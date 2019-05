Die Aktivistin Katharina Nocun und Information Security Manager sowie Datenschutzaktivist Lars dP Hohl haben am Dienstag auf der re:publica in Berlin Einblicke in das "Best of DSGVO-Armageddon" rund um die EU-Datenschutzgrundverordnung gegeben. Die im Vorfeld vielfach angekündigten Reiter der Apokalypse rund um die bald seit einem Jahr greifenden Vorschriften sind ihnen zufolge zwar nicht zum Zuge gekommen. Der Stichtag im Mai 2018 habe aber zu vielen unfreiwillig komischen Debatten und "Umsetzungsfails" geführt.

Der wahre Kern

Reißerische Berichte, dass Klingelschilder mit Namen nicht mehr erlaubt und persönliche Daten von Visitenkarten nicht ohne Weiteres verwendet werden dürften, hätten die Aufsichtsbehörden selbst rasch als Unfug zurückgewiesen, erläuterte Nocun. Wenn man einen Kontakt aber in eine in Firmendatenbank eintrage, gehöre es zum guten Ton nachzufragen, ob dieser wirklich länger mit einem in Verbindung stehen wolle.

Zumindest einen wahren Kern machte die Bürgerrechtlerin in einem anderen Aufschrei einer Boulevard-Zeitung aus, wonach es aufgrund der DSGVO keine Namensschilder in Apotheken mehr gebe dürfe beziehungsweise "mindestens 50 Prozent der Buchstaben unkenntlich" sein müssten. Im Kundenkontakt habe der Arbeitgeber ein berechtigtes Interesse daran, dass Angestellte mit Namen ansprechbar sind. Er dürfe aber nicht verlangen, "dass man Vor- und Nachnamen aufs Schild packt". Damit solle es schwieriger werden, einen Mitarbeiter "bis ins Private hinein zu verfolgen".

Als größtenteils unverständlich bezeichnete Nocun Beschwerden von Handwerkern, dass Teppich- und Raummaße "auch unter die DSGVO fallen". Wer Adresse, Zahlungsdaten, einen Vertrag und weitere personenbezogene, teils recht intime Einblicke erlaubende Daten verarbeite, "hätte sich bei einer gewissen Betriebsgröße schon vorher darum kümmern müssen, bestimmte Vorgaben einzuhalten". Dies hätten zumindest im Rahmen der scharf gestellten Verordnung Berufsverbände noch einmal deutlich machen müssen.

Verpeilte Kirchen

Zweifelhaft bleibt für die studierte Ökonomin, inwiefern die DSGVO das öffentliche Leben gepackt und zerstört habe. Einzelne Kirchen dürften zwar tatsächlich keinen Livestream mehr von Predigten oder Messen ins Netz stellen. Daran sei aber das kirchliche Datenschutzrecht schuld, das im Zusammenhang mit der Verordnung novelliert werden musste. Dabei hätten es manche Konfessionen verpeilt, eine Ausnahme für Livestreams durch sich selbst reinzuschreiben. Durch Medien seien solche Übertragungen dagegen erlaubt. Dies öffne zumindest die Hintertür, dass "die lokale Kirchenzeitung den Stream betreiben könnte".

Überhand nehmen laut Nocun inzwischen Hinweise auf Veranstaltungen, dass dort fotografiert werde. Teils würden Besucher aufgefordert, einen roten Punkt zu tragen oder sich notfalls mit Lippenstift aufzumalen, wenn sie dies nicht wollten. Dabei habe sich in diesem Bereich an der Rechtslage gar nicht soviel geändert. Auf der Straße sollte ohnehin jeder fragen, bevor er ein Porträt von jemandem schieße und im Internet verbreite.

Hohl und Nocun (Bild: Stefan Krempl)

Eher amüsant gewesen seien die vielen Facebook-Interventionen, mit denen Nutzer etwa versucht hätten, der DSGVO "zu widersprechen", um etwa weiterhin Personenfotos auf Facebook posten zu können. Unschöner sei, dass sich der Betreiber des Netzwerks selbst gleich mit der neuen Datenschutzerklärung eine Einwilligung in die Gesichtserkennung habe erschleichen wollen. Die Bloggerplattform Tumblr sei ein anderes Beispiel dafür, wie es Firmen versucht hätten, sich eine "Generalerlaubnis für Alles" einzuholen. Um das Portal weiter nutzen zu können, habe man 322 Einwilligungen geben oder die entsprechenden Kästchen einzeln ablehnen müssen.

Verschweigen keine Option mehr

Ähnliche Opt-in-Massenbestätigungen praktiziere eBay bei Kleinanzeigen, monierte Hohl. So könnten Daten an 1410 Kooperationspartner weitergegeben werden, wobei man nur einzelne Kategorien ablehnen könne. "Wir werden hier Druck ausüben müssen mit den Aufsichtsbehörden", konstatierte der IT-Sicherheitsforscher. Auch sonst sei es selbst beim Versand von Datenschutzhinweisen zu Missgeschicken gekommen. So hätten etwa die Stadtwerke Krefeld eine Mail per CC an eine Vielzahl ihrer Kunden verschickt. Immerhin gebe es mit der DSGVO nun eine Meldepflicht für solche Pannen: "Verschweigen ist keine Option mehr", sonst drohten höhere Bußgelder.

Vielen ausländischen Online-Anbietern sei es zu "stressig" geworden, ihre Datensammelpraktiken an die DSGVO anzupassen, berichtete Nocun. Über 1000 US-Medien und selbst ein Anbieter einer intelligenten Glühbirne hätten ihre Portale so für europäische IP-Adressen geblockt. Die New York Times habe dagegen beschlossen, europäische Nutzer nur nicht mehr "für personalisierte Werbung zu tracken" und damit kurioserweise sogar höhere Werbepreise durchsetzen können.

Die vielfach befürchtete Abmahnwelle sei "einmal durchs mediale Dorf getrieben" worden, letztlich aber im großen Stil ausgeblieben, waren sich beide Vortragende einig. Ein selbsterkorener Bürgerrechtsverein etwa habe sich aber Unternehmen rausgepickt, die keine SSL-Verschlüsselung, aber ein Kontaktformular auf ihrer Webseite hätten. Selbst wer davon betroffen sei, sollte aber nichts vorschnell unterschreiben oder zahlen, meinte Nocun. Das Oberlandesgericht Hamburg habe mittlerweile entschieden, dass Datenschutzabmahnungen nur in einem kleinen Bereich durch direkte Wettbewerber möglich seien.

Aufsichtsbehörden jetzt gefragt

Andere wie eine ominöse "Datenschutzauskunft-Zentrale" hätten "kriminelle Energien" entwickelt und Faxe verschickt mit einem vermeintlichen Hilfsangebot, um die DSGVO einzuhalten, beklagte die Ex-Piratin. Für 500 Euro hätten Kunden dann über einen Vertrag mit einer Briefkastenfirma auf Malta ein Paket an Informationen bekommen, von denen die meisten schon im Netz zu finden gewesen seien. Insgesamt sei mit der Verordnung für die Nutzer "noch nicht alles gut", da Tracking noch der Standard sei mit Opt-in. Es sei daher an der Zeit, über die verspätete E-Privacy-Verordnung "bestimmte Werbekategorien" oder die "Totalüberwachung von Smartphones" grundsätzlich zu verbieten.

Hohl mahnte, dass die deutschen Aufsichtsbehörden nun "auf Betriebstemperaturen kommen" und bei Verstößen den höheren Strafrahmen ausschöpfen sollten. Datenschutzbeauftragten in Konzerne bräuchten solche Entscheidungen, "damit das Mangement Ressourcen und Budget freigibt".

