DSGVO – was ist neu? Warum die Panik?

Vorwort

Wer die letzten Wochen Medien irgendwelcher Art konsumierte, kommt an einer Frage nicht vorbei: DSGVO – was ist neu? Warum die Panik? Ist es tatsächlich so, dass nahezu alle privaten Blogs jetzt schließen müssen? Sind kleinere Unternehmen gezwungen von einem Tag auf den anderen immense Anstrengungen zu unternehmen oder den Betrieb aufzugeben? Wieso wird um die DSGVO (Datenschutzgrundverordnung) dermaßen viel Aufhebens gemacht, das Bundesdatenschutzgesetz (BDSG) gibt es seit fast 30 Jahren – ist die DSGVO so viel restriktiver?

Vor ein paar Tagen postete ich:

Wenn ich jetzt diese „Wir können wegen der DSGVO nicht mehr bloggen“ Nachrichten lese, komme ich zu dem Schluss dass da auch ein Segen drauf liegt. Die DSGVO ist ein Internet-Führerschein für Publisher. Sowas fordern wir doch seit den AOL-CDs für das gesamte Internet.

und ich will hier erklären, wieso ich zu dieser (zugegeben arroganten) Einschätzung komme. Diese Einschätzung ist NICHT vollständig und außerdem natürlich subjektiv. Würde ich eine komplette Analyse veröffentlichen, wäre dies ein dickes Buch und kein Blogartikel.

Was unterscheidet die DSGVO von dem BDSG?

Die Unterschiede/Neuerungen liegen weitgehend in den Details. Zumindest, wenn man sich bislang bereits mit dem seit 1990 bestehenden BDSG auseinandergesetzt hat und die in dort definierten Anforderungen für die Datenverarbeitung bereits umgesetzt hat. Die DSGVO, welche am 25.05.2018 in Kraft tritt, löst das alte BDSG ab und ist in der ganzen EU gültig und anzuwenden. Eine kleine Falle in der DSGVO lauert in den sogenannten Öffnungsklauseln. Diese ermöglichen (verlangen) es, den Regierungen der Mitgliedsstaaten gewisse Teile der Verordnung zu konkretisieren. Dieses geschieht in Deutschland durch das NEUE Bundesdatenschutzgesetz (BDSG-Neu). Wer sich also über die Rechtslage informieren will, muss sich durch zwei Paragraphen“dschungel“ lesen.

Der größte Unterschied und wohl auch die Ursache für den Sturm im Blätterwald (von Geraschel kann wahrlich nicht mehr die Rede sein) dürfte das Strafmaß bei Verfehlungen sein. Betrug die im BDSG vorgesehene Höchststrafe noch 30.000€, so sieht die DSGVO eine Höchststrafe von 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes vor. Es gilt der jeweils höhere Wert. Ja, das ist eine Hausnummer. Und es ist – in meinen Augen – richtig so. Denn bislang wurde das BDSG massiv ignoriert. Gerade größere Firmen nahmen es mit dem Datenschutz eher gar nicht so genau. Warum auch? Kostet ja nichts.

Was bedeutet die DSGVO für private Blog?

Blogger sind wohl die Personengruppe, die sich als erstes als Opfer fühlen dürfte. Kaum ein (vor allem privat agierender) Blogger machte sich bislang Gedanken über das Speichern von personenbezogenen Daten. Dabei ist die Umsetzung für Blogger relativ banal:

  • Logfiles anonymisieren.
  • Kommentatoren Info geben, dass Mail-/Webadresse gespeichert wird.
  • Keine Cookies
  • Kein Tracking – auch keine externes!

Für jemanden der sein Blog auf einem eigenen Server betreibt, sollte obiges ein Kinderspiel sein. Wer seine Daten bei einem Hoster verarbeitet, sollte sich vertrauensvoll an diesen wenden um dort Hilfe bei der Umsetzung zu bekommen. WordPress.com ist derzeit dabei die Anforderungen umzusetzen, siehe deren Beitrag im Support-Forum. Die größte Herausforderung dürfte das Abstellen von externem Tracking sein. Denn jeder Aufruf von eingebundenen externen Inhalten ermöglicht Tracking. Ob eine Webseite auf externe Daten zugreift kann man z.B. mit dem „Tool Pingdom Website Speed Test“ herausfinden. Hier werden alle Aufrufe der Seite einzeln dargestellt. Dieses Tool ist nebenbei auch praktisch was das Optimieren der Zugriffe auf Blogs angeht.

Was ändert sich für kleine Firmen?

Ein schönes Beispiel für die Panikmache durch Unwissenheit las ich gerade heute Zeit:

Laut der Verordnung muss Dotzauer jetzt einen Datenschutzbeauftragten für seine Sieben-Mann-Firma digiposter benennen.

Ich würde gern wissen, an welcher Stelle genau ein Datenschutzbeauftragter für Unternehmen gefordert wird, bei denen weniger als 10 Mitarbeiter dauerhaft Zugriff auf personenbezogene Daten haben (siehe §38 BDSG-Neu):

benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Allerdings gibt es hier Ausnahme in besonderen Fällen der Datenverarbeitung:

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Dieser Passus dürfte aber bei den wenigsten Unternehmen greifen. Und diese müssen auch bisher bereits einen Datenschutzbeauftragten haben. An dieser Stelle also: Viel Rauch um nichts.

Andere Themen – die stets im Rahmen der Panikmache genannt werden – sind Löschfristen, Nachweise, warum Daten gespeichert werden und anderes. Nicht gesagt wird von den Hysterie-Päpsten, dass auch das BDSG Löschfristen und Sperrungen kannte und der Nachweis über die Gründe von Datenspeicherungen bislang im Verfahrensverzeichnis festgehalten werden mussten. Ja, es sind ein paar (meist kleinere) Änderungen umzusetzen – aber viel hat sich nicht wirklich geändert.

Profiteure: Unternehmensgruppen

Neben den Privatpersonen, deren Daten ja geschützt werden, profitieren auch Konzerne von der DSGVO. Denn gab es im BDSG kein Konzernprivileg (jede Firma brauchte einen Datenschutzbeauftragten), so kann ein Datenschutzbeauftragter nun für eine ganze Unternehmensgruppe ernannt werden.

Verlierer(?): Fotografen

Professionelle(!) Fotografen sind derzeit (noch) die Verlierer der neuen Gesetzeslage. Das Problem ist, dass die DSGVO eine Öffnungsklausel enthält, mit der die EU-Mitgliedsstaaten hier eine nationale Richtlinie einsetzen können/sollen. Diese letztendliche Klärung und Einbettung dieses Problemkreises wurde in Deutschland bislang vernachlässigt. Florian Wagenknecht hat diesen Aspekt in einem längeren Artikel hinreichend beleuchtet, so dass ich hier auf sein Blog verweisen möchte.

Schlusswort

Unternehmen, die bislang BDSG-konform agierten, hatten mit der Umsetzung des BDSG deutlich mehr Aufwand, als sie jetzt mit den Änderungen durch die DSGVO haben. Ausnahme ist hier der Bereich Werbung/Marketing. Diesen Unternehmen werden tatsächlich größere Hürden in den Weg gelegt. Was in meinen Augen allerdings auch sehr gut ist, da in dem Bereich bislang deutlich zu große Lücken in Sachen Betroffenenrechte existierten.

Für Fragen steht der Kommentarbereich zur Verfügung. Merke: Auch ich bin nicht unfehlbar :-). Und ja, auch in meinem Blog muss ich bis zum 25.05.2018 noch ein paar kleinere Anpassungen machen. Aber NOCH ist ja ein bisschen Zeit. UND: Normalerweise wird der zuständige Landesdatenschutzbeauftragte BEVOR er Restriktionen verhängt erst einmal den Kontakt mit dem Unternehmen/Zuständigen suchen. Also bitte alle einen Gang runterschalten, denn in der Ruhe liegt die Kraft und genug Zeit – wie oben dargelegt – hatten wir ja alle.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert