Fragen kostet nichts, doch zu viele Fragen nerven. Wer sich im Internet bewegen will, dem werden mitunter so viele (Sicherheits-)Fragen gestellt, dass viele entnervt wegklicken. So war das nicht gedacht mit der Datenschutz-Grundverordnung (DSGVO), die Bürger besser schützen soll. Etwa indem sie verhindert, dass diese ihre Daten allzu eilfertig weitergeben, zum Beispiel an Unternehmen.
Ein Jahr nach Start der DSGVO lässt sich feststellen: Die geschützten Bürger finden den Rundumschutz eher lästig als hilfreich. Und viele Unternehmen sind genervt. Weil sie beispielsweise bei jedem Kunden nachfragen müssen, ob er denn wirklich, wirklich weiterhin den Newsletter erhalten möchte. Und weil Unternehmen intern alle Prozesse so aufsetzen müssen, dass Datenschützer nichts zu mosern haben. Sonst: Abmahnung. Solch eine Abmahnung kann teuer werden: bis zu 20 Millionen Euro oder vier Prozent des Umsatzes.
Angst vor der Abmahnwelle
Mit dieser Keule – Abmahnung! – drohen die Behörden seit dem Sommer 2018, um die Unternehmen zum Handeln zu zwingen. Die Drohung wirkt, die deutschen Unternehmen haben sich an die Arbeit gemacht. Allerdings wissen sie auch ein Jahr nach DSGVO-Einführung keineswegs, ob sie alles richtig umgesetzt haben.
Die 18 Datenschutzaufseher in Bund und Ländern interpretierten die DSGVO „ganz unterschiedlich“, kritisiert etwa Felix Walter vom Start-up-Bundesverband. Dasselbe gelte für die anderen EU-Staaten. Einheitliche Standards innerhalb der Europäischen Union – eines der Ziele der Verordnung – seien bislang nicht zu beobachten.
DSGVO und zwei gute Nachrichten
Trotzdem hat sich die Aufregung gelegt. Dafür sorgen zwei gute Nachrichten. Die erste: Die Abmahnwelle der Datenschützer ist bislang ausgeblieben. Und wer abgemahnt wurde, musste meist „nur“ einige Tausend Euro zahlen – eher Gelbe Karte als Verweis. Die Befürchtungen von Unternehmen, von dubiosen Abmahnkanzleien wegen irgendwelcher DSGVO-Formalien abgezockt zu werden, haben sich weitgehend als unbegründet erwiesen. Gleichwohl stellen sich die Bundespolitiker der Aufgabe, derartiges Winkeladvokatentum künftig gesetzlich zu verhindern. Schließlich geht es um Datenschutz und nicht darum, dass sich Anwälte bereichern.
Die zweite gute Nachricht: So gefesselt, wie anfangs gedacht, sind die Unternehmen keineswegs. Natürlich müssen die internen Prozesse stimmen, muss Datenschutz mit entsprechendem Ernst und Budget umgesetzt werden. „Kein Verantwortlicher in Wirtschaft und Staat kann sich heute noch darauf berufen, von datenschutzrechtlichen Pflichten nichts gehört zu haben“, sagt daher Peter Schaar, früherer Bundesbeauftragter für den Datenschutz. Doch elektronisches Marketing ist weiterhin möglich, nur halt eingeschränkt.
Und was bringt ePrivacy?
Das allerdings könnte sich 2022 ändern. Bis dahin werden Erfahrungen gesammelt, dann wird die DSGVO reevaluiert. Davon könnten beispielsweise Vereine profitieren, denen derzeit ähnlich aufwendige Dokumentationspflichten wie Unternehmen aufgebürdet werden. Diese Pflichten sind, sagt selbst der Landesbeauftragte für den Datenschutz in Baden-Württemberg Stefan Brink, „formalistisch“ – sprich: mehr Bürokratie als nötig und sinnvoll.
Solche Erfahrungswerte könnten auch in die ePrivacy-Verordnung (ePVO) einfließen, die vielleicht schon 2020, spätestens aber 2022 ebenfalls EU-weit greifen und die DSGVO erweitern soll. Schwerpunkt ist vor allem die Datenverarbeitung in Betrieben, wo „Regelungslücken“ geschlossen werden sollen. Im Visier haben die EU-Experten vor allem moderne Marketing-Technologien, die das Tracking und Targeting von Kunden ermöglichen. Voraussichtlich wird die ePVO etwa Direktwerbung an Privatpersonen als „unerbetene Kommunikation“ einstufen – und verbieten.
Wie viel Tracking und Targeting sind erlaubt?
Entsprechend ausgeprägt sind die Vorbehalte gegenüber der ePVO in vielen Unternehmen, die mit Tracking, Targeting und Direktwerbung arbeiten. Kann aber sein, dass alles halb so wild wird: siehe DSGVO. Dort kam es in den ersten Monaten durchaus zu Überreaktionen, laut Datenschützern vor allem bei Vereinen, Arztpraxen, Schulen und Kindergärten. Schlagzeilen machte etwa eine Kita, die in Erinnerungsmappen alle Gesichter der Kinder schwärzte – abgesehen von dem Kind, das die jeweilige Mappe erhielt.
Selbst für den Rundumschutz namens DSGVO war das zu dick abgepuffert. Und dass dieser auch Lücken haben kann, musste ein Autofahrer erleben, der seinen Datenschutz durch ein Polizeifoto beeinträchtigt sah – aufgenommen per Radarfalle.