Fun für Fans: Die DSVGO bringt jede Menge Probleme für alle, die sie ernst nehmen

Datenschutz scheint ein zu wichtiges Thema, als dass man es verstehen könnte. Stattdessen stellt die DSVGO Regeln auf, die die Betroffenen weder verstehen noch erfüllen können.

Sicherheit im Datenverkehr. Darauf haben alle gewartet. Das zeigt uns der Ansturm der Mails für den Müll, die uns im Mai und Juni im Minutentakt erreichten. Alle verbessern und erweitern ihre Datenschutzerklärungen. Eine Kommunikationsorgie: Wer immer uns im Laufe des letzten Vierteljahrhunderts mal einen Newsletter geschickt hat (und auch mancher, der dies noch nie versucht hat), nutzt die Gelegenheit, unsere Mail-Adresse zu überprüfen, indem wir per Mausklick den Schutz unserer Privatsphäre bestätigen sollen.

Dass da mancher sich einmischt, der mit unlauteren Motiven unseren Kontakt, die Kontrolle unserer E-Mail-Adresse oder gar die Einwilligung in obskure Geschäfte sucht, versteht sich von selbst. Daher heißt der wohlgemeinte (und stets gültige) Rat: Nie unterschreiben, bestätigen oder anklicken, was wir nicht zuvor inhaltlich zur Kenntnis genommen haben!

Sicherheit braucht Information

Doch selbstverständlich sind wir außer Stande, all das zu lesen, was da angeblich in Erfüllung der DSVGO um unser Ja-Wort sucht. So werden wir dann auch vor jedem Besuch einer Web-Seite oder eines Blogs gewarnt, dass die IP-Adresse, mit der wir unterwegs sind, gespeichert und getrackt wird. Hier wächst die Gefahr, dass wir im Wust der Einwilligungen mit kurzem OK auch Schad-Software erlauben, Einzug auf unsren Rechner zu halten. Übertriebene Sicherheitsvorschriften – das ist bekannt – werden gerne ignoriert und führen dann zu erhöhten Risiken. Sicher ist nur, was praktikabel und verständlich bleibt.

Fern aller Ironie und jenseits eines Lächeln, das uns im Halse stecken bleibt, sehen wir wieder einmal, dass gut gemeint das Gegenteil von gut gemacht ist, was übrigens auf nationaler Ebene ebenso wie auf europäischer Plattform oder gar im globalen Rahmen gilt. Denn im Internet treffen Unternehmen, Kunden und Privatleute aus aller Welt aufeinander. Da ist es schwer, die Umsetzung und Durchsetzung von Verordnungen einheitlich zu gestalten. Denn wie mit den grenzüberschreitenden verbindlichen Regeln umgegangen werden soll, das entscheiden erst einmal nationale Gerichte. Die Konsolidierung liegt dann im Weiteren beim Europäischen Gerichtshof. Und das kann dauern. So lange aber herrscht Rechtsunsicherheit.

Ratlosigkeit

Die ist so groß, dass die F.A.Z. konstatiert „Selbst Anwälte sind ratlos über die neuen Datenschutzregeln“, was laut dieser Zeitung erklärt, dass die befürchtete Welle von Abmahnungen ausblieb. Ein schwacher Trost allerdings, denn wer sich darauf verlässt, dass Abmahnungen und hiermit verbundene Kosten bei der Nichterfüllung der DSVGO ausbleiben, geht ein hohes Risiko ein. So heißt es im Beitrag der F.A.Z.: „Kommen dann die bösen Anwaltsschreiben, könnte das insbesondere für den Mittelstand schwerwiegende Folgen haben. Denn während Großkonzerne Kapazitäten und Erfahrungen haben, um sich mit dem Thema Datenschutz auseinanderzusetzen, stehen kleinere und mittlere Unternehmen oft ratlos da.“

Wie windelweich die Monopolisten des Internets mit Urteilen des Europäischen Gerichtshofs umgehen, hierfür liefert einer der Web-Protagonisten ein treffliches Beispiel: Besagt doch das EuGH-Urteil vom 5. Juni, dass Facebook Fanpage Betreiber für mögliche Datenschutzverstöße etwa beim Tracking auf der Plattform mitverantwortlich sind. Das Urteil ist Ergebnis eines Verfahrens, das 2011 vor und unabhängig von der DSVGO eröffnet wurde. Hierauf hätte sich Facebook lange vorbereiten können. Stattdessen hat es 10 Tage gebraucht, bevor der Konzern überhaupt Stellung genommen hat, und dann mit der nichtssagenden Erklärung: „Wir werden die notwendigen Schritte unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen.“ Und der Beschwichtigung: „Details zu unseren aktualisierten Bedingungen werden wir in Kürze bekanntgeben. In der Zwischenzeit können Facebook-Seiten wie gewohnt genutzt werden.“

Auf eigenes Risiko

Klar kann man machen, was man will. Fraglich allerdings, ob’s rechtlich einwandfrei ist. Beachten sollte man, dass nach Ansicht des Gerichtshofs jeder Betreiber einer Facebook-Fanpage auch für Datenschutzverstöße von Facebook verantwortlich gemacht werden kann, anscheinend auch dann, wenn sich von ihm in der Praxis Facebook und Zuckerbergs Umgang mit Nutzerdaten kaum oder gar nicht beeinflussen lässt.

Ungezählte Unternehmen, Organisationen und öffentliche Einrichtungen nutzen Facebook für die Kommunikation mit ihrer Community, für Informationen und für Werbung. Selbstverständlich legt Facebook im eigenen Interesse Wert darauf, den Ball flach zu halten. Denn das Abschalten von Millionen Facebook-Fanpages als einzige Möglichkeit, rechtlichen Konsequenzen zu entgehen ist nicht im Interesse des Konzerns. Dem kommt entgegen, dass das EuGH betont, „dass die amerikanische Gesellschaft Facebook und … deren irische Tochtergesellschaft Facebook Ireland als ‚für die Verarbeitung‘ der personenbezogenen Daten… ‚Verantwortliche‘ anzusehen sind.“ Abmahnungen und behördliches Vorgehen gegen die Fanpage-Betreiber sind im Moment eher unwahrscheinlich, da man sich nun mit weiteren Maßnahmen zunächst an Facebook halten müsste. Solange die Rechtslage undurchsichtig ist, halten sich halt auf den eigenen Profit bedachte Abmahner lieber zurück. Wer allerdings auf Nummer sicher gehen möchte, der sollte seine Fanpage erst einmal deaktivieren.

Hilfe beim Datenschutz

In dieser Situation bringt die DSVGO weitere Unsicherheiten und Probleme, vor denen vor allem KMUs und Selbständige oft hilflos stehen. Da streicht dann mancher Blogger die Segel, weil er nicht weiß, ob er dem surfenden Gast bieten kann, was verlangt wird. Und mancher Verein, manch kleines Unternehmen ist auch abseits des Internets von der DSVGO in seiner Datenverarbeitung betroffen, beispielsweise wenn es darum geht, einen Datenschutzbeauftragten haben zu müssen. Die Schwelle zu dieser Pflicht ist ausgesprochen niedrig. Schon wenn zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss es einen Datenschutzbeauftragten geben. Und es gibt – je nach Verarbeitung der personenbezogenen Daten – Fälle, in denen unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter benannt werden muss, eine Aufgabe, die übrigens bestens extern erfüllt werden kann, wobei wir Ihnen gerne helfen.

Es ist wichtig, dass der Webkultur, die gerade einmal ein Vierteljahrhundert Zeit hatte, sich zu entwickeln, keine unnötigen Grenzen gesetzt werden. Es sind Schranken, die die Falschen einengen, da Google, Facebook und Konsorten diese Anforderungen auf die gewohnte Weise überschreiten: Entweder der Nutzer willigt ein oder halt nicht. Wen kümmerts schon. Wie es die Datensammler mit der Transparenz halten, erklärt uns Spotify: „Wir haben in unserer Datenschutzerklärung schon immer in einfachen und deutlichen Worten beschrieben, wie wir personenbezogene Daten erheben, verwenden und wie wir diese schützen.“ Super. Die Profis der Branche brauchen die DSVGO also gar nicht. Wer da nicht bereit ist, einzuwilligen, wird von der Kommunikation ausgeschlossen. Da sind die Geschäftemacher des Internets ganz rigide: Wer seine Daten nicht für Big Data freigibt, kann sie ganz und gar für sich behalten. Und was lernt man, nachdem man sein Postfach geleert hat: In Zukunft kündigen wir jede E-Mail schriftlich an und speichern die Einwilligung zum Empfang ab. Sicher ist sicher ?