11.06.2018 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Die Datenschutzgrundverordnung (DSGVO) entpuppt sich immer mehr als bürokratischer Moloch, der dem geneigten Bürger Machtmittel an die Hand gibt, den „Datenkraken“ an die Wäsche zu gehen.
Schon am ersten Tag hat noyb.eu vier Beschwerden wegen datenschutzrelevanter „Zwangszustimmungen“ gegen Google, Instagram, WhatsApp und Facebook eingereicht. Dahinter steckt der Datenschutzaktivist Max Schrems, der bereits gegen Safe Harbour erfolgreich vorgegangen war und der auch längst schon den Nachfolger Privacy Shield angreift. Dumm nur, dass die gleichen Regeln nicht nur für die Schwergewichte gelten, sondern auch für kleine oder mittelständische Versandhändler, Handwerker oder Vereine. Aber auch größere Mittelständler haben ihre liebe Not, wenn die ungewöhnlich kleinteiligen Vorgaben der DSGVO mittels unzähliger Vorlagen zu Zwecken genutzt werden, die vorsichtig gesagt nicht im Fokus der Verordnungsgeber standen.
In unserer hochmodernen Gesellschaft, die sich in der digitalen Transformation befindet, ist nahezu jeder Prozess datenbehaftet und die Verarbeitung von personenbezogenen Daten löst Hinweispflichten aus. Diese werden durch das weite Verständnis vom Personenbezug nicht weniger. Anders als früher nur bei der erstmaligen Speicherung, müssen jetzt bei jeder Zweckänderung Hinweise erteilt werden (Art. 13 Abs. 3 und 14 Abs. 4 DSGVO). Die Vielzahl der Informationen, die in Art. 13 und 14 DSGVO (und nicht nur dort) vorgesehen sind, ist bemerkenswert.
Der von Verbraucherschützern und Justizministerium ehemals propagierte OnePager für den Datenschutzhinweis löst hysterische Lachanfälle bei jenen aus, die alle Pflichten bei einer modernen Webseite erfüllen müssen, die auch Geld mit Waren und Dienstleistungen (nicht mit Daten) verdienen soll. Schon zu BDSG-Zeiten war das nur ein frommer, aber untauglicher Ansatz. Heute kommen normale Datenschutzhinweise schnell auf 10-20 DIN A4-Seiten, wenn es transparent und ausführlich werden soll.
Tippgeber, die darauf verweisen, dass alles nicht so schlimm sei, haften in der Regel nicht für die Folgen einer die Hinweispflichten beschränkenden Auslegung. Die Händler tragen bis zur Klärung vieler Fragen das Risiko der „Interpretationslast“. Es gibt allenfalls in Österreich Bemühungen, diese zu mindern. Dort wurden nicht nur eigene und fremde Spione von der Anwendung der DSGVO ausgenommen (was angesichts von Auskunfts- und Löschungspflichten Sinn macht), sondern Bußgelder werden dort nur im Wiederholungsfall verhängt.
Flankiert werden die Hinweispflichten von Mitteilungspflichten, die noch nicht so sehr im Fokus stehen, aber teils aufwändig realisiert werden müssen. Die Auskunftserteilung ist die zweite große Herausforderung neben der Datenschutzerklärung. Die Negativbescheinigung, keine Daten (mehr) gespeichert zu haben, ist da noch die leichteste Übung. Allein schon die Pflicht, eine Kopie beizufügen, lässt im Gesicht so manche Falte auftauchen:
„Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“ – Art. 15 Abs. 3
Ist damit jede E-Mail, jedes Schreiben, jeder Facebook-Kommentar in Kopie verfügbar zu machen? Ja, sagen einige Stimmen und zwar auch dann, wenn der Kunde schon alles hat, etwa bei Steuerberatern. Andere zeigen auf das Recht auf Datenübertragbarkeit. Danach kann der Betroffene ja ohnehin seine (Kern-)Daten, die er angegeben hat, herausverlangen. Gemeint sei die Kopie der Auskunft. Nun ja. Auf der Informationsseite in Österreich liest sich das im Muster so:
„Wir verarbeiten folgende Daten zu Ihrer Person:
[es folgt eine Liste mit den konkret verarbeiten Daten].
Ausdrucke der relevanten Datenverarbeitungen finden Sie im Anhang.“
In der Anmerkung dazu:
„Sind die Ausdrucke nicht selbsterklärend (insb. bei Datenbanken), ist eine Legende beizulegen.“
Der Betroffene darf richtigerweise die Berichtigung falscher Angaben oder Ergänzung unvollständiger Angaben verlangen (Art. 16 DSGVO). Die Berichtigungen sind aber auch an die Empfänger der falschen oder unvollständigen Daten zu übermitteln. Über die Berichtigung und Mitteilung an die Empfänger ist der Betroffene wieder zu informieren. Genau genommen müssen jetzt die Empfänger wieder den Betroffenen über die Erhebung und Nutzung der berichtigten oder ergänzten Daten unterrichten. Das gleiche Spiel ergibt sich bei einem berechtigten Löschverlangen. Die betroffene Person ist nämlich von der durchgeführten Maßnahme zu informieren. Dies gilt auch für die Einschränkung der Verarbeitung, bei der dann die Speicherung noch möglich ist, nicht mehr aber die weitere Verarbeitung oder bei der Mitteilung, dass ein Widerspruch berücksichtigt wird.
Die Erfüllung der Mitteilungspflichten hat schriftlich zu erfolgen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Dabei kann E-Mail genutzt werden, wenn denn der Betroffene sich per E-Mail gemeldet hat. Wünscht er aber eine schriftliche Mitteilung auf Papier, dann ist dem zu entsprechen.
Einfache mündliche Mitteilungen können an der Tücke scheitern, dass die Identität des Betroffenen zweifelsfrei feststehen muss. Der Datenverarbeiter hat sich dabei einer klaren und einfachen Sprache zu bedienen. Ich bin gespannt, welches Niveau hier angelegt werden wird und wann die ersten Auskünfte über eingesetzte Tracker, Zählpixel und Remarketing-Tools daran scheitern.
Der Postillon bringt mit seiner Satire jedenfalls das Gefühl vieler Händler und Webseitenbetreiber zur Risikominimierung auf den Punkt:
„Webseitenbetreibern, die kein Risiko eingehen wollen und ihre Seite DSGVO-konform umrüsten wollen, wird empfohlen, sich nach etwa 14 Stunden vergeblicher Beschäftigung mit dem Thema selbst in die örtliche Psychiatrie einweisen zu lassen. Das ist besser für sie und ihre Angehörigen.“
Aus dem Artikel Ratgeber: Die wichtigsten Fragen und Antworten zur neuen Datenschutz-Grundverordnung (DSGVO)
X
