Datenschutz Web-Recht

Ist die DSGVO erfolgreich?

Ist die DSGVO erfolgreich?

Wem nützt die DSGVO und ist die DSGVO erfolgreich? Rund zweieinhalb Monate nach Inkrafttreten der DSGVO ziehen wir eine Zwischenbilanz.

Spätestens im Januar, Februar oder März 2018 hatte wohl so ziemlich jeder vom „Schreckgespenst DSGVO“ gehört. Die Medien haben sich förmlich überschlagen und Unternehmen erlebten angespannte Zeiten. Insbesondere solche, die die DSGVO vollkommen verschlafen haben – und das waren längst nicht nur die „Kleinen“.

Dabei gab es exakt zwei Jahre Vorlaufzeit bis Inkrafttreten der Datenschutzgrundverordnung – viele Zeit, um sich vorzubereiten. Für viele aber zugleich eine Vorbereitungszeit, die für solch eine Mammut Aufgabe auch dringend erforderlich war.

Dann war es am 25.05.2018 soweit. Auch Webagenturen haben ganz besonders in den Wochen davor unter der heißen Phase zu leiden gehabt. Manche Kunden meldeten sich erst ein oder zwei Tage vorher, ob man „mal eben schnell“ noch ihre Website absichern könne. Dabei wurden sie bereits Monate im Voraus über die anstehenden Änderungen und erforderlichen Schritte informiert.

Ein, zwei Wochen nach Inkrafttreten der DSGVO wurde es plötzlich recht still um dieses Thema. Wer nicht gezielt danach suchte, erhielt praktisch keine Informationen mehr. Wir aber möchten uns nach der großen Hype einmal mit folgenden Fragen beschäftigen:

  • Ist die DSGVO erfolgreich?
  • Wem schadet die DSGVO?
  • Welche Auswirkungen hat die DSGVO?
  • Welche Folgen hat die DSGVO für große Unternehmen?

Ist die DSGVO erfolgreich?

Ziel der Datenschutzgrundverordnung (DSGVO) ist der Verbraucherschutz. Die DSGVO muss sich also daran messen lassen, wie effizient die neuen Regelungen die Verbraucher schützen.

Ein großer Vorteil für die Verbraucher ist, dass Unternehmen – auch die „Großen“ wie Google oder Facebook – verpflichtet werden, bei einer Anfrage mitzuteilen, welche Informationen sie über den Verbraucher gespeichert haben. Und dass es „ein Recht auf Vergessen“ gibt, seine Daten auf Antrag also auch wieder gelöscht werden müssen.

Bei einer solch umfangreichen Verordnung gibt es natürlich noch viele weitere Aspekte. De facto ist es aber so, dass die DSGVO Unternehmen aber auch Webseitenbetreiber zwar zu einer möglichst sparsamen Erhebung der Benutzerdaten und mehr Transparenz zwingt, zugleich jedoch auch für ein erhebliches Maß an Rechtsunsicherheit sorgt.

Bisher gewinnt man den Eindruck, dass der Schaden den Nutzen bei weitem überwiegt und die DSGVO vor allem bei Rechtsanwälten für sprudelnde Einnahmen sorgt. Sei es, weil sie ihre Mandanten bezüglich der DSGVO beraten, sei es, dass sie die neuen Möglichkeiten zur Abmahnung nutzen.

Wem schadet die DSGVO?

Den Unternehmen, die für die Umsetzung der DSGVO-Vorgaben einen erheblichen Zusatzaufwand haben, aber auch den „Kleinen“. Beispielsweise Vereinen oder Webseitenbetreibern, die sich mit der komplexen rechtlichen Materie auseinandersetzen und Vorsorgemaßnahmen treffen müssen.

Webseitenbetreiber sind verpflichtet, in der Datenschutzerklärung genau zu beschreiben, welche Daten erhoben und wie sie verwendet werden. Da die meisten Webseitenbetreiber weder das rechtliche Know-how habe noch das Budget, um einen Rechtsanwalt zu beauftragen, greifen sie auf Standard-Formulierungen zurück. Das bietet zwar eine gewisse Sicherheit. Da es aber für die neuen Vorgaben noch keine Präzedenzurteile der Rechtsprechung gibt, bleibt dennoch eine erhebliche Rechtsunsicherheit.

Beispiele für die neue Rechtsunsicherheit durch die DSGVO

Social Media

Dürfen Social Media eingesetzt werden und in welchem Umfang? Schon vor Inkrafttreten der DSGVO riskierten Webseitenbetreiber eine Abmahnung, wenn sie die Standard-Codes von Anbietern wie Facebook in ihre Website integrierten. Mittlerweile ist umstritten, ob Sharing-Buttons überhaupt noch rechtssicher eingesetzt werden können. Selbst wenn Tools wie Shariff genutzt werden und entsprechende Hinweise in der Datenschutzerklärung vorhanden sind.

Google Tools

Lassen sich Google Tools wie Google Analytics, Google Maps oder Google Web-Fonts noch rechtsicher einsetzen?

Der Einsatz von Google Analytics erfordert mindestens einen Vertrag zur Auftragsdatenverarbeitung mit Google sowie entsprechende Informationen in der Datenschutzerklärung. Wird Conversion-Tracking eingesetzt, so wird es noch komplizierter.

Vom Einsatz von Google Maps raten Rechtsanwälte derzeit eher ab. Denn Google ist in der Lage, ab dem Zeitpunkt, wo der Besucher die Inhaltsseite mit der Google-Maps-Karte betritt, Informationen über ihn zu sammeln. Hier wäre eine zweistufige Lösung erforderlich: erst müsste der Besucher zustimmen, dass Daten über ihn gesammelt werden, danach erst wird Google Maps geladen.

Viele CMS-Systeme setzen standardmäßig Google Webfonts ein. Beispielsweise WordPress. Auch hier ist umstritten, ob der Einsatz der Google Webfonts DSGVO-konform ist. Denn dabei werden Daten an Google übertragen. Wer sich absichern möchte, sollte die Fonts herunterladen und über den eigenen Webserver in seine Website integrieren. Damit dürften viele Webseitenbetreiber überfordert sein – insbesondere wenn das eingesetzte Theme keine Möglichkeit bietet, das Laden der Google Webfonts automatisch per Checkbox-Auswahl abzuschalten.

Datenspeicherung auf dem Webserver und Aufbewahrungsfristen

Welche Daten dürfen auf dem Webserver gespeichert werden? Ist es ein berechtigtes Interesse des Webseitenbetreibers, die vollständige IP der Besucher in den LogFiles zu speichern? Denn nur so hat er bei einem Hackerangriff die Möglichkeit, den Angriff zurückzuverfolgen und die IP zu sperren. Oder überwiegt das Recht der Besucher auf Datenschutz und die IP-Adresse darf nur anonymisiert abgespeichert werden?

Manche Hoster räumen ihren Kunden keine Möglichkeit ein, die Aufbewahrungszeit der LogFiles individuell einzustellen sondern es erfolgt grundsätzlich erst nach (z.B.) 180 Tagen eine automatische Löschung. Wie lange aber darf der Webseitenbetreiber die Daten überhaupt aufbewahren? Ab wann überwiegt das Interesse des Datenschutzes das berechtigte Interesse des Webseitenbetreibers, Informationen über seine Besucher zu erlangen und sich zu schützen? Schon nach einer Woche? Erst nach einem Monat? Womöglich nach einem Jahr?

Die vorgenannten Beispiele sind natürlich nicht abschließend. Sie zeigen aber die grundsätzliche Unsicherheit und Antworten auf die Frage „Wem schadet die DSGVO?“. Durch entsprechende Maßnahmen können sich Webseitenbetreiber bestmöglich absichern. Ein massives Restrisiko verbleibt aber schon allein deshalb, weil viele Fragen noch ungeklärt sind. In den nächsten Monaten und Jahren werden sie die Gerichte beschäftigen, die im Rahmen von Präzedenzurteilen dann (hoffentlich) Antworten auf Fragen wie „darf ich Social Media-Buttons / Google Analytics / Google Maps / Google Web-Fonts einsetzen?“ geben?

Welche Auswirkungen hat die DSGVO?

Fatale.

Ihre Umsetzung ist mit einem erheblichen Aufwand verbunden. Dazu gehören Personalaufwand und hohen Kosten für Unternehmen aber auch Vereine.

Eigentlich sollen die Bürger vor allem vor „den Großen“ geschützt werden. Vor der Macht von Konzernen wie Google oder Facebook und deren extremer Datensammelwut. Aber gerade bei „den Kleinen“ können die neuen Regelungen zum Kollateralschaden führen.

Folgen der DSGVO

Faz.net berichtet von skurrilen Dingen die im Gefolge der DSGVO passieren – diese Beispiele geben in gewisser Weise die perfekte Antwort auf die Frage „Ist die DSGVO erfolgreich?“:

Es gibt Vereine, wo der gesamte Vorstand zurückgetreten ist. Darunter auch viele erfahrene, alteingesessene Mitglieder, die nach vielen Jahrzehnten einfach keine Lust mehr haben, für die neuen Risiken „ihren Kopf hinzuhalten“. Die nicht bei hunderten von Mitgliedern aufwendig die Einwilligung zur Kontaktaufnahme einholen möchten. Und das auch noch persönlich, weil sie ihnen vor deren Zustimmung keine Briefe mehr schicken dürfen.

Betroffen sind Blogs und Websites deren Betreiber Angst vor den neuen Risiken haben und ihr Online-Angebot zeitweise oder vollständig abschalten. Selbst die Rechtsanwaltskammer Düsseldorf – deren Mitglieder vom Fach sind! – hatte Ihr Webportal pünktlich zum Inkrafttreten der DSGVO abgeschaltet.

Manche Nicht-Europäischen Unternehmen haben keine Lust, sich von der EU vera…lbern zu lassen und bieten ihre Apps nicht mehr oder nur noch eingeschränkt für den europäischen Raum an.

Einige amerikanische Medien sperren ihr Informationsangebot für Europäer, da sie sich nicht auf die europäischen Datenschutzregeln einlassen wollen.

Es wird von deutschen Zeitungen berichtet, die ihren Bürgern nicht mehr wie bisher in der Tagesausgabe zum Geburtstag gratulieren, weil sie ohne deren Einwilligung solche Daten nicht mehr speichern dürfen.

Und dann gibt es noch Influencer wie „Bibi“, die auf ihrem Twitter-Account binnen eines Tages 60.000 Follower verloren hat, die zu jung waren, um die Altersgrenze von Twitter zu erfüllen.

Darüber hinaus haben viele Anwendungen Einzug in den Betriebs-Alltag gehalten:
So fotografieren beispielsweise Elektriker gerne vor Ort Steckdosen oder spezielle Bauteile und können diese online über WhatsApp direkt nachbestellen. Ohne ausdrückliche, schriftliche Zustimmung des Kunden ist dieses Vorgehen nun auch nicht mehr zulässig.

Welche Folgen hat die DSGVO für große Unternehmen?

Zu Anfangs hat zum Beispiel Facebook von der DSGVO profitiert. Also ausgerechnet einem Unternehmen, dessen schier unbegrenzte Datensammelwut zu brechen die DSGVO angetreten ist.

Denn bisher hat der Hamburger Datenschutzbeauftragte Facebook verboten, die Daten seiner Facebook- und WhatsApp-Nutzer zu vernetzen und so noch genauere Nutzerprofile zu erstellen. Seit Inkrafttreten der DSGVO ist der Hamburger Datenschutzbeauftragte allerdings nicht mehr zuständig und Facebook profitiert davon.

Mittlerweile schadet die DSGVO aber auch Facebook. Ende Juli 2018 hat die Tagesschau darüber berichtet, dass Facebook allein in Deutschland mehrere Millionen aktive Nutzer verloren hat. Die Höhe der Werbeeinnahmen, welche Facebook von seinen Kunden verlangen kann, orientiert sich an der Anzahl der Nutzer. Melden sich Nutzer ab oder verwenden sie Facebook nicht mehr, so brechen auch die Werbeeinnahmen ein.

Zuletzt hatte die Facebook-Aktie massiv an Wert verloren. Tagesschau.de berichtete am 27.07.2018, dass allein das Vermögen des Facebook-Konzernchefs Mark Zuckerberg innerhalb eines Tages um fast 16 Milliarden Dollar geschrumpft ist. Das Unternehmen hat auf einen Schlag 120 Milliarden Dollar an Wert verloren – das entspricht ungefähr dem aktuellen Börsenwert von SAP.

Dies ist natürlich nicht vornehmlich oder gar ausschließlich der DSGVO geschuldet.

Das Problem der Fake News oder der Skandal um den Datenmissbrauch durch Cambridge Analytica im Rahmen des US-Wahlkampfs spielen dabei ebenso eine Rolle. Fakt ist aber, dass das Thema „mangelhafter Datenschutz“ mitverantwortlich für den Rückgang der Nutzerzahlen und somit auch für den Rückgang des Unternehmenswertes ist.

Viele Mittelständler und Vereine brechen in Anbetracht des wachsenden Drucks durch die neuen Datenschutzregeln ein und schließen ihre Social-Media-Portale. Und dazu gehört vor allem auch ihre Facebook-Seite. Selbst wenn derzeit noch unklar ist, ob und in welchem Umfang Abmahnungen drohen, handelt es sich hierbei nicht nur um Panikmache:

Der Europäische Gerichtshof (EuGH) hat entschieden, dass Betreiber von Facebook-Seiten datenschutzrechtlich mitverantwortlich für etwaige Datenschutzverstöße des Konzerns sind. Das mag absurd klingen, hat aber gravierende Folgend und birgt enorme Haftungsrisiken.

Hohe Strafzahlungen wirken auf Unternehmen wie Facebook oder Google zwar abschreckend. Sind aber in Anbetracht ihrer Kapitalrücklagen verkraftbar. Anders sieht das meist bei kleinen und mittelständischen Unternehmen sowie Vereinen aus.

 

Stichworte: Wem nützt die DSGVO?, Ist die DSGVO erfolgreich? Fazit zur DSGVO?

5/5 - (1 vote)

0 Kommentare zu “Ist die DSGVO erfolgreich?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Besucher erfassen wir über MATOMO in einer lokalen Datenbank - IP-Adressen werden anonymisiert und können keinen Personen zugeordnet werden.