RA'in Julia Studt, RAe Dr. Hantke & Partner
25. Mai 2018: Die DSGVO gilt nunmehr unmittelbar in allen EU-Mitgliedstaaten. Mit Spannung und auch ein wenig Besorgnis ist dieser Tag erwartet worden. Es herrschte vielerlei Unsicherheit in der Bevölkerung: Was muss ich nun tun? Was muss ich befürchten? Mache ich alles richtig?
Als ich an diesem Tag bei meiner Frisörin sitze, wundert es mich schon längst nicht mehr, als vor mir ein Blatt Papier platziert wird. Mit bedauerndem Blick entgegnet mir meine Frisörin: „Die DSGVO, du weißt schon.“ Tatsächlich wusste ich Bescheid. Und längst gehört es zu unserem Alltag, dass uns beim Arzt, beim Frisör oder in der Werkstatt zunächst ein langer Bogen mit Datenschutzhinweisen überreicht wird. Willkommen DSGVO.
Doch was hat sich in diesem ersten Jahr seit dem unmittelbaren In-Kraft-Treten der DSGVO getan? Ist die DSGVO nun eine positive Gesetzesschärfung oder eher unliebsamer Bürokratiewahnsinn?
Zunächst lässt sich zumindest feststellen, dass die erwartete Abmahnwelle wegen angeblicher Datenschutzverstöße bisher jedenfalls ausgeblieben ist. Auch scheint der „Hype“, der in den Wochen vor dem 25. Mai 2018 hinsichtlich dieses Themas herrschte, ein wenig abgeflacht zu sein. Längst schon schauen auch die Menschen einen nicht mehr mit großen Augen an, wenn man ihnen die Datenschutzhinweise überreicht und ihnen mitteilt, dass man natürlich, wenn man sie als Anwalt vertreten soll, auch Daten von ihnen erhebt. Oftmals werden die Datenschutzhinweise einfach kommentarlos in die Tasche gesteckt. Nur die Allerwenigsten lesen sich die zwei Seiten tatsächlich auch durch. In diesen Momenten kommt einem dann doch der Gedanke, ob die Vorschriften der DSGVO nicht vor allem eins bedeuten: Unmengen an Bürokratie.
Ein Verarbeitungsverzeichnis, die Datenschutzhinweise, Einwilligungen, technische und organisatorische Maßnahmen und im Zweifelsfall noch die Bestellung eines Datenschutzbeauftragten. Alles von der DSGVO so vorgesehen. Und jedes Mal, wenn ein Mandant die Datenschutzhinweise wieder kommentarlos und ungelesen in seine Tasche steckt, kommt einem der Gedanke, wie viel Papier hierfür auch noch verwendet wird. Natürlich zieht man auch in Betracht, die Hinweise elektronisch an den Mandanten zu erteilen – wäre da nicht das Problem mit der Verschlüsselung. Und so ächzt man doch eher über die Vorschriften, die man beachten muss, als sie in diesen Momenten zu schätzen.
Des Weiteren wird man nunmehr auch mit einigen Auskunftsbegehren beschäftigt. Oftmals ist es dort jedoch nicht der eigene Mandant, der an einen herantritt, sondern vielmehr die Gegenseite in einem Rechtsstreit. Dabei darf sich der Anwalt auf sein Berufsgeheimnis berufen und eine Auskunft verweigern. Der eigene Mandant hingegen ist der gegnerischen Partei im Zweifel zur Auskunft verpflichtet. Und hierbei muss auch jeweils immer die Monatsfrist beachtet werden, sonst droht womöglich eine Beschwerde bei der Aufsichtsbehörde. Probleme treten jedoch da auf, wo es genau das Ziel des Auskunftsbegehrenden ist, einen Verstoß festzustellen oder eine Beschwerde „ins Blaue hinein“ bei der Aufsichtsbehörde zu platzieren. Die DSGVO und ihr eigentlicher Zweck - Datenschutz- treten dann in den Hintergrund und werden lediglich als probates Mittel angesehen, Unruhe zu stiften. Und auch in diesen Momenten zweifelt man doch an den Vorschriften der DSGVO, die einen zumindest zu einer Reaktion auf jedes Auskunftsbegehren verpflichten. Und so sitzt man dann da und erteilt munter Auskunft mit dem Wissen, dass der Auskunftsbegehrende gar kein Interesse an der erteilten Auskunft hat – sondern nur Arbeit verursachen möchte.
Ist also alles schlecht an der DSGVO?
Sicher nicht, denn trotz aller Bürokratie, der Zweck, den die DSGVO verfolgt, ist durchaus sinnvoll. Wir werden heutzutage immer gläserner, vor allem in der digitalisierten Welt. Hier ein Klick und da ein Häkchen und schon haben wir unsere Anschrift, unser Geburtsdatum und womöglich unsere Lieblingsfarbe zur Speicherung freigegeben. Und das World Wide Web vergisst nie. Der Umgang, den wir heutzutage mit unseren eigenen Daten pflegen, ist fahrlässig geworden. Bei vielen ist das Bewusstsein, dass es sich bei Cookies nicht um ein Mürbeteiggebäck handelt, noch nicht verankert gewesen.
Und so kann man nun einen Wandel in der Gesellschaft feststellen. Die Menschen sind sich mehr über den Umgang mit ihren Daten bewusst – und vorsichtiger geworden. Oftmals überlegt man sich nun zweimal, ob man bestimmte Angaben macht oder dieses nicht doch unterlässt. Beispielsweise ist es jetzt erforderlich, für einen Newsletter auf einer Website ein Häkchen zu setzen – es erfordert demnach eine aktive Entscheidung des Betroffenen. Wo wir früher einfach ungefragt Werbe-Emails erhalten haben und auf umständliche Art versucht haben, uns von dem Newsletter abzumelden, ist das eigene Email-Postfach nunmehr im Zweifelsfall übersichtlicher geworden.
Auch die Betroffenenrechte haben durchaus ihre Legitimation. Man kann von den Verantwortlichen Auskunft verlangen, welche persönlichen Daten gespeichert sind und der Speicherung „einen Riegel vorsetzen“, wenn man dieses nicht möchte. Denn schließlich geht es ja um die eigenen Daten, eine gewisse Autonomie diesbezüglich ist in der heutigen Welt durchaus erstrebenswert.
Und was kann daraus nun als Fazit gezogen werden?
Die DSGVO ist nicht nur ein Bürokratie-Ungetüm. Der eigentlich verfolgte Zweck dieses Gesetzes – der Schutz der Daten des Einzelnen - ist vielmehr durchaus erstrebenswert. Es stellt sich allerdings doch die Frage, ob die vorgegebenen Verpflichtungen der DSGVO der beste Weg zur Verwirklichung des Gesetzeszweckes sind. Dieses ist anscheinend auch in der Politik angekommen. Kürzlich wurde im Bundestag beschlossen, dass ein Datenschutzbeauftragter erst ab 20 Personen, die ständig mit der Datenverarbeitung beschäftigt sind, notwendig sein soll (wir hatten bereits hier darüber berichtet). Viele kleinere Unternehmen könnten dann auf einen Datenschutzbeauftragten verzichten. Allerdings sind die Anforderungen, die auch kleinere Unternehmen befolgen müssen, nicht weniger geworden. Datenschutzverstöße können also weiterhin drohen. Zunächst muss nunmehr auch noch der Bundesrat der Gesetzesänderung zustimmen. Ob sich dann durch die Anpassung eine positive Veränderung ergeben wird, muss sich erst noch zeigen. Es bleibt also spannend mit der DSGVO.