Inhalt
Ein Blick zurück
Vor etwas mehr als drei Monaten ist die Datenschutzgrundverordnung (DSGVO) verbindlich eingeführt geworden. Was wurden nicht für Horrorszenarien an die Wand gemalt! Abmahnungen würden reihenweise Existenzen vernichten und Bußgelder in Millionenhöhe bei kleinsten Verstößen drohen. Was ist von dieser Hysterie geblieben? Das möchte ich im Folgenden analysieren.
Die Abmahnwelle
Juristisch ist noch nicht einmal geklärt, ob eine Abmahnung wegen eines Datenschutzverstoßes zulässig ist. Es ist daher nicht verwunderlich, dass von der angekündigten Abmahnwelle nicht viel übrig geblieben ist. Von den vereinzelten Abmahnungen, die im Netz kursierten, haben sich fast alle als unseriös herausgestellt. Besonders perfide waren die Abmahnungen der Augsburger Kanzlei von Orhan Aykac. Dieser hat mutmaßlich ein Mandat erfunden, um abzukassieren. Ein solches Geschäftsgebaren könnte auch strafrechtliche Folgen haben.
Nachgelegt hat Rechtsanwalt Aykac mit bundesweiten Abmahnungen von Friseurgeschäften im Auftrag eines Beauty-Salons aus Hamburg. Für die Betroffenen lohnt es sich sicher, aufgrund der Vorgeschichte von Aykac die Legitimation des Handels näher zu prüfen. Insbesondere stellt sich die Frage, inwiefern ein Friseurin aus Hamburg im Wettbewerbsverhältnis mit Berufskollegen aus weit entfernten Städten steht. Es würde mich nicht wundern, wenn sich die Abmahnungen auch hier in Luft auflösen.
Eine zirkusreife Nummer legte Rechtsanwalt Gereon Sandhage hin. Er „erbittet“ für einen Mandanten ein Schmerzensgeld von 12500€, weil dieser auf einer unverschlüsselten Website ein Kontaktformular ausfüllen musste. Grundsätzlich ist dazu anzumerken, dass es sich unzweifelhaft um einen Datenschutzverstoß handelt, wenn personenbezogenen Daten ohne SSL-Verschlüsselung übermittelt werden. Daraus einen immateriellen Schaden zu konstruieren, dafür bedarf es aber schon einer abstrusen Phantasie. Popcorn für die weiteren Auftritte von Rechtsanwalt Sandhage, der in der Vergangenheit bereits mehrfach durch rechtsmissbräuchliche Abmahnungen aufgefallen ist, sollte jedenfalls reichlich bereit gestellt werden.
Die Datenschutzbehörden
Mit der DSGVO sind nicht nur die meisten Unternehmen überfordert, sondern auch die Datenschutzbehörden selbst. Dies gilt nicht nur personell – die Eingaben sind um ein Vielfaches gestiegen -, sondern auch auf inhaltlicher Ebene. In vielen Detailfragen der Verordnung gibt es noch erheblichen Klärungsbedarf, so dass es nicht verwundert, je nach Bundesland unterschiedliche Antworten von der zuständigen Behörde zu erhalten. Die Reaktionen auf meine eigenen Anfragen waren mehr als ernüchternd. Am 19. Juni diesen Jahres kontaktierte ich die Landesbeauftragten für den Datenschutz in Sachsen-Anhalt sowie Brandenburg hinsichtlich einer konkreten datenschutzrechtlichen Problematik. Aus Sachsen-Anhalt erhielt ich eine lapidaren Hinweis auf die jährlichen Tätigkeitsberichte. Brandenburg hielt es auch nach elf Wochen nicht für nötig, eine Antwort zu verfassen.
Schlimmer noch: In Sachsen-Anhalt verunsichert der Landesbeauftragte für den Datenschutz Kulturbetriebe und anderer Institutionen zusätzlich, in denen er ihnen dringend anrät, ihre Social-Media-Aktivitäten aus datenschutzrechtlichen Gründen einzustellen. Dieser Empfehlung ist nur ein ganz geringer Bruchteil gefolgt – für diese könnte das aber weitreichende Folgen haben. Insbesondere scheinen aber die eigenen Behörden und die Regierung des Landes keinerlei Notiz von den datenschutzrechtlichen Bedenken zu nehmen. Mir ist nicht bekannt, dass hier auch nur eine Behörde ihre Accounts bei Facebook und Co geschlossen hätte.
Bedenklich ist bei diesem Vorgehen vor allem, dass die Landesdatenschutzbehörden ihren Empfehlungen zum Teil selbst nicht nachkommen. Die Datenschutzkonferenz des Bundes und der Länder hat ein Positionspapier veröffentlicht, wonach beispielsweise Tracking-Cookies generell nur noch per Opt-in-Verfahren zulässig sein sollen. In Sachsen-Anhalt ist man diesem mitverfassten Positionspapier nicht gefolgt. Auf der eigenen Website wird noch heute fleißig getrackt und das nicht nur ohne Opt-in, sondern sogar ohne das unstrittig notwendige Opt-out. Das hat mich veranlasst, den Landesdatenschutzbehörden in dieser Hinsicht mal genauer auf die Finger zu schauen.
Das Ergebnis: Im Wesentlichen sind die Behörden hinsichtlich des Trackings gut aufgestellt, lediglich bei dreien gibt es Anmerkungen:
- Bayern: Tracking mit Matomo (ehemals Piwik) mit Opt-out
- Niedersachsen: Tracking mit Matomo (ehemals Piwik) mit Opt-out
- Sachsen-Anhalt: Tracking mit Matomo (ehemals Piwik) ohne Opt-out
Nähere Erläuterungen zum Tracking und vor allem zur rechtlichen Würdigung der Vorgaben der Landesdatenschutzbehörden finden sich in meinem Leitfaden zur DSGVO.
Die Kulturszene und die Blogosphäre
Nicht nur durch die obigen Beispiele aus Sachsen-Anhalt habe ich das Gefühl, dass Kulturinstitutionen mit den neuen Anforderungen des Datenschutzes weitgehend überfordert sind oder diese einfach ignorieren. Regelmäßig stoße ich auf Websites von Museen, die selbst grundlegendste Vorgaben missachten. Beliebt ist vor allem das Vorhalten von Formularen auf der Website in Kombination mit einer fehlenden SSL-Verschlüsselung – eine Konstellation, die bereits vor der DSGVO eine eklatanten Verstoß gegen den Datenschutz darstellte, weil hierbei personenbezogene Daten ohne Schutzmechanismen durchs Netz geschickt werden. Nur am Rande: Selbst Spiegel Online scheint es derzeit nicht für nötig zu halten, trotz Kontaktformular eine SSL-Verschlüsselung zu implementieren.
Wirklich erstaunt hat mich dabei, dass es nicht nur die kleinen Häuser sind, die hier bedenkliche Defizite aufweisen, sondern auch große Museen, deren Webauftritt von teuren Webagenturen erstellt wurden. Dezente Hinweise, dass dringend Handlungsbedarf besteht, wurden entweder ignoriert und in einem Fall sogar fehlerhaft korrigiert. Eine große Hamburger Stiftung treibt es hierbei auf die Spitze, indem sie ihre nur wenige Monate alte Webseite gleich ganz ohne Datenschutzerklärung ins Netz stellt. Und da sind nur die Beispiele, über die ich zufällig stolpere. Eine genauere Analyse würde wahrscheinlich ein erschreckendes Ausmaß an eklatanten Datenschutzverstößen aufzeigen.
Besonders hart waren übrigens die Folgen der DSGVO in der Blogosphäre. Enno Park hat allein in den Tagen bis kurz nach dem Inkrafttreten der DSGVO über 300 Blogs gezählt, die aus Überforderung und Angst vor unvorhersehbaren Folgen bei Verstößen gegen den Datenschutz geschlossen haben. Dadurch verliert das Internet einen Teil seiner Meinungsvielfalt. Das Blogsterben ist Realität und einer von vielen durch die Macher der DSGVO nicht vorhergesehenen Kollateralschäden!
Die Schulen und Kitas
Skurril muten auch einige Auswüchse der DSGVO an Schulen und Kitas an. Da ist zunächst die Grundschule, an der Lehrer wieder dazu übergehen, Zeugnisse handschriftlich zu erstellen, weil sie befürchten, auf dem heimischen Rechner dem Datenschutz nicht entsprechen zu können. Eine andere Schule verbietet generell das Fotografieren bei einem Schulfest und eine Kita schwärzt aus Verunsicherung die Erinnerungsalben der Kinder. Letzteres war nicht nur vollkommen überzogen, sondern auch sinnlos, wie Rechtsanwalt Christian Solmecke erläutert. Die Schüler sind nämlich auch mit Balken für Familienmitglieder und Freunde identifizierbar. Matthias Wurm von eRecht24 beschreibt anschaulich, wie man sich an Kitas und Schulen trotz DSGVO richtig verhält, ohne das soziale Leben lahm zu legen.
Das Fazit
Die mit der DSGVO entstandene Panik war – wenig überraschend – weitgehend unbegründet. Einige Steine haben sich die Menschen mit ihren Kurzschlussreaktionen selbst in den Weg gelegt. Was bleibt, ist ein bürokratisches Monster, deren Umsetzung gerade für die kleinen Betriebe sehr hohe Hürden mit sich bringt, deren Nutzen aber umstritten ist. Große Institutionen scheren sich wie auch vor der DSGVO meist gar nicht um den Datenschutz. Im Zweifel erledigt das die Rechtsabteilung.
Zwar ist die Öffentlichkeit einerseits für die Thematik Datenschutz nun stärker sensibilisiert, in der Praxis scheint sich aber der Effekt gerade umzukehren. Sehr häufig konnte ich lesen, dass die nun fast auf jeder Website zu findenden Cookiehinweise – im Übrigen vielfach unnötig – vermehrt als nervige Klickorgien wahrgenommen werden. Auch ich kann mittlerweile an meinem eigenen Verhalten beobachten, dass ich diese Pop-up-Nachrichten in aller Regel genervt mit einer Zustimmung wegklicke, um endlich an die eigentlichen Inhalte zu gelangen. Der Internetnutzer wird entwöhnt, bewusste datenschutzrechtliche Entscheidungen zu treffen. Überregulierung, wie sie Marlene Hoffmann in ihrem Blogartikel beschreibt, hat die selbst gesteckten Ziele der DSGVO letztlich ad absurdum geführt. Nachbesserungen sind an vielen Stellen dringend notwendig.
Update (22.10.18): Und jetzt wird es nur skurriler! In Wien möchte die Stadt Klingelschilder mit Namen der Mieter entfernen. Davon aufgeschreckt glaubt der Immobilieneigentümerverband Haus & Grund seinen 900 Tausend Mitgliedern dasselbe empfehlen zu müssen. Hat man im eigenen Hause keine Juristen, die diesen Unsinn unterbinden? Datenschützer und Juristen haben in dieser Sache längst Entwarnung gegeben, allein weil es sich hierbei um keine automatische Datenerfassung handelt.
Hallo Damian,
das ist ein wirklich umfassender Überblick, der ziemlich viele Absurditäten zum Vorschein bringt. Ich habe darüber hinaus das Gefühl, dass in anderen europäischen Ländern kaum überhaupt Notiz genommen wurde von diesem Thema. Du hast recht, es wäre sinnvoll, einfache Prioritäten zu setzen: 1) überhaupt eine Datenschutzerklärung auf der Website haben 2) SSL-Verschlüsselung von Kontaktformularen haben. Das wäre ein Fortschritt für die User, die Verwirrung wäre nur halb so groß. Einheitliche Empfehlungen wären sinnvoll. Eine Priorität sollte meiner Meinung nach sein, die Möglichkeiten zur gesellschaftlichen Teilhabe, die das Internet bietet, weiterhin niedrigschwellig zu bewahren. D.h. es muss möglich sein, Social Media-Accounts und Blogs zu betreiben, ohne dass man sich selbst wahnsinnig viele Gedanken zur technischen Einrichtung in Sachen Datenschutz machen muss. Der Druck muss auf die Anbieter dieser Dienste gelegt werden, nicht auf die User.
Viele Grüße,
Marlene
Liebe Marlene, danke für dein positives Feedback. Ob in anderen Ländern weniger Aufhebens um die DSGVO gemacht wird, vermag ich nicht zu beurteilen. Angesichts der deutschen Hangs zur Überregulierung würde es mich aber nicht wundern. Du hast vollkommen Recht damit, dass das Internet gerade in den letzten Monaten und Jahren viel von seinen unbelasteten und daher kreativen Nutzungsmöglichkeiten verloren hat. Unter dem Deckmantel, die Nutzer schützen zu wollen, haben viele Gesetze und Verordnungen genau das Gegenteil bewirkt. Das freie Internet droht uns Stück für Stück abhanden zu kommen.
Ich kann den Erkenntnissen aus dem Artikel nur beipflichten.
Noch im April habe ich bei der rheinland-pfälzischen Datenschutzbehörde eine konkrete Frage gestellt, Wochen später nachgehakt und ja, sie ist eingegangen, aber bis heute, 11.9. habe ich leider keine Antwort erhalten.
Auch ich vermisse liebgewordene Blogs und Webseiten, bei denen ich mir vorstelle, dass sie der DSGVO wegen zu Grabe getragen wurden.
Eine (WordPress)-Webseite konform zu machen, ist, wenn man es ernst nimmt, keine kleine Angelegenheit. Sie hat mich viele viele Stunden und Nächte vor dem 25.5. und zum guten Schluss auch noch ein bisschen Geld für einen Experten gekostet. DSE, AVV, Verarbeitungsverzeichnis – da raucht einem der Kopf. Nachdem ich selbst schon alles über IP-Adressen-Speicherung durch Hoster, gute und „böse“ Plugins, Wp-Emojis, Google Fonts, Test durch Chrome F12, Vermeidung von „mixed content, der sonst das SSL zerschießt usw. usw. gelernt hatte, legte der Experte dann auch noch mal Hand an: Cronjobs für Backups auf dem eigenen Webspace statt bei Dropbox, DNS-Prefetching etc. ). Ich hab in der mich unterstützenden Facebook-Gruppe „WordPress und Datenschutz – mach deine Webseite DSGVO-sicher“ mal sinngemäß geschrieben: DSGVO das ist, also ob du erst Autofahren darfst, wenn du über die chemische Zusammensetzung deines Benzins Bescheid weißt.
Und doch hab ich miterlebt, wie sichtlich Hunderte, wenn nicht Tausende von Hundefriseur-Blog über Yoga-Seite bis Hochzeitsfotografie-Einzelunternehmer-Seitenbetreiber und Vereinsverantwortliche genau diesen Aufwand betrieben haben, unterstützt durch menschenfreundliche IT-Experten, die ihr Wissen mit den blutigen Anfängern geteilt haben.
Und jetzt zu sehen, dass es so gut wie niemanden schert (siehe die von Ihnen angeführten Beispiele), also da fühlt man sich gelinde gesagt, komplett verarscht (sorry, hier bedurfte es jetzt eines krassen Worts.
Vielen Dank für diesen Erfahrungsbericht, Martina. Er zeigt doch, welche negativen Auswirkungen die DSGVO für die Basis des Internets bisher hatte. Spannend auch, dass nicht nur Brandenburg und Sachsen-Anhalt, sondern auch andere Datenschutzbehörden auf Fragen nicht reagieren. Wenn man dann noch dazunimmt, dass man dort teilweise die eigenen Forderungen selbst nicht umsetzt, verwundert es nicht, wenn die Akzeptanz des Datenschutzes bei der Internetgemeinde eher gering ausfällt.
Vielen Dank für den umfassenden Blick auf die ersten 100 Tage DSGVO.
Ernst nehmen sollte man das Thema aber weiterhin – deswegen teile ich nicht, dass die Panik unbegründet war/ist. Im Jahr 2018 ergingen bundesweit bereits 41 Bußgeldbescheide. Nach Informationen der Datenschutzbehörden laufen derzeit eine hohe Anzahl weiterer Bußgeldverfahren (allein beim in Bayern wohl derzeit 85 Bußgeldverfahren) wegen DSGVO-Verstößen. Und das betrifft nicht nur die „Großen“, sondern auch kleine und mittelständische Unternehmen.
2019 scheinen die Behörden nun endgültig ernst zu machen, was Bußgelder und Kontrollen angeht:
https://www.rosepartner.de/blog/das-jahr-der-kontrolle-im-datenschutzrecht-steht-an.html
Vielen Dank für Ihre Einschätzung, Herr Repka. Auch wenn Verstöße gegen die DSGVO in Zukunft vermehrt geahndet werden, gehe ich auch weiterhin davon aus, dass diejenigen, die sich um einen datenschutzkonformen Auftritt bemühen, nichts ins Visier der Datenschützer geraten. Dazu ist die Rechtslage in vielen Detailfragen derart nebulös, dass Gerichte Jahre brauchen werden, um Rechtssicherheit herzustellen. Letzteres ist übrigens die Einschätzung der ehemaligen Bundesdatenschutzbeauftragten Andrea Voßhoff.