Final Countdown

Die Umsetzung der DSGVO-Vorgaben läuft nicht rund

Wenige Wochen, bevor das neue EU-Datenschutzrecht wirksam wird, greift die Verunsicherung immer mehr um sich. Konzerne wie Google lassen ihre Partner im Regen stehen, die Aufsichtsbehörden verblüffen mit neuen Regelauslegungen. Fest steht: Die Vogel-Strauß-Taktik wird nicht vor Strafe schützen.

Von Holger Bleich

Das neue europäische Datenschutzrecht lief lange unter dem Radar der Publikumsmedien. Seit einigen Wochen nun berichten Fernsehen und Tagespresse aufgeregt über die vielen Änderungen, die bevorstehen. Am 25. Mai 2018 wird daher kaum jemand glaubhaft behaupten können, noch nie davon gehört zu haben. Ab diesem Tag entfaltet das EU-Mammutprojekt Datenschutzgrundverordnung (DSGVO) seine Wirkung. Der teils sehr sperrige Gesetzestext gilt dann unmittelbar – mitsamt seinen Bußgeldvorschriften.

Aktuelle Umfragen legen allerdings eine Sorglosigkeit kleinerer deutscher Unternehmen nahe, die bei deutschen IT-Branchenverbänden alle Alarmglocken schrillen lässt. Eine repräsentative Forsa-Untersuchung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) etwa ergab, dass 36 Prozent der befragten 300 kleinen und mittleren Unternehmen (KMU) Mitte April dieses Jahres von den neuen Regeln noch nicht einmal etwas gehört haben. Bei den kleinsten Unternehmen mit bis zu neun Beschäftigten fielen die Zahlen sogar noch schlechter aus.

#heiseshow: DSGVO und Noyb – Bekommt Europas Datenschutz jetzt Zähne?

Es könnte ein bitteres Erwachen werden: Waren die deutschen Landesaufsichtsbehörden für den Datenschutz bislang zahnlose Tiger, verleiht ihnen die DSGVO nun das Recht, schon bei geringen Verstößen hohe Bußgelder zu verhängen. Demnach liegt die maximale Geldbuße bei 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr. Noch ist völlig unklar, wie die jeweils zuständigen Datenschutzbeauftragten der Bundesländer die Bemessungskriterien in Artikel 83 auslegen könnten. Einige äußern sich zurzeit mäßigend, andere drohen bereits unverhohlen mit Bußgeldern.

Hinzu kommt, dass jedem, der im Web in irgendeiner Weise gewerblich unterwegs ist, teure Rechtsbelehrungen drohen. Datenschutzexperten warnen vor einer Flut von Massenabmahnungen – ein exklusiv deutsches Phänomen aufgrund der hiesigen Rechtslage. Wer öffentlich sichtbar gegen das neue Recht verstößt, etwa mit einer ab dem 25. Mai unzureichenden Datenschutzerklärung oder fehlerhaften Einwilligungstexten, wird zur Zielscheibe von Verbraucherschutzverbänden oder Mitbewerbern. Erstere dürfen Datenschutzverstöße nach dem Unterlassungsklagengesetz (UKlaG) abmahnen, letztere nach dem Gesetz gegen den unlauteren Wettbewerb (UWG).

Bei beratenden Datenschutz-Experten wächst der Frust, weil sich die Sachlage zur DSGVO ständig ändert.

Abmahnungen wegen Verstößen gegen das Datenschutzrecht sind schon länger möglich, grundsätzlich ändert sich da also gar nicht so viel. Viele Beispiele aus der Vergangenheit zeigen aber, dass findige Rechtsanwälte und windige Firmen im Verbund die Unkenntnis zu Gesetzesänderungen gerade in den ersten Monaten nach dem Inkrafttreten schamlos nutzen, um abzumahnen. Einen Blogger kann ein solcher Anwaltsbrief in durchaus finanzielle Nöte bringen.

Unwuchten

Kritiker bemängeln an dieser Stelle gravierende Unwuchten der DSGVO (siehe Kommentar auf S. 80): Das EU-Gesetzeswerk skaliere unzureichend. Einen Blogger, der über das Amazon-Partnerprogramm ein paar Euro verdient, sieht sich nahezu den gleichen Pflichten ausgesetzt wie ein multinationaler Konzern. US-Unternehmen, die mit europäischen Nutzern Geld verdienen, können dagegen mitunter praktisch kaum belangt werden – nämlich dann, wenn sie keine zustellfähige Adresse in der EU haben.

Zum Beispiel Twitter: Ende April hat der Kurznachrichten-Service unter dem Titel „Schutz Ihrer Privatsphäre“ seinen zig Millionen deutschen Nutzern per Mail Änderungen im Sinne der DSGVO verkündet. Lapidar heißt es darin: „Die neuen Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien gelten ab 25. Mai 2018. Durch die Nutzung unseres Dienstes an oder nach diesem Datum stimmst du den Aktualisierungen zu.“ In vielen Nutzer-Mailaccounts dürfte diese Nachricht ohnehin als Spam wegsortiert und deshalb von den Adressaten nicht einmal wahrgenommen worden sein.

Eine solche Form der passiven Willenserklärung, noch dazu im Medienbruch abgefragt, dürfte den DSGVO-Regeln wohl kaum entsprechen. Während die Verantwortlichen von IT-Unternehmen in der EU bei Gedanken an die DSGVO Schweißausbrüche bekommen, machen es sich viele marktdominante US-Mitbewerber derzeit allzu leicht. Die Unwucht entsteht, weil regionale Regeln für ein globales Netz geschaffen wurden und weil innerhalb der EU dieselben Bestimmungen für wirklich alle Teilnehmer gelten sollen.

Facebook hat in Europa mehrere Niederlassungen und ist deshalb juristisch angreifbarer. Wohl auch deshalb unternimmt der Konzern wesentlich mehr Anstrengungen als beispielsweise Twitter. Techniker und Juristen arbeiten schon seit Längerem daran, die harten Anforderungen der DSGVO umzusetzen. So hat Facebook das Herunterladen von Nutzerdaten vereinfacht und die Datenschutzeinstellungen aufgeräumt. Nutzer werden nach dem Motto „friss oder stirb“ aktiv dazu genötigt, entweder den vermeintlich DSGVO-konformen Bedingungen zuzustimmen oder in einem nächsten Schritt direkt ihr Konto zu löschen.

Mindestalter

Schwer tun sich die US-Dienste damit, Artikel 8 der DSGVO umzusetzen. Er legt das Mindestalter von Nutzern, deren personenbezogene Daten verarbeitet werden dürfen, auf 16 fest (in den USA ab 13). Facebook wird Eltern von Nutzern im Alter unter 16 Jahren mitentscheiden lassen, ob die Teenager in dem Netzwerk Informationen wie Religionszugehörigkeit oder politische Ansichten preisgeben. Die Kids sollen sich dafür auf der Plattform mit ihren Eltern befreunden oder zumindest deren Mail-Adresse angeben müssen.

Zum Kasten: Last-Minute-Support

Die Facebook-Tochter WhatsApp setzt das Mindestalter von 13 auf 16 hoch und fragt einfach das Alter ab. Ansonsten wird es keine Zugangsbarrieren geben, was den Sinn dieser Maßnahme in Frage stellt. Dennoch ließ ihre Ankündigung die Aktie des Mitbewerbers Snap um fast sieben Prozent absacken, weil dessen Messenger Snapchat besonders von Jugendlichen unter 16 genutzt wird. Snap reagierte umgehend mit Entwarnung: Die App bleibe auch nach dem 25. Mai ohne Zustimmung der Eltern nutzbar, versicherte die Firma. In dieser Altersgruppe wolle man aber auf die Erhebung personenbezogener Daten wie Ortungsinformationen verzichten.

Google fängt eingeloggte Nutzer derzeit irgendwann mit einem Pop-up-Fenster ab. „Bevor Sie fortfahren“ ist als Überschrift zu lesen. Es folgt eine Flut von DSGVO-konformen Einwilligungs-Aufforderungen, etwa ins Nutzer-Tracking mit Cookies oder in die Google-seitige Speicherung der Suchhistorie. Auch die YouTube-Einwilligungen gibt man an dieser Stelle ab. Es lohnt sich, diesen Prozess sorgfältig zu absolvieren anstatt einfach alles abzunicken, denn über den Button „Weitere Optionen“ gelangt man zu vielen Möglichkeiten, das Tracking von Google und Drittanbietern zu beschränken.

Unternehmen, die die Google-Services nutzen, stehen seit Ende März vor wesentlich höheren Hürden. Insbesondere geht es hier um alle Websites, die an Google-Werbeprogrammen wie Adwords, Adsense, Admob oder Doubleclick teilnehmen. Der weltweit größte Werbevermarkter Google hat den Betreibern mitgeteilt, dass sie auf ihren Websites selbst für eine informierte Einwilligung ins Nutzer-Tracking sorgen müssen. Damit wälzt er sämtliche Verantwortung auf sie ab. Die Betreiber sollen dafür sorgen, dass sie ausreichend informieren und die erfassten Zustimmungen bereithalten. Wie die Website-Betreiber diese Anforderungen umsetzen können, ist derzeit noch völlig unklar. Die bisherigen Cookie-Hinweise dürften nicht ausreichen.

Kunden des Web-Analyse-Tools Analytics haben von Google Mitte April eine gesonderte Mail erhalten. Darin kündigte das Unternehmen unter anderem an, dass es am 25. Mai eine Analytics-Option freischaltet, mit der sich die Aufbewahrungsfristen für gesammelte Daten DSGVO-konform ändern lassen. Damit können Website-Anbieter, die Google Analytics verwenden, auf das durch die DSGVO geregelte „Recht auf Vergessenwerden“ reagieren. Im Admin-Backend haben Analytics-Kunden nun die Möglichkeit, online einen aktualisierten Vertrag zur Auftragsverarbeitung abzuschließen, was sie unbedingt tun sollten.

Unklare Gemengelage

Am Beispiel Nutzer-Tracking zeigt sich derzeit, wie schwierig sich die Umsetzung des neuen EU-Datenschutzes gestaltet. Am 26. April – also gerade mal vier Wochen vor Toresschluss – hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ihre Interpretation des Verhältnisses der DSGVO zu bestehenden deutschen Rechtsnormen in Sachen Tracking veröffentlicht. Und damit sorgte sie für Entsetzen bei vielen Datenschutzexperten. Der Flensburger IT-Rechtler Stephan Hansen-Oest etwa zeigte sich in seinem Blog „fassungslos über die derart schlechte Qualität und ein offensichtlich nicht vorhandenes Verständnis über die Folgen von nicht beziehungsweise schlecht begründeten Äußerungen.“

Um was geht es? Die DSK leitet in ihrem Positionspapier aus der rechtlichen Gemengelage ab, dass ab dem 25. Mai für jede Form von Tracking-Mechanismen eine informierte Einwilligung der Website-Besucher bereits vorliegen muss. Bevor also beispielsweise das erste Tracking-Cookie in den Browser kommt, muss der Nutzer zugestimmt haben.

Genau diesen Zwang zur Einwilligung sieht aber sowohl das bisher einschlägige deutsche Telemediengesetz (TMG) als auch Artikel 6 der DSGVO zumindest nicht explizit vor. In dem Artikel sind sechs Bedingungen genannt, die als Rechtsgrundlage für die Erhebung von Daten im Rahmen des Trackings gelten könnten. Die Einwilligung ist nur eine davon, die – durchaus naheliegende – Abwägung von Interessen des Site-Betreibers mit denen des Nutzers ist eine andere. Dies hat die DSK in ihrer Begründung ignoriert.

Möchte der Google-Nutzer Retargeting-Werbung ablehnen, wird ihm das mit einer zusätzlichen Nachfrage im DSGVO-konformen Einwilligungsprozess madig gemacht.

Zwar sind die verschriftlichten Positionen der Datenschutzaufsicht rechtlich erst einmal nicht bindend. Aber die Behördenleiter verschicken eben später auch die Bußgeldbescheide, deshalb ist ihre Interpretation der Rechtslage sehr relevant. Schwerer noch wiegt, dass sie mit ihrer Position Massenabmahnungen Vorschub leisten dürften. „Die betreffenden Unterlassungsklagenverbände und auf diesen Bereich spezialisierten Kanzleien dürften sich gerade die Hände reiben und die Sektkorken (nein die Champagnerkorken) knallen lassen und die Datenschutzkonferenz hoch leben lassen“, schrieb Hansen-Oest. Seiner Befürchtung nach werden einige Kanzleien die DSK-Position nutzen, um damit fehlende oder fehlerhafte Einwilligungen zu ahnden.

Sein Kollege Martin Schirmbacher, der ebenfalls Unternehmen bei der DSGVO-Umsetzung berät, mahnt mehr Gelassenheit an. Die Äußerung der DSK sei „kein Paukenschlag und nicht das Ende des Usertracking im Internet“. Schirmbacher rät dazu, die Gerichtsurteile zu diesem Thema abzuwarten. Und: „Solange der Europäische Gerichtshof nicht eindeutig entschieden hat, bleiben alle Interpretationsmöglichkeiten offen. Von (zu erwartenden) untergerichtlichen Entscheidungen über Abmahnungen sollte man sich jedenfalls nicht verunsichern lassen.“ Unabhängig vom Ausgang dieser Entscheidungen arbeitet das Internet Advertising Board (IAB) fieberhaft an einem technischen Framework, das DSGVO-konformes Werbe-Tracking ermöglichen soll.

Neue Kunst-Unfreiheit

Erheblich verunsichert äußern sich gerade freie Fotografen. Sie sorgen sich um eine eventuelle Regulierungslücke, die der deutsche Gesetzgeber in Zusammenhang mit der DSGVO gelassen hat. In Deutschland sorgt bislang das Kunsturhebergesetz (KUG) und eine gefestigte Rechtsprechung für wohl ausgewogene Freiheiten der Fotografen. Zwar muss der Fotograf von abgebildeten Personen eine Einwilligung abholen. Doch Ausnahmen ermöglichen beispielsweise, ohne Risiko von Abmahnungen Fotos auch im öffentlichen Raum zu machen. So darf der Fotograf etwa Gesichter auf öffentlichen Versammlungen oder Prominente ablichten und diese ohne Einwilligung veröffentlichen. Das bewährte KUG gilt hier sogar vor dem bisherigen deutschen Datenschutzrecht (BDSG).

Dies wird sich nun ändern: Zumindest im Fall von Digitalfotografie oder -Film gilt jede Aufnahme von erkennbar abgebildeten Personen als Datenerhebung, für die laut DSGVO eine informierte Einwilligung erforderlich ist. Aus Artikel 6 DSGVO ergibt sich, dass Ausnahmen davon nur für hauptberufliche, angestellte Fotojournalisten möglich sind. „Folglich werden alle Kreativen, die nicht Angehörige der institutionalisierten Presse sind, wie freie Fotografen, Privatpersonen, Influencer, Blogger, Unternehmens-Pressesprecher, Verantwortliche in Vereinen, Behördenmitarbeiter, PR- und Werbeagenturen et cetera vor der Erstellung, Verbreitung oder Veröffentlichung von digitalen, personenbezogenen Fotos und Filmen künftig höchste Vorsicht walten lassen müssen“, konstatierte Bildrechtsexperte Lars Rieck.

Seiner Ansicht nach hätte der deutsche Gesetzgeber hier längst einschreiten müssen. Die DSGVO sieht nämlich in Artikel 85 ausdrücklich in einer sogenannten Öffnungsklausel vor, dass nationale Gesetze – also im konkreten Fall das KUG – bei der Kunst- und Meinungsfreiheit durchaus Vorrang haben dürfen. Schweden etwa hat von dieser Klausel Gebrauch gemacht und per Gesetz postuliert: „Die DSGVO sowie weitere Datenschutzgesetze finden in dem Umfang, wie sie gegen Presse- oder Meinungsfreiheit streiten, keine Anwendung.“

Dass dies in Deutschland nicht passiert, wird viel kritisiert. Der Bundesverband deutscher Pressesprecher (BdP) fordert eine „modifizierte schwedische Lösung“. Der Verband befürchtet „unangemessene Verpflichtungen zur Information aller Betroffenen, beispielsweise aufgrund der Speicherung eines Zeitungsartikels“. Die Meinungs- und Informationsfreiheit müsse „gegen massenhafte, missbräuchliche Auskunfts-, Berichtigungs- und Löschungsersuchen“ verteidigt werden.

Die Beispiele zeigen, wie verunsichert Unternehmen und Verbände auf die DSGVO reagieren. Fast wöchentlich wird eine neue Sau durch Twitter getrieben, die man dann ausgiebig und meist ergebnislos diskutiert. Entscheidend für die Akzeptanz des vereinheitlichten EU-Datenschutzes wird sein, wie sensibel die Aufsichtsbehörden mit Verstößen in den ersten Monaten umgehen. Erste niederinstanzliche Gerichtsurteile, mutmaßlich aufgrund von Abmahnungen, werden dann folgen. Bis der Europäische Gerichtshof aber wirklich Klarheit in die vielen offenen Fragen bringt, dürften Jahre vergehen. (hob@ct.de)

Hilfestellungen zur Umsetzung der DSGVO:ct.de/yg9g

Last-Minute-Support

Falls Sie es noch nicht getan haben, sollten Sie spätestens jetzt alle öffentlich sichtbaren Bereiche Ihrer Website DSGVO-konform gestalten. Um Sie dabei zu unterstützen, haben wir dieser c’t-Ausgabe ein Booklet mit konkreten Tipps beigefügt. Geben Sie das kleine Heft gerne auch im Bekanntenkreis weiter. Wir hoffen, damit einen kleinen Beitrag zur Vermeidung von Bußgeldern und Abmahngebühren zu leisten.

Unter dem Link ct.de/yg9g finden Sie eine ausführliche Zusammenstellung von weiterführenden Online-Texten. Außerdem verweisen wir dort auf Textgeneratoren, Mustererklärungen und Checklisten. Noch ein Tipp: Unsere Schwesterzeitschrift iX beschäftigt sich in ihrer aktuellen Ausgabe 5/18 ausführlich und konkret mit Forderungen der DSGVO an Admins und IT-Verantwortliche in Unternehmen.