Trotz des Stichtags für die neuen EU-Datenschutzregeln am vergangenen Freitag sind längst nicht alle Unternehmen am Ziel. Das sei nicht dramatisch, sagen die Datenschützer. Doch die Aufregung zeigt auch die Schwächen des umfangreichen EU-Textes auf.
Die Stimmung seit Freitag gleicht jener im Dezember 1999 als das Jahr-2000-Problem der Computer für diverse Untergangsszenarien sorgte. Tatsächlich ist der Hype um die Datenschutzgrundverordnung (DSGVO, GDPR auf Englisch und RGPD auf Französisch) von ähnlicher Natur. Garagentüren und Kühlschränke melden, dass sie jetzt datenschutzkonform sind. Manche US-Medien sperren Leser aus der EU aus. Und der Werbeblockerdienst Ghostery schickte Mails mit Adressen von 500 anderen Nutzern.
Und unzählige weitere Nachrichten landen in der Mailbox. Unternehmen, an deren Namen man sich nicht einmal mehr erinnert, weisen darauf hin, dass ihre Datenschutzerklärung aktualisiert wurde und bitten um Einwilligung, einem weiter Newsletter schicken zu dürfen.
Die unnötige E-Mail-Flut
Dabei sind viele der unzähligen Mails in unseren Postfächern eigentlich überflüssig, sagt ein Sprecher der EU-Kommission auf Nachfrage. „Das Drama, das mit allen diesen Mails gemacht wird, müsste nicht sein. Entweder ist alles in Ordnung oder es ist wahrscheinlich nicht ganz legal“, sagt ohne Umschweife Luxemburgs oberste Datenschützerin Tine Larsen.
Ein praktisches Beispiel: Hat man eine Kundenkarte eines Geschäfts, dann hat man ein Formular unterschrieben, bei dem man angekreuzt hat, ob man die Newsletter erhalten will. Dann braucht es jetzt kein erneutes Ok. „Es gibt aber auch Firmen, die zahllose Mailadressen gesammelt haben – sei es bei Preisausschreiben oder im Tausch mit anderen Unternehmen. Wenn Sie jetzt von einem solchen Absender eine Mail erhalten, nach dem Motto ‚Wollen Sie in Kontakt bleiben‘, dann ist das illegal“, sagt die Präsidentin der Luxemburger Datenschutzkommission CNPD.
Ich weiß nicht, wer in Panik gerät: Die Unternehmen oder die Berater, die glauben, sie müssten Katastrophenstimmung verbreiten, um mehr Kunden zu gewinnen.“CNPD-Präsidentin Tine Larsen
Dazu kommt, dass es dabei eher um die ePrivacy-Richtlinie von 2002 geht, die ein „Opt-in“ für Online-Kommunikation vorschreibt, erklärt der Anwalt für Datenschutz Tanguy Van Overstraeten der Kanzlei Linklaters. „Viele Unternehmen nutzen die DSGVO, um den Missbrauch der Regulierung zu verschleiern“, so das Mitglied der EU-Expertengruppe für die Rechtsanwendung der DSGVO.
Panikmache aus Geldgier
„Vermeiden Sie Strafen und Bußgelder bis zu 20 Millionen Euro“, wirbt ein Beratungsunternehmen online und bietet gleich die passende Lösung an. Diese Art der Werbung spielt mit der Angst und trägt zur Verunsicherung, gerade der Kleinunternehmer, bei. „Ich weiß nicht, wer in Panik gerät: Die Unternehmen oder die Berater, die glauben, sie müssten Katastrophenstimmung verbreiten, um mehr Kunden zu gewinnen“, sagt die CNPD-Präsidentin Tine Larsen.
In zwei bis drei Jahren werden gerade kleine Unternehmen noch immer nicht alle Regeln vollständig umgesetzt haben.“Nicolas Henckes
Genau wie Larsen betonte auch die EU-Kommissarin für Justiz und Verbraucherschutz Vera Jourova wiederholt: Es gibt keinen Grund zur Panik. „Wir rennen jetzt nicht hinaus, kontrollieren überall und verhängen hohe Geldstrafen für kleine Vergehen“, versucht auch Tine Larsen zu beruhigen.
„In zwei bis drei Jahren werden gerade kleine Unternehmen noch immer nicht alle Regeln vollständig umgesetzt haben“, meint der Direktor der Confédération luxembourgeoise du commerce (CLC), Nicolas Henckes. „Bei den Betrieben ist durchaus ein Bewusstsein für den Datenschutz da. Aber es ist eben keine Priorität für alle“, so Henckes. Es sei allerdings wichtig, dass die Firmen nach und nach über ihre Datennutzung nachdenken.
Kosten von 7.000 Euro für jedes kleine Unternehmen
Die Panik ist auch deshalb seltsam, weil sich nicht so viel verändert hat. „Die Rechte und Pflichten sind im Wesentlichen die gleichen. Was sich ändert, ist, wie die Rechte umgesetzt und kontrolliert werden“, erklärt Larsen. Seit dem Gesetz von 2002 mussten Unternehmen der CNPD mitteilen, wenn sie Daten etwa ihrer Kunden nutzen wollten. „Die Firmen haben angegeben, welche Daten sie auswerten, zu welchem Zweck, wie sie sie schützen. Sie haben sich also durchaus Gedanken gemacht“, erklärt sie.
Doch das war meist eine einmalige Anstrengung. „Die Unternehmen haben ihre 125 Euro pro Mitteilung gezahlt und dann haben sie auch nie mehr daran gedacht. Wir stellen jetzt fest, dass viele Firmen nicht einmal eine Kopie davon haben“, erzählt Larsen. Und statt dass die CNPD wie bisher im Voraus prüft, ob die Pläne der Unternehmen gesetzeskonform sind, müssen diese nun selbst sicher sein, dass sie die Regeln erfüllen.
Das sei machbar, aber durchaus komplex, meint der CLC-Direktor. Der Verband bietet seinen Mitgliedern Weiterbildung und Hilfe bei der Umsetzung an. Externe Berater würden für solche Dienste etwa 6.000 bis 7.000 Euro verlangen, so Henckes. Auch hat die CLC zwei Juristinnen eingestellt, die für die Betriebe als Datenschutzbeauftragte fungieren können. Übertrage man einer Anwaltskanzlei diese Aufgabe, schlage das mit 1.000 bis 2.000 Euro pro Jahr zu Buche, sagte der Präsident des Onlinehandelverbands Jacques Lorang dem Radio 100,7.
Ausufernde Komplexität
In Brüssel sorgen die Kosten dieser Auflagen inzwischen für deutliche Kritik. Die Betriebe würden von der Verordnung erschlagen, sagt Luc Hendrickx von der Europäischen Union der Klein- und Mittelbetriebe UEAPME. Das Argument, dass sie zwei Jahre Zeit hatten, um sich zu rüsten, lässt er nicht gelten. Denn zwar steht die Verordnung schon seit 2016, doch die Empfehlungen zu deren Interpretation nicht. So hat die Artikel-29-Arbeitsgruppe – jenes unabhängige Gremium, das die EU-Kommission in Datenschutzfragen berät – neun Empfehlungen zur DSGVO herausgegeben. Fünf davon erschienen nach dem 1. Januar dieses Jahres, vier davon nur in Englisch und der letzte Text wurde erst im vergangenen April veröffentlicht.
„Wie soll sich der Manager eines kleinen Betriebes mal eben durch rund 240 Seiten lesen, die er eventuell nicht einmal versteht?“, empört sich Hendrickx. Er betont, dass laut rezenten Studien etwa in Belgien erst 15 Prozent der Firmen alle Auflagen erfüllen.
Unterschiedliche Anwendung je nach Ländern
„Die Regulierung ist schwerfällig und für all jene, die keine Erfahrung mit Gesetzestexten haben, sehr schwer zu verstehen – sogar für Anwälte ohne Expertise im Datenschutz“, meint auch der Anwalt Tanguy Van Overstraeten. Hinzu kommt, dass es den Mitgliedsstaaten freisteht, neben den EU-Texten noch weitere Richtlinien zu veröffentlichen. „Die Unternehmen müssen sich durch ein Patchwork an Texten arbeiten. Sie müssen nicht nur die DSGVO respektieren, sondern auch deren Umsetzungen in den nationalen Gesetzgebungen der Mitgliedstaaten.
Nicht umsonst nannte man den Text im Parlament Lex Google. Zuckerberg und co. sind der Grund dafür, dass die Verordnung so umfassend ist.“Luc Hendrickx
Und dann stellt sich noch die Frage der unterschiedlichen Interpretation des DSGVO-Textes, so der Partner der Anwaltskanzlei Linklaters. Denn es kann durchaus sein, dass Unternehmen, die in mehreren Ländern aktiv sind, mit widersprüchlichen Auslegungen konfrontiert werden. Zwar übernimmt dann die unabhängige EU-Aufsichtsbehörde EDPS die Rolle des Schiedsrichters, doch „das kann ewig dauern und zu Lasten der Innovation gehen“, befürchtet Van Overstraeten. „Die Länder außerhalb der EU werden nicht auf uns warten.“
Immer auf die Kleinen
Die Vertreter der Klein- und Mittelbetriebe UEAPME, HOTREC und EUROCHAMBERS wünschten sich eine Gnadenfrist für kleinere Unternehmen und forderten Kommissarin Jourova in einem Brief auf, die Mitgliedsstaaten zur Einführung einer solchen zu ermutigen. Eine Antwort gab es bisher nicht.
Die Verbände kritisieren, die Regulierung sei auf große, multinationale Konzerne zugeschnitten. „Nicht umsonst nannte man den Text im Parlament Lex Google. Zuckerberg und co. sind der Grund dafür, dass die Verordnung so umfassend ist“, bedauert Luc Hendrickx. „Die Regeln sind absolut nicht auf die Größe der Firmen abgestimmt.“
Die einzige Ausnahme für Betriebe mit weniger als 250 Mitarbeitern betrifft das Register über Datenverarbeitungstätigkeiten. Doch die Ausnahme gelte nicht, finden sowohl Tanguy Van Overstraeten als auch Luc Hendrickx. Die Unternehmen seien dennoch gezwungen, ein solches Verzeichnis zu führen. „Wie würden sie sich sonst im Falle eines Missbrauchsvorwurfes verteidigen?“, fragt der Anwalt für Datenschutzfragen. Sie müssen nachweisen können, welche Maßnahmen zum Datenschutz sie getroffen haben.
Vom Fußballklub bis zur Amiperas
Dass die DSGVO nicht nach Größe schaut, hat auch zur Folge, dass alle Vereine sich an die Datenschutzregeln halten müssen. Was erwartungsgemäß viele Fragen aufwirft. „In den vergangenen zwei bis drei Monaten erhielten wir sehr viele Anfragen von Vereinen oder Stiftungen“, erzählt Danielle Jeitz von der CNPD. Es gebe jedoch keinen Grund zur Panik, denn es gelte erst einmal ein Inventar zu erstellen, welche Daten verarbeitet werden. Dann müsse geklärt werden, welche gesetzliche Grundlage dafür bestehe. „Klar ist, dass eine Asbl über Daten ihrer Angestellten verfügen darf. Klar ist ebenfalls, dass ein Sportverein Spielresultate auf seiner Webseite veröffentlichen darf“, so die Juristin.
Gerade bei Vereinen müsse aber auf das Prinzip geachtet werden, dass nur Daten genutzt werden, die man tatsächlich braucht. „Ein Verein kann die Namen der Vorstandsmitglieder veröffentlichen, aber ihre Privatadresse ist überflüssig“, so Jeitz. Die CNPD arbeitet aktuell an einer Broschüre für die Vereine ohne Gewinnzweck.
So viel Aufmerksamkeit für Datenschutz wie nie zuvor
Unumstößlich ist allerdings, dass es in den nächsten Jahren mehr Kontrollen der Datenschützer geben wird. „Wir verteidigen ein Menschenrecht“, meint Tine Larsen.
Um diesen Auftrag zu erfüllen, stellte die CNPD massiv Mitarbeiter ein. „Vor drei Jahren waren wir 15, im August werden wir 35 sein“, so Larsen. „Die Nachforschungen, die bisher unter ‚ferner liefen‘ rangierten, werden nun die Hälfte unserer Arbeit ausmachen“, sagt die CNPD-Präsidentin.
Vorher gilt es allerdings, die Verbraucher und die Unternehmen so weit wie möglich aufzuklären. Die CNPD organisiert deshalb in der Woche vom 4. bis zum 11. Juni zahlreiche Events.
Doch bereits jetzt sei die Aufmerksamkeit für den Datenschutz so groß wie nie zuvor, so Larsen. „In einigen Jahren werden wir zurückblicken und sagen können, da waren wir dabei“, sagt die Datenschützerin. „Jetzt müssen wir allerdings noch mit dem Frust all jener umgehen, die die DSGVO umsetzen müssen“, schmunzelt sie.