Sie haben Post. Sehr viel Post. Wer im Mai sein E-Mail-Postfach öffnete, der fand vermutlich Dutzende neue Mails vor: Viele Unternehmen, Website- und Newsletterbetreiber informierten ihre Kunden und Abonnenten über die Auswirkungen der Datenschutz-Grundverordnung (DSGVO). Seit dem 25. Mai gilt die DSGVO der Europäischen Union endgültig. Sie soll den Datenschutz in Europa neu regeln, ihn vereinheitlichen und Internetnutzern neue Rechte gewähren.
Während die Nutzer einfach auf „Akzeptieren“ klicken konnten oder froh waren, den nervigen Newsletter endlich los zu sein, herrschte auf der anderen Seite des Postfachs mehr Aufregung: Empfänger können nun genauer erfahren, was mit ihren Daten passiert, und die Betreiber müssen Auskünfte erteilen. Viele waren darauf auch am 25. Mai noch nicht vorbereitet.
Zudem tötet die DSGVO Blogs, sie verbietet das Fotografieren von Menschen und bringt Abmahnanwälten jede Menge Geld ein – so die Befürchtungen. Aber waren die Ängste berechtigt?
Ist das große Blogsterben eingetreten?
Auf Twitter rief der Autor Enno Park seine Follower dazu auf, ihm Seiten zu schicken, die wegen der DSGVO ihren Blog kippten. Nach etwa 24 Stunden konnte Park dadurch mehr als 300 Blogs und andere Websites auflisten, die ihren Betrieb eingestellt haben – in der Regel kleine oder persönliche Seiten. Aber sind Blogs wirklich wegen der neuen Datenschutzregeln aus dem Netz verschwunden oder gab es noch andere Gründe? Knapp einen Monat nach dem Inkrafttreten der DSGVO untersuchten Autoren des Portals Netzpolitik.org das mögliche Blogsterben genauer und fragten Seitenbetreiber, warum sie ihre Website abgeschaltet haben.
Das Ergebnis: Viele Betreiber fühlten sich technisch überfordert: Wer eine Seite in Eigenregie erstellt hat und verwaltet, der muss sich selbst in die Thematik einarbeiten und die Anforderungen der DSGVO umsetzen. Eine Anleitung lieferte die EU nicht mit. Aber auch verbreitete Blogging-Plattformen wie WordPress oder Tumblr reagierten sehr spät auf die neuen Datenschutzregeln. Dazu kam die Angst vor möglichen Konsequenzen: Etwa vor drohenden Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens – die Höchststrafe wird vermutlich nur in Ausnahmefällen bei wiederholten schweren Verstößen verhängt und nicht gleich bei einer kleinen Datenpanne. Hauptsächlich geht es um die Angst vor Rechtsanwälten, die im Auftrag ihrer Kunden nach Fehlern in der DSGVO-Umsetzung suchen und die Betroffenen abmahnen könnten. „Ein Großteil unser Gesprächspartner fühlte sich mit ihren Unsicherheiten ziemlich alleingelassen“, resümieren die Autoren von Netzpolitik.org.
Sie schreiben aber auch: „Wenn wir ehrlich sind, hat ein ‚Blogsterben‘ weit vor der DSGVO begonnen.“ Schon lange davor seien Betreiber zu Facebook, Medium oder Twitter gewechselt. Dort bloggt es sich bequemer, und die Nutzer müssen nicht eigenständig eine komplette Website verwalten.
Die Angst vor der Abmahnwelle
Viele Blogs und Websites schlossen mit dem Verweis auf drohende Abmahnungen. Zwar existieren seit Mai immer wieder einzelne Berichte über dubiose Anwälte und Abmahnungen aufgrund der DSGVO, allerdings scheint es bisher keine große Abmahnwelle zu geben. Trotzdem ist jede Abmahnung und die damit verbundene Forderung über mehrere Hundert Euro ein Schock für die Betroffenen.
Die DSGVO bringt an sich keine „Abmahnvorschriften“ mit. Abmahnungen wegen Verstößen gegen den Datenschutz beziehen sich in der Regel auf das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG) und waren auch schon vor den neuen Datenschutzregeln möglich. „Verstöße gegen datenschutzrechtliche Vorschriften wurden schon bislang von den Gerichten häufig für wettbewerbsrechtlich relevant erachtet“, schreibt etwa der Fachanwalt für IT-Recht Thomas Stadler in seinem Blog. „Insoweit ändert sich an der bestehenden Rechtslage nichts, das juristische Risiko wegen eines Datenschutzverstoßes wettbewerbsrechtlich abgemahnt zu werden, hat sich nicht erhöht“, folgert er. Unter Experten ist es umstritten, ob Verstöße gegen die DSGVO überhaupt abgemahnt werden können. Vermutlich wird sich erst vor Gericht zeigen, welche Abmahnungen rechtens sind.
Die Abmahngefahr rief auch die Politik auf den Plan: Die Unionsfraktion im Bundestag wollte einen schnellen Schutz gegen Abmahnungen aufgrund der DSGVO schaffen und Abmahngebühren verbieten. Allerdings wäre dieser Schutz nur auf zwölf Monate begrenzt gewesen. Die SPD machte da nicht mit und wollte lieber grundlegende Änderungen einführen. So sollten beispielsweise Anwaltsgebühren gedeckelt werden, wie es schon beim Urheberrecht der Fall ist. Laut der „Süddeutschen Zeitung“ leitete Bundesjustizministerin Katarina Barley am 11. September dem Bundestag einen Gesetzentwurf zu, um gegen missbräuchliche Abmahnungen vorzugehen. So soll unter anderem der Streitwert begrenzt und der fliegende Gerichtsstand abgeschafft werden – Abmahner sollen sich in Zukunft nicht mehr einen Gerichtsort aussuchen können.
Welche genauen Auswirkungen die DSGVO auf Bundestagsabgeordnete hat, ist nicht genau abzusehen. Im März haben die wissenschaftlichen Dienste des Bundestags in einem Infobrief über die möglichen Folgen informiert. Ob etwa Fraktionen und Abgeordnete als öffentliche Stelle eingeordnet werden und für sie damit spezielle Regeln gelten, ist laut dem Infobrief noch nicht abschließend geklärt.
Die Foto-Debatte
Neben den Seitenbetreibern hatte die DGSVO im Vorfeld vor allem Fotografen in Aufregung versetzt: Bald dürfe man nicht mehr so einfach Menschen fotografieren und die Bilder ins Netz stellen, befürchteten einige Kommentatoren. Die Sorge: Jede Person, auch wenn sie nur im Hintergrund auf einem Festival auftaucht, müsse erst einwilligen, bevor ein Foto geschossen werden darf – das wäre für Fotografen praktisch unmöglich umzusetzen.
Viele Experten, darunter Stimmen aus dem Bundesinnenministerium, sind der Meinung, dass bisherige deutsche Ausnahmeregeln weitergelten. Für Fotografen ändert sich also nicht viel Ein Foto einer Veranstaltung, auf dem viele Menschen abgebildet sind, darf weiter online stehen. Aber ob diese Einschätzung stimmt, werden am Ende wohl Gerichte entscheiden.
Fünf Tipps zum Nachbessern
Datenschutzbeauftragter
Arbeiten mindestens zehn Mitarbeiter regelmäßig mit personenbezogenen Daten, die automatisiert verarbeitet werden (etwa wenn sie E-Mail-Adressen speichern), dann ist ein Datenschutzbeauftragter Pflicht. Unternehmen, die weniger als zehn Mitarbeiter haben, müssen nur unter bestimmten Umständen einen Datenschutzbeauftragten benennen, etwa wenn sie personenbezogene Daten für die Markt- oder Meinungsforschung geschäftsmäßig verarbeiten.
Der Datenschutzbeauftragte kann extern oder intern benannt werden und sollte ausreichend qualifiziert sein, um die Aufgaben aus Artikel 39 der DSGVO erfüllen zu können: Er berät etwa in Datenschutzfragen und arbeitet mit den Aufsichtsbehörden zusammen. Genaue Anforderungen, beispielsweise ein bestimmtes Zertifikat, verlangt die DSGVO nicht.
Datenschutz-Generatoren
Einige Anwälte und Kanzleien stellen im Netz kostenlose oder kostenpflichtige Generatoren für Datenschutzerklärungen zur Verfügung. Mit wenigen Klicks kann der Nutzer eine individuelle, DGSVO-konforme Erklärung für seine Website zusammenstellen, die etwa Kommentarfunktionen, Newsletter, Google Analytics, bestimmte WordPress-Plugins oder Kontaktformulare berücksichtigt. Vorsicht: Die Anbieter übernehmen in der Regel keine Haftung für die erstellten Texte. Es besteht also immer ein Restrisiko und der Nutzer sollte die Erklärungen genau prüfen. Zu den Anbietern gehören etwa die Kanzlei Wilde Beuger Solmecke, der Anwalt Thomas Schwenke oder die Website e-recht24.de.
Newsletter
Wer rechtlich einwandfreie Zustimmungen von seinen Nutzern nach den Vorschriften des alten Bundesdatenschutzgesetzes eingeholt hatte, der muss eigentlich nichts weiter tun: Der Betreiber hat bereits die Einwilligungen der Nutzer für den Newsletterempfang und verschickt keine ungewollte Werbung. Bereits im September 2016 beschlossen die Aufsichtsbehörden für den Datenschutz, dass rechtmäßige Einwilligungen im Grunde auch unter der DSGVO weiter gültig sind. Trotzdem gingen viele Unternehmen auf Nummer sicher.
Generell sollten Seitenbetreiber nur die nötigsten Daten abfragen, wenn sie einen E-Mail-Newsletter anbieten. Unbedingt nötig wäre zum Beispiel die E-Mail-Adresse des Nutzers, aber nicht sein Geburtsdatum. Außerdem sollten Betreiber auf das Double-Opt-in-Verfahren setzen: Der Nutzer muss seine Einwilligung nochmals bestätigen, etwa indem er auf einen Bestätigungslink in der Einwilligungsmail klickt. So lässt sich seine Einwilligung gut nachvollziehen. Auch sollte jeder Nutzer den Newsletter einfach abbestellen können, etwa durch einen Link am Ende der Mail.
Verschlüsselung
Nach der DSGVO müssen personenbezogene Daten wie E-Mail-Adressen oder Namen ausreichend geschützt werden. Als Beispiel wird in den Datenschutzregeln explizit die Verschlüsselung dieser Daten genannt. Seitenbetreiber sollten daher ihre Website auf HTTPS umstellen, um den Transport der sensiblen Daten zu verschlüsseln – schließlich können schon über ein simples Kontaktformular persönliche Daten übertragen werden. Viele Webhoster bieten Betreibern kostenlos die Möglichkeit, ihre Seiten mit nur einem Klick zu verschlüsseln. Nutzer erkennen HTTPS-Sites in vielen Browsern an einem grünen Schloss neben der Adressleiste.
Datenschutz-Bestseller
Die DSGVO brachte sogar einen neuen Bestseller hervor: Die knapp 60-seitige Broschüre „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“ vom Bayerischen Landesamt für Datenschutzaufsicht, die im Mai immer wieder auf Platz eins der Bestseller-Liste von Amazon stand. Die Behörde gibt darin kleinen Unternehmen und Vereinen Tipps, wie sie mit der DSGVO umgehen und wo sie beim umfangreichen Thema Datenschutz beginnen sollen. Die Broschüre ist im November 2017 im Verlag C. H. Beck erschienen.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe N° 124 – Thema: Die Macht der Länder. Das Heft können Sie hier bestellen.