Die Datenschutz-Grundverordnung (DSGVO) hat in den vergangenen Wochen und Tagen vielen Menschen E-Mails von Webseitenbetreibern beschert. Zahllose Unternehmen baten die bisherigen Empfänger von Newslettern um ihr erneutes Einverständnis für die Zusendung. Einige von ihnen warben sogar mit Gewinnen für diejenigen, die sich quasi ein zweites Mal anmelden. Webseiten von Vereinen oder Bloggern mit Werbeeinblendungen wurden von teils überforderten Betreibern juristisch wasserdicht gemacht, so gut es eben geht.
Die 99 Artikel der DSGVO betreffen nicht allein große Konzerne, sondern auch alle Institutionen, Vereine oder Selbständige, die personenbezogene Daten verarbeiten. Das beginnt bei der Speicherung von E-Mail-Adressen von Newsletter-Empfängern.
In der Hoffnung, dass Berater ihnen durch die 99 Artikel helfen könnten, nahmen Unternehmer in den vergangenen Wochen dankend jede Visitenkarte entgegen. Die Aufgabe der Berater ist es, die Datenbanken und Sicherheitssysteme so aufzustellen, dass Unternehmer sich beim Öffnen des Briefkastens nicht fürchten müssen. Denn mit neuen Gesetzen steigt auch die Wahrscheinlichkeit von Abmahnungen, die klassischerweise von Anwaltskanzleien per Post versendet werden.
In die weitreichende Unkenntnis über die juristischen Anforderungen und die etwaigen Konsequenzen mischt sich bei Unternehmern wie Vereinsvorständen die Erinnerung an Erzählungen aus dem Reich der Abmahnanwälte, die hohe Summen von Unternehmen fordern. Ein kleiner Fehler im Impressum oder der Beschreibung eines Artikels im Webshop reichten dazu oft aus. Mit der DSGVO ist das Vorgehen ähnlich. Nun können die Datenschutzerklärungen ins Visier der Abmahnanwälte geraten, die dies als Geschäftsmodell betreiben.
Vor allem Schlagzeilen über Abmahnungen von Menschen, die illegal Filme im Internet heruntergeladen haben, sind bis heute im Gedächtnis geblieben. Doch während das eine schon mit klarem Menschenverstand als vermutlich strafbar erkannt werden kann, werden mit der DSGVO Aktivitäten justiziabel, die bisher als eher unkritisch oder nebensächlich empfunden worden sind.
So verlangt die Verordnung zum Beispiel, dass jede Person der Verwendung ihrer personenbezogenen Daten explizit zustimmt. Digital wird das mit einem Häkchen unter der Datenschutzerklärung gelöst. Analog gestaltet sich diese Zustimmung bisweilen schwieriger. Und so passiert es dieser Tage, dass sich bei beruflichen Treffen beide Parteien bei der Überreichung der Visitenkarten gegenseitig mündlich versichern, die Kontaktdaten darauf auch wirklich nutzen zu dürfen.
Es ist eine der kleineren Absurditäten der DSGVO, die nach Einschätzung von Experten nie ein Schreiben einer Kanzlei zur Folge haben würde. Jörg Faustmann ist Rechtsanwalt in Langenfeld und als sogenannter "Abmahnanwalt" für Urheberrechtsverletzungen in Suchmaschinen rasch zu finden.
Im Zusammenhang mit der DSGVO rechnet er jedoch nicht unmittelbar mit dem vermehrten Frankieren unliebsamer Post. "Ich denke nicht, dass Kanzleien oder Behörden kurzfristig ernsthaft agieren werden, wenngleich das Thema natürlich ernst zu nehmen ist", sagt Faustmann, der sich mit rund 100 mündlichen Verfahren im Jahr selbst als "umtriebigen Prozessanwalt" bezeichnet. "Dieses Bild von Abmahnungen wie mit der Gießkanne stimmt so schon länger nicht mehr", sagt Faustmann. Er ist nicht der einzige Anwalt, der der Ansicht ist, dass es für Unternehmen schwierig sein wird, deutlich zu machen, worin exakt der Wettbewerbsnachteil läge, der eine Abmahnung rechtfertige.
Das sollten Sie über die DSGVO wissen
"Ich habe persönlich Zweifel, dass es zu etwas wie einer Abmahnwelle kommt". Dafür bestünde durch die unklare Rechtslage ein zu hohes Risiko für denjenigen, der eine Abmahnung wegen eines vermeintlichen DSGVO-Verstoßes anstrebe. Er rechnet eher mit Musterverfahren, die sich länger ziehen könnten. Erst diese würden dann zeigen, wo in der Praxis die Beanstandungen auch tatsächlich Konsequenzen hätten. Wie bei vielen Gesetzen gehe es bei der DSGVO um „Panikmache“, meint Faustmann. "Gerade die Kanzleien werden das Thema wahrscheinlich erstmal beobachten". Grundsätzlich sei es so, dass Wettbewerber, die einander ärgern wollten, immer etwas fänden. Dafür bräuchten sie keine DSGVO.
Beim Verband Bitkom ist man pessimistischer und rechnet mit einem Anstieg juristischer Auseinandersetzungen. Hauptgeschäftsführer Bernhard Rohleder sagt: "Wir rechnen damit, dass es nach dem 25. Mai sehr viel mehr Abmahnungen zu Datenschutzverstößen geben wird. Dem Vernehmen nach haben sich verschiedene potenzielle Abmahner bereits zusammengeschlossen und auch die Musteranschreiben dafür liegen vorbereitet in den Schubladen."
Kurz & knapp: Die Grundsätze der DSGVO
"Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.
Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.
Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.
Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.
Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.
Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen - sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.
Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.
Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.
Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme.
Es sei vor allem der Gesetzestext selbst, der diese Sorge begründe. "Die Datenschutz-Grundverordnung ist in vielen Punkten vage formuliert und macht Vorgaben, die gerade von Selbständigen und Mittelständlern kaum umzusetzen sind und an der unternehmerischen Praxis vorbeigehen. Profiteure sind weniger die Verbraucher als vielmehr Anwälte, die aus der allgemeinen Verunsicherung ein Geschäft machen", meint Rohleder.
Datenschutz-Experten rechnen hingegen zunächst mit wenigen juristischen Gefechten, denn für viele der vermeintlichen Vergehen fehlten Urteile. Für den Justiziar und Leiter der Abteilung Recht und Regulierung beim Bundesverband Digitale Wirtschaft (BVDW), Michael Neuber, bestehen noch mehr Fragen als Antworten, die er in der Zeitschrift für Datenschutz im Editorial aufwirft und mit den Worten schließt: "Solange diese elementaren Fragen nicht beantwortet sind, ist Rechtssicherheit im Datenschutz für die digitale Wirtschaft nicht realistisch erlangbar."
Das Jahr hat es also in sich. Der 25. Mai. 2018 ist nur der Startpunkt einer langen Reise zur Erkenntnis, die hoffentlich nicht erst kommt, wenn es für einen vielfältigen digitalen Binnenmarkt zu spät ist. Ob im Einzelfall jedes angemahnte Fehlverhalten – wie die Verwendung von Visitenkarten ohne schriftliche Zustimmung – überhaupt eines ist, muss die Zeit zeigen. Die Justiziarin der Verbraucherzentralen in NRW, Christine Steffen, sagt: "Ob eine Abmahnwelle droht, können wir auch nicht voraussagen." Sie beruhigt zumindest schon mal alle Betreiber einer privaten Webseite. "Rein private Blogbetreiber brauchen sich grundsätzlich nicht zu sorgen, denn die DSGVO gilt nicht für die rein persönliche oder familiäre Datenverarbeitung", sagt Steffen. Erst mit der Einbindung von Werbung oder Social-Plug-Ins sei auch ein Orchideenzüchter mit eigener Webseite in der Pflicht, die eigene Webseite auf Konformität mit dem Datenschutz zu überprüfen.
