Das große DSGVO-Chaos beginnt

Kurz vor dem Startschuss zeigt die Kanzlerin Nerven: Auf einem Treffen mit CDU-Kreisvorsitzenden in Berlin vor wenigen Tagen warnte Angela Merkel vor den negativen Folgen der EU-Datenschutz-Grundverordnung (DSGVO). Man müsse aufpassen, so Merkel, dass die Regelungen nicht "unpraktikabel" ausgelegt würden.

Zuvor hatte sich die Kanzlerin laute Kritik der Wirtschaftsverbände anhören müssen: Die neue Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft tritt, könnte die Wettbewerbsfähigkeit der deutschen Wirtschaft beschädigen. "Merkel torpediert neue EU-Datenschutzregeln" titelte das "Handelsblatt" - und gab dem Gerücht Nahrung, die Bundesregierung könnte die Einführung der DSGVO im letzten Moment aussetzen oder zumindest verschieben.

Das plötzliche Zaudern zwei Wochen vor dem seit Jahren feststehenden Termin für das Ende der Übergangsfrist - rein juristisch ist die DSGVO bereits im Mai 2016 in Kraft getreten - mag auf den ersten Blick überraschen. Allerdings tut sich Deutschland traditionell beim Datenschutz schwer. Das Thema ist föderale Aufgabe, liegt also in der Zuständigkeit von 16 unabhängig voneinander operierenden Landesdatenschutzbehörden. Und wenn es um die Umsetzung von Vorgaben aus Brüssel geht, ist Deutschland nicht immer Musterknabe.

So wurde beispielsweise die 2002 in Brüssel verabschiedete EU-ePrivacy-Richtlinie nicht fristgerecht in nationales Recht umgesetzt, sodass die EU ein Verfahren gegen Berlin anstrengen musste. Das, so die Theorie, kann mit der DSGVO nicht passieren, denn sie ist eine Verordnung. Anders als EU-Richtlinien gilt sie unmittelbar. Ab 25. Mai ist in Europa also alles klar in ­Sachen Datenschutz.

In der Realität ist die Situation indes alles andere als klar, denn die 386 Seiten starke Verordnung mit ihren 95 Artikeln lässt zahllose Interpretationsmöglichkeiten zu. Darüber hinaus enthält die DSGVO sogenannte Öffnungsklauseln, die es den einzelnen Mitgliedstaaten erlauben, Regelungen abweichend von der EU-Verordnung zu erlassen. So legt die DSGVO das Schutzalter der Nutzer eigentlich auf 16 Jahre fest. Mitgliedsländer dürfen aber auch ein ­geringeres Alter erlauben, solange es nicht niedriger als 13 Jahre ist. Dazu kommen Änderungen, die teilweise erst in letzter Minute in den Verordnungstext eingearbeitet wurden. So berichtet der Berliner Rechtsanwalt Carlo Piltz davon, dass noch im April 2018 Anpassungen vorgenommen wurden, vorgeblich, um eindeutige Fehler und falsche Verweise zu beseitigen. Doch dabei, so schreibt Piltz im juristischen Fach-Blog "de Lege", seien auch Inhalte verändert worden.

So sah zum Beispiel die DSGVO seit ihrem offiziellen Inkrafttreten im Jahr 2016 vor, dass EU-Bürger Datenauftragsverarbeiter und Verantwortliche in dem Land verklagen dürfen, „in dem sie ihren Aufenthalt ­haben“. In der Version, die ab 25. Mai gelten soll, heißt es plötzlich "in dem sie wohnen" - nur, dass unter Juristen "Aufenthaltsort" nicht gleich "Wohnsitz" ist. Piltz findet denn auch deutliche Worte: "Ich frage mich wirklich, was nun Unternehmen denken, die zwei Jahre lang mit dem Text der DSGVO gearbeitet, Geld und Zeit investiert haben, und nun, einen Monat vor Anwendbarkeit, eine textlich und auch inhaltlich angepasste DSGVO serviert bekommen."

Für erhebliche Rechtsunsicherheit sorgt auch die Tatsache, dass die Harmonisierung der einzelnen Datenschutzgesetze mit der EU-Verordnung noch längst nicht abgeschlossen ist. Dies gilt zum Beispiel für das Telemediengesetz (TMG), welches für deutsche Anbieter von Informationsdiensten im Netz derzeit die Richtschnur darstellt. Das TMG muss kompatibel sein zur ePrivacy-Verordnung (ePV), die eigentlich gemeinsam mit der DSGVO in Kraft treten sollte, im Moment aber noch im europäischen Gesetzgebungsprozess festhängt.

Deshalb wird die ePV frühestens 2019 verabschiedet werden und - nach derzeitigem Wissensstand - nach einer zweijährigen Übergangsfrist 2021 wirksam in Kraft treten. Weil heute noch niemand weiß, was genau in der ePV stehen wird, hat die Bundesregierung bislang auch das TMG noch nicht angepasst. Ist ja auch noch lange hin bis 2021.

So lange wollen die Datenschützer allerdings nicht warten. In einem Positionspapier vom 26. April 2018 formulierte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Düsseldorf ihre Haltung zu der Frage, wie das TMG ab dem 25. Mai im nicht öffentlichen Raum - also auf von Privatunternehmen und -personen betriebenen Seiten - anzuwenden sei. Besonders beim Thema Tracking sehen die Datenschützer Handlungsbedarf, da die europäische DSGVO gegenüber dem deutschen TMG Vorrang besitzt.

Konkret heißt es in dem Positionspapier:

"Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung im Sinne der DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung, vor der Datenverarbeitung eingeholt werden muss, das heißt z. B., bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden."

Mit anderen Worten: Die Einwilligung des Nutzers zum Setzen von Cookies und anderen Profiling-Techniken, mit denen die Branche bislang erst ab 2021 rechnet, wird nach Ansicht deutscher Datenschützer bereits in wenigen Tagen Pflicht.

Christian Bennefeld, Erfinder des ePrivacy-Schutzfilters eBlocker, begrüßt diese harte Haltung grundsätzlich, wundert sich aber über das Timing: „Ob der Zeitpunkt für die Positionierung gut gewählt ist, nachdem die DSGVO seit rund drei Jahren bekannt ist, bezweifle ich stark. Wenn die Aufsichtsbehörden ab dem 25. Mai ihre Forderung nicht durch Verwarnungen und Bußgelder durchsetzen, wird die DSGVO genauso ein zahnloser Tiger werden, wie es das Opt-out des Telemediengesetzes war.“

Thomas Duhr, Vizepräsident des Branchenverbands BVDW, treibt jetzt schon die Angst vor einer strikten ePrivacy­Verordnung um: "Die Realisierung einer Verordnung in der aktuell auf EU-Ebene diskutierten Fassung würde jeden vierten Arbeitsplatz in der digitalen Wirtschaft in Deutschland gefährden. Das kumulierte Umsatzrisiko im Display-Werbemarkt in Deutschland könnte infolge der ePrivacy-Verordnung eine Größenordnung von bis zu 500 Millionen Euro netto pro Jahr betragen." Geht es nach dem BVDW, könnte sich Brüssel die ePrivacy-Verordnung komplett schenken - die Regelungen der DSGVO reichen für den Verband aus, allerdings wohl kaum in der rigiden Auslegung der Datenschutzkonferenz.

Bei der Bewertung der Sinnhaftigkeit des neuen europäischen Datenschutzkonzepts gehen die Meinungen grundsätzlich weit auseinander. Während die neue Justizministerin Katarina Barley (SPD) die DSGVO als "einen Meilenstein für den Schutz der persönlichen Daten" bezeichnet, hält Dieter Kempf, Vorsitzender des Bundesverbands der Deutschen Industrie (BDI), das in der DSGVO verfügte Gebot der Datensparsamkeit für einen groben Fehler: "In Zeiten der Datenvielfalt ist Datensparsamkeit einfach das falsche Bauprinzip."

Als Beispiel sieht Kempf neue Verkehrsleitsysteme, die auf einen intensiven Datenaustausch zwischen den einzelnen Fahrzeugen setzen und so beispielsweise vor Kollisionen warnen können. Allerdings ließe sich die dazu notwendige Einwilligung der Verkehrsteilnehmer ­gemäß DSGVO kaum praktisch abbilden. Auch Kanzlerin Merkel macht sich Sorgen, etwa um die Entwicklung der künstlichen Intelligenz. Die werde sich, so Merkel vor CDU-Parteimitgliedern, ohne große Datenströme nur so entwickeln "wie eine Kuh, die kein Futter bekommt".

Unternehmen, die eine Website haben oder Online-Marketing betreiben, stehen derzeit vor kaum lösbaren Problemen. Das ­betrifft vor allem kleine Website-Betreiber, die zum Beispiel einen Blog unter Wordpress betreiben und sich über Adsense­Anzeigen und Affiliate-Links ein kleines Zubrot verdienen.

Die Implementierung der dazu erforderlichen Informationen und die Abfrage der Einwilligung des Nutzers zur Verarbeitung seiner Daten stellt viele kleine Website-Betreiber vor kaum lösbare technische Hürden. Zudem steckt der Teufel oft im Detail. Welcher Wordpress­Anwender weiß zum Beispiel schon, dass die Funktion zum Anzeigen von Emojis Nutzerdaten auf Drittservern speichert, dass Google Fonts problembehaftet sind und dass so manches Security-Tool mit der DSGVO nicht in Einklang zu bringen ist?

Die praktische Hilfe der Software-Anbieter zur Lösung solcher Probleme fällt oft erschütternd schwach aus. So bietet Google unter Cookiechoices.org zwar ­eine Informationsseite an, die Skripte zur Einholung zur Zustimmung der Nutzer vorstellt. Aber die beliebten Google Fonts, die viele Wordpress-Templates als Bildschirmschriften nutzen, gelten unter Fachleuten als DSGVO-inkompatibel. Grund: Beim Aufruf der Seite fragt der Browser auf dem Google-Server nach, ob es bei den Fonts irgendwelche Neuerungen gab - und überträgt dabei ungefragt Nutzer­daten nach Mountain View. Für die – technisch oft mäßig beschlagenen - Seitenbetreiber ein unlösbares Dilemma: Google Fonts verbessern die Ladezeiten und somit das Google-Ranking.

Und sie bringen den Seitenbetreiber in Konflikt mit dem ­Gesetz. Justizministerin Barley sieht das Problem: "Wir müssen dafür sorgen, dass die DSGVO verbraucherfreundlich angewandt wird", sagte sie der Presseagentur dpa: "Das gilt insbesondere für Vereine, Ehrenamtliche und kleine Unternehmen." Wie diese verbraucherfreundliche Anwendung des Datenschutzrahmens aussehen soll, dazu hat das Justizministerium bis jetzt, wenige Tage vor Ende der Übergangsfrist, noch keine konkreten Vorstellungen geäußert.

Der Angstgegner für viele Webseitenbetreiber ist in puncto Datenschutz nicht die zuständige Datenschutzbehörde. Allgemein wird den Landesämtern für Datenschutz durchaus Augenmaß zugetraut.

Sorgen bereiten dagegen wettbewerbsrechtliche Abmahnungen - eine deutsche Spezialität. Während etwa in Frankreich eine Behörde darüber wacht, ob die Marktteilnehmer im Wettbewerb fair miteinander umgehen, dürfen in Deutschland Unternehmen ihre unlauteren Konkurrenten abmahnen und sie zur Abgabe einer strafbewehrten Unterlassungserklärung auffordern. Inzwischen hat sich daraus eine ganze Industrie entwickelt, und nicht wenige Experten rechnen nach dem 25. Mai mit einer wahren Abmahnwelle.

Anwälte raten indes zur Besonnenheit. Verstöße gegen das Datenschutzgesetz gelten zwar nach Ansicht mehrerer Gerichte als Wettbewerbsverstöße und berechtigen zu wettbewerbsrechtlichen Abmahnungen, doch nicht jeder, der eine Abmahnung schickt, ist auch dazu befugt. Außerdem setzt ein Verstoß gegen den Datenschutz, der zur Erlangung von Wettbewerbsvorteilen begangen wurde, eine Absicht voraus, die dann zu beweisen wäre. Und schließlich stellt eine Aufforderung zur Abgabe einer Unterlassungserklärung lediglich ein Angebot dar, die Sache außergerichtlich beizulegen. Lehnt der Abgemahnte diese Offerte ab, muss der Abmahner erst einmal klagen, bevor etwas passiert.

Wer allerdings ohne profunde juristische Beratung eine Unterlassungserklärung abgibt, muss wissen, was er tut: Die Erklärung ist ein Vertrag mit dem Abmahner, der selbst dann Bestand hat, wenn der vermeintliche Abmahngrund sich bei näherer Betrachtung als nichtig erweist.

Und vielleicht sind Verstöße gegen die DSGVO sogar generell wettbewerblich nicht abmahnfähig. Nach Ansicht von Helmut Köhler, einem der führenden Wettbewerbsrechtler Deutschlands, lässt sich §3a UWG, auf den sich solche Abmahnungen in der Vergangenheit oft berufen haben, auf die DSGVO nicht anwenden, weil die Verordnung ihrerseits bereits einen Sanktionskatalog enthält. Will sagen: Wer gegen das DSGVO verstößt, kann nicht wegen des Verstoßes gegen das UWG abgemahnt werden. Ob diese Interpretation in der Rechtsprechung Bestand haben wird, müssen jedoch die Gerichte entscheiden.

Das alles darf nicht darüber hinwegtäuschen, dass jeder Website-Betreiber seine Datenschutz-Hausaufgaben machen muss - und zwar möglichst bald. Eine Datenschutzerklärung, die den Besucher offen und transparent über Dienste informiert, die auf die Seite zugreifen, ist ebenso Pflicht wie eine Bewertung der eingesetzten Tracking- und Targeting-Techniken. Wer E-Mails mit werblichen Inhalten verschicken will, benötigt dazu – wie bisher - die Zustimmung des Empfängers.

Liegt diese nicht sauber dokumentiert vor, dann muss man den Kontakt eben noch mal darum bitten - oder gleich aus dem Verteiler werfen. Mit allen Dienstleistern, mit denen man im Online Business zusammenarbeitet und die mit Kunden- oder Nutzerdaten in Kontakt kommen, muss ein Auftrags­datenverarbeitungsvertrag (ADV) geschlossen werden. Alle Mitarbeiter, die mit Kundendaten in Berührung kommen, sollten zur DSGVO geschult werden. Datenschutzrelevante Vorgänge müssen dokumentiert und protokolliert werden. Wie es dann in Sachen DSGVO weitergeht, wird die Zeit zeigen. Völlige Klarheit wird es auf die Schnelle jedenfalls nicht geben.

• 

   

  Marcus Beckmann ist Rechtsanwalt in Bielefeld bei Beckmann und Norda Rechtsanwälte

  Quelle:

  privat

In wenigen Tagen tritt die DSGVO endgültig in Kraft. Was passiert jetzt?
Marcus Beckmann: Vonseiten der ­Datenschutzbehörden erst einmal nicht viel. Sie haben bereits angekündigt, dass sie personell nicht dafür ausgestattet sind, sofort in großem Umfang Online-Angebote auf ihre ­DSGVO-Kompatibilität zu überprüfen. Es ist ja auch noch viel zu tun. So wurden zum Beispiel bislang noch nicht alle Landesdatenschutzgesetze an die DSGVO angepasst.

Aber was ist mit Abmahnungen?
Beckmann: Damit ist natürlich zu rechnen. Es gibt zwielichtige Vereine, die jetzt auf den Plan treten werden. Doch nicht jeder, der eine Abmahnung schreibt, ist auch dazu befugt. Mir wurde auch von Anwälten berichtet, die sehr dreist vorgehen und jetzt versuchen, Mandanten für Abmahnungen zu finden - das ist dann eine wettbewerbswidrige Kaltakquise.

Was ist zu tun, wenn man wegen eines DSGVO-Verstoßes abgemahnt wird?
Beckmann: Nun, ich empfehle natürlich immer, einen Anwalt einzuschalten (lacht). Ganz wichtig ist jedoch, nicht unbedacht irgendwelche Unterlassungserklärungen abzugeben. Eine solche Erklärung ist nämlich ein Vertrag mit dem Abmahner, der den ­Unterzeichner auch dann bindet, wenn sich herausstellt, dass der Grund für die Abmahnung nichtig war. Man muss erst einmal feststellen, ob der Verstoß, der abgemahnt wird, überhaupt wettbewerbsrechtlich relevant ist.

Was halten Sie von der DSGVO?
Beckmann: Die Verordnung ist vielleicht gut gemeint, aber leider nicht gut gemacht.