Vadira Blog

Das DSGVO-Monster beißt (noch) nicht

Michael Merx, 02.09.19 10:00

Bald ist die Datenschutz-Grundverordnung (DSGVO) 500 Tage in Kraft. Sie hat zu einigen Kuriositäten geführt. So dürfen manche Kinder bei der Einschulung nicht mehr fotografiert werden – und an einigen Briefkästen waren zeitweise die Namensschilder verschwunden. Und es gibt die Erkenntnis, dass vieles immer noch nicht regelkonform umgesetzt wird. Aber: Die große Klagewelle ist auch ausgeblieben. Wir ziehen heute eine DSGVO-Bilanz.

Die Unternehmen sind bei der Umsetzung nach wie vor zu wenig engagiert. Das zeigt laut it-business.de eine Studie der deutschsprachigen SAP-Anwendergruppe (DSAG), wonach lediglich 12 Prozent der Befragten eine DSGVO-Konformität bestätigen konnten. Dagegen setzten 83 Prozent die neuen Richtlinien lediglich teilweise um. Bislang sind trotzdem noch keine millionenschweren Bußgelder angefallen und die Abmahnwirtschaft scheint sich bisher bedeckt zu halten. Zudem zeigen sich die meisten Behörden nachsichtig, falls betroffene Unternehmen und Organisationen zu der Beseitigung der Mängel bereit sind. Dennoch: In den vergangenen zwölf Monaten wurde in Deutschland fast eine halbe Million Euro an Strafzahlungen fällig.

Das DSGVO-Monster beisst noch nicht© Andreas Breitling auf Pixabay 

Aber die Richter bieten uns Werbetreibenden auch erste Schlupflöcher. Ein Beispiel: Das Koppelungsverbot. Das sah vor Einführung der DSGVO so aus: Unternehmen boten einen Anreiz, etwa ein E-Book, ein Gewinnspiel oder ein Gratis-Testangebot. Dafür „bezahlt“ der Kunde mit seiner E-Mail-Adresse und der Einwilligung, E-Mails und Newsletter zu erhalten. „Leistung gegen Daten“ war in Ordnung, wenn die Einwilligung klar und deutlich formuliert war.

Vor der DSGVO war diese Koppelung im Datenschutz bis auf wenige Ausnahmen erlaubt. Wichtig war, dass die Einwilligung „freiwillig“ im Sinne des Datenschutzrechts erfolgt. Daten gegen Leistung waren also erlaubt – etwa ein E-Book oder eine Gewinnspiel-Teilnahme im Tausch gegen E-Mail-Adresse, verbunden mit der Einwilligung in Werbung oder Newsletter. Art. 7 DSGVO führte dazu, dass viele Juristen und Datenschützer von einem absoluten Koppelungsverbot im Datenschutz ausgingen.

Mehr Beiträge zu aktuellen digitalen Trends und Themen erhalten Sie auch in unserem Newsletter

Nach dem für Viele überraschenden Urteil des OLG Frankfurt sieht es so aus, als wäre der Deal „Daten gegen Leistung“ nun doch wieder erlaubt. Ein Energieunternehmen hatte ein Gewinnspiel angeboten. Die Nutzer konnten an dem Gewinnspiel teilnehmen, wenn Sie in Werbeanrufe des Energieunternehmens einwilligten. Die klassische „Koppelung“ also, nur nicht von E-Mails und Newslettern, sondern von Werbeanrufen. Den Fall vor dem OLG Frankfurt hat das Energieunternehmen zwar verloren. Aber nicht, weil das OLG das Kopplungsverbot als solches bestätigt hat. Sondern weil die korrekte Einwilligung der Nutzer beim Gewinnspiel nicht nachgewiesen werden konnte. Aber: Das OLG hat klar entschieden, dass der Deal „Daten gegen Leistung“ bei Gewinnspielen grundsätzlich in Ordnung ist. Das gilt ausdrücklich auch unter der DSGVO.

Seit Einführung der neuen Richtlinien werden wir online von Zustimmungsmasken für die obligatorischen Cookies überrollt. Doch nun deckt eine Studie der Ruhr-Uni Bochum zusammen mit der University of Michigan auf, dass viele Hinweise zu den Cookies nicht ausreichend sind. Insgesamt verglich die Studie über 5000 unterschiedliche Cookie-Hinweise von Webseiten in der EU. Die meisten Webseiten (86 Prozent) gaben den Besuchern keine Möglichkeit zum Wählen, sondern haben nur auf Cookies hingewiesen. Über die Hälfte der Webseiten (57 Prozent) probierte, die User in eine Richtung zu schieben, indem der Button zum Zustimmen besonders auffällig hinterlegt wurde. Die Mehrheit der Webseiten würde sich den Usern gegenüber nicht fair verhalten, da diese nicht über Cookies selbst entscheiden könnten. Paradoxerweise lehnen die meisten Nutzer Cookies ab, wenn es zu viele Auswahlmöglichkeiten gibt.

Laut einer Umfrage der RSM Group geben fast ein Drittel der europäischen Unternehmen an, die Datenschutz-Grundverordnung (DSGVO) noch nicht umgesetzt zu haben. Obwohl die DSGVO bereits vor mehr als einem Jahr in Kraft getreten ist, halten nach eigenen Angaben nur 57 Prozent der Unternehmen die Regeln der DSGVO ein – trotz drohender Geldbußen durch die Regulierungsbehörden. 13 Prozent sind sich unsicher. Die Ursachen für die fehlende Umsetzung sind offenbar vielschichtig: Mittelständische Unternehmen haben Verständnis-Schwierigkeiten mit einer ganzen Reihe von Bereichen, die unter die Verordnung fallen. So geben mehr als ein Drittel (38 Prozent) der noch immer gegen die DSGVO verstoßenden Unternehmen an, nicht zu verstehen, wann die Zustimmung zur Aufbewahrung und Verarbeitung von Daten erforderlich ist. 35 Prozent sind unsicher, wie sie die Verwendung personenbezogener Daten durch ihre Mitarbeiter überwachen sollen. 34 Prozent kennen nicht die erforderlichen Verfahren, um sicherzustellen, dass die Verträge mit Drittanbietern konform sind.

Thomas Gerling, Anwalt für Arbeits- und Wettbewerbsrecht, sagt Folgendes über die Umsetzungsprobleme der DSGVO-Richtlinien in der Unternehmenspraxis:

Der Irrtum der Unternehmen, dem ich bisher am häufigsten begegnet bin, ist, dass teilweise Daten nicht als personenbezogene Daten erkannt werden und dann die Ansicht besteht, dass die Daten nicht dem Datenschutz unterliegen. So sind unter anderem neben Daten wie Vor- und Nachname, Geburtsdatum, Anschrift und E-Mail-Adresse auch IP-Adressen, Bankdaten, Kennnummern von Ausweisen oder Versicherungen personenbezogene Daten, bei deren Verarbeitung die DSGVO berücksichtigt werden muss. Ein weiterer Irrtum ist der, dass Unternehmen denken, es reiche aus, eine einmal erstellte Datenschutzerklärung, zum Beispiel für die Internetseite, auch für andere Bereiche wie beispielsweise die Mitteilung an Kunden im Ladenlokal, zu verwenden. Hierbei wird übersehen, dass die Datenschutzerklärungen, anders als zum Beispiel die AGB, einen jeweils speziellen Bereich betreffen wie die Internetseite oder das stationäre Geschäft, beziehungsweise auf spezielle Personenkreise ausgerichtet sind, zum Beispiel auf Mitarbeiter, Kunden, Interessenten oder Bewerber. Für die einzelnen Bereiche müssen jeweils individuelle Datenschutzerklärungen erstellt werden. (Quelle: Sazsport)

Fazit

Nach über einem Jahr DSGVO ist die neue Datenschutzrichtlinie zwar im Bewusstsein der meisten angekommen. Bei der Umsetzung aber hapert es stellenweise noch gewaltig. Noch bleiben die großen spektakulären Urteile aus, noch rollt keine Abmahnwelle über das Land. Wer aber auch künftig eventuelle Konflikte mit Anwälten und Richtern vermeiden will, der sollte jetzt handeln.

Vadira Newsletter

Diesen Artikel weiterempfehlen