Neuer Datenschutz: "Die ersten Beschwerden sind schon eingereicht"
Seit dem 25. Mai ist die Datenschutzgrundverordnung in Kraft – und mit ihr kam viel Verunsicherung. Susanne Dehmel, für Datenschutz zuständiges Mitglied der Geschäftsleitung beim IT-Verband Bitkom, spricht im TR-Interview über die Auswirkungen.
Dehmel ist seit 2010 beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V., dem Branchenverband der deutschen Informations- und Telekommunikationsbranche, für den Bereich Datenschutz zuständig. Zu den Mitgliedern des Bitkom zählen über 2400 Unternehmen – vom Start-up bis zum Konzern, die Software, Hardware und IT-Dienstleistungen sowie Telekommunikationsprodukte anbieten.
Technology Review: Frau Dehmel, die Datenschutzgrundverordnung ist nun seit wenigen Tagen in Kraft. Ist die Welt untergegangen, wie es manche Vertreter der IT-Branche befürchtet hatten?
Susanne Dehmel: Die Welt steht noch. Aber das Thema wird uns noch eine ganze Weile beschäftigt halten.
Es herrscht – auch bei Normalbürgern – durchaus eine enorme Verunsicherung. So mancher private Blogger oder Forenbetreiber hat wegen der DSGVO seine Seite dicht gemacht, weil rechtliche Konsequenzen für ein mögliches Fehlverhalten befürchtet werden. Wie hätten solche Probleme verhindert werden können?
Das hätte vielleicht vermieden werden können, wenn man für die kleinen Organisationen einige Erleichterungen vorgesehen hätte – das wurde durchaus auch diskutiert im Gesetzgebungsverfahren. Aber da der Fokus mehr auf dem umfassenden Schutz des Betroffenen als auf der Praktikabilität bei der anwendenden Organisation lag, hat man weitgehend davon abgesehen.
Hätte die Bundesregierung, die ja für die Anpassung des deutschen Rechts an die DSGVO zu sorgen hatte, mehr tun müssen?
Die nationalen Gesetzgeber haben bei der Anpassung ihres Rechts an die DSGVO nicht viel Spielraum. Viele Bereiche sind abschließend in der DSGVO geregelt – das hätte man schon im ursprünglichen EU-Gesetzgebungsverfahren richten müssen. Allerdings hätte Deutschland z.B. bei der Bestellung eines betrieblichen Datenschutzbeauftragten noch weitere Ausnahmen oder Erleichterungen vorsehen können. Man hätte auch das Mindestalter für die Einwilligung von 16 auf 13 Jahre herabsetzen können.
Bundeskanzlerin Angela Merkel hat bereits mögliche Änderungen ins Spiel gebracht. Zu spät?
Für einiges, ja. Aber es ist immer noch möglich, z.B. die Verfahrensvorschriften für Bußgeldverfahren zu verbessern oder für einzelne Bereiche weitere Erlaubnistatbestände für bestimmte Verarbeitungen vorzusehen. Außerdem soll die DSGVO 2020 evaluiert werden, da könnte man Vorgaben, die sich gar nicht bewährt haben, noch einmal anpassen.
Sogar erste Abmahnkampagnen gegen Unternehmen scheinen bereits angelaufen. Ist hier mit mehr zu rechnen?
Abmahnungen sind ein ständig währendes Problem gerade für kleine Unternehmen. Die DSGVO eröffnet hier weitere Rüge-Möglichkeiten und alle sind stark verunsichert. Wir gehen davon aus, dass es zu mehr Abmahnungen aufgrund der DSGVO kommen wird.
Selbst wir als Journalisten scheinen von der DSGVO bei unseren Recherchen betroffen zu sein – zumindest wenn man frei arbeitet und im falschen Bundesland lebt. Könnte die Verordnung der Meinungsfreiheit abträglich sein?
Das kann man im Moment noch schwer beantworten. Sicher ist aber, dass es zu Lasten des Informationsangebots geht, wenn verunsicherte Blogger, Fotografen und Gewerbetreibende ihre Webseiten, Fotos und Angebote aus dem Netz nehmen.
Es gab Berichte, wonach selbst die Annahme einer Visitenkarte DSGVO-Konsequenzen hat. Das wirkt alles ziemlich verrückt.
Wir hatten auch schon vorher ein sehr ausziseliertes Datenschutzrecht mit dennoch vielen strittigen Rechtsfragen. Viele haben das aber einfach ignoriert und das hatte keine Konsequenzen. Jetzt sind die Regeln noch etwas strenger und können auch viel höher sanktioniert werden. Außerdem hat der Verantwortliche nun grundsätzlich die Beweislast, dass er alles richtig gemacht hat. Da wird das Auseinanderklaffen der rechtlichen Vorgaben und der tatsächlich üblichen und oft sinnvollen Verhaltensweisen auf einmal viel dramatischer deutlich.
Manch Zyniker meint, Sinn und Zweck der DSGVO sei, Nutzern ein schlechtes Bild des Datenschutzes zu vermitteln – eines der Überregulierung, bei dem die eigentlichen Datenkraken unbehelligt bleiben. Wie schief ist dieses Bild?
Ich glaube schon, dass die Macher der DSGVO den Datenschutz tatsächlich verbessern wollten. Allerdings ist gut gemeint eben nicht immer gut gemacht. Überkomplexität kann dazu führen, dass die Akzeptanz schwindet.
Werden Facebook, Twitter und Co. mit der DSGVO wirklich datenschutzfreundlicher agieren?
Das werden wir sehen. Einige der Internetriesen haben große Anstrengungen unternommen, um die DSGVO umzusetzen. Aber die ersten Beschwerden sind ja auch schon eingereicht.
(bsc)
