Menü

Analyse zur DSGVO von Peter Schaar: Die notwendige Zumutung Datenschutz

Bevor die Datenschutz-Grundverordnung wirksam wurde, gab es noch einmal eine heftige Debatte und jede Menge Klagen über die neuen Pflichten. Das geht am Thema vorbei, analysiert der ehemalige Bundesdatenschutzbeauftragte Peter Schaar.

Analyse zur DSGVO von Peter Schaar: Die notwendige Zumutung Datenschutz

(Bild: notnixon)

Ja, die ab 25. Mai zu beachtende Datenschutz-Grundverordnung ist eine Zumutung. Sie trifft nicht nur die großen "Datenkraken", sondern auch Mittelständler, kleine Vereine und Arztpraxen, Behörden und Schulen. Alle, die berufs- oder geschäftsmäßig mit personenbezogenen Daten umgehen, müssen sich mit den neuen Regeln beschäftigen, ihre Geschäftspraktiken überprüfen, und gegebenenfalls Prozesse anpassen. Und sie müssen ihre Kunden und Klienten genauer darüber informieren, wie sie mit deren Daten umgehen. All dies kostet Zeit, Mühe und vielfach noch dazu Geld: Ressourcen, die man doch viel lieber dazu verwenden würde, neue Geschäftsideen zu entwickeln, die Produktivität zu steigern oder neue Märkte zu erschließen.

Die laut vorgetragenen Klagen über diese Beschwernisse wurden sogar im Kanzlerinnenamt gehört. Zwei Wochen vor dem Stichtag versprach die Bundeskanzlerin Abhilfe: Man werde die neue "Datenschutzrichtlinie" durch eilig zu beschließende Gesetze entschärfen, insbesondere da es in Deutschland – anders als in den anderen Mitgliedstaaten der EU – unabhängige Datenschutzbeauftragte gebe, wurde sie zitiert. Den Redenschreibern und Einflüsterern hätte man gewünscht, sie hätten sich vorher zumindest ein bisschen mit der Rechtslage auseinandergesetzt, um Angela Merkel vor einer Blamage zu bewahren. Aber Schwamm drüber!

Natürlich wäre es verwunderlich, wenn die neuen, europaweit geltenden schärferen Datenschutzbestimmungen überall auf ungeteilte Begeisterung gestoßen wären. Ein großer Teil der Beunruhigung ist schlicht und einfach darauf zurückzuführen, dass viele Unternehmen sich überhaupt nicht, zu spät oder nur ungenügend mit den datenschutzrechtlichen Vorgaben beschäftigt haben, denn die DSGVO stand ja bereits vor zwei Jahren im EU-Amtsblatt.

Das Problem liegt aber tiefer. Datenschutz war für viele Unternehmensleitungen bisher kein wirklich wichtiges Thema. Vielfach beklagten sich betriebliche Datenschutzbeauftragte, dass Unternehmensleitungen ihren Rat angesichts geringer Kontrolldichte und niedriger Bußgelddrohungen ignorierten. So war das 1977 beschlossene und seither mehrfach geänderte Bundesdatenschutzgesetz vermutlich eines der am wenigsten befolgten deutschen Gesetze. In den anderen EU-Mitgliedsstaaten sah es kaum besser aus. Bis heute ist zudem umstritten, ob sich datengetriebene Unternehmen, die ihre auch in Europa vermarkteten Services von Übersee aus anbieten, überhaupt an europäisches Recht zu halten hatten.

Das ändert sich jetzt. Die DSGVO ist ein europäisches Datenschutzgesetz, gleichermaßen anwendbar in allen EU-Mitgliedsstaaten. Es gilt auch für Unternehmen aus Drittstaaten, die ihre Services in der EU anbieten und dabei personenbezogene Daten verarbeiten (Marktortprinzip). Die jetzt möglichen höhreren Bußgelder bei Datenschutzverstößen – bis zu 20 Millionen Euro oder 4 % des Weltjahresumsatzes (bisher: 300.000 €) – lassen sich nicht mehr aus der Portokasse bezahlen. Datenschutz ist dadurch endlich zur Chefsache geworden.

Auch wenn sich der neue Bußgeldrahmen auf alle Unternehmen bezieht, enthält das neue EU-Datenschutzrecht doch Vorgaben, die gegen Willkür bei der Bußgeldfestsetzung schützen: Der verfassungsrechtliche Grundsatz der Verhältnismäßigkeit ist auch bei der Festsetzung von Bußgeldern zu beachten. Die Schwere des Verstoßes, die Frage, ob hier vorsätzlich oder fahrlässig gehandelt wurde, ob es sich um einen erstmaligen oder um einen wiederholten Verstoß handelt, und natürlich die wirtschaftliche Leistungsfähigkeit des Datenverarbeiters müssen von den Datenschutzbehörden berücksichtigt werden. Dass die Datenschutzbehörden etwa einen privaten Blogger "plattmachen", allein weil er die Informationspflichten nicht vollständig erfüllt hat, ist deshalb ausgeschlossen.

Auch die grassierende Angst vor der "Abmahnindustrie" scheinen übertrieben. Denn entsprechende Abmahnungen wären ja prinzipiell schon heute möglich. Abmahnungen sind im übrigen keine datenschutzrechtliche Besonderheit, denn sie ergeben sich aus dem Wettbewerbsrecht. Wer Abmahnungmöglichkeiten begrenzen will, sollte sich deshalb mehr darum und weniger um die DSGVO kümmern.

Vielfach resultieren Ängste auch aus erkennbar falschen Behauptungen. So trifft es nicht zu, dass man zukünftig bei jeder Datenerhebung stets eine Einwilligung benötige. Tatsächlich ist die Einwilligung nur eine - und nicht immer die beste - Rechtsgrundlage für die Datenverarbeitung. Unternehmen, die nur die personenbezogenen Daten verarbeiten, die für die Erfüllung eines Vertrags erforderlich ist, brauchen keine Einwilligung. Unternehmen, die sich ausschließlich auf die Einwilligung der Kunden verlassen, bekommen ein Problem, wenn diese widerrufen wird. Die Einwilligung wäre in einem solchen Fall eher ein Risiko als eine zusätzliche Sicherung.

Ähnliche Fehlinterpretationen bestehen auch bei der Pflicht einen Datenschutzbeauftragten zu benennen. So berichten Arztpraxen und Handwerksbetriebe über eine Flut von Angeboten von Firmen, die sich als externe Datenschutzbeauftragte anbieten. Tatsächlich benötigen aber nur diejenigen Unternehmen einen DSB, die regelmäßig mehr als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder deren Kerntätigkeit in der Verarbeitung umfangreichen regelmäßigen Überwachung natürlicher Personen besteht. Dies dürfte für die wenigsten kleineren Unternehmen, Vereine oder Praxen zutreffen.

Bisweilen nimmt die Debatte auch bizarre Formen an. Dies gilt etwa für die ungeprüft verbreitete Behauptung, digitale Fotografien oder deren Veröffentlichung seien zukünftig generell nur noch mit ausdrücklicher, informierter Einwilligung der abgebildeten Personen zulässig. Zum Glück haben inzwischen Vertreter des Bundesinnenministerium und der Datenschutzbehörden klargestellt, dass die Vorgaben des Kunst-Urheber-Gesetzes (KUG) auch weiterhin gelten.

Auch die Befürchtung, die Annahme und Erfassung einer Visitenkarte löse umfangreiche Informationspflichten aus, hat skurrile Züge. Da die Übergabe einer Businesscard regelmäßig durch den Inhaber erfolgt, damit der Empfänger Kontakt mit ihm aufnimmt, ist er damit informiert, dass der Empfänger die Karte auch verwendet und die Kontaktdaten etwa in seinem Adressverzeichnis erfasst. Datenschutzrechtliche Informationspflichten gäbe es nur, wenn die Daten zu anderen Zwecken, etwa zur Überprüfung der Kreditwürdigkeit, herangezogen würden.

Manche der von Kritikern vorgetragenen Punkte sind aber nicht von der Hand zu weisen: Wer mit personenbezogenen Daten umgeht, muss dies intensiver dokumentieren als bisher. Die betroffenen Personen haben Auskunftsrechte nicht nur über die Daten selbst, sondern auch über die Herkunft und über die zu ihrer Verarbeitung eingesetzten Verfahren. Wer Daten weitergegeben hat, muss die Datenempfänger auch davon in Kenntnis setzen, wenn ein Anspruch auf Datenlöschung besteht. Die Einwilligungen der Betroffenen müssen nicht nur freiwillig sein (das galt schon bisher), sondern sie müssen sehr viel differenzierter erfolgen, jedenfalls wenn die Daten für unterschiedliche Zwecke verwendet werden sollen. Schließlich müssen die Informationen über die Rechtsgrundlagen der Verarbeitung und die Kontaktdaten der Datenschutzbeauftragten öffentlich zugänglich sein, genauso wie der Hinweis auf die zuständige Datenschutz-Aufsichtsbehörde.

Mancher mag dies als Zumutung empfinden – aber es ist eine notwendige Zumutung, die dazu beiträgt, die Selbstbestimmung im Zeitalter umfassender Informationsverarbeitung zu bewahren! (Peter Schaar) / (mho)

Anzeige
Anzeige