traten sie nämlich bereits in Kraft. Es galt nur für die Umsetzung eine Übergangsfrist bis eben zum 25. Mai 2018.
„Die Panikmache um die DSGVO ist ärgerlich“, sagt Saskia Esken, in der SPD-Fraktion für Datenschutz zuständig. Sie kritisierte dabei auch explizit die Intervention der Kanzlerin. Doch auch die Handreichungen und Vorträge, die so mancher Verband jetzt viel zu spät anbiete, seien oft zu wenig konkret und führten eher zur Verunsicherung, als dass sie bei der Umsetzung helfen würden. Die Folgen zeigen sich überall: Nur ein Viertel aller Unternehmen sind nach eigener Einschätzung komplett vorbereitet. Auch die Bundesregierung hat trotz der langen Vorlaufzeit ihre Hausaufgaben nicht gemacht. Laut Bundesinnenministerium müssen noch 150 Gesetze an die neuen Regeln angepasst werden. Dies soll gleichzeitig mit einem sogenannten Omnibus-Gesetz geschehen – wohl aber erst im Herbst. Noch weiter im Rückstand ist die sogenannte E-Privacy-Verordnung. Sie soll Tracking im Internet genauer regeln und als Ergänzung der DSGVO parallel in Kraft treten, doch das EU-Parlament und die Mitgliedsstaaten streiten noch immer über Details.
"Die Verordnung hat das Potenzial zum bürokratischen Monster"
Diese Lücken verstärken die Unklarheit in vielen Bereichen. Mehr als die Hälfte der Unternehmen beklagt die bestehende Rechtsunsicherheit. Auch spezialisierte Anwälte sagen zudem, dass sich erst noch zeigen muss, wie genau bestimmte Artikel interpretiert werden müssen.
„Wenn man es mit der strengen Anwendung übertreibt, hat die Verordnung das Potenzial zum bürokratischen Monster“, sagt Susanne Dehmel, die in der Bitkom-Geschäftsleitung für Rechtsfragen zuständig ist. Sie hofft jedoch auf die Anwendung „mit Außenmaß und gesundem Menschenverstand“. Derzeit spricht viel dafür, dass dies auch passiert. „Die Datenschutzbehörden haben schon deutlich gemacht, dass sie nicht vorhaben, jetzt bei den kleinen Bloggern die Türen einzutreten und hohe Bußgelder zu verhängen“, sagt Jan Philipp Albrecht, Europaabgeordneter der Grünen, der die Regeln maßgeblich mitformuliert hat. Das bestätigt Hessens Datenschutzbeauftragter Michael Ronellenfitsch: „Wir haben Zähne bekommen, sind aber nicht bissig geworden“, sagt er mit Blick auf die neuen Sanktionsmöglichkeiten. Kleine Unternehmen, Vereine oder Blogger brauchen sich nicht vor Millionenstrafen zu fürchten. Zum einen müssen Bußgelder verhältnismäßig sein, zum anderen soll es bei „kleinen Fischen“ bei einem Erstverstoß keine Strafe geben, sondern höchstens eine Ermahnung mit Hinweisen. „Die Firma, der es nicht von Tag eins an gelingt, alle Vorkehrungen zu treffen, die aber in gutem Glauben handelt“, werde nicht gleich Ziel von Sanktionen werden, sagt EU-Justizkommissarin Vera Jourová. Außerdem erwartet sie, dass sich die Datenschutzbehörden „erst auf die Unternehmen konzentrieren, die persönliche Daten im großen Stil verarbeiten und deren Geschäftsmodell darauf beruht, private Daten zu verkaufen und zu Geld zu machen“.
Schon das wird eine Herausforderung. Die Datenschützer haben nun zwar theoretisch mehr Möglichkeiten, in der Praxis mangelt es aber an Personal, um gegen jeden Missbrauch von Google & Co vorzugehen. Nach einer Tagesspiegel-Umfrage unter den Datenschutzbehörden fehlen bundesweit fast 100 Mitarbeiter. Der Umgang mit Informationen von Visitenkarten wird so schon aus Kapazitätsgründen auch künftig nicht geahndet werden.