Überforderte Datenschutzbehörden, Panikmache und ein unpraktikables Internet
Die Panik war groß, nur wenige Wochen vor der endgültigen Inkraftsetzung der Datenschutzgrundverordnung. Erst rund ein bis zwei Monate vor dem Stichtag am 25.05, sind die meisten Unternehmen aus ihrem Tiefschlaf erwacht und sahen sich plötzlich mit Anforderungen konfrontiert, die selbst heute noch von den meisten Unternehmen nicht erfüllt werden. Zumindest besagt dies eine aktuelle, aus Deutschland stammende Umfrage unter Klein- und Mittelbetrieben, wonach vier von fünf Unternehmen derzeit die DSGVO noch nicht zu 100 % erfüllen.
Was heißt das eigentlich: „Die DSGVO zu 100 % erfüllen“?
Nun, so genau scheint das niemand zu wissen und ich verweise an dieser Stelle auf eine vor ca. zwei Monaten getätigte Aussage, eines Vertreters einer deutschen Datenschutzbehörde, welcher meinte, dass aktuell „kein einziges Unternehmen die Anforderungen der DSGVO 100 % konform erfüllt“.
Dies liegt nicht nur an den fehlenden Gerichtsurteilen, zu der in vielen Punkten sehr frei interpretierbaren Verordnung, sondern lässt sich auch anhand von unterschiedlichen Auffassungen in der Praxis schön verdeutlichen.
So setzen sowohl die Datenschutzbehörde des Bundeslandes Niedersachsen als auch die Behörde von Sachsen-Anhalt das Statisitk Plugin „Matomoto“ auf ihren Webseiten ein. Während die niedersächsische Datenschutzbehörde dem surfenden User für das gesetzte Cookie ein „Opt Out“ zum anklicken anbietet, setzt Sachsen Anhalt auf ein „Opt In“. Wenn es schon die Datenschutzbehörde selbst nicht weiß, woher soll es dann der kleine Unternehmer von nebenan wissen?
Zu diesem Bild passen auch die vielen unterschiedlichen Datenschutzgeneratoren im Netz. Diese vertreten zwar inhaltlich sehr unterschiedliche Auffassungen, wie so eine Erklärung auszusehen hat. Gemeinsam haben sie aber jedenfalls eines: Das Ergebnis sind Datenschutzerklärungen von der gefühlten Länge eines Schmökers wie „Doktor Schiwago“, nur halt nicht ganz so spannend zu lesen. Es sei denn, man will sich Details für seine eigene Datenschutzerklärung abschauen und kopieren, oder aber ist von Berufswegen her Abmahnanwalt… Den überwiegenden Teil der User, wird diese nun erzwungene sehr ausgeprägte Transparenz auf den Webseiten wohl eher wenig interessieren.
Apropos Abmahnanwälte: Wie ich schon vor einigen Monaten vermutete, blieben große Abmahnwellen zwar weitgehend aus. Aber von „Einzelfällen“ würde ich aus meiner Sicht trotzdem nicht sprechen, denn dafür sind mir zuviel persönlich Betroffene bekannt. Die von einigen windigen Abzockanwälten gestarteten Versuche, beschränkten sich jedenfalls wieder mal nur auf Deutschland, wo eine in diesen Belangen offenbar wirklich unfähige Regierung, nicht und nicht imstande ist, endlich mal SICHERHEITEN für Unternehmer zu schaffen. Von der Sicht eines Wählers aus betrachtet bin ich in diesen Tagen froh Österreicher zu sein. Nicht nur, weil es einige (teilweise sinnvolle) Anpassungen der DSGVO in Österreich gegeben hat. Sondern weil wir hierzulande zwei Mitte-Rechts Parteien an der Regierungsspitze haben, die ich zwar in vielen Punkten gerne kritisiere, die sich allerdings gegen die Übererfüllung von EU- Verordnungen auf nationaler Ebene querlegen. (Man nennt dies im Fachjargon auch „Goldplatting“). Auch von Seiten der NEOs (eine Art „Österreichische Schwesterpartei der FDP) kamen durchaus Unternehmerfreundliche Ansätze – auch wenn ich mir hier etwas mehr Kritik erwartet hätte. Als deutscher Wahlberechtigter, hätte ich`s da schon nicht mehr ganz so leicht. Die einzige Partei in Deutschland, die sich glaubwürdig gegen das Bürokratiemonster der Datenschutzgrundverordnung stemmt, ist die AFD. Ich bin fest davon überzeugt, dass sie (leider) auch dadurch bei vielen bisherigen CDU wählenden Wirtschaftstreibenden punkten wird. Denn weder hat die an der Regierungsspitze stehende Frau Merkel sich auch nur einen Deut für eine realistische Auslegung der Verordnung eingesetzt, noch hat sie ihren grünen Beauftragten Albrecht (seines Zeichens zu einem maßgeblichen Teil für das Verabschieden dieses Irrsinns verantwortlich) zurückgepfiffen. Das kommt davon, wenn man ständig nur reagiert (und dann auch oft zu spät), aber eben nicht agiert – im besten Fall eben rechtzeitig. Eigentlich hasse ich es zu politisieren, aber das musste auch mal gesagt werden.
Nun kann man freilich nicht behaupten, dass keine Notwendigkeit einer Datenschutzreform auf EU Ebene bestanden hätte. Die Frage ist nur: Was kann eigentlich mein Installateur ums Eck dafür? Was können tausende Vereinsvorstände dafür? Was zig tausende einfache, zumeist freiberuflich tätige Webseitenbetreiber, die nebenher über das Internet Geld verdienen? (Was heute bekanntlich sehr schnell und einfach machbar ist). All diese Leute, haben nun exakt die selben bürokratischen Hürden zu bewältigen, wie Großkonzerne wie Facebook oder Google. Die jedoch können sich`s mit einer Armada von Anwälten richten. Und so wie es derzeit aussieht, legen sie die Regeln der DSGVO auch außerordentlich großzügig aus… Das wiederum rief um exakt 01.26h des 25.05.2018 den Datenschutz-Aktivisten Max Schrems (Noyb) auf den Plan, welcher als erster Österreicher nach in Kraft treten der DSGVO eine Anzeige bei der österreichischen Datenschutzbehörde gegen Facebook, WhatsApp und Instagram platzierte.
Seit dem 25.5 sind bei der österreichischen Datenschutzbehörde, laut Auskunft eines hochrangigen Mitarbeiters 721 Beschwerden, davon 473 aus dem Inland und 248 grenzüberschreitend, eingegangen. Weiters gingen 252 Meldungen über die Verletzung des Schutzes personenbezogener Daten ein. Aktuell laufen 115 Verwaltungsstrafverfahren. Bußgelder hat es (so wie übrigens auch in Deutschland) keine gegeben. Das ist der Stand mit 02.September 2018, 100 Tage nach Inkrafttreten der DSGVO, aus der Sicht der Datenschutzbehörden. Was den Personalstand der österreichischen Datenschutzbehörde angeht, soll es nach mir vorliegenden Informationen ziemlich bitter aussehen. Ursprünglich war im April dieses Jahres noch von einer Aufstockung von 16 Mitarbeitern die Rede. Tatsächlich wurden (netto) ganze drei neue Planstellen besetzt…
Und wie sieht die Sache aus der Sicht der Konsumenten aus?
Vor allem macht sich die DSGVO im täglichen Umgang mit dem Internet bemerkbar. Nervige Cookiebanner, deren Text man kaum mehr bewusst liest, Hauptsache der Störfaktor wird möglichst schnell aus dem Sichtfeld weggeklickt. Und wie siehts mit dem Spamaufkommen aus? Tendenz steigend, nur das die Server der Absender halt jetzt vermehrt im EU Ausland stehen. Auch ansonsten hört man aus dem privaten Umfeld primär negatives. Gesichter von Kindern, werden auf Fotos einer Kindergartenveranstaltung geschwärzt, aus Angst vor der DSGVO. Das dieses gerne zum Clickbaiting mißbrauchte Ereignis, wohl eher in den Bereich der DSGVO-Panikmache fällt, versteht sich von selbst. Aber fairerweise muss man auch sagen: Nicht alles was unter „Panikmache“ eingereiht wurde, war dann auch eine solche. Vielmehr ist es bittere Realität das auch tausende Webseiten, Foren und private Blogs ihre Internetpräsenz eingestellt haben, weil die Webseitenbetreiber sich dem Druck der DSGVO nicht stellen konnten. Oder wollten. Dies hat aber auch damit zu tun, dass keiner der verantwortlichen EU-Politiker ihr Vorhaben klar und deutlich nach außen hin kommunizierte. Es fand schlichtweg keine Information darüber statt und genau aus diesem Grund setzte auch erst unmittelbar vor dem Stichtag 25.05 die große Panik bei den meisten Unternehmen ein. Am großartigsten waren aber die Klugscheisser in diversen Foren und Facebookgruppen, die uns dann darüber belehren wollten, dass man ja „eh zwei Jahre Vorbereitungszeit hatte“. Abgesehen davon, dass keine massenwirksame Kommunikation und Aufkärung seitens der verantwortlichen EU Parlamentarier stattgefunden hat, scheinen diese neunmalklugen Wichtigtuer auch noch andere Dinge übersehen zu haben. Zum Beispiel, dass es bis vor kurzen mit den meisten Firmen noch gar keine Möglichkeit gab Auftragsverarbeitungsverträge abzuschließen. Die Anpassungen passierten hier teilweise buchstäblich in letzter Minute.
Und dann hatte ich mit einem Freund vor einigen Wochen noch ein Erlebnis der bemerkenswerten Art. Dieser hat nichts anderes gemacht, als sein Auto anzumelden und durfte die daraufhin erfolgte, auf Papier ausgedruckte, ca. 10 seitige Datenschutzerklärung unterzeichnen. (10 Seiten klingt vielleicht nicht viel, aber lesen sie das mal!) Das er sich den Roman nicht angetan hat, darf nicht weiter verwundern. Aber zumindest wurde uns klar, dass für diese „noble Idee“ eines EU weiten „funktionierenden“ Datenschutzes, eine Menge Bäume dran glauben mussten… Ob das so im Sinne des aus der grünen Partei stammenden, „geistigen Vaters“ der DSGVO war? Ich wage es zu bezweifeln…
Ach ja. Und dann gibt es noch vereinzelt lustige Erlebnisse mit Befürwortern der DSGVO. So hatte ich beispielsweise vor einiger Zeit, eine Diskussion mit jemanden, der es jetzt ja „so super findet“, dass er auf Veranstaltungen nicht einfach mehr so fotografiert werden kann. Ganz abgesehen jetzt mal, von einem bestehenden KUG (wobei noch nicht in letzter Konsequenz geklärt ist, wo dieses tatsächlich innerhalb der DSGVO anwendbar ist), hat der gute Mann offenbar aber übersehen, dass die DSGVO auch für ihn selbst gilt. Auf seiner Webseite finden sich zwar alle möglichen Tracker, aber keine Datenschutzerklärung (die übrigens schon vor der DSGVO verpflichtend war). Und das ist kein Einzelfall… Offensichtlich glauben viele Leute nach wie vor, die DSGVO gelte nur für die bösen, bösen amerikanischen Konzerne.
Trotzdem gibt es da noch die andere Seite. Denn auch wenn sich dieses Fazit bislang nicht sehr positiv liest, bleibt dennoch eine Erkenntnis, über die sich die meisten einig sind. Ja, es gibt so etwas wie Datenmissbrauch und er findet tagtäglich statt. Und im Zuge der DSGVO, haben sich bestimmt viele Leute vermehrt über das Thema Datenschutz ihre Gedanken gemacht. Und möglicherweise dabei festgestellt, dass Facebook, Google und Co, eben doch wesentlich mehr Daten über einen sammeln, als wir bislang wussten. Ich persönlich finde die Schaffung von Transparenz gegenüber dem Konsumenten eine grundsätzlich sinnvolle Angelegenheit. Alles über einen Kamm zu scheren, war halt vielleicht nicht ganz so optimal. Nach wie vor frage ich mich auch, inwiefern eine IP Adresse (für sich alleine stehend) zur konkreten Identifikation einer Person führen soll? Zu einem Anschluß ja. Aber direkt zur Person? Ein deutsches (eh klor) Gericht hat dies jedenfalls so gesehen und somit war diese Ansicht schon im alten BDSG Bestandteil und wurde logischerweise auch in die DSGVO mitübernommen. Fragwürdig auch, dass über den Kamm scheren von Kleinstunternehmen und Großkonzernen, die nun wirklich ALLE Verarbeitungsverzeichnisse führen müssen. Da im tagtäglich Umgang mit dem Internet praktisch jeder Unternehmer IP Adressen über seine Webseiten/Blogs verarbeitet, wird es schon alleine aus diesem Grund kaum Ausnahmen in der Verpflichtung geben.
Fazit: Es wird wohl noch einiges passieren müssen, um die DSGVO realistisch an die Alltagsgegebenheiten anzupassen. Erreicht hat man zumindest, dass sich betroffene Personen, Unternehmen, Vereine etc. aktiver als früher mit dem Thema Datenschutz auseinandersetzen. Dies aber auch wohl nur deshalb, weil die Androhung drakonischer Strafen im Raum stand. Das man damit alleine keine Haltung bzw Einstellung verändern kann, sollte schon von der Psychologie her klar sein. Zumindest ist sicher, dass durch die DSGVO gute 10 Jahre Rechtsunsicherheit geschaffen wurden. Die möglichen Folgen für die Wirtschaft sind aktuell noch nicht abzusehen. Nicht nur Facebook, sondern auch kleinere und mittlere Unternehmen berichten, dass sie durch die DGSVO beträchtliche Umsatzeinbußen hinnehmen müssten. Einige Unternehmer bestätigten mir, dass sich dies negativ auf die Personalpolitik auswirken werde. Aber zumindest hat der Berufsstand der Datenschützer und IT Sicherheitsexperten jetzt Hochkonjunktur. Irgendjemand muss ja auch innerhalb der EU wirklich davon profitieren.
