GDPR in Germany: A Letter for Our Industry Members | BIIA.com | Business Information Industry Association

Just days into GDPR, tech companies already face legal tussles over consent. However tech companies are not alone as a herd of German lawyers has started to pester SMEs with cease and desist orders. Leading the pack is Austrian Privacy activist Schrems who filed GDPR Complaints Against Google, Facebook, Instagram and WhatsApp, alleging that they are forcing users to consent to data collection in order to use their services.

For our German speaking members the recent article by Michael Klems, one of our most recent contributing editors, may be of interest.

DSGVO und die Folgen: Ein Brief an die Branche von Michael Klems

Abschalten ist auch (k)eine Lösung

Zwar ist es drei Tage nach dem finalen Datum, das den selbstständigen Mittelstand in großer Sorge versetzt hat, zu früh, um die Folgen der DSGVO-Umsetzung in Deutschland abzuschätzen. Aber immerhin können Sie mit Hilfe der Twitter-Links, die in einer der letzten Ausgaben von Open Password genannt sind, selbst nachrecherchieren, ob am Freitag die ersten Abmahnungen ausgesendet wurden. Bleiben Sie auch in anderen Zusammenhängen rund um die DSGVO am Ball und verfolgen Sie, wie sich möglicherweise ein Bild des Schreckens vor Ihnen entfaltet.

Dabei schien uns noch vor wenigen Jahren alles, was aus Europa kam, harmlos zu sein. Was haben wir über die EU-Verordnungen zum Krümmungsgrad von Gurken und zur Kantenlänge eines Würfelzuckers geschmunzelt. Hatten die Bürokraten nichts Besseres zu tun? Nun gut, die Milchbauern wurden mit Quoten, Produktionsbeschränkungen und Subventionen nach immer wieder veränderten Regeln in Bedrängnis gebracht. Aber das war eine kleine periphere Branche und wir fühlten uns von der Agrarpolitik wenig betroffen.

Mittlerweile hat jedoch die europäische Ebene stark an Einfluss gewonnen. Galt vor Jahren das EU-Parlament als Abschiebebahnhof für die nicht so erfolgreichen nationalen Politiker, so freuen sich heute die Grünen, wenn sie ihren DSGVO-Experten im EU-Parlament für ein Ministerium in Schleswig-Holstein gewinnen. Mit der Finanzkrise und dem griechischen Staatsbankerott war ein gesamteuropäisches Krisenmanagement unter Einbeziehung der europäischen Institutionen notwendig geworden und wirkte sich dieses stark auf die Haushalte der Nationalstaaten innerhalb der Europäischen Union aus. Keine Rede davon, dass sich das wieder abbauen ließe. Man braucht nur an den aktuellen Fall Italien zu denken. Und mit der DSGVO hat die EU nunmehr alle europäischen Gewerbetreibenden eingeholt. Die EU ist im Verbund mit den deutschen Behörden, die die DSGVO umsetzen müssen, zumindest der Möglichkeit nach zum Fürchten geworden.

Deutschland hat sich der DSGVO so angenommen, wie die Finanzämter mit den Gewerbetreibenden umgehen. Alle Betroffenen wurden erst einmal im Unklaren gelassen, dies aber pedantisch genau. Es gibt von Amtsseite verschwurbelte Bekundungen und Auslegungen, die wiederum von Juristen in Frage gestellt werden.

Solches kennen wir zur Genüge aus dem Steuerrecht. Hier sind die Steuerberater in vielen Dingen weiter als die Durchführungsverordnungen der Finanzbehörden. Ähnlich ist es beim Datenschutz. Die Behörden haben teilweise noch nicht einmal die Meldeformulare für die Datenschutzbeauftragten online. Wer jedoch seinen Datenschutzbeauftragten nicht bis zum 25. Mai bei der Behörde meldet, riskiert ein Bußgeld. Bayern hat kurzerhand die Meldefrist auf den 31. August verlängert. Herzlich willkommen bei der Umsetzung der Verordnung auf Behördenebene. Schafft die Behörde es selbst nicht, setzt sie den Termin einfach neu. Bei den Unternehmen gilt das „Bob der Baumeister Prinzip“ – Jo wir schaffen das.

Bei der DSGVO ist alles gut gemeint, nur nicht gut gemacht.

Bei der DSGVO ist alles gut gemeint, nur nicht gut gemacht. Der Verbraucher soll im Vordergrund stehen. Sie seien vor den großen Portalen und deren Datenmachenschaften zu schützen. Die Möglichkeiten der Datenschutzbehörden, exzessive Bußgelder zu verhängen? Die Herausbildung einer neuen Abmahnbranche durch Anwaltskanzleien? Die vagen Formulierungen, die den Mittelständler, der alle Anforderungen an ihn buchstabengetreu zu erfüllen trachtet, am Ende ratlos zurücklassen? Die Macher der DSGVO, allen voran der Grünen-Politiker Jan Philipp Albrecht und die EU-Kommissarin Vera Jourova, werden nicht müde, uns zu beschwichtigen, dass es nicht so schlimm kommen werde.

Das mag zunächst für die Datenschutzbehörden zutreffen, die erst Erfahrungen sammeln und sich eine Meinung bilden müssen, wie die Umsetzung konkret funktionieren soll. Auf der anderen Seite gibt es Beispiele genug, dass sich immer Anwälte finden, die Abmahnungen versenden, wenn damit Geld zu verdienen ist. Warum haben die Macher der DSGVO nicht wenigstens diese Möglichkeit verhindert und in die Verordnung eingebaut: „Das Mittel der Abmahnung ist nicht anwendbar“? Es hätte so einfach sein können.

Es fällt mir schwer, an der DSGVO etwas Gutes zu entdecken. Nun gut, wir werden zu einem Audit gezwungen, damit wir genauer wissen, wie die Kollegen und ich mit unseren Daten umgehen und wie unsere Webseite aus datenschutzrechtlicher Sicht funktioniert (oder auch nicht). Webseiten sind schnell wie Festplatten mit enormem Müll angefüllt und es können nach der DSGVO bedenkliche Datenschutzlücken auftreten. Hier war das Sichten und Eindampfen über “DEO” (Daten-Engine-Optimization) vielleicht ein längst überfälliger Schritt.

Allerdings wäre es besser gewesen, wenn die DSGVO aus knappen Instruktionen bestanden und idealiter „auf einen Bierdeckel gepasst“ hätte. Das bürokratische Ungetüm, das an seiner Stelle entstanden ist, hat bereits vor dem Inkrafttreten zu hohem Aufwand und großen Kosten geführt. Noch gravierender dürfte der Verdruss sein, dass man einmal mehr durch zusätzliche Regeln und Vorschriften eingeengt wird und die Vermutung, dass die Internet-Konzerne, auf die die DSGVO angeblich zielt, schon Wege finden werden, sich den Wünschen der Behörden zu entziehen. Die Ressourcen haben sie dazu. Darüber hinaus besteht der Verdacht, dass die Nutzer durch die neuen Regelungen nach eigenem Empfinden gar nicht bessergestellt werden. Jan Philipp Albrecht verweist darauf, er habe die öffentliche Meinung hinter sich, wenn er für die „Datensouveränität“ des Nutzers plädiert. Ja, auch unter Stalin wären die Leute für den Sozialismus gewesen, weil das doch eine gute Idee war. Hat Albrecht einmal daran gedacht, dass die Nutzer zwar für das angenehm klingende Abstraktum der „Datensouveränität“ eintreten, dann aber völlig anders handeln, als es Albrecht unter „Datensouveränität“ vorschwebt, indem sie sich einfach bei Facebook durchklicken? So wird ein großer bürokratischer Leerlauf auf Kosten des Mittelstandes, aber auch vieler öffentlicher Einrichtungen wie zum Beispiel der Hochschulen organisiert.

Der deutsche oder jetzt der europäische Datenschutz ein Exportschlager, wie uns von den Befürwortern immer neuer datenschutzrechtlicher Regulierungen eingeredet wird? Forget it. Vielmehr handelt es sich bei der DSGVO um ein Investitionshemmnis, an dem nur die Datenschutzbehörden, die Abmahnanwälte, die Webinaranbieter und die Datenschutzbeauftragten verdienen und mit dem unsere Wettbewerbsfähigkeit gewiss nicht gesteigert wird.