Auswahl von Konsequenzen der DSGVO

Nach Artikel 30 DSGVO müssen Unternehmen ab 250 Mitarbeitern ein sogenanntes Verarbeitungsverzeichnis führen, das umfassende Angaben zur Verarbeitung personenbezgener Daten enthält. Eine pauschale Entwarnung für kleinere Unternehmen ist das nicht: Bei der Verarbeitung bestimmter Daten oder Datenkategorien oder wenn diese nicht nur "gelegentlich" erfolgt, muss ein Verarbeitungsverzeichnis erstellt werden. Damit erreicht der Artikel 30 DSGVO auch Betriebe, die womöglich von Ihrer Pflicht noch nicht ahnen. Man denke beispielsweise an den Sanitärhandwerker oder den Elektriker, der regelmäßig Kundendaten wie Anschrift, erteilte Aufträge, Rechnungen und Rohr- oder Leitungspläne von Wohnungen speichert.

Bei jeder Verarbeitung personenbezogener Daten ist zwischen Auftragnehmer und Auftraggeber ein Auftragsverarbeitungsvertrag abzuschließen, siehe dazu Artikel 28 DSGVO. In solchen Verträgen, die schnell einen Umfang von um die 20 Seiten erreichen, werden der Umgang mit personenbezogenen Daten und die Pflichten der Vertragspartner sehr weitgehend geregelt.

Wer beispielsweise als Unternehmer oder Unternehmen – auch andere sind betroffen – einen Internetauftritt nutzt, sollte unter anderem auf diese Details achten:

• Personenbezogene Daten dürfen nur noch verschlüsselt übertragen werden. Dazu wird meist die SSL-Verschlüsselung, erkennbar am https:// vor der Internetadresse einer Website, genutzt. Zwingend ist der Einsatz der Verschlüsselungstechnologie beispielsweise für alle, die auf ihren Webseiten personenbezogene Daten erheben (Kontaktformulare!) oder nutzen. Da für gewerblich und freiberuflich genutzte Internetauftritte in Deutschland eine umdassende Impressumspflicht besteht, die regelmäßig personenbezogene Daten enthält, könnte der Zwang zur Verschlüsselung sämtliche dieser Webseiten treffen.


• Wer auf seinen Webseiten Verbindungen zu Sozialen Medien implementiert (bekannt u.a. als "Like Buttons) muss belehren, dass bei deren Nutzung unter Umständen Daten des Webseitenbesuchers an die verlinkten Unternehmen übertragen werden. Wer auf Nummer sicher gehen will, bringt diese Belehrung nicht nur in seiner Datenschutzerklärung unter, sondern auch – verlinkt zur Datenschutzerklärung – unmittelbar an den Buttons.


• An die Datenschutzerklärung bestehen, ohne hier ins Detail gehen zu können, umfassende Anforderungen. Bei einem unternehmerischen Webseitenauftritt ist dringend anzuraten, eine DSGVO-konforme Datenschutzerklärung aufzunehmen oder die vorhandene zu aktualisieren. Dazu sollten nicht einfach Datenschutzerklärungen anderer Websites kopiert werden, sondern eine eigene, zugeschnittene erstellt werden.


• Wer Newsletter verschickt, begibt sich schnell auf datenrechtliches Glatteis, weil zu diesem Zweck ja mindesten ein personenbezogenes Datum, nämlich die E-Mail-Adresse des Empfängers, gespeichert und verarbeitet werden muss. Welche Voraussetzungen bestehen, an eine E-Mail-Adresse Newsletter zu verschicken, wird diskutiert, sicher scheint nur: Das Einverständnis des Newsletterempfängers muss dokumentiert werden, man kann sich wohl nicht darauf berufen, dass der Empfänger in der Vergangenheit Newsletter widerspruchlos empfangen hat. Newsletter dürfen Empfängern nicht "untergejubelt" werden, beispielsweise mit vorausgefüllten Häkchen zum Abo des Newsletters (Verbot des Soft-Opt-out). Obgleich eine simple Mail mit der Aussage, dass der Newsletter bestellt wird (Soft-Opt-in) ausreichen sollte, verweisen Experten auf die rechtlich sicherste Lösung, das Double-Opt-in: Nach der Newsletterbestellung erhält der Besteller ein E-Mail, die er nochmals bestätigen muss, erst dann wird der Newsletter an diese Adresse verschickt. Damit wird ausgeschlossen, dass jemand einen Newsletter an eine andere Adresse bestellt, deren Besitzer nichts von seinem Glück ahnt. Selbstverständlich sollte hingegen sein, dass mit jeden Newsletter die Möglichkeit geboten wird, diesen mit sofortiger Wirkung abzustellen.


• Auch für Betreiber von Online Shops gibt es neue Pflichten: So muss jedem Besteller eingeräumt werden, einen Gastzugang zu nutzen, anders gesagt: Niemand darf gezwungen werden, zwecks Bestellung ein Kundenkonto anzulegen.


• Um – obwohl zur DSGVO viel mehr zu sagen wäre – das Thema hier abzuschließen noch der Hinweis, dass in der Datenschutzerklärung tunlichst und ausführlich über die Verwendung von Cookies informiert werden sollte. Ob der Cookie-Hinweis (wie im Görlitzer Anzeiger) zwingend auf der Startseite erfolgen muss, wird diskutiert.

Mehr:
Im Internet wird eine übersichtliche Aufbereitung der Datenschutzgrundverordnung angeboten, der Originaltext findet sich hier.

Kritik

Nach Einschätzung von Thomas Beier, Inhaber des 2005 gegründeten Digitaldienstleisters BeierMedia und seit 1994 als Freiberufler in der Unternehmensberatung tätig, dehnt die DSGVO die in Deutschland vorhandenen rechtlichen Risiken von Internetauftritten weiter aus: "Selbst ein Rechtsanwalt hat vor einiger Zeit seinen Internetauftritt wieder abschalten lassen, weil ihm das Abmahnrisiko zu hoch wurde." Beier verweist darauf, dass erwartet wird, dass erst Gerichte bemüht werden müssen, um bestimmte Facetten der Anwendung der DSGVO zu klären. Die damit verbundene Rechtsunsicherheit, vor allem in Verbindung mit den drakonischen Strafandrohungen der DSGVO, die – je nachdem, welcher der Beträge höher ist(!) – bis zu vier Prozent des gesamten im vorangegenen Geschäftsjahr weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro erreichen können, sei für viele Unternehmen existenzgefährdend und könne kleinere Einzelunternehmer in den persönlichen Ruin treiben.

Insgesamt ist zu sagen, dass die DSVGO wegen ihrer mangelnden Umsetzung in deutsches Recht über das Ziel hinausschießt und besonders für kleine und Kleinstunternehmen enorme Belastungen und existenzielle Risiken mit sich bringt. Als besonders bürokratisch erscheint, dass in jedem einzelnen Fall umfangreich über Technologien, die eigentlich längst selbstverständlich sind (wie zum Beispiel das Setzen von Cookies), belehrt werden muss.

Digitalunternehmer Beier, der Diplom-Ingenieur und Fachingenieur für Informatik ist, sieht noch einen Kritikpunkt an der DSGVO: "Im Auftragsverarbeitungsvertrag werde ich laut DSGVO Artikel 28 Absatz (2) gezwungen, meine Subunternehmer, die mit Kundendaten in Kontakt kommen können, aufzulisten und meinem Auftraggeber ein Einspruchsrecht zu geben. Das kommt meiner Meinung nach der Offenlegung von Geschäftsgeheimnissen gleich, außerdem wird damit aus meiner Sicht der Datenschutz für die Auftragsverarbeiter, mit denen ich zusammenarbeite, aufgehoben." Fast hanebüchen sei, dass der Auftraggeber des Auftragsverarbeitungsvertrages gegen einzelne Subunternehmer Einspruch erheben könne, obgleich der Auftragnehmer des Vertrags doch für diese voll mithaften müsse. "Was soll ich tun, wenn ich endlich einen hochqualifizierten und vertrauenswürdigen Spezialisten gefunden gabe, dessen Nase einem Auftraggeber nicht gefällt?", fragt sich Beier und sieht damit das Erfolgsprinzip von Kleinunternehmern, vernetzt zu arbeiten, gefährdet.

Beiers Fazit: "Dies DSGVO bürdet besonders kleineren Unternehmen, die bereits durch Bürokratie und Abgaben im ganz besonderen Maße belastet sind, weitere Lasten auf. An den bisher bereits praktizierten Vorgensweisen, so dem sorgsamen Umgang mit Daten und deren sparsamer Erhebung, ändert sich im Grunde nichts, doch der Aufwand für Dokumentationen steigt deutlich." Wo man bislang mit langjährigen Kunden unkompliziert auf Zuruf gearbeitet habe, setzen nun umfassende Dokumentationspflichten ein. Zumindest phasenweise, so schätzt Beier ein, gingen inzwischen zwei Drittel der Arbeitszeit für Verwaltung und Bürokratie drauf mit der Folge, dass die bezahlte Leistungszeit für die Kunden immer teurer werde.

An die Politik appelliert Beier, sich schnellstens für eine bessere Anpassung der DSGVO an deutsches Recht einzusetzen und den Bereich der Kleinen und Mittleren Unternehmen (KMU) nicht nur wortreich, sondern tatenreich und effizient von Bürokratie zu entlasten, schließlich seien es oft erst die kleineren Subunternehmen, die den wirtschaftlichen Erfolg größerer Einheiten möglich machten. Außerdem verweist Beier abschließend auf die möglichen Einschränkungen der Pressefreiheit durch die neue DSGVO.

Mit seiner Kritik steht Beier nicht allein: So hatte bereits 2016 Prof. Dr. Thomas Hoeren, der an der Westfälischen Wilhelms-Universität Münster das Institut für Informations-, Telekommunikations- und Medienrecht leitet, auf einem Datenschutzkongress einzelne Bestimmungen der DSGVO als "zweifelhaft bis unnötig" und "das Sinnloseste des Sinnlosesten" charakterisiert und das Gesamtwerk die "größte Katastrophe des 21. Jahrhunderts" genannt sowie in die Reihe der "schlechtesten Gesetze des 21. Jahrhunderts" gestellt, wie hier nachzulesen ist.

Unternehmer Beier verweist hingegen darauf, dass die DSGVO bereits mit Inkrafttreten dem modernen Datenschutz kaum genüge: "Was ist mit Big Data oder der Datenerfassung durch Suchmaschinen? Was ist mit den Daten aus dem Internet der Dinge?" Obgleich die neue DSGVO wohl außer Bürokratieaufwand nur wenig bewirke, sollten Unternehmen die rechtlichen Konsequenzen sehr ernst nehmen, um Abmahnungen und Strafen möglichst vorzubeugen – ganz wird sich das schlummernde Risiko wohl nicht vermeiden lassen.