Mitte Mai füllten sich die E-Mail-Postfächer mit unzähligen Nachrichten von Unternehmen, Vereinen und Magazinen. Newsletter-Abonnenten wurden gebeten, ihr Einverständnis zur weiteren Verwendung ihrer Kontaktdaten zu erklären. Nur so könne man weiter in Kontakt bleiben oder Informationen und Einladungen erhalten, hieß es.
Und warum das alles? Mitte April 2016 im „fernen Brüssel“ beschlossen, trat am 25. Mai die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach einer zweijährigen Übergangsfrist kam die neue Regelung dennoch für viele überraschend! Entsprechend groß war nicht nur die Verunsicherung, sondern auch das Halbwissen, das die Runde machte.
Gut einen Monat ist das nun her. Die anfängliche Hysterie ist verflogen. Grund genug, sich noch einmal sachlich mit dem Thema auseinander zu setzen. Denn im Kern der Sache hat sich nicht viel geändert! Bevor die EU-Verordnung in Kraft trat, galt nämlich das Bundesdatenschutzgesetz (BDSG). Hier waren und sind viele Dinge bereits geregelt.
Dass die EU-Datenschutz-Grundverordnung trotzdem für Verunsicherung sorgt, liegt auch daran, dass sich zahlreiche Halbwahrheiten und Mythen hartnäckig halten:
1. Verstöße werden mit 20 Millionen Euro Strafe belegt
Die Aufsichtsbehörden haben bereits angekündigt, mit Augenmaß zu entscheiden. Demnach wird der Maximalrahmen bei Strafen nur in wirklich schwerwiegenden Fällen tatsächlich ausgeschöpft. Sie zielt vor allem auf große Unternehmen wie Facebook und Co.
2. Drohende Klagewelle
Die befürchtete Klagewelle gegen Unternehmen und Institutionen ist ausgeblieben. Strafen werden von den Aufsichtsbehörden verhängt. Der Datenschutzbeauftragte ist hier gewissermaßen als „Kontrollinstanz“ zwischengeschaltet. (Vgl. Art. 77 ff. DSGVO)
3. Jedes Unternehmen braucht jetzt einen Datenschutzbeauftragten
Auch das ist so nicht richtig. Erst wenn in einem Unternehmen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind, muss sich die Geschäftsführung mit dieser Frage befassen. Eine Ausnahme bilden nur Unternehmen, die besonders sensible Daten verarbeitet, oder persönliche Daten an Dritte übermittelt. (Vgl. Art. 37 Abs. 1 DSGVO i.V.m. § 38 BDSG)
4. Jede Datenerfassung bedarf einer Einwilligung
Stimmt so nicht. Eine Einwilligung ist nur dann erforderlich, wenn die Datenverarbeitung nicht durch Gesetze erlaubt ist oder man kein berechtigtes Interesse an der Verarbeitung personenbezogener Daten nachweisen kann. (Vgl. Art. 6 Abs. 1 DSGVO)
Um der Verunsicherung entgegenzuwirken, haben offizielle Stellen inzwischen reagiert und Informationen für Bürger und Unternehmen bereitgestellt. So beantwortet unter anderem auch der Sächsische Datenschutzbeauftragte häufig gestellte Fragen auf seiner Homepage.
Die Datenschutz-Grundverordnung zielt aber nicht nur auf den E-Mail-Verkehr und die Verwaltung von Adressdaten. Auch die Nutzung sozialer Netzwerke fällt darunter. Der Europäische Gerichtshof (EUGH) hat mit seinem „Fanpage-Urteil“ klargestellt, dass die Inhaber von Facebook-Seiten selbst dafür verantwortlich sind, was das Unternehmen mit den Daten derjenigen Nutzer macht, die diese Seiten besuchen und abonnieren. Darauf hat Facebook inzwischen reagiert und angekündigt, seine Nutzungsbedingungen für diese Seiten anzupassen. Ein Teilerfolg, was den Umgang mit sensiblen Daten angeht!
Noch einmal Klartext: Die Verordnung ist ein wichtiger Schritt, um die Rechte des Einzelnen zu stärken. Gerade im Zeitalter des digitalen Wandels und der wachsenden Cyber-Kriminalität ist es wichtig, auch im Internet für Recht und Ordnung zu sorgen. Unsere persönlichen Daten sind ein sensibles, schützenswertes Gut. Die Auskunfts-, Lösch- und Widerspruchsrechte sind ein Beitrag zur weiteren Harmonisierung des europäischen Verbraucherschutzes.
Klar ist aber auch, dass sie die Verordnung nicht zulasten von Vereinen und mittelständischen Unternehmen gehen darf. Hier muss mit Augenmaß gehandelt werden, um einen angemessener Ausgleich zwischen europäischem Datenschutz auf der einen und privater oder unternehmerischen Freiheit auf der anderen Seite zu finden.
Im Jahr 2020 soll die Datenschutz-Grundverordnung evaluiert werden. Doch schon davor beabsichtigt die Bundesregierung, die Erfahrungen der Verbraucher, Unternehmen, Vereine, Verbände und Behörden aufzunehmen. Sollte sich bei der Evaluation herausstellen, dass eine Rechtsänderung erforderlich ist, so wird diese auch angegangen.