Eine Woche DSGVO: Der Start hätte sinnvoller geplant sein können
Karl Fröhlich Vor einer Woche ging die DSGVO (Datenschutz-Grundverordnung) an den Start bzw. in die Umsetzung. Zu sagen es ist nicht viel passiert, stimmt natürlich nicht, letzten Endes geht es einfach erstmal weiter. Oder?
Fangen wir an der eigenen Haustüre an: Der Storage-Newsletter vom 25. Mai geht als einer der erfolgreichsten in die speicherguide.de-Annalen ein. Die Aufrufzahlen lagen rund drei Mal höher als unser normaler Durchschnitt. Dass der Doc Storage mit seinem Rant zur DSGVO auf großes Interesse stoßen würde, war vorhersehbar. Überraschenderweise hat meine Rechtfertigung darüber, wie wir die DSGVO handhaben den Doc sogar noch knapp übertroffen. Sogar die Datenschutzerklärung wurde mehr als 80 Mal aufgerufen, obwohl ich geschrieben hatte, »die wollen Sie nicht lesen…«.
Im Newsletter-Editorial hatte ich bewusst einen humorigen Ton angeschlagen, zu sehr hat die neue Verordnung mit all den sinnlosen E-Mails, Anfragen und Angeboten uns alle genervt. Da ITler generell auch Science-Fiction-affin sind, fand ich auch den Bezug zu Men in Black (geblitzdingst) witzig. Ich behaupte, das kam insgesamt gut an. Ausnahmen bestätigen die Regel: Ein, zwei Anrufer haben sich bei unserem Newsletter-Dienstleister über den saloppen Ton meines Geschreibsels mokiert. Ich sehe es positiv, die Betroffenen haben mein Edi gelesen und sich damit auseinander gesetzt… 😉
Angesichts des DSGVO-Wahnsinns wurde auch bei uns die Abmelderate mit Spannung erwartet. Normalerweise ist unsere Storno-Quote verschwindend. Pro Aussendung verlieren wir maximal zehn Abonnenten (eher weniger). Diesmal waren es 56 – in Summe eine Verfünffachung, die natürlich diskutiert werden musste. Aus der Erfahrung kann ich aber sagen, es ist durchaus gängige Praxis, dass sich Abonnenten bei einem bevorstehenden Jobwechsel abmelden (lassen) und kurze Zeit später mit einer neuen Mail zurückkehren. Dass die Stornorate höher sein würde, war abzusehen. Interessant wird sein, wie es weitergeht, immerhin befanden sich viele in den Pfingstferien.
DSGVO verändert die Webnutzung
Kaum live trudelten auch schon die ersten skurrilen Fälle ein. Einige amerikanische Nachrichtenportale sperren europäische Nutzer aus oder verlangen einen horrenden Aufpreis. Einige Blogger haben ihre Webseiten deaktiviert, Bosch hat vorrübergehend seine Heimwerker-Community 1-2-do.com abgeschaltet und in der Tagesschau wird von zurückgetretenen Vereinsvorständen berichtet. Die Erzdiözese Freiburg sendet bis auf weiteres keinen Livestream mehr von Gottesdiensten.
Persönlich bedauerlich finde ich, dass sich Denic.de nicht mehr wie gewohnt nutzen lässt. Bisher konnte man sich relativ einfach darüber informieren, auf wen eine Webseite registriert ist. Dies ist nun nicht mehr möglich, zumindest nicht einfach so.
Erste Abmahnungen schon nach wenigen Stunden
Eine regelrechte Abmahnwelle befürchteten Webseitenbetreiber. Bisher sind nur einige wenige, zweifelhafte Fälle publik geworden. Bei den Kollegen von Meedia erklärte Jurist Hajo Rauschhofer im Interview, dass »Massenabmahner schnell am virtuellen Pranger« stehen könnten. Und so kam es dann auch: Die Anwaltskanzlei Weiß & Partner nimmt sich die Abmahnung von Erich Andreas Speck Dienstleistungen gegen einen Mittbewerber vor und auch der Rechtsanwalt des Klägers, Orhan Aykac, wird nicht verschont. Der Abgemahnte selbst wird nicht genannt. Sehr gut. Ich drösle den Fall jetzt hier nicht noch mal auf, lest einfach drüben auf Ratgeberrecht.eu. Nur so viel, es ging um eine fehlende Datenschutzerklärung. Wenn Ihr mich fragt, das ist beides bescheuert.
Eine fehlende Datenschutzerklärung war auch vor dem 25. Mai schon nicht richtig, deswegen eine Abmahnung auszusprechen hinterlässt schon einen sehr faden Beigeschmack. Zumal die die Firma Speck Dienstleistungen scheinbar keine eigene Webseite unterhält (Stand: 1. Juni 2018) und der Rechtsanwalt des Klägers in seiner Datenschutzerklärung, für mein dafürhalten den Generator der DGD verwendet, dies aber nicht entsprechend verlinkt.
Eine Abmahnung am 1. Tag der Geltung ist übrigens nicht rechtens. Man muss dem Markteilnehmer eine Umstellfrist gewähren. »Eine sofortige Abmahnung nach Änderung der gesetzlichen Lage ist unzulässig«, schreibt Rechtsanwalt Matthias Hechler auf abmahnuns-abwer.de.
Denkbar schlechter Start für die DSGVO
Nun finde ich es persönlich gut, dass dem Schutz der eigenen Daten mehr Gewicht eingeräumt wurde. Über das Wie kann man freilich streiten. Ich halte es mit dem Twitter-Nutzer @wortwart: »Die Botschaft, die die #DSGVO eindrücklich vermittelt hat: Datenschutz nervt, kostet, ist bürokratisch, erhöht Rechtsunsicherheit, schwächt die Kleinen im Web, nützt praktisch nichts. Ein Debakel für alle Datenschützer.«
Zumindest ist dies nun das Bild, dass sich in den Köpfen einer breiten Masse festgesetzt hat. Das Gegenargument: Immerhin hätte man zwei Jahre Zeit gehabt, die Verordnung zu studieren und Maßnahmen zu ergreifen. Das ist sicher auch richtig. Allerdings konnten selbst Datenschutzprofis im ersten Jahr nichts unternehmen, weil vieles sehr vage formuliert ist und es keine Anhaltspunkte gab, was die Behörden genau erwarten. Und vieles ist immer noch unklar bzw. wird von Bund und Ländern unterschiedlich gehandhabt.
Das Problem ist, dass vor allem kleine Unternehmer die DSGVO schlicht ignoriert haben: »Was, das betrifft mich auch?«, »DSGVO, nie gehört!«… In der IT-Branche konnten wir uns dem Thema kaum entziehen, aber ich habe schon Verständnis, wenn eine kleine Pension in der Provinz oder ein Handwerksbetrieb mit zehn bis 20 Mitarbeitern das nicht mitbekommt. Hinzukommt, dass eigentlich alle professionelle Unterstützung benötigen, auch wenn man selbst keinen Datenschutzbeauftragten stellen muss. Das Verfahrensverzeichnis ist kein Hexenwerk, aber auch nicht direkt von Jedermann fehlerfrei zu erstellen.
Hinzukommt die Erfüllung der DSGVO-Informationsflicht. Das heißt, selbst bei einem Visitenkartenaustausch, müsste man korrekterweise eine Datenschutzerklärung dazu reichen (siehe Video von Christian Solmecke von der Kanzlei WBS). Ich empfehle hier die Link-Lösung des Rechtsanwalts Stephan Hansen-Oest. Diese beleuchten wir hier eingehender.
DSGVO: Ratlosigkeit in Kleinbetrieben
Update: Weil ich es parallel erlebe, die DSGVO sorgt für Verunsicherung und Ratlosigkeit. Vor ein paar Wochen war ich zu Gast in einem kleinen Hotel und direkt gesehen, die haben keine Datenschutzerklärung. Ich hatte die Besitzerin noch rechtzeitig informiert, dass sie hier nachbessern müssten. Die war auch ganz glücklich darüber, weil aber keiner im Haus entsprechende Änderungen an der Webseite vornehmen konnte, wurde der Webauftritt vorsorglich abgeschaltet. Da habe ich nun fast ein schlechtes Gewissen.
Ein Handwerksbetrieb ist sich unsicher, ob er einen Datenschutzbeauftragten stellen muss. Mit dem zehnten Mitarbeiter, der personenbezogene Daten verarbeitet, klingt in der Praxis einfacher als Gedacht. Ein Monteur, der eine Adresse genannt bekommt, um dort seine Arbeit zu verrichten, verarbeitet noch keine Daten. Was aber, wenn die Monteure aktiv draußen beim Kunden Services verkaufen und eventuell vor Ort sogar einen Auftrag ausstellen?
Was auch gerne missachtet wird: Wer keinen DSB benennen muss, ist nicht von den Anforderungen der DSGVO entbunden. Verfahrensverzeichnisse sowie technische und organisatorische Maßnahmen müssen trotzdem geführt werden.
Der Datenschutz war zwar bei uns schon länger ein Thema, wird künftig aber noch intensiver hier behandelt. Ich plane vorerst wöchentliche Beiträge und überlege, ob ich nicht einen Datenschutz-Newsletter einführen sollte. Was meint Ihr und wie sind Eure/Ihre Erfahrungen mit der DSGVO?