DSGVO-Hysterie Ein Jahr nach dem Weltuntergang

Vergangenen Mai kamen die neuen Datenschutzregeln der EU zur Anwendung. Die Datenschutz-Grundverordnung (DSGVO) führte zu Verwirrung und Verunsicherung - und viele Bürger verstehen sie bis heute nicht.
Auch in DSGVO-Zeiten erlaubt: Namen auf Klingelschildern

Auch in DSGVO-Zeiten erlaubt: Namen auf Klingelschildern

Foto: Philipp Brandstädter/ DPA

Immer mal wieder stoßen Deutschlands Datenschützer auf Probleme, die sie nicht lösen können. Die gelieferten Schuhe hätten die falsche Farbe, beschwert sich ein Bürger. Das neue Gebiss passe nicht, klagt ein anderer. Menschen wollen Restauranttische reservieren oder an Yogakursen teilnehmen, einer fordert gar die Löschung seiner Meldedaten - weil er von einem neuen Anspruch auf Datenlöschung gehört hat. Und dann ist da noch die Person, die einen Datenschutzverstoß wittert, weil die Polizei sie fotografiert hat - per Radarfalle wohlgemerkt, als sie zu schnell fuhr.

Auch mit solchen Anliegen haben sich Menschen schon an die Datenschutzbehörden in Nordrhein-Westfalen, Hessen, Sachsen, Berlin und Baden-Württemberg gewandt - das haben SPIEGEL-Nachfragen ergeben. Knapp ein Jahr nachdem die EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 zur Anwendung gekommen ist, berichten die Behörden von einer starken Zunahme von Beratungswünschen und Beschwerden zum Thema Datenschutz.

In Nordrhein-Westfalen beispielweise gab es eine "bislang nie dagewesene Flut von Eingaben", heißt es, mit 12.000 schriftlichen Anfragen im Jahr 2018. Dazu seien zeitweise noch 140 Anrufe pro Tag gekommen.

Seltsame Anfragen wie die Tischreservierungen sind dabei Folge eines Missverständnisses: Menschen suchen online Wege, Restaurants oder Onlineshops zu kontaktieren. Die einzige Telefonnummer, die auf deren Websites auftaucht, ist mitunter aber die einer Datenschutzbehörde. Daher rufen die Leute einfach dort an - obwohl die Nummer gar nicht zum Angebot gehört, sondern für den Fall gedacht ist, dass man einen möglichen Datenschutzverstoß melden will.

Ein vermeintliches "Klingelschild-Chaos"

Andere merkwürdige Anliegen wie die Beschwerde übers Blitzer-Foto sind eher Symptom der Debatte über die DSGVO, in der Realitätsverzerrung bisher genauso ihren Platz hatte wie kriminelle Energie. So versuchten Betrüger als angebliche "Datenschutzauskunft-Zentrale" von den neuen Vorschriften verunsicherte Unternehmen, Gewerbetreibende und Vereine abzuzocken.

Stefan Brink, der Landesbeauftragte für den Datenschutz in Baden-Württemberg, kann nachvollziehen, dass die DSGVO manche Menschen bis heute überfordert. (Einen leicht verständlichen Überblick zur Verordnung finden Sie hier.) Er hält das neue Regelwerk für "schwergängiger" als das deutsche Datenschutzrecht, obwohl die neuen Regeln den alten inhaltlich stark ähnelten. In bestimmten Bereichen sei die DSGVO aber "formalistisch", so Brink, etwa, was ihre Dokumentationspflichten angehe.

Für einen "Webfehler" der Verordnung hält es der Datenschutzbeauftragte, dass für Vereine, deren Mitglieder sich ehrenamtlich engagieren, im Grunde dieselben Anforderungen gelten wie für Konzerne wie Facebook. "Diese Vereine ächzen unter der DSGVO", sagt Brink.

Datenschützer Stefan Brink

Datenschützer Stefan Brink

Foto: Marijan Murat/ DPA

Brink meint aber auch, dass viel Aufregung auf Unkenntnis der Regeln fuße. Selbst von Firmen extra engagierte Datenschutzberater hätten mitunter viel "Quark" bei der Umsetzung der Vorschriften zu verantworten, sagt Brink. So hätten zum Beispiel manche Anwälte das EU-Regelwerk vor allem als eines begriffen: als Chance, mit neuen Beratungstätigkeiten schnell ihr Einkommen aufzubessern.

Der größte Irr- und Schwachsinn

Mittlerweile sind über die DSGVO so viele Mythen im Umlauf, dass sich damit problemlos ein einstündiger Vortrag füllen lässt. Auf der Berliner Digitalkonferenz re:publica arbeiteten die Netzaktivistin Katharina Nocun und der Information Security Manager Lars Hohl allerlei Irr- und Schwachsinn auf, unter dem Motto "Best of DSGVO-Armageddon ".

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von YouTube, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Katharina Nocun sagte dem SPIEGEL vorab, es habe sie "schockiert", in welchem Ausmaß "mit Falschinformationen um sich geworfen wurde".

DSGVO-Experten: Katharina Nocun und Lars Hohl

DSGVO-Experten: Katharina Nocun und Lars Hohl

Foto: fotostudiocharlottenburg

Ein gutes Beispiel ist das "Klingelschild-Chaos", das Deutschland im Oktober zu drohen schien - jedenfalls laut "Bild"-Zeitung .

Diese Geschichte vom vermeintlichen "Datenschutz-Irrsinn" begann mit einer Meldung aus Österreich. Von "Bild" und dem Eigentümerverband Haus & Grund wurde sie so weitergesponnen, dass sich bald diverse Datenschutzbehörden genötigt sahen, klarzustellen, dass Namen auf Klingelschildern in der Regel gar nichts mit der DSGVO zu tun haben. "Die Aufforderung zur Entfernung sämtlicher Klingelschilder ist unnötig", schrieb Deutschlands damals oberste Datenschützerin Andrea Voßhoff.

In der "Bild"  hatte man da bereits die Schätzung lesen können, dass der Austausch der Klingelschilder bei allen 20 Millionen Mietwohnungen in Deutschland 200 Millionen Euro kosten könnte.

DSGVO am Keksregal

Nocun und Hohl fanden bei ihrer Rekonstruktion der DSGVO-Hysterie Dreistes, aber auch Charmantes, wie diesen Cookie-Hinweis aus einem Edeka-Markt:

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Sympathisch präsentierte sich die Musikfirma SongDivsion. Sie versuchte, Kunden mittels eines Liedes die Einwilligung abzuringen , dass sie weiter E-Mails der Firma erhalten wollen.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von YouTube, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

E.on dagegen, das Ähnliches vorhatte, verloste per Nachricht an seine Kunden "zehnmal ein Jahr Gratis-Energie" und ließ Kunden auf den Button "Jetzt mitspielen" klicken, der eigentlich hätte heißen sollen : "Ja, ich will weiter Werbe-E-Mails erhalten."

Auch bei der Kirche wurden Nocun und Hohl fündig. So kündigte die Erzdiözese Freiburg an , vorerst keine Gottesdienste mehr live im Internet zu übertragen, was einige Medien als DSGVO-Kuriosum darstellten. Dabei war für katholische Gemeinden gar nicht die DSGVO selbst das Problem. Schuld an der Misere waren fehlende Ausnahmen im neuen Gesetz über den Kirchlichen Datenschutz (KDG). "So etwas wurde dann der DSGVO in die Schuhe geschoben, eine faire Debatte wurde so schwierig", sagt Katharina Nocun.

Auf Twitter stießen Nocun und Hohl auch noch auf diesen Hinweis, der augenscheinlich aus einem Pfarrbrief stammte:

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bundesweit Schlagzeilen machte vergangenen Sommer zudem der Fall einer katholischen Kita, die ihre Angst vor möglichen Datenschutzverstößen offenbar derart überwältigte, dass in Erinnerungsmappen jedes Gesicht geschwärzt wurde  - außer das des Kindes selbst, das die jeweilige Mappe erhielt.

Einwilligungen, die es gar nicht gebraucht hätte

Fragt man die Datenschutzbehörden, wo die DSGVO für besonders viel Unruhe und Missverständnisse sorgte, werden Vereine, Schulen und Arztpraxen sowie der Bereich Kinder- und Jugendarbeit genannt.

Mehrere Behörden berichten, dass es anfangs oft zu Über- oder Falschreaktionen auf die Verordnung gekommen sei, etwa, indem Einwilligungen eingeholt wurden, die es nicht gebraucht hätte. "Ein Arzt zum Beispiel muss sich von einem Patienten nicht erst bestätigen lassen, dass er ihn behandeln und die Leistungen abrechnen darf", sagt Stefan Brink. "Und wenn es heißt, ein Patient könne nur behandelt werden, wenn er unterschreibt, dann ist dessen Einwilligung ohnehin erzwungen - und damit ungültig."

Die große Angst vor den Strafen

Bei der Frage, warum die DSGVO so viele Menschen in Aufregung und Aktionismus versetzt hat, herrscht weitgehend Einigkeit, auch mit Nocun und Hohl: Es liegt an den möglichen Strafen für Verstöße. Standen in Deutschland jahrelang nur Bußgelder bis zu 300.000 Euro im Raum, können die Datenschutzbehörden nun auch Millionen und potenziell sogar Milliardenstrafen  verhängen. Die ersten bislang ausgesprochenen Bußgelder fielen jedoch niedriger aus .

Das Prinzip "Datenschutz mit der Holzhammer-Methode", wie Stefan Brink es nennt, hat so Wirkung erzielt - mindestens in der Form, dass sich manche Unternehmen zum ersten Mal mit dem gebotenen Ernst und Budget dem Thema Datenschutz angenommen haben. Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden lassen zudem erahnen, dass das Thema Datenschutz auch im Bewusstsein vieler Bürger angekommen ist.

Netzaktivistin Nocun glaubt, dass die meisten Menschen die DSGVO mittlerweile für eine gute Sache halten. Sie sagt: "Ein Jahr nach dem Weltuntergang stellt man fest, dass der gar nicht eingetreten ist."