DSGVO hat absurde Folgen – Bürokratie statt Schutz?

Von 31. May 2018 Aktualisiert: 31. Mai 2018 21:49
Seit dem 25. Mai 2018 ist die neue Datenschutzgrundverordnung in Kraft. Und schon gibt es den ersten Ärger mit flinken Abmahnanwälten – neben teils kuriosen anderen Folgen.

Die DSGVO, die als Text schon seit 2016 zur Verfügung stand, trat am 25. Mai 2018 in Kraft. Große international agierende Firmen mit entsprechender Rechtsabteilung waren vorbereitet und versandten ihre Pflichtmitteilungen und Zustimmungsaufforderungen fristgemäß. Auf nationaler Ebene brach zumindest in Deutschland ein Chaos aus.

Zahlreiche kleine und mittlere Firmen, aber auch Blogger und sogar die Düsseldorfer Anwaltskammer nahmen ihre Internetauftritte wegen entstandener Unsicherheiten zeitweise vom Netz.

Doch das Internet ist nur eine Seite der Medaille, aber diejenige die erst einmal am auffälligsten betroffen ist. Es ist bei genauer Beachtung der Vorschriften schon schwierig, das Einverständnis zur Datenverarbeitung einzuholen, da auch dabei schon Daten anfallen, die zu schützen sind …

Beispiel Fotografie

Viele Unsicherheiten ergeben sich bei Fragen wie zum Beispiel der Veröffentlichung von digitalen Fotografien. Insbesondere wenn auf diesen Fotografien Menschen abgebildet sind. Diese liegen ja in einem „Dateisystem“ vor.

Neben den jetzt schon schwierig zu beurteilenden Fragen des Copyrights, wenn zum Beispiel der angestrahlte Eiffelturm im Hintergrund sichtbar ist, kommen jetzt noch Fragen hinzu, ob auch Personen der Veröffentlichung zustimmen müssen, die nur zufällig abgebildet sind.

Wenn ja, wäre zu fragen, ob es schon reicht, dass nur der Rücken zu sehen ist oder ob für eine Zustimmungspflicht die Person als solche identifizierbar sein muss. Hinzu kommt, dass für Pressefotografen diverse Einschränkungen nicht gelten.

Analoge Fotos per Film sind nicht betroffen

Wer mit einem klassischen Film fotografiert, ist so lange nicht betroffen, wie er das Foto nicht in einen Computer einscannt. Ab dann würden, da danach das Foto in einem Dateisystem vorliegt, die DSGVO Vorschriften gelten. Vorher nicht.

Viele Fragen dieser Art, insbesondere der Fotografie, waren auch vorher schon durch das alte Bundesdatenschutzgesetz geregelt und mit entsprechenden Ausnahmen versehen worden. Zu vielen Fragen dieser Art hätte der Bundestag schon seit zwei Jahren entsprechende Rechtsvorschriften erlassen können, die einer überbordenden Reglementierung einen Riegel hätten vorschieben können.

Verfahren und nationale Gesetze, die einzelne Aspekte der DSGVO auf ein vernünftiges Maß zurückschrauben können, sind sogar ausdrücklich vorgesehen.

Die umfangreichen Protokollierungsvorschriften mögen für große Betriebe mit weitgehender Automatisierung von Datenerfassung und -verarbeitung nur eine weitere Datei oderein weiterer Aktenstapel sein. Für kleinere Betriebe oder Einzelunternehmer mit geringem oder gar keinem Personal entstehen dagegen Arbeitsaufwand und -kosten, die nicht produktiv sind.

Schlüsseldienst oder Notfallklempner rufen könnte schwierig werden

Schon die Erfassung von Kundenadressen in einem nach Namen oder Adressen sortierten Zettelkasten, ist im Prinzip eine Erfassung in einem Dateisystem. Und wehe dem, der wegen eines Notfalls z.B. einen Klempnernotdienst anruft.

Ist er dort nicht schon Kunde, müsste der Mitarbeiter am Telefon dem potenziellen Neukunden erst einmal eine Datenschutzerklärung vorlesen, bevor er sich das eigentliche Anliegen des Kunden überhaupt anhört.

Es kommt hinzu, dass je nach Art des Gewerbes bestimmte Daten, in Einzelfällen sogar eher belanglose E-Mails, während eines bestimmten Zeitraums nicht gelöscht werden dürfen, auch nicht wenn es der Kunde verlangt.

Doch dem Löschersuchen ist Folge zu leisten; entsprechend müssen dann auch noch Listen angelegt werden, wann welcher Kunde aus der Datenbank des Unternehmens zu löschen ist, was aber auch dokumentiert werden muss – und schon ist der Name des Kunden wieder im Spiel, denn es soll ja dokumentiert weren, dass er ordnungsgemäß gelöscht wurde. Irrwitz? Beißt sich die Katze dabei in den eigenen Schwanz, oder wurde das Gesetz hier falsch verstanden?

Hier scheint der Bundestag geschlafen zu haben, wobei er der Sammelwut von vielen Behörden, beispielsweise bei Fluggastdaten, keinen Riegel vorgeschoben hat. Anlasslos sollen hier die Bewegungsdaten nebst Auskünften wie Sitzplatz, Speisewünschen etc. gespeichert werden. Nach einem halben Jahr zwar anonymisiert, aber so, dass eine spätere De-Anonymisierung jederzeit möglich ist.

Datenübermittlung – Reicht SSL noch?

Widersprüchliche Interessen und Zielsetzungen entstehen auch bei der Übermittlung von Daten, die möglichst sicher, also verschlüsselt übermittelt werden sollen.

Verschlüsselung jedoch erweckt bei vielen Ermittlungs- und, oder Überwachungsbehörden den Verdacht, dass potenziell illegales Tun verschleiert werden soll. Und was nicht alles schon eigentlich illegal überwacht und überprüft wird, ist erschreckend, wie man einem Artikel von IT-Autor Andreas Ditze „Windows, Kinderfotos und die Cloud“ entnehmen kann.

Reicht die sogenannte sichere Verbindung per SSL (im Browser „https“) noch aus? Dürfen persönliche Daten dann eigentlich noch per Briefpost verschickt werden? Überinterpretation oder berechtigte Frage?

Andreas Ditze verfasste übrigens für seine Webseite eine amüsant zu lesende, „Geschwafelfreie Datenschutzerklärung„, die vieles auf den Punkt bringt, was bei der DSGVO überzogen ist.

Ist das Thema dem deutschen Gesetzgeber auch zu schwierig?

Vielleicht liegt die Untätigkeit des Gesetzgebers aber auch in der Unübersichtlichkeit des DSGVO und seiner begleitend zu berücksichtigenden Erwägungsgrundsätze.

Wer sich das Ganze als „Rohmaterial“ ansehen will, kann es hier lesen: „Datenschutzgrundverordnung und Erwägungsgrundsätze

Wer es gerne etwas übersichtlicher mag, schaut sich das Gesetz mit zusätzlichen Info-Verlinkungen und Stichpunkten zu den Erwägungsgründen bei DSGVO-Gesetz an.

Wer jetzt noch Nerven hat, kann sich auch mit diversen Kuriositäten wie zum Beispiel Doodle befassen. Doodle möchte die Zustimmung, um Nutzern Mails mit Tipps für weniger Mails zuzuschicken:

Wir brauchen jedoch deine Zustimmung, um dir weiterhin Neuigkeiten zuzuschicken, zum Beispiel zu […] neuen Wegen zur Reduzierung von E-Mails oder Aktionsangeboten zu unserem Premium-Dienst. Natürlich nur, wenn du es willst.“

Oder

Wegen der Datenschutz-Grundverordnung wird eine Dienststelle der Agentur für Arbeit nicht mehr auf Nachrichten ‚über den Kommunikationskanal E-Mail antworten‘. Man möchte aber weiter in Kontakt bleiben.

Diese kleinen Beispiele fanden wir im Artikel „l+f: Das DSGVO-Absurditätenkabinett“. Der Artikel erfährt immer weitere Updates.

Abmahnuungen

Es wurden inzwischen auch schon erste gewerberechtliche Abmahnungen von Webseitenbetreibern gemeldet, denen eine mangelhafte Datenschutzerklärung vorgeworfen wurde. Die Meldungen sind aber noch etwas vage und es ist auch noch nicht abschließend geklärt, ob solche Verstöße überhaupt im Rahmen des Gewerberechts abmahnbar sind.

Ältere Urteile zum Themenbereich sehen das teils sehr unterschiedlich. In Rechtskreisen wird diskutiert, ob dafür die lokalen Datenschutzbehörden zuständig sind oder ob hier auch das Gewerberecht greifen könnte.

Betroffene sollten sich auf jeden Fall kundige Hilfe bei einem Anwalt holen.

Themen
Panorama
Newsticker