DSGVO: nervtötend oder auch nützlich?

Foto: Olivier26/ depositphotos.com

In einer Welt, in der persönliche Daten die Währung einer Vielzahl von geschäftlichen Abläufen sind, hat die Europäische Union versucht, dem Missbrauch einen Riegel vorzuschieben. Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO), die dem Nutzer mehr Kontrolle über seine eigenen persönlichen Daten und mehr Macht im Verhältnis zu den Organisationen geben will, die solche Daten bearbeiten.
Die Bilanz nach einem Jahr weist länderspezifisch starke Unterschiede aus.

Auf dem Portal GDPR Today, herausgegeben von der Open Rights Group, werden die relevanten Zahlen der Datenschutzbehörden aus zehn Ländern ausgewertet. Hauptaugenmerk sind dabei die bis zum 1. März bei diesen Behörden eingegangenen Beschwerden und Benachrichtigungen im Falle von Datenschutzverletzungen. Demnach sind die meisten Beschwerden – über 33 Tausend – in Großbritannien erfolgt, während in diesem Land auch 11.600 Benachrichtigungen eingingen. In Deutschland waren es fast 15 Tausend Beschwerden und etwas über 3300 Benachrichtigungen.

Die Zahlen für Rumänien sind deutlich geringer: Laut GDPR Today wurden 5544 Beschwerden bei der Behörde mit dem unaussprechlichen Kürzel ANSPDCP registriert, 414 Mal wurde eine Datenschutzverletzung angezeigt.

Die Europäische Union meldete offiziell für das gesamte Gebiet zwischen Mai 2018 und Januar 2019 insgesamt über 95 Tausend Beschwerden und mehr als 41.500 Benachrichtigungen bei Verletzungen. Wie die EU mitteilt, drehen sich die meisten Beschwerden um Telemarketing, unaufgeforderte E-Mails und Videoüberwachungen.

Unternehmen und Organisationen haben sich im Vorfeld zum Teil stark angestrengt, um am 25. Mai 2018 startklar zu sein. Denn aufgrund der in der Grundverordnung vorgesehenen drakonischen Strafen bekamen nicht wenige es mit der Angst zu tun: Firmen können je nach Verstoß mit bis zu 4% ihrer weltweiten Umsätze bestraft werden, andere Organisationen können mit bis zu 20 Millionen Euro Strafe rechnen.

Aus diesem Grund mussten sich Nutzer durch lästige Cookie-Formulare durchklicken und in den Wochen vor dem 25. Mai 2018 schwemmte eine Flutwelle von E-Mails die Postfächer der Menschen überall in Europa voll. Firmen und Organisationen wollten auf Nummer Sicher gehen, dass sie die Zustimmung für die Bearbeitung persönlicher Daten und sogar für die Aussendung von Newslettern hatten. Um über die Vorbereitung auf den Zeitpunkt der Anwendung der DSGVO zu erfahren, hat debizz mit Claudiu Baciu gesprochen, dem Datenschutzbeauftragten bei der nationalen rumänischen Standardisierungsstelle ASRO. Er hält den Stress, den sich die Leute machten, in vielen Fällen für etwas übertrieben: „Auch bis zu dem Zeitpunkt war eine Zustimmung erforderlich, um Newsletter zu verschicken – holte man sich das OK erst dann ein, gab man ja praktisch zu, bislang gegen die Regeln verstoßen zu haben. In vielen Fällen bestand außerdem ein legitimes Interesse der Organisation, Daten zu bearbeiten”, meint er.

Abgesehen von der Rechtsgrundlage für die Bearbeitung persönlicher Daten spielen jedoch auch andere Auflagen eine wichtige Rolle im Kontext der DSGVO: zum Beispiel, dass angemessene Vorkehrungen für den Schutz der bearbeiteten Daten zu treffen sind. Weil das viel mit Informationstechnologie zu tun hat, wurden in den Organisationen oft IT-Verantwortliche auf Data Protection Officer (DPO) umgeschult, obwohl „eigentlich vom Inhalt her der Themenkomplex irgendwo in der Schnittmenge zwischen IT und Recht liegt – ein guter DPO ist zur Hälfte IT-Fachmann und zur Hälfte Rechtsanwalt”, wie Claudiu Baciu erläutert. Die DSGVO schreibt nicht ausdrücklich vor, wie man beim Schutz der Daten vorzugehen hat, gibt aber dem Bearbeiter die Verantwortung. Für Organisationen bedeutete das im Vorfeld der neue Regeln unter Umständen auch mehr Kosten – „wer zum Beispiel die Gehaltsabrechnungsdaten der Beschäftigten auf alten Computern mit obsoleter Serversoftware speichert, für die keine Sicherheitsaktualisierungen mehr herausgegeben werden, oder wer ein Onlinegeschäft ohne SSL-Zertifikat betreibt, kann nicht behaupten. angemessene Sicherheitsvorkehrungen getroffen zu haben”, findet ASRO-DPO Claudiu Baciu. Ihm zufolge haben viele Organisationen die Nase gerümpft, als ihnen klar wurde, dass die DSGVO mehr bedeutet als nur Cookies und Newsletterzustimmungen und daher auch kostenintensive Maßnahmen voraussetzen.

Die Datenschutzbeauftragten hatten alle Hände voll zu tun mit Überzeugungsarbeit: „Am Anfang haben wir eine Bestandsaufnahme der existierenden Sicherheitsmaßnahmen erstellt, dann den Soll-Zustand definiert, wir haben den internen Datenfluss geprüft, Maßnahmen vorgeschlagen und sie mit den anderen Mitarbeitern diskutiert. Es war genug zu tun”, räumt er ein.

Wie die europäische Erfahrung im letzten Jahr gezeigt hat, kann ein zu laxer Umgang mit Datensicherheit nach der neuen Rechtslage auf jeden Fall teuer werden – das deutsche Chat-Netzwerk Knuddels musste 20.000 Euro zahlen, nachdem bei einem Angriff auf die Systeme des Unternehmens Hacker mehr als 800 Tausend E-Mail-Adressen und beinahe 2 Millionen Nutzernamen und Passwörter entwendet. Eklatant war, dass die Daten – und zwar auch nichtwesentliche, freiwillige Daten wie Alter oder Wohnort der Nutzer – ohne jeden Schutz durch Verschlüsselung auf den Servern des Unternehmens lagen.

Besonders heikel ist der Umgang mit Daten, wenn sie zwischen verschiedenen Akteuren ausgetauscht werden – mit fast 220 Tausend Euro wurde eine Firma in Polen bestraft, die für kommerzielle Zwecke personenbezogene Daten verarbeitete, die aus öffentlich zugänglichen Quellen stammten (u.a. aus dem elektronischen Zentralregister) und solche, die die Wirtschaftstätigkeit betroffener Personen betrafen. Aber die Firma informierte nur einen Bruchteil der aufgeführten Personen über die Verarbeitung ihrer Daten – nämlich diejenigen, bei denen eine E-Mail-Adresse vorlag. Aus Wirtschaftlichkeitserwägungen wurden die restlichen Personen nicht informiert. Die polnische Datenschutzaufsicht erkannte dabei einen Verstoß gegen die Informationspflichten laut DSGVO.

In den beiden Fällen bewerteten die Behörden das Verhalten (kooperativ bei Knuddels, unkooperativ bei der polnischen Firma) als mildernd bzw. erschwerend.

Die französischen Behörden spielen inzwischen in einer ganz anderen Liga. Gegen den Konzern Google verhängten sie eine deftigere Strafe von 50 Millionen Euro – die natürlich ein Klacks sind im Vergleich zu den zwei Milliarden Euro, die die europäischen Wettbewerbsschützer gegen die Amerikaner beschlossen haben und die Google problemlos verkraftete. Nach Ansicht der französischen Datenschutzbehörden seien unter anderem Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum für die Nutzer von Google-Diensten nicht einfach genug zugänglich. Sie seien über mehrere Dokumente verteilt und Nutzer müssten sich über mehrere Links und Buttons durchklicken. Zudem seien einige der Informationen unklar formuliert.

Dass Datenschutz auch in Rumänien viel ernster genommen wird, spürte letzten September die Kommunalverwaltung in der Großstadt Cluj. Dort wird seit längerer Zeit mehr digital gearbeitet und auf Anfragen der Bürger per E-Mail geantwortet. Ein Mitarbeiter leistete sich jedoch einen Fehler und die Datenschutzbehörde musste durchgreifen – der Sachbearbeiter im Rathaus schickte die Antwort auf eine Anfrage von einer E-Mail-Adresse ab, die er beim Betreiber yahoo eingerichtet hatte. Die persönlichen Daten des Antragstellers gingen also über die Server der Firma yahoo, über die die Stadt Cluj keine echte Kontrolle habe, befanden die Datenschützer, die die Behörde bestraften.

Ansonsten sind aus Rumänien keine besonders brisanten Fälle bekannt. Die Datenschutzbehörde rückte jedoch auch so in den Mittelpunkt der öffentlichen Aufmerksamkeit: sie drohte den Investigativjournalisten vom Netzwerk Rise Project mit kolossalen Geldstrafen, wenn sie nicht die Quellen eines Datenlecks offenlegen, aus denen sie Informationen über mögliche Korruptionsfälle auf Facebook veröffentlicht hatten. Der Fall war schnell vergessen, auch nachdem die EU-Datenschutzbehörde klarstellte, dass die neue DSGVO den Behörden nicht dazu dienen könnte, sich Zugang zu den Quellen zu Journalisten verschaffen zu können. Eine Diskussion über den Umgang des Staates mit den persönlichen Daten läuft im Moment, nachdem in Rumänien das Gesetz zur Umsetzung der DSGVO den politischen Parteien sehr weite Rechte bei der Datenbearbeitung einräumt – nach diesem Gesetz können Parteien und NGOs persönliche Date auch ohne Zustimmung bearbeiten, solange sie die Person darüber benachrichtigen und sie über die Möglichkeiten informieren, die Daten zu berichtigen und zu löschen. Rumänische Digitalaktivisten vom Verein APTI hat nun die Europäischen Kommission mit dieser Situation befasst.

Die ersten Erfahrungen mit der europäischen DSGVO zeigen, dass Menschen sie nützlich und relevant finden. Sie verlangen auch die Löschung ihrer Daten – wie zuletzt rund 5000 Rumänen beim Kreditbüro – oder beschweren sich über die rechtswidrige Handhabung ihrer Daten. Für die Firmen sind die Vorschriften unangenehm, denn es entstehen aufgrund des Compliancebedarfs neue Kosten.

Einige profitieren lieber. Die DSGVO hat eine neue Marktnische entstehen lassen, zahllose Dienstleister bieten Beratung und Training an. Auch nachdem sich die Lage beruhigt, wird die Nachfrage nach gutem Rat nicht abnehmen. Denn in den kommenden Jahren ist die nächste Herausforderung dran: das neue EU-Urheberrecht.

Alex Gröblacher

Selgrosrot
Romania
Lesen Sie den vorherigen Eintrag:
Das Zirkusjahr

Das Jahr der politischen Show beginnt formell im Monat Mai. Am 26. Mai wählen die Europäer die Mitglieder des künftigen...

Schließen