Skip to content

Die Datenschutzgrundverordnung (DSGVO)

Seit Monaten wirft die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, kurz Datenschutzgrundverordnung, insbesondere in der Berichterstattung immer dräuendere Schatten voraus. Vorwürfe werden erhoben - zu kompliziert, zu bürokratisch -, es heißt, man hänge wie üblich die Kleinen und lasse die Großen laufen, und das Ende von Blogs und privaten bzw. Vereinswebsites wird prophezeit.

Kurz vor dem Inkrafttreten der Verordnung - genauer: vor dem Beginn ihrer innerdeutschen Anwendbarkeit - am 25.05.2018 will auch ich noch ein paar Gedanken zu dem Thema loswerden.

Datenschutzrecht an und für sich

Dabei will ich mein gestörtes Verhältnis zum Datenschutzrecht an sich nicht verhehlen.

Die Wichtigkeit datenschutzrechtlicher Vorschriften zum Schutz der Grundrechte und der Bürger und Verbraucher, insbesondere in einer immer “digitaleren”, vernetzteren Welt, soll dabei keineswegs bestritten werden; und spezialgesetzliche Datenschutzregelungen - wo man sie denn findet - lassen sich nach meiner Erfahrung auch recht gut handhaben. Das (bisherige) Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze (LDSG) scheinen mir jedoch vor allem sehr breite, allgemeinplatzartige Generalklauseln zu enthalten, die auf der einen Seite Selbstverständliches normieren und andererseits in der Praxis nur schwer auf die völlig verschiedenartigen Bereiche anzuwenden sind, die sie regeln sollen. Durch die teilweise einigermaßen weltfremd wirkende Auslegung durch Datenschutzbehörden und das Potential des Datenschutzrechts für Kampagnen - d.h. als Vehikel, um damit letztlich andere Ziele zu erreichen - wird die Lage nach meinem Empfinden nicht besser.

Im Ergebnis nehme ich Datenschutzrecht daher bisher vor allem als Verhinderungsrecht wahr, das sich der Umsetzung eigentlich ganz einfacher Prozesse (“das müsste doch ganz selbstverständlich möglich sein!”) als Hindernis in den Weg stellt, ohne dabei aber im Gegenzug tatsächlich wirksam Daten zu schützen oder auch nur vor unbefugten Zugriffen zu sichern. Ich hatte jedenfalls nicht den Eindruck, dass der Datenhunger großer Internetkonzerne wie Facebook oder Google durch datenschutzrechtliche Vorschriften gezähmt worden wäre oder es eine wirksame Handhabe gegeben hätte, festzustellen, wer wirklich welche Daten von mir und über mich erhebt, speichert, weitergibt und veröffentlicht - oder gar dagegen einzuschreiten. Zusendungen unerwünschter E-Mails (“Spam”) oder die unzulässige Veröffentlichung privater Informationen (“Doxing”) bekämpft man nach meinem Eindruck (wenn überhaupt) juristisch nicht mit dem Datenschutzrecht, sondern unmittelbar unter Berufung auf das allg. Persönlichkeitsrecht, als ob es das BDSG nicht gäbe. Und auch die technische Datensicherheit (letztlich fast noch wichtiger: dass Facebook, Google und Amazon vieles über mich wissen, ist das eine; alle diese Daten in den Händen Unbefugter oder veröffentlicht zu sehen, nochmals etwas ganz anderes) scheint mir durch die Datenschutzgesetzgebung bisher keinen Deut besser geworden zu sein. Weder habe ich den Eindruck, dass getroffene Maßnahmen und das tatsächliche Vorgehen im Alltag wirksam überprüft würden, noch sehe ich spürbare Sanktionen, die ein hohes Datenschutzniveau aus wirtschaftlicher erstrebenswert machen würden.

Insofern erscheinen mir die gefühlt geringen Erfolge durch den beträchtlichen Aufwand und die damit verbundenen Einschränkungen sehr (zu?) teuer bezahlt.

Was ändert sich durch die DSGVO?

Doch zurück zur Datenschutzgrundverordnung - einer europäischen Verordnung, die ohne Notwendigkeit einer Umsetzung in deutsches Recht unmittelbare Geltung entfaltet. Damit ist bereits eine Neuerung beschrieben: es gilt jetzt unmittelbar europäisches Recht, das nicht nur in der Formulierung, sondern auch in der Art und Weise der Rechtssetzung für den deutschen Rechtsanwender ungewohnt ist. So beginnt die DSGVO mit 173 (!) “Erwägungsgründen”, die wichtige Hintergründe und Auslegungshinweise für den eigentlichen Text der Verordnung geben - aber ohne jede unmittelbar erkennbare Untergliederung und daher einigermaßen schwer überschaubar.

Zudem galt das BDSG bisher nur nachrangig; spezialgesetzliche Regelungen in Fachgesetzen gingen seinen Vorschriften vor. Mit der DSGVO ändert sich das: sie gilt vorrangig und kann nur dort und nur insoweit ergänzt werden, wie sie den nationalen Gesetzgebern ausdrückliche Spielräume offenlässt. Das führt zum einen zu mehr Generalklauseln und weniger spezifischen Vorschriften für bestimmte Themenbereiche - was die Rechtsanwendung aus meiner Sicht nicht einfacher macht - und bedingt andererseits, dass das neue BDSG nur noch Zusatzregelungen enthält, also nur mit der DSGVO zusammen sinnvoll gelesen werden kann. Auch das scheint mir die Materie nicht übersichtlicher zu machen.

Natürlich bringt die DSGVO darüber hinaus auch inhaltlich einige wichtige Neuerungen:

  • Sie schreibt in Art. 13, 14 DSGVO umfangreiche Informationspflichten fest, die bei jeder Datenverarbeitung zu erfüllen sind. Hierin dürfte wohl die umfassendste und für die Praxis am schwierigsten umzusetzende Neuerung liegen.

  • In dieselbe Richtung gehen umfangreiche(re) Dokumentations- und Nachweispflichten.

  • Die Rechte der von der Datenverarbeitung Betroffenen sind weitgehender und umfangreicher geworden. Neu ist bspw. das Recht auf Erhalt einer Kopie der verarbeiteten Daten, das unter bestimmten Umständen bestehende Recht auf Übertragbarkeit bzw. Übertragung aller gespeicherten Daten oder die Pflicht zur Weitergabe von Löschungsaufforderungen an andere Datenverarbeiter.

  • Auch haben die Datenschutzbehörden (schärfere) Zähne bekommen: die möglichen Bußgelder wurden weit erhöht.

Dessen ungeachtet bringt die DSGVO für deutsche Anwender aber letztlich gar nicht so viel Neues: für den eigentlichen Umgang mit personenbezogenen Daten ändert sich nicht viel. Wer die - bereits hohen - Anforderungen des bisherigen deutschen Datenschutzrechts erfüllt hat, wird ein wenig nacharbeiten müssen, aber nichts von Grund auf neues schaffen müssen. Schwieriger wird es natürlich, wenn sich die Befassung mit dem Datenschutz bislang auf das Einkopieren eines vorgefertigten Disclaimers beschränkt hat.

DSGVO für alle?

Der mir am häufigsten begegnende Kritikpunkt gegen die DSGVO ist dabei der, dass insbesondere an den “kleinen Mann”, also bspw. an Blogger, Webseitenbetreiber, kleine Vereine und Einzelunternehmen, unverhältnismäßig hohe Ansprüche gestellt werden. Diese Kritik erscheint mir aber nicht wirklich schlüssig - denn die Gefahr für meine Daten, meine Persönlichkeitsrechte, ist ja nicht davon abhängig, wie “groß” die Institution ist, die meine Daten verarbeitet, oder ob sie dies kommerziell oder nicht-kommerziell tut.

Jeder, der meine Mailadresse oder meine Postanschrift erhält oder speichert, kann damit Schindluder treiben oder sie aufgrund unzureichender Schutzmaßnahmen an unbefugte Dritte oder die Öffentlichkeit gelangen lassen. Wenn jemand mich auf der Straße oder einer Veranstaltung fotografiert, dann mache ich mir über die weitere Verwendung dieser Fotos ganz unabhängig davon Gedanken, ob das eine Privatperson tut, ein professioneller Fotograf oder ein großes Unternehmen - im Zweifel mache ich mir bei der Privatperson sogar mehr Gedanken. Und ob Inhalte aus einem Forum, einem sozialen Netzwerk oder einer anderen Community gegen meinen Willen verwendet werden, ist völlig unabhängig davon, ob diese Community von einer Privatperson, einem Verein oder einem multinationalen Unternehmen betrieben wird.

Wichtig ist daher m.E. nicht, wie “groß” oder “kommerziell” der Datenverarbeiter ist, sondern wie viele und welche Daten er erhebt und wie er sie verbinden und auswerten kann. Natürlich geht das eine oft mit dem anderen Hand in Hand. Dessen ungeachtet ist es mir persönlich jedoch tendenziell weniger wichtig, was Facebook oder Twitter vielleicht alles über mich wissen (aber nicht mit anderen teilen), als was mit meinen persönlichen Daten in meinem näheren Umfeld geschieht. Oder anders gewendet: ich mache mir mehr Gedanken über von Dritten auf WhatsApp hochgeladene Adressbücher und von ihnen bei Facebook oder Instagram geteilte Schnappschüsse von mir als über die vielfältigen Informationen, die Google über mich sammelt.

Insofern halte ich den Ansatz der DSGVO im Grundsatz für konsequent - was nicht bedeutet, dass nicht die eine oder andere Anforderung mir (weit) überzogen erscheint; dann aber eben nicht nur für den Privatanwender, sondern für alle.

Oder, in Marios Worten:

Und ja, inzwischen bin ich für mich selbst zu den Schluss gekommen, dass der Benutzer beim Besuch meiner privaten Seite die gleichen Rechte beim Schutz seiner personenbezogenen Daten hat, als wenn er zu Google, Facebook oder Twitter surft.

Reichweite der DSGVO

Doch halt - betrifft die DSGVO überhaupt private Blogs und Webseiten? Heißt es nicht in Art. 2 Abs. 2 lit. c) DSGVO:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Doch, schon - aber diese Ausnahmevorschrift (die auch bereits für das alte BDSG galt) ist eng auszulegen. Wer eine weltweit abrufbare Webseite publiziert und sich damit an die Allgemeinheit wendet, geht eben gerade keiner ausschließlich “persönlichen” oder “familiären” Tätigkeit nach. Diese Ausschlussklausel erfasst vielmehr in erster Linie Datensammlungen wie das private Adress- und Telefonbuch (das ansonsten auch in Papierform dem alten BDSG und der neuen DSGVO unterliegen würde, nämlich als “nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind”) oder das Familienalbum.

Webseitenbetreiber oder Blogger können sich darauf allenfalls dann berufen, wenn sie nur für sich alleine oder ihre Familie schreiben; möglicherweise erfordert das überdies eine entsprechende Zugangsbeschränkung.

So jedenfalls wird man die DSGVO im Regelfall nicht los.

Risiken für Webseitenbetreiber

Und nun? Droht ein Armageddon? Sollte ich mein Blog, meine Webseite rechtzeitig vor dem 25. Mai abschalten?

Wohl kaum.

  • Wer bislang seine Pflichten erfüllt hat, hat u.a. bereits eine Datenschutzerklärung und muss diese allenfalls überarbeiten - und am besten zuvor überdenken, welche Daten warum eigentlich erfasst werden. Der Aufwand ist dann einigermaßen überschaubar, und vor allem hat man sich dann ja auch schon einmal mit dem Thema beschäftigt und kann dies wieder tun.

  • Wer bislang seine Pflichten nicht erfüllt hat … hätte das schon tun sollen, und sollte es auch jetzt tun, muss aber kaum mit anderen Konsequenzen rechnen als bisher.

In beiden Fällen gibt es sehr wohl einen Grund, das Thema möglichst bald anzugehen - aber keinen, in Panik zu verfallen und alles abzuschalten. Denn was soll sich geändert haben, das nun plötzlich ein hektisches Agieren erforderlich wird, obwohl der möglicherweise rechtswidrige Zustand schon jahrelang bestand?

Richtig ist freilich, dass sich datenschutzrechtliche Verstöße im Zeitalter der DSGVO aufgrund der dort normierten Informationspflichten leichter “von außen” feststellen lassen - denn was der Webseitenbetreiber oder Blogger tatsächlich an Daten erfasst und was er mit ihnen tut, sieht man kaum, ob es aber eine Datenschutzerklärung gibt (und was ggf. in dieser drinsteht), das kann man schnell nachsehen.

Auch hier stellt sich aber die Frage nach den damit verbundenen Risiken.

Bußgelder drohen jetzt - drohten aber auch schon zuvor. Die massive Erhöhung der Bußgeldrahmen wird den privaten Nutzer wenig betreffen, denn weder die Schwere des Verstoßes noch seine persönlichen Verhältnisse haben sich ja wesentlich geändert. Außerdem haben die Aufsichtsbehörden bereits angekündigt, mit Augenmaß vorzugehen - und, offen gesagt, trotz aller Aufstockungen auch nicht annähernd das nötige Personal, sich jetzt hunderte, tausende oder zigtausende private Webseiten vorzuknöpfen.

Abmahnungen - und Unterlassungsklagen - waren ebenfalls bereits zuvor möglich. Vor allem aber sollte man einmal in Ruhe darüber nachdenken, ob und wer denn überhaupt abmahnen kann. Nicht nur, dass umstritten ist, ob die Vorschriften der DSGVO überhaupt Marktverhaltensregeln darstellen, die eine wettbewerbsrechtliche Abmahnung erlauben - es müsste auch erst einmal ein Wettbewerber vorhanden sein, der auf wettbewerbsrechtlicher Basis abmahnen kann. Die wenigstens privaten Blogger oder Webseitenbetreiber werden in einem Wettbewerbsverhältnis zu anderen stehen … Die Abmahnung durch einen entsprechenden (Verbraucherschutz-)Verband erscheint ebenso wenig wahrscheinlich, zumal diese Verbände ohne Gewinnerzielungsabsicht im öffentlichen Interesse handeln (müssen).

Es wirkt mithin recht unwahrscheinlich, dass der “kleine Mann” mit bedrohlichen Folgen rechnen muss, wenn er die Vorschriften der DSGVO für seine Webpräsenz oder sein Blog nicht ganz rechtzeitig oder nicht vollständig umgesetzt hat - was allerdings kein Argument dafür sein sollte, die Sache noch länger schleifen zu lassen. (Und dabei auch direkt an das Impressum denken, das jedenfalls nach § 55 Abs. 1 RStV nahezu immer erforderlich ist - und auch hier drohen für eine solche Unterlassung Bußgelder!)

Anders allerdings kann die Sache für kleine Vereine und Firmen oder Selbständige aussehen, und natürlich auch für diejenigen, die das Bloggen (neben-)beruflich betreiben und damit (teilweise nicht wenig) Geld verdienen. Dann aber sollte auch eine entsprechende rechtliche Beratung möglich und erschwinglich sein.

[Bedauerlicherweise wurde dieser Beitrag erst nachträglich im August 2018 veröffentlicht.]

Trackbacks

Netz - Rettung - Recht am : DSGVO für Blogger und Webseitenbetreiber

Vorschau anzeigen
Vergangene Woche hatte ich mich zur Datenschutzgrundverordnung geäußert, die am Freitag in Kraft getreten ist. Doch wie soll man als Blogger und Webseitenbetreiber nun damit umgehen? Wie macht man seine Webpräsenz “fit für die DSGVO”? Dazu ha

Dirks Logbuch am : Linkdump 33/2018 ...

Vorschau anzeigen
Woohoo, reichlich Lesestoff für das Wochenende. Das beschreibt das ständige Problem, das man mit der ersten Stufe von Irgendwas (Support, Recruiting, …) zu tun hat: Ein Ingenieur bekam eine Absage von Google — und veröffentlichte die Fragen, die er b

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen