FM4-Logo

jetzt live:

Aktueller Musiktitel:

Grafik von einem Schloss

CC0 - Public Domain

Erich Möchel

Panikmache um die neue EU-Datenschutzregelung

Kurz vor der europäischen Deadline der Datenschutzgrundverordnung am Freitag spielt das Panikorchester vor allem in Deutschland noch einmal groß auf. Die Gründe für alle daran Beteiligten sind eigene Geschäftsinteressen.

Von Erich Möchel

Am Freitag wird die Datenschutzgrundverordnung (DSGVO) EU-weit schlagend. Wie bei kaum einer anderen EU-Regelung im Digitalbereich waren die letzten Wochen davor von Panikmache und „Fake News“ geprägt. Zuletzt hatten der parlamentarische Berichterstatter Jan Albrecht und EU-Justizkommissarin Vera Jourova erneut vor Panikmache gewarnt. Der Grund für die Vielzahl zweifelhafter und überzogener Meldungen sind die Geschäftsinteressen der Verbreiter.

Das Panikorchester reicht von Anwälten über Beratungsfirmen, Webdienstleistern und privaten Medienkonzernen bis hin zu privaten Bloggern. Dabei waren fast alle grundlegenden Datenschutzvorschriften schon in der EU-Richtlinie von 1995 enthalten, mit der neuen DSGVO wurden sie im Detail ausformuliert und auf neue Webservices umgelegt. Eine Lawine an Spam-Mails - auch Marketingabteilungen von Firmen mischten dabei mit - und zuletzt Phishing-Mails machten die Datenschutz-Kakophonie perfekt.

Tweet von Jan Albrecht

Twitter /Jan Albrecht

MEP Jan Albrecht (Grüne) über die Panikmache beim Datenschutz in Deutschland. Der Blog des bekannten Hackerveteranen Lutz Donnerhacke über eine einfache Lösung des Problems

Verhaltene Panik in Österreich

Dazu in ORF.at

Die Strafen in der DSGVO zielen primär auf Geschäftsmodelle, die dem EU-Datenschutz per se widersprechen. Die Höchststrafen sind bei systematischen Verstößen vorgesehen.

In Österreich sorgten zahlreiche Ausnahmen in der Implementation der neuen Datenschutzregeln und ein - nach Ansicht der Kritiker - zu laxes Strafregime für Diskussionen. Der wohl wichtigste Punkt, der hierzulande nicht umgesetzt wurde, ist ein Verbandsklagerecht. Dadurch wird es für Non-Profit-Organisationen wie NOYB.eu von Max Schrems schwer bis unmöglich, internationale Konzerne wie Facebook von Österreich aus zu klagen.

Obwohl es auch hierzulande hinreichend Panikmache von der Sorte gab, dass die neuen Datenschutzregeln zu vermehrten Firmeninsolvenzen führen würden, so hielten sich tendenziöse bis falsche Darstellungen im Vergleich zu Deutschland von der Verbreitung her in Grenzen. Die jüngste Diskussion, die in Deutschland hohe mediale Wellen schlug, war die angeblich unterschätzte Datenschutzproblematik des Überreichens und der Entgegennahme von Vistenkarten.

DSGVO

bitkom

Drei von vier Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung - so titelt der deutsche Unternehmensverband der Digitalwirtschaft. Die Grafik selbst ist weniger alarmistisch: 56 % der befragten Unternehmen sind ganz oder großteils fertig, ein Drittel ist mittendrin, wirklich problematisch sind etwa 10 Prozent.

Datenschutzpflichten für Visitenkarten

Der Facebook-Skandal wäre ohne systematische Datenschutzverstöße undenkbar gewesen, er ist ein Musterbeispiel für systematische Verstöße, die zur Höchststrafe von 4 Prozent des Konzernumsatzes führen können.

Da Visitenkarten ja „personenbezogene Daten wie Name, Kontaktadresse und E-Mail-Adresse“ enthielten, heißt es auf der Website der deutschen Firma Intersoft Consulting, müsste der Empfänger „streng nach dem Gesetzwortlaut“ sofort mit seiner Datenschutzerklärung antworten. Artikel 13 DSGVO schreibe nämlich vor, „dass die Information des Betroffenen zum Zeitpunkt der Erhebung der Daten erfolgen soll“. Als typische Situation nennt die Firma eine Messe, wo der Austausch von Visitenkarten eines der wichtigsten Rituale ist.

Im Geschäftsbereich, und da gerade auf Messen, hat der Überreicher einer Vistenkarte ein Interesse an der Verbreitung seiner Daten, an denen in der Regel obendrein nur der Name direkt auf die Person verweist. Die Adresse ist der Sitz der Firma, auch E-Mail und Telefonnummer sind Firmendaten und die sind von Telefon- bis Firmenbuch öffentlich. Auf diesem Pedanterieniveau wurde in Deutschland ein guter Teil der Datenschutzdiskussion geführt, wie sie in der deutschen Tageszeitung „Die Welt“ und anderen Privatmedien thematisiert wurde.

Die Interessen von Verlegern

Eine großangelegte Kampagne von europäischen Verlagshäusern gegen E-Privacy fuhr im Sommer 2017 fast ohne Medienecho an die Wand.

Nicht nur Beratungsfirmen, die direkt an der Umsetzung der DSGVO verdienen, sondern auch Privatmedien haben erhebliches Geschäftsinteresse im Zusammenhang mit der DSGVO. Die ergänzende und erweiternde EU-Verordung zur E-Privacy ist nämlich noch in der Schwebe, weil sich der Ministerrat bis jetzt nicht einigen konnte. Dabei geht es in erster Linie um eine einzige Passage und zwar darum, ob Websitebetreiber die Meta- und Interessensdaten der Benutzer an beliebige internationale Werbenetze und andere Datenhändler weitergeben dürfen, ohne dass der Benutzer der Weitergabe zustimmen muss.

Tweet von Nina Diercks

Twitter / Nina Diercks

Die auf Datenschutz und Big Data spezialisierte deutsche Anwältin Nina Diercks geht davon aus, dass Deutschland in puncto Strafen gegen Verstöße ähnlich wie Österreich vorerst mit Mahnungen vorgehen wird.

Nach Ansicht der Verlagskonzerne sollte eine einfache Generalzustimmung des Benutzers genügen, um alle Datenweitergaben und -verarbeitungen zu erlauben. Das steht zwar in diametralem Gegensatz zur DSGVO, die eine explizite Zustimmung des Benutzers zu jeder Weitergabe und zu jedem neuen Verwendungszweck vorsieht. E-Privacy ist allerdings eine „Lex Specialis“ und für diese gilt in der EU, dass auch Widersprüche zu einer übergeordneten Regelung wie der DSGVO möglich sind, ohne dass Änderungsbedarf für eine der beiden Regelungen entsteht.

Wer sich (nicht) fürchten muss

Die Umstellung auf das neue, strengere EU-Datenschutzregime ist für alle betroffenen Abteilungen von Firmen eine mühsame Angelegenheit. Sie ist umso aufwändiger, je weniger Stellenwert dem Datenschutz in den betreffenden Firmen bisher zugemessen wurde und je mehr Services von Nicht-EU-Firmen in die Webpräsenzen eingebunden sind. Gerade herkömmliche Privatmedien, die zwar die Monopolisierung der Werbung durch Google und Co zu Recht im redaktionellen Teil kritisieren, aber dann in der Regel Services wie Google Analytics verdeckt in ihre Webauftritte integriert haben, sind nun zu Transparenz verpflichtet.

Was die privaten Webauftritte betrifft, so kommen nun in erster Linie jene Blogger in die Bredouille, die bedenkenlos alle möglichen kommerziellen Services von Dritten eingebunden haben, „weil es halt so praktisch ist“. Geldbußen sind hier erst einmal überhaupt nicht zu befürchten, weil die Datenschutzbehörden quer durch Europa erstens an höherwertigen Verstößen interessiert sind. Und zweitens, weil sie überhaupt nicht die nötigen Ressourcen hätten, um solche Verstöße auf halbprivaten Websites zu verfolgen. Das „weil es halt so praktisch ist“ ist aber ein klares Zeichen, dass auch hier die Faustregel zum Datenschutz im Internet gilt: Der Weg zur Datenhölle ist mit „Customer Convenience“ asphaltiert.

Mehr zu diesem Thema

Der Blog des bekannten Hackerveteranen Lutz Donnerhacke über eine einfache Lösung des Problems

Informationspflicht beim Austausch von Visitenkarten?

Mythen und Horrorgeschichten - der ehemalige deutsche Datenschutzbeauftragte Peter Schaar im Gespräch mit Deutschlandfunk Kultur

Drei von vier Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung- so titelt der deutsche Unternehmensverband der Digitalwirtschaft.

mehr Politik:

Aktuell: