pehar schrieb am 09.01.2018 14:01:
Ob die neue Verordnung wirksam ist, wird man dann sehen, wenn man bei Verlagswebseiten nicht mehr ungefragt getrackt und mit den Daten reger Handel getrieben wird.
Mein Verdacht ist, dass es sich eher um ein Bürokratiemonster handeln wird: Unendlich viele Möglichkeiten, damit große Anbieter mit guten Anwälten kleine Anbieter drangsalieren können, aber die Besucher werden weiter hemmungslos ausspioniert, weil die guten Anwälte auch die guten Schlupflöcher kennen.
Mein Eindruck ist, dass die kleinen Unternehmen in diesem Fall "versehentlicher Beifang" sind. Man wollte mit dieser Verordnung vorallem große, nicht-europäische Konzerne in den Griff bekommen, welche sich bislang zu Nutze gemacht haben, dass das Datentschutzrecht innerhalb der EU nicht einheitlich war und die Geldbußen gemessen am Umsatz und Gewinn dieser Unternehmen lächerlich niedrig waren.
Man kann aber natürlich kein "Lex-Google" oder "Lex-Facebook" machen, also musste eine generelle Regulierung her. Im Zuge des Gesetzgebungsprozesses haben dann natürlich vorallem die großen Unternehmen erhebliche Lobby-Arbeit geleistet um dafür zu sorgen, dass sie auch unter der neuen Regulierung noch möglichst viel von dem machen können, was sie bislang machen.
Aus Verbrauchersicht bringt die EU-DSGVO die folgenden Verbesserungen:
- (Weitgehend) einheitlicher Rechtsrahmen in der gesamten EU.
- Klarere Zweckbindung von erhobenen Daten: Daten dürfen nur für den Zweck, für den sie erhoben wurden, bzw. einen Zweck, der damit unmittelbar in Verbindung steht, verwendet werden.
- Stark erweiterter Bußgeldrahmen: Durch den Bezug zum Jahresumsatz können auch für große Unternehmen relevante Geldbußen verhängt werden.
- Privacy-by-Design-Prinzip: Bereits beim Entwurf eines Produkts bzw. eines Prozesses muss der Datenschutz berücksichtigt werden.
- Verpflichtende Folgenabschätzung: In bestimmten Fällen muss jetzt bereits vor der Erhebung von Daten eine Folgenabschätzung gemacht werden um mögliche Gefahren für die Betroffenen zu identifizieren und zu minimieren.
Aus meiner Sicht als Kleinunternehmer hat die neue Verordnung einige Schwächen:
- Umfassende Informations- und Dokumentationspflichten unabhängig von der Unternehmensgröße: Als Selbstständiger muss man diesbezüglich im Prinzip den gleichen Aufwand betreiben wie Google oder Facebook. Es gibt nur zwei Regeln, die an die Größe des Unternehmens geknüpft sind: Nur unter gewissen Umständen muss ein Datenschutzbeauftragter ernannt und ein Verzeichnis über die Datenverarbeitungsprozesse erstellt werden. Ersteres hilft aber nur begrenzt, da gerade in Kleinunternehmen kaum das Know-How vorhanden ist, um die Verordnung vollständig umzusetzen, d.h. man braucht (ähnlich wie bei Steuer- und Buchhaltungsvorschriften) wahrscheinlich sowieso externe Beratung. Zweiteres hilft auch nur begrenzt, weil man (um den restlichen Vorschriften genüge zu tun) wahrscheinlich sowieso ein solches Verzeichnis anlegen wird.
- Der stark erweiterte Bußgeldrahmen: Die Bußgeldrahmen beträgt bis zu 20 Mio. Euro oder bis zu 4 Prozent des Jahresumsatzes. Dabei greift im Zweifel die höhere Grenze. Das bedeutet das kleine Unternehmen im Zweifelsfall in ihrer Existenz gefährdet werden, weil ihnen eine Strafe, die ein vielfaches ihres Jahresumsatzes beträgt, droht. Für große Unternehmen sind es hingegen max. vier Prozes des Jahresumsatzes. Hinzu kommt, das im Falle einer Pflichtverletzung auch eine Haftung der Geschäftsführung in Frage kommt. Während große Unternehmen typischerweise so strukturiert sind, dass einiger Aufwand betrieben wird um eine Haftung der Geschäftsführung / des Vorstandes zu vermeiden (Einholung von Rechtsgutachten im Vorfeld, Versicherungen, die das Risiko des Vorstandes absichern), ist man als Einzelunternehmer oder Geschäftsführer einer kleinen Kapitalgesellschaft einem vergleichsweise großen Risiko ausgesetzt.
Interessanterweise sind auch die Datenschutzbeauftragten mit der Verordnung und insbesondere mit dem Bußgeldrahmen nicht glücklich: Bislang galt für die Datenschutzbehörden das Oppertunitätsprinzip, d.h. sie konnten selbst entscheiden welche Verstöße sie verfolgen und in welcher Form sie das tun. Das bedeutete in der Praxis in Deutschland (zum Teil aber etwas unterschiedlich je nach Bundesland) bislang, dass bei geringfügigen Verstößen das Unternehmen darauf hingewiesen wurde und, wenn der Verstoß dann abgestellt wurde, auf die Verhängung eines Bußgeldes verzichtet wurde. In Zukunft gilt das Legalitätsprinzip, d.h. die Datenschutzbehörde hat kaum noch Möglichkeiten auf die Verhängung eines Bußgeldes zu verzichten. Zusammen mit dem stark erweiterten Bußgeldrahmen bedeutet das, dass selbst bei geringfügigen Verstößen (z.B. Verstößen gegen Informationspflichten) schnell Bußgelder im fünfstelligen Bereich entstehen.
Bei einer Informationsveranstaltung vor einigen Monaten, bei der ich anwesend war, hat einer der Landesdatenschutzbeauftragen zum Ausdruck gebracht, dass er damit sehr unglücklich ist: Während seine Behörde bislang vorallem beratend tätig war und Unternehmen dabei unterstützt hat, ihre Prozesse datenschutzkonform zu gestalten, muss sie in Zukunft verstärkt strafend tätig werden (was natürlich die andere Tätigkeit ein Stück weit untergräbt). Er hat (meiner Meinung nach zu Recht) auch die Befürchtung, dass der stark erhöhte Bußgeldrahmen in Zukunft zu wesentlich mehr Gerichtsverfahren führen wird: Bei einem vierstelligen Bußgeld wird kaum jemand ein Gerichtsverfahren führen, aber wenn die Bußgelder sehr hoch ausfallen, wird das sicherlich anders aussehen (und wenn das Gerichtsverfahren nur dem Zweck dient das Bußgeld zu reduzieren). Dadurch wird sich das Arbeitsaufkommen in der Behörde massiv erhöhen. Man kann sich z.B. vorstellen, welchen Aufwand Google oder Facebook betreiben werden, wenn ein Bußgeld von ein paar hundert Millionen Euro gegen einen dieser Konzerne verhängt wird (was aufgrund des hohen Jahresumsatzes relativ leicht passieren kann) und dieser Konzern nur wenige Prozent des zu erwartenden Bußgelds in Anwälte investiert, reicht das völlig um die Behörde über Jahre nur mit diesem Fall beschäftigt zu halten. Das bedeutet statt die Einhaltung des Datenschutzes ernsthaft zu kontrollieren, wird die Behörde in Zukunft vorallem mit Streitigkeiten über die Höhe von Bußgeldern beschäftigt sein.
Zu guter letzt sind die vorgesehenen Informationspflichten auch nur bedingt im Interesse des Verbrauchers: Bei strenger Auslegung des Art.13 EU-DSGVO muss die Information zwingend vor der Erhebung der Daten erfolgen. Das bedeutet zum Beispiel, dass, wenn man telefonisch beim Arzt einen Termin vereinbaren oder im Restaurant einen Tisch reservieren will, der Angerufene einem eigentlich erst einmal die komplette Datenschutzerklärung herunterrattern muss, schließlich ist die Kombination aus Namen und Termin bereits ein personenbezogenes Datum, das erhoben wird. Ein solche Auslegung würde aber dazu führen, dass ich mir als Verbraucher immer wieder den gleichen Sermon anhören muss, da sich die Datenschutzerklärungen verschiedener Unternehmen wahrscheinlich nicht groß unterscheiden werden (wie auch, die Rechtslage ist schließlich die gleiche). Der praktikabelste Weg (der zwar der strengen Auslegung nicht genügt, aber wahrscheinlich von den Datenschutzbehörden als ausreichend betrachtet werden wird), ist den Anrufer nur darauf hinzuweisen, wo er die Datenschutzerklärung finden kann und dass man sie (falls gewünscht) auch zuschicken oder jetzt vorlesen kann.
Fazit: Die EU-DSGVO bringt für den Verbraucher zwar eine paar kleine Verbesserungen aber vorallem viel neue Bürokratie. Ob damit dem Datenschutz wirklich gedient ist, darf bezweifelt werden.