Ein Jahr DSGVO: Erfolge und Schwierigkeiten des neuen Datenschutzrechts
Seite 2: Alles neu macht der Mai
Vielerorts wurde allerdings auch schlicht der bürokratische Aufwand unterschätzt: Jede Datenschutzerklärung musste den neuen und deutlich umfangreicheren Informationspflichten angepasst werden. Textbausteine für die Einwilligung in Datenverarbeitungsvorgänge mussten überprüft und den rechtlichen Vorgaben getreu umformuliert werden. Sogenannte "Verzeichnisse von Verarbeitungstätigkeiten" wurden als Grundlage jedes vernünftigen Datenschutzmanagements benötigt.
Bei besonders risikobehafteten Datenverarbeitungen mussten "Datenschutz-Folgenabschätzung" durchgeführt werden. Wem dann noch Kapazitäten zur Verfügung standen, setzte sich schon einmal mit den neuen Meldepflichten bei Datenpannen auseinander und bildete interdisziplinäre Teams, um einen "Data Breach" innerhalb von 72 Stunden bei den Datenschutzbehörden anzeigen zu können.
Folterfragebogen
Damit nicht genug drohten mittels Folterfragebogen (zum Beispiel der c't) erbetene datenschutzrechtliche Selbstauskünfte die Unternehmen zu überfluten. Wer die umfangreichen Fragen in Bezug auf die des Auskunftsuchenden gespeicherten Daten nicht innerhalb der Monatsfrist beantworten konnte, musste damit rechnen, dass dies der Datenschutzbehörde gemeldet werden würde.
In einer FAQ hat die c't zudem die einzelnen Aspekte der neuen Datenschutzregeln aufgeschüsselt und die wichtigsten Fragen beantwortet:
Die To-Do-Liste, welche Unternehmen bis zum Start der DSGVO hätten abarbeiten müssen, war lang. Angesichts der Tatsache, dass ohne eine gefestigte Rechtsprechung und den nur nach und nach veröffentlichten Orientierungshilfen der Datenschutzkonferenz (DSK) eine enorme Rechtsunsicherheit herrschte, florierte das Geschäftsfeld der Datenschutzberater und Datenschutzkanzleien ganz besonders gut.
Datenschutz kurios
Nicht zuletzt getrieben von der Panik vor Bußgeldern neigten einige Stellen zu unüberlegtem Aktionismus und vermeintlich vorauseilendem Datenschutz-Gehorsam. Man erinnere sich nur an die Wiener Klingelschild-Posse; Eine kommunale Hausverwaltung hatte die Klingelschilder ihrer Mieter entfernen lassen, weil man der Ansicht war, dass die Verbindung von Nachname und Wohnungsnummer gegen die DSGVO verstoße.
In Dormagen schwärzte man in einem Kindergarten sämtliche Gesichter in den liebevoll gestalteten Erinnerungsfotoalben der Kinder. Nur das entsprechende Kind, für welches das Album als Geschenk vorgesehen war, blieb verschont. (Allerdings ist Datenschutz bei Fotos tatsächlich ein rechtliches Minenfeld.)
Mail-Flut
Viele User zeigten sich auch schwer genervt von den unzähligen "Lass uns Freunde bleiben"- und "Wir wollen dich nicht verlieren"-Mails, die im Zuge großangelegter Re-Opt-in-Kampagnen von Unternehmen verschickt wurden, um eine zweifelhafte Einwilligung für den Empfang von E-Mails zu erbetteln. Weitere Anekdoten finden sich im DSGVO-Absurditätenkabinett. Ein regelrechtes DSGVO-Armageddon haben die Aktivistin Katharina Nocun und Information Security Manager Lars Hohl in einem Vortrag für die diesjährige re:publica zusammengefasst.
Panik vor Abmahnungen
Richtig angefeuert wurde die Datenschutz-Hysterie, als Rechtsanwaltskanzleien von ersten Abmahnungen wegen angeblicher Verstöße gegen die neue DSGVO berichteten. Auf heise online war die Meldung DSGVO: Die Abmahn-Maschinerie ist angelaufen die am meisten geklickte Nachricht im Jahr 2018.
Die befürchtete Abmahnwelle blieb indes aus. Dies liegt vor allem an der auch hier unsicheren Rechtslage. Es ist immer noch unklar, ob und welche Datenschutzverstöße abmahnbar sind. Ein schneller Euro lässt sich so für Abmahner jedenfalls nicht machen.
Angst vor Bußgeldern
Realer ist da schon die Gefahr horrender Bußgelder. 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes, das ist der maximale Bußgeldrahmen der DSGVO, den Dank medialer Überpräsenz jeder Geschäftsführer der Republik im Schlaf herunterbeten kann. Dem vormals zahnlosen Tiger Datenschutzbehörde waren über Nacht Zähne gewachsen.
Nach einer vorübergehenden "Schonfrist" wurde Ende 2018 das erste Bußgeld fällig. "Opfer" war das soziale Netzwerk knuddels.de. Nach einem Hackerangriff waren Hunderttausende Passwörter von Knuddels-Nutzer im Netzt aufgetaucht. Weil das Unternehmen Passwörter unverschlüsselt speicherte, wurde ein Bußgeld in Höhe von 20.000 EUR verhängt.
Die erste wirklich hohe Strafe traf Google. Im Januar brummte die französische Datenschutzbehörde dem Konzern wegen diverser Datenschutzverstöße ein Bußgeld von rund 50 Millionen Euro auf. Google ist diesbezüglich in Berufung gegangen.
Gekommen, um zu bleiben
In Deutschland sind mittlerweile rund 100 Bußgelder nach der DSGVO mit einer Gesamtsumme von 483.500 EUR bekannt geworden. Da ist noch Luft nach oben – vor allem, wenn man bedenkt man, dass ebenfalls in einem Zeitraum von einem Jahr die Bundesnetzagentur allein wegen unerlaubter Telefonwerbung 1,1 Millionen EUR an Bußgeld "erwirtschaftet" hat und dieser Behörde nur ein maximales Bußgeld von 300.000 EUR zur Verfügung steht.
Wir werden uns also in den nächsten Wochen und Monaten immer wieder mit der DSGVO beschäftigen müssen: Sie ist gekommen, um zu bleiben, sowohl für die Nutzer als auch die Anbieter, für Privatleute ebenso wie für Unternehmen. Die folgenden Artikel des Schwerpunkts "Ein Jahr DSGVO - ein Fazit" sollen noch einmal die wichtigsten Aspekte und Auswirkungen der neuen Datenschutzregeln erläutern. Und schließlich auch einen Ausblick in die Zukunft des Datenschutzes nach der DSGVO geben. (jk)
