DSGVO-Hysterie Ein Jahr nach dem Weltuntergang

Vergangenen Mai kamen die neuen Datenschutzregeln der EU zur Anwendung. Die Datenschutz-Grundverordnung (DSGVO) führte zu Verwirrung und Verunsicherung - und viele Bürger verstehen sie bis heute nicht.

Auch in DSGVO-Zeiten erlaubt: Namen auf Klingelschildern
Philipp Brandstädter/ DPA

Auch in DSGVO-Zeiten erlaubt: Namen auf Klingelschildern

Von


Immer mal wieder stoßen Deutschlands Datenschützer auf Probleme, die sie nicht lösen können. Die gelieferten Schuhe hätten die falsche Farbe, beschwert sich ein Bürger. Das neue Gebiss passe nicht, klagt ein anderer. Menschen wollen Restauranttische reservieren oder an Yogakursen teilnehmen, einer fordert gar die Löschung seiner Meldedaten - weil er von einem neuen Anspruch auf Datenlöschung gehört hat. Und dann ist da noch die Person, die einen Datenschutzverstoß wittert, weil die Polizei sie fotografiert hat - per Radarfalle wohlgemerkt, als sie zu schnell fuhr.

Auch mit solchen Anliegen haben sich Menschen schon an die Datenschutzbehörden in Nordrhein-Westfalen, Hessen, Sachsen, Berlin und Baden-Württemberg gewandt - das haben SPIEGEL-Nachfragen ergeben. Knapp ein Jahr nachdem die EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 zur Anwendung gekommen ist, berichten die Behörden von einer starken Zunahme von Beratungswünschen und Beschwerden zum Thema Datenschutz.

In Nordrhein-Westfalen beispielweise gab es eine "bislang nie dagewesene Flut von Eingaben", heißt es, mit 12.000 schriftlichen Anfragen im Jahr 2018. Dazu seien zeitweise noch 140 Anrufe pro Tag gekommen.

Seltsame Anfragen wie die Tischreservierungen sind dabei Folge eines Missverständnisses: Menschen suchen online Wege, Restaurants oder Onlineshops zu kontaktieren. Die einzige Telefonnummer, die auf deren Websites auftaucht, ist mitunter aber die einer Datenschutzbehörde. Daher rufen die Leute einfach dort an - obwohl die Nummer gar nicht zum Angebot gehört, sondern für den Fall gedacht ist, dass man einen möglichen Datenschutzverstoß melden will.

Ein vermeintliches "Klingelschild-Chaos"

Andere merkwürdige Anliegen wie die Beschwerde übers Blitzer-Foto sind eher Symptom der Debatte über die DSGVO, in der Realitätsverzerrung bisher genauso ihren Platz hatte wie kriminelle Energie. So versuchten Betrüger als angebliche "Datenschutzauskunft-Zentrale" von den neuen Vorschriften verunsicherte Unternehmen, Gewerbetreibende und Vereine abzuzocken.

Stefan Brink, der Landesbeauftragte für den Datenschutz in Baden-Württemberg, kann nachvollziehen, dass die DSGVO manche Menschen bis heute überfordert. (Einen leicht verständlichen Überblick zur Verordnung finden Sie hier.) Er hält das neue Regelwerk für "schwergängiger" als das deutsche Datenschutzrecht, obwohl die neuen Regeln den alten inhaltlich stark ähnelten. In bestimmten Bereichen sei die DSGVO aber "formalistisch", so Brink, etwa, was ihre Dokumentationspflichten angehe.

Für einen "Webfehler" der Verordnung hält es der Datenschutzbeauftragte, dass für Vereine, deren Mitglieder sich ehrenamtlich engagieren, im Grunde dieselben Anforderungen gelten wie für Konzerne wie Facebook. "Diese Vereine ächzen unter der DSGVO", sagt Brink.

Datenschützer Stefan Brink
Marijan Murat/ DPA

Datenschützer Stefan Brink

Brink meint aber auch, dass viel Aufregung auf Unkenntnis der Regeln fuße. Selbst von Firmen extra engagierte Datenschutzberater hätten mitunter viel "Quark" bei der Umsetzung der Vorschriften zu verantworten, sagt Brink. So hätten zum Beispiel manche Anwälte das EU-Regelwerk vor allem als eines begriffen: als Chance, mit neuen Beratungstätigkeiten schnell ihr Einkommen aufzubessern.

Der größte Irr- und Schwachsinn

Mittlerweile sind über die DSGVO so viele Mythen im Umlauf, dass sich damit problemlos ein einstündiger Vortrag füllen lässt. Auf der Berliner Digitalkonferenz re:publica arbeiteten die Netzaktivistin Katharina Nocun und der Information Security Manager Lars Hohl allerlei Irr- und Schwachsinn auf, unter dem Motto "Best of DSGVO-Armageddon".

re:publica-Vortrag: Best of DSGVO-Armageddon

Katharina Nocun sagte dem SPIEGEL vorab, es habe sie "schockiert", in welchem Ausmaß "mit Falschinformationen um sich geworfen wurde".

DSGVO-Experten: Katharina Nocun und Lars Hohl
fotostudiocharlottenburg

DSGVO-Experten: Katharina Nocun und Lars Hohl

Ein gutes Beispiel ist das "Klingelschild-Chaos", das Deutschland im Oktober zu drohen schien - jedenfalls laut "Bild"-Zeitung.

Diese Geschichte vom vermeintlichen "Datenschutz-Irrsinn" begann mit einer Meldung aus Österreich. Von "Bild" und dem Eigentümerverband Haus & Grund wurde sie so weitergesponnen, dass sich bald diverse Datenschutzbehörden genötigt sahen, klarzustellen, dass Namen auf Klingelschildern in der Regel gar nichts mit der DSGVO zu tun haben. "Die Aufforderung zur Entfernung sämtlicher Klingelschilder ist unnötig", schrieb Deutschlands damals oberste Datenschützerin Andrea Voßhoff.

In der "Bild" hatte man da bereits die Schätzung lesen können, dass der Austausch der Klingelschilder bei allen 20 Millionen Mietwohnungen in Deutschland 200 Millionen Euro kosten könnte.

DSGVO am Keksregal

Nocun und Hohl fanden bei ihrer Rekonstruktion der DSGVO-Hysterie Dreistes, aber auch Charmantes, wie diesen Cookie-Hinweis aus einem Edeka-Markt:

Sympathisch präsentierte sich die Musikfirma SongDivsion. Sie versuchte, Kunden mittels eines Liedes die Einwilligung abzuringen, dass sie weiter E-Mails der Firma erhalten wollen.

E.on dagegen, das Ähnliches vorhatte, verloste per Nachricht an seine Kunden "zehnmal ein Jahr Gratis-Energie" und ließ Kunden auf den Button "Jetzt mitspielen" klicken, der eigentlich hätte heißen sollen: "Ja, ich will weiter Werbe-E-Mails erhalten."

Auch bei der Kirche wurden Nocun und Hohl fündig. So kündigte die Erzdiözese Freiburg an, vorerst keine Gottesdienste mehr live im Internet zu übertragen, was einige Medien als DSGVO-Kuriosum darstellten. Dabei war für katholische Gemeinden gar nicht die DSGVO selbst das Problem. Schuld an der Misere waren fehlende Ausnahmen im neuen Gesetz über den Kirchlichen Datenschutz (KDG). "So etwas wurde dann der DSGVO in die Schuhe geschoben, eine faire Debatte wurde so schwierig", sagt Katharina Nocun.

Auf Twitter stießen Nocun und Hohl auch noch auf diesen Hinweis, der augenscheinlich aus einem Pfarrbrief stammte:

Bundesweit Schlagzeilen machte vergangenen Sommer zudem der Fall einer katholischen Kita, die ihre Angst vor möglichen Datenschutzverstößen offenbar derart überwältigte, dass in Erinnerungsmappen jedes Gesicht geschwärzt wurde - außer das des Kindes selbst, das die jeweilige Mappe erhielt.

Einwilligungen, die es gar nicht gebraucht hätte

Fragt man die Datenschutzbehörden, wo die DSGVO für besonders viel Unruhe und Missverständnisse sorgte, werden Vereine, Schulen und Arztpraxen sowie der Bereich Kinder- und Jugendarbeit genannt.

Mehrere Behörden berichten, dass es anfangs oft zu Über- oder Falschreaktionen auf die Verordnung gekommen sei, etwa, indem Einwilligungen eingeholt wurden, die es nicht gebraucht hätte. "Ein Arzt zum Beispiel muss sich von einem Patienten nicht erst bestätigen lassen, dass er ihn behandeln und die Leistungen abrechnen darf", sagt Stefan Brink. "Und wenn es heißt, ein Patient könne nur behandelt werden, wenn er unterschreibt, dann ist dessen Einwilligung ohnehin erzwungen - und damit ungültig."

Die große Angst vor den Strafen

Bei der Frage, warum die DSGVO so viele Menschen in Aufregung und Aktionismus versetzt hat, herrscht weitgehend Einigkeit, auch mit Nocun und Hohl: Es liegt an den möglichen Strafen für Verstöße. Standen in Deutschland jahrelang nur Bußgelder bis zu 300.000 Euro im Raum, können die Datenschutzbehörden nun auch Millionen und potenziell sogar Milliardenstrafen verhängen. Die ersten bislang ausgesprochenen Bußgelder fielen jedoch niedriger aus.

Das Prinzip "Datenschutz mit der Holzhammer-Methode", wie Stefan Brink es nennt, hat so Wirkung erzielt - mindestens in der Form, dass sich manche Unternehmen zum ersten Mal mit dem gebotenen Ernst und Budget dem Thema Datenschutz angenommen haben. Die gestiegenen Anfrage- und Beschwerdezahlen bei den Behörden lassen zudem erahnen, dass das Thema Datenschutz auch im Bewusstsein vieler Bürger angekommen ist.

Netzaktivistin Nocun glaubt, dass die meisten Menschen die DSGVO mittlerweile für eine gute Sache halten. Sie sagt: "Ein Jahr nach dem Weltuntergang stellt man fest, dass der gar nicht eingetreten ist."



insgesamt 62 Beiträge
Alle Kommentare öffnen
Seite 1
Leser_01 07.05.2019
1.
Was genau ist seit Einführung der DSGVO besser geworden?
Düppel 07.05.2019
2. Die Hoffung damit in Ruhe gelassen zu werden.
"... und viele Bürger verstehen sie bis heute nicht." Die Bürger haben damit ja eher weniger zu tun, also mit dem Verständnis via Anwendung. Interessanter ist es, wenn man beruflich damit umgehen soll, also Daten "schützen" soll. Wenn man das alles ernst nimmt, ist man mehr mit dem "Datenschutz" beschäftigt, als mit seinem eigentlichen Job. Ergo macht man weiter, wie bisher, ist vertraulich und seriös, wie man es immer war und hofft damit in Ruhe gelassen zu werden.
jarno80 07.05.2019
3. Bei dieser Verordnung packt mich die blanke Wut
Was hat es uns gebracht? Einen irrsinnigen Aufwand in Unternehmen (aus eigener Anschauung bekannt). Ständig bekommt man bei jeder Gelegenheit so einen Wisch zur Unterschrift vorgelegt, von denen man sich die meisten Seiten garnicht mehr durchliest. Unsicherheit, was man nun darf was nicht. Das schlimmste Gesetz ist das, welches missachtet wird weil die Leute resignieren. Und wo sind die versprochenen Vorteile? Was hat sich bei Facebook und Co geändert? Man bekommt eine Mail zugeschickt auf dessen Link man zur Bestätigung des Einverständnisses klicken sollte und der Fall hat sich für diese Unternehmen erledigt. Welche Errungenschaft rechtfertigt diesen Wahnsinn? Vielleicht kann einer der Foristen hier die Antwort geben.
RaKader 07.05.2019
4. Glauben ist nicht Wissen
"Netzaktivistin Nocun glaubt, dass die meisten Menschen die DSGVO mittlerweile für eine gute Sache halten." Eine Aktivistin ist keine Quelle einer unwiderlegbaren Tatsache, sie ist Partei. Tatsache ist, dass Vereine, wie im Artikel kurz angerissen, unter den Auflagen ächzen, Tatsache ist, dass die meisten Firmen die opt-out-Regel gar nicht beachten, sondern grundsätzlich die Zustimmung zu all ihren Datenauswertungstools und -diensten verlangen. Was hat es also gebracht? Für den Nutzer aus meiner Sicht bisher wenig, bei den Anbietern, ja, Akzeptanz, aber auch Frust. Seiten, bei denen man dezidiert die Messung des Nutzerverhaltens aussperren. die Weitergabe an Werbedienstleister als Dritte unterbinden kann, sind trotz DSGVO immer noch eine Seltenheit. Auf der anderen Seite überfordern die Vorgaben kleine Betriebe wie Restaurants oder Handwerker mit rudimentärem Budget für die Außendarstellung im Netz. Noch schlimmer Vereine mit regem Besucherverkehr auf der Vereins-Site. Ein Administrator einer solchen Site beschwerte sich kürzlich über die Forderung jeden Monat 1,5 Millionen Datensätze aufbewahren zu müssen. Für zehn Jahre. Bei Vereinen und KMU muss nachgebessert werden.
thseeling 07.05.2019
5. alles panikmache
Die DSGVO ist nur der neue Name für das bisherige Datenschutzgesetz (BDSG bzw. Ländervarianten). Inhaltlich hat sich daran kaum etwas geändert, nur der Anspruch auf Auskunft, Korrektur und Löschung ist verschärft, die Informationspflicht ist schärfer formuliert und es gibt endlich vernünftige Sanktionsmöglichkeiten bei Verstößen. Die DSGVO hat sich am bisherigen deutschen Datenschutz orientiert und wesentliche Teile übernommen, wie z.B. das Verbot mit Erlaubnisvorbehalt, Minimalprinzip usw. Ich habe die Hysterie letztes Jahr, gerade bei kleinen Vereinen und Firmen, vollkommen fassungslos verfolgt. Umgekehrt warte ich eigentlich darauf, dass jemand mal verklagt wird, weil er WhatsApp verwendet und gerade *nicht* das Einverständnis aller seiner Kontakte hat, wenn die zu WhatsApp nach USA hochgeladen werden. Es muss ja nur einer im Adressbuch widersprechen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.