Der Startschuss ging schon mal nach hinten los: Die neuen Datenschutzbestimmungen haben in den ersten Wochen eine Flut von E-Mails, Briefen und anderem Lesestoff ausgelöst. Die Postfächer quellen über, Einstellungen müssen angepasst und Nutzungsbedingungen gelesen werden. Selbst die Verbraucher, für die der strengere Datenschutz eigentlich gedacht ist, sind verunsichert. Warum das Ganze?
Der neue Datenschutz
Der Schutz der eigenen Daten ist in der EU ein Grundrecht. Im Jahr 1995 wurden erstmals Mindeststandards für die Mitgliedsstaaten festgeschrieben. Seitdem hat sich jedoch vor allem durch die großen Datenkonzerne Google und F acebook viel verändert. Darauf hat die EU mit der DSGVO reagiert. Nach einer zweijährigen Übergangszeit trat sie am 25. Mai 2018 in Kraft. Die DSGVO regelt den Umgang mit personenbezogenen Daten etwa durch Unternehmen, Vereine, Behörden und sonstige Organisationen. Dazu gehören Name, Adresse, Mail-Adresse, Mitglieds- bzw. Kundennummer oder IP-Adresse. Als besonders sensibel gelten Daten zur Gesundheit oder zu religiösen und politischen Überzeugungen. Die DSGVO gilt grundsätzlich für alle Organisationen, die ihre Dienste in der EU anbieten. Parallel dazu trat in Deutschland auch das neue Bundesdatenschutzgesetz in Kraft. Darin wurden fast alle Vorgaben der EU -DSGVO eingearbeitet – teilweise wurden die Vorschriften für Deutschland aber gegenüber dem EU-Recht noch verschärft.
Hat die Politik gepennt?
Für 95 Prozent der neuen Bestimmungen ist die EU -Verordnung entscheidend. Deshalb waren die Verhandlungen in Brüssel die entscheidende Weichenstellung. Von den dort verhandelnden Fachpolitikern und Beamten hieß es stets, die neuen Regeln würden nur die ohnehin schon geltenden strengen deutschen Datenschutzstandards auf die EU ausdehnen und vereinheitlichen. Außerdem gebe es Ausnahmen für Mittelständler und Vereine. Doch das war nur die halbe Wahrheit. Durch die neu eingeführten hohen Bußgelder bei Verstößen bekamen die Regeln – egal ob alt oder neu – nun auch für jeden Mittelständler eine höhere Brisanz. Manches an Absurditäten zeigte sich erst in der unmittelbaren Anwendung der Verordnung. Und anders als bei vielen anderen wirtschaftspolitisch relevanten Themen traten diesmal die Wirtschaftsverbände erst sehr spät auf den Plan – zu spät. Die Auswirkungen wurden also insgesamt, das betrifft ebenso die Medien, schlichtweg unterschätzt.
Weniger Aufwand für Verbraucher
Mit der DSGVO sollen EU -Bürger nun die Hoheit über ihre Daten zurückbekommen. Sie erhalten unter anderem ein Auskunftsrecht und ein „Recht auf Vergessenwerden“. Wenn Verbraucheres verlangen, müssen Organisationen Auskunft über ihre gespeicherten Daten geben und nicht mehr benötigte Daten löschen. Ebenso erhalten Verbraucher mehr Kontrolle über ihre Daten. Bei einem Wechsel zu einem anderen Anbieter (zum Beispiel zu einer neuen Bank oder einem neuen Arbeitgeber) können sie ihre Daten mitnehmen („Datenübertragbarkeit“). Auch müssen Verbraucher über Datenlecks oder Hackerangriffe informiert werden.
… und mehr Arbeit für Organisationen
Gleichzeitig bringt jedes neue Recht für die datensammelnden Organisationen, etwa Unternehmen, Vereine oder Parteien, mehr Aufwand mit sich. So müssen nun alle Unternehmen und Vereine, die Daten verarbeiten (also faktisch alle) ein Verfahrensverzeichnis führen, das detailliert regelt, welche Daten wo, warum, durch wen und wie lange gespeichert werden. Grundsätzlich sollen nicht mehr Daten gespeichert werden als nötig und nur für ihren ursprünglichen Zweck genutzt werden. Drei Beispiele: Trägt ein Besucher einer MIT-Veranstaltung seine E-Mail-Adresse in eine Liste ein, um im Nachgang etwa die Präsentation des Referenten zu erhalten, so darf diese Adresse anschließend nicht für weitere Veranstaltungseinladungen verwendet werden. Ebenso wenig zulässig ist es, die Namen von Mitgliedern (etwa bei 25-jähriger Mitgliedschaft) ohne Einwilligung ins Internet zu stellen oder an die Zeitung zu senden. Newsletter an die eigenen Mitglieder im Verband sind weiterhin zulässig, externe „Interessenten“ müssen aber explizit ihr Einverständnis zum Erhalt erklärt haben. Dabei gelten bestehende Einverständniserklärungen unter dem neuen Recht fort, müssen also nicht erneut abgefragt werden.
Welche Sanktionen drohen?
Ab sofort drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes. Dabei sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden. Verbraucher können mutmaßliche Verstöße bei den nationalen Datenschutzbehörden oder dem neuen EU -Datenschutzausschuss anzeigen. Zwar haben die deutschen Datenschutzbehörden mehrfach versichert, dass sie nicht zuerst Mittelständler und ehrenamtlich Aktive kontrollieren wollen, sondern vor allem international operierende Großunternehmen. Dennoch wird die Behörde natürlich aktiv, sobald ein Mittelständler von Wettbewerbern oder Ex-Mitarbeitern wegen angeblicher Datenschutzverstöße angezeigt wird.Das österreichische Parlament hat deshalb kurz vor Inkrafttreten der DSGVO per Gesetz festgelegt, dass die Datenschutzbehörden beim ersten Verstoß zunächst ohne Bußgeld verwarnen sollen. Doch sowohl die Datenschutzexperten beim IT-Branchenverband Bitkom als auch das Bundesinnenministerium halten dieses Gesetz für europarechtlich bedenklich, weil es die Bußgeldandrohung der DSGVO zu stark aushebele. Die MIT fordert daher eine EU -rechtskonforme „Warnschuss- Regelung“: Darin soll es Datenschutzbehörden gesetzlich erleichtert werden, zumindest bei leichteren und fahrlässigen Verstößen zunächst kein Bußgeld zu verhängen.
Angst vor der Abmahnwelle
Noch mehr als die Sanktionen der Datenschutzbehörden fürchten viele Mittelständler Abmahnversuche durch Wettbewerber. Bereits in den ersten Tagen seit dem Inkrafttreten der neuen Regeln gab es diverse Fälle von kostenpflichtigen Abmahnungen durch Rechtsanwaltskanzleien, die Mittelständler wegen angeblicher Formfehler, zum Beispiel bei der Datenschutzerklärung auf der Webseite, abgemahnt haben. Datenrechtsexperten, aber auch das Bundesinnenministerium sind allerdings der Auffassung, dass solche Abmahnungen, angeblich im Auftrag von Wettbewerbern, unzulässig sind, da die Rechtsfolgen bei Verstößen gegen die DSGVO dort schon abschließend geregelt sind. Und da Abmahnungen aus Wettbewerbsgründen in der DSGVO nicht genannt werden, seien sie auch nicht zulässig. Insofern schützt das EU -Recht an dieser Stelle die deutschen Unternehmen.
MIT fordert Abmahn-Schutz
Die MIT hat früh vor einem Missbrauch des Abmahnrechts gewarnt und einen Abmahn-Schutz für Mittelständler und Vereine gefordert. Auf Initiative der MIT hat sich nun Bundesinnenminister Horst Seehofer (CSU) an die zuständige Bundesjustizministerin Katarina Barley (SPD) gewandt. Die Bitte: Es soll auch im deutschen Gesetz gegen den unlauteren Wettbewerb klargestellt werden, dass Abmahnungen wegen Datenschutzverstößen unzulässig sind. Die MIT fordert, dass auch die Abmahnmöglichkeit für Abmahnvereine eingeschränkt wird. Der MIT-Bundesvorsitzende Carsten Linnemann bekräftigt: „Datenschutz ist wichtig, aber es darf kein Abmahnterrror für kleine, versehentliche Verstöße drohen. Dies wäre eine schwere Bürde für den Mittelstand und muss deshalb schnellstmöglich ausgeschlossen werden.“
Verschärfungen in Deutschland zurücknehmen
Ebenso wenig Verständnis hat MIT-Chef Linnemann dafür, dass in Deutschland nach der EU -weiten Vereinheitlichung des Datenschutzrechts teils strengere Regeln gelten. So müssen nur in Deutschland Organisationen, in denen mindestens zehn Personen (auch freie Mitarbeiter, Auszubildende, Teilzeitbeschäftigte und Ehrenamtler werden mitgezählt) ständig Daten automatisiert verarbeiten, einen Datenschutzbeauftragten benennen. Nach EU -Recht müssen nämlich nur Unternehmen und Organisationen einen Datenschutzbeauftragten benennen, die mit besonders sensiblen Daten zu tun haben oder sich schwerpunktmäßig mit Datenverarbeitung beschäftigen. Linnemann: „Diese Sonderauflage für Deutschland müssen wir wieder abschaffen. Der Hauptgrund für die DSGVO war, dass für alle in der EU die gleichen Regeln gelten sollen. Dann dürfen deutsche Mittelständler aber nicht vom eigenen Parlament benachteiligt werden.“
Empfehlen Sie uns!