Interview: IT-Fachanwalt Michael Weber über die EU-Datenschutz-Grundverordnung / Gefahr von Abmahnungen besteht
Über Fluch und Segen der neuen EU-Datenschutzgrundverordnung, die am Freitag, 25. Mai, allgemeinverbindlich wird, sprachen wir mit dem IT-Fachanwalt Michael Weber, Rastatt.
Kreis Lörrach. Weber war Referent bei der Informationsveranstaltung über die DSGVO, die kürzlich im Innocel Lörrach stattfand. Die Fragen stellte Jörg Bertsch.
Frage: Fangen wir mit den positiven Seiten der DSGVO an, die in den nächsten Tagen allgemeinverbindlich wird. Was verbessert sich grundsätzlich für den Verbraucher?
Insgesamt soll der Verbraucher wieder Herr über seine Daten werden. Dazu sollen Verbraucher genau informiert werden, wer welche Daten zu welchem Zweck erhebt und an wen diese Daten weitergegeben werden. Darüber hinaus wurden die Rechte der Verbraucher im Hinblick auf bereits erhobene Daten verbessert. So wurde insbesondere das Recht auf Vergessenwerden in die DSGVO aufgenommen.
Frage: Gibt es Verbesserungen zum Beispiel für den Kunden von Amazon oder den Nutzer von Google, der bloß arglos ein Buch kaufen oder eine Ferienunterkunft „googeln“ will? Oder konnten sich diese Firmen schon vorweg dagegen absichern, dass sie datenschutzmäßig irgendwelche Federn lassen müssen? Prof. Alexander Roßnagel von der Uni Kassel, sagt (laut Wikipedia) rundheraus, die DSGVO ignoriere alle modernen Herausforderungen für den Datenschutz wie Soziale Netzwerke, Suchmaschinen etc.
Mit der DSGVO und ihren drastisch erhöhten Bußgeldrahmen haben die europäischen Behörden nun immerhin ein Werkzeug an der Hand, um Datenschutzskandale wie den um Cambridge Analytica angemessen zu ahnden. Vermeiden können wird die DSGVO diese Datenlecks aber nicht. Es ist zu hoffen, dass sich auch bei den Branchenriesen nun ein Umdenken hinsichtlich des Umgangs mit den Daten der Nutzer einstellt.
Erste Anzeichen hierfür gibt es schon. So hat beispielsweise Google bereits die Datenschutzeinstellungen abgeändert und gibt Nutzern damit die Möglichkeit, die gesammelten Daten einzuschränken und auch selbst zu bestimmen, ob die eingeblendete Werbung auf das Nutzungsverhalten abgestimmt wird. Ob damit insgesamt dem ausufernden Datensammeln der Internetriesen Einhalt geboten werden kann, bleibt abzuwarten. Hierzu müssten die Aufsichtsbehörden personell und finanziell so aufgestellt werden, dass sie Google & Co. Einhalt gebieten können. Dies scheint bislang leider noch nicht der Fall zu sein.
Frage: Kleinere Unternehmen oder Vereine, die von der DSGVO betroffen sind, aber keine großen personellen und finanziellen Ressourcen haben, sind stark verunsichert. Man fühlt sich überfordert und fürchtet, sich in aller Arglosigkeit einen dicken Bußgeldbescheid einzuhandeln…
In der Tat ist ein großes Manko der DSGVO, dass sie weitestgehend für Organisationen jeder Größe gilt. Selbst kleine Vereine müssen daher weitestgehend die gleichen Anforderungen erfüllen, wie die genannten Großunternehmen. Hierzu sehen sich insbesondere kleine Unternehmen aufgrund des enormen Umstellungsaufwandes kaum in der Lage. Auch ihnen drohen aber empfindliche Bußgelder, wenn die DSGVO nicht umgesetzt wird. Sie kommen nicht umhin, sich mit dem Thema zu beschäftigen und zumindest die dringlichsten Maßnahmen wie die Absicherung der bereits vorhandenen Daten anzugehen.
Frage: … oder einen noch dickeren Abmahnbrief. Wie beurteilen Sie die vielfach gehegte Befürchtung, dass es zu Massenabmahnwellen kommen könnte?
Diese Gefahr besteht durchaus. Wurde die Datenschutzerklärung nicht angepasst oder die verschlüsselte Kommunikation beim Kontaktformular nicht eingerichtet, so ist dies für Konkurrenten und Abmahnvereine leicht feststellbar. Auch dürfte auf Seiten der Abmahnindustrie ein erhebliches wirtschaftliches Interesse an einer solchen Abmahnwelle bestehen. Ich persönlich schätze die Gefahr von Massenabmahnungen daher als sehr hoch ein. Es ist also unerlässlich, die öffentlich sichtbaren Maßnahmen anzugehen und insbesondere die Website unverzüglich datenschutzkonform auszugestalten.
Frage: Was raten Sie jemandem, der doch von einer Abmahnung betroffen wird?
Zunächst gilt es zu überprüfen, ob überhaupt ein Datenschutzverstoß vorliegt. So ist bereits jetzt unter Datenschutzexperten vieles umstritten, z.B. wie detailliert die Informationen nach der DSGVO erteilt werden müssen. Bei manch einem vermeintlichen Datenschutzverstoß wird sich im Nachhinein herausstellen, dass der Betroffene alle Pflichten eingehalten hat. Auf keinen Fall sollte unbesehen eine Unterlassungserklärung unterschrieben werden. Ansonsten drohen im Nachgang hohe Vertragsstrafen, wenn der Verstoß nicht beseitigt wird.
Frage: Ich habe bei den Recherchen zum Thema viele Leitfäden und Anleitungen zum Thema DSGVO gelesen, die sich an Unternehmen und Vereine wenden. Sie sind alle gut gemeint, aber trotzdem schrecklich kompliziert. Sehe ich recht, dass derjenige, der nichts falsch machen will, bei Licht betrachtet nicht um eine individuelle Rechtsberatung herumkommt?
Es wird sich sicher auszahlen, sich bei der Umsetzung der DSGVO professionelle Hilfe zu holen. Zunächst muss erst einmal geklärt werden, bei welchen Prozessen Daten verarbeitet werden. Bereits hierzu sind die meisten Unternehmen auf Ihren IT-Dienstleister angewiesen, da sie selbst keinen Einblick haben, welche Daten die einzelnen Programme speichern. Außerdem kann es durchaus von Vorteil sein, einen externen Datenschutzbeauftragten zu bestellen, auch wenn das Unternehmen eigentlich keinen bräuchte. Diese unterstützen das Unternehmen dabei, die datenschutzrelevanten Vorgänge zu identifizieren und wenn nötig auf die DSGVO umzustellen. Bei der Gestaltung von Datenschutzerklärungen und Verträgen sollte dringend anwaltlicher Rat eingeholt werden. Diese Erklärungen müssen nämlich die tatsächlich ablaufenden Vorgänge richtig abbilden, ein allgemein gehaltenes Muster hilft nicht weiter.
Frage: Und wenn ja: Gibt es überhaupt genügend Fachleute, die wirklich den Durchblick haben?
In der Tat sind kompetente Fachleute nicht gerade dicht gesät. Außerdem sind derzeit die meisten Berater ausgelastet. Viele Unternehmen finden keine Experten vor Ort und müssen auf Berater im weiteren Umkreis zurückgreifen. Es bleibt zu hoffen, dass ab dem 25. Mai 2018, wenn die meisten Unternehmen ihre Prozesse umgestellt haben, wieder Kapazitäten frei werden.
Frage: Abschließend: Was sagen Sie zu der These: Die DSGVO ist ein typischer Fall von „Gut gemeint ist das Gegenteil von gut gemacht!“ Oder, wie es Professor Thomas Hoeren von der Uni Münster gesagt haben soll: „Die DSGVO ist eines der schlechtesten Gesetze des 21. Jahrhunderts.“
Die DSGVO war ein äußerst ambitioniertes Projekt. Die EU wollte eine einheitliche Regelung für alle Unternehmensformen und –größen, unabhängig vom Standort, der Branche und der eingesetzten Technik. Ein datenschutzrechtliches Allheilmittel, wenn man so will. Und genau hierin liegen die großen Schwächen. Gerade für kleine Unternehmen und Vereine zeigt sich ein ungeheuerlicher bürokratischer Aufwand, da für sie die gleichen Regeln gelten, wie für Großunternehmen. Gleichzeitig finden sich mehrdeutige und ungenaue Formulierungen, sodass sich selbst Experten in vielen Punkten bisher nicht einig sind, welche konkreten Pflichten eigentlich bestehen. Dadurch entsteht eine enorme Unsicherheit. Besonderheiten einzelner Branchen wurden schlicht nicht beachtet. Gerade Fotografen haben größte Schwierigkeiten, ihre Tätigkeit auch in Zukunft noch rechtssicher fortzusetzen. Einem geringfügig höheren Datenschutzniveau steht ein erheblicher bürokratischer Aufwand entgegen. Der große Wurf, den die DSGVO darstellen sollte, ist sie sicher nicht.
