Die große Datenschutzwelle

Am 25. Mai 2018 ist es endlich soweit. Die europäische Datenschutzgrundverordnung (DSGVO) gilt und vereinheitlicht europaweit das Datenschutzrecht, um einen verbindlichen Standard zum Wohle der Verbraucher zu setzen. Doch welche Hürden gehen dabei für die Wirtschaft miteinher? Die ersten Auswirkungen der kommenden Verordnung sind zusehends spürbar. Plattformen wie Facebook, eBay und Google haben sich bereits den neuen Vorgaben angepasst. Nutzer von Facebook werden seit wenigen Wochen durch ständig aufkommende Pop-Ups auf die datenschutzrechtlichen Richtungsänderungen hingewiesen. Zudem füllen sich die Briefkästen u.a. durch Post von Krankenversicherern, welche ebenso auf Änderungen ihrer AGBs hinweisen. Doch mit der neuen Gesetzeslage steigt auch die Unsicherheit bei europäischen Unternehmen. Erste Diensteanbieter wie beispielsweise der Newsletter-Dienst „unroll.me“ stellen ihre Dienste zum 24. Mai 2018 sogar komplett ein, da dem geforderten Standard nicht nachgekommen werden kann. Hat also der europäische Gesetzgeber mit seinen Anforderungen über die Stränge geschlagen und dadurch seiner Wirtschaft ein Hindernis in den Weg gelegt?

Eine Welle von Anfragen wird kommen

Diverse Studien wie beispielsweise die Veritas 2018 GDPR Consumer Study bestätigen diese Überlegung. Nach dieser Studie wird angenommen, dass 68 % der deutschen Befragten von ihrem Auskunftsrecht, gem. Art. 15 DSGVO, und 72 % von ihrem Recht auf Vergessenwerden, gem. Art. 17 DSGVO, Gebrauch machen werden. Konzentrieren werden sich die Anfragen dabei verstärkt auf Social-Media-Dienstleister (57 %) und Finanzdienstleister wie Banken und Versicherungen (47 %).    
Die Zahl der kommenden Anfragen wird also den bisherigen Rahmen sprengen und es stellt sich die Frage mit welchem Aufwand das für Unternehmen zu bewältigen sein wird. Nach einer IDC-Studie vom Oktober 2017 sind 44 % der befragten Unternehmen noch nicht compliant mit den Vorgaben der DSGVO. Lediglich 15 % haben ihre Struktur der DSGVO angepasst und nur 41 % vereinzelt Maßnahmen zur erforderlichen Datenschutz-Compliance ergriffen. Es scheint so, als hätten viele den Kampf der Konformität bereits aufgegeben.

Zu viel Last für kleine Unternehmen

Jedoch ist ein gewisser Unmut auch nachzuvollziehen. Zur Umsetzung der DSGVO-Vorgaben bedarf es nicht nur der Ernennung eines Datenschutzbeauftragten in den Fällen des Art. 37 DSGVO und § 38 BDSG-neu, sondern auch einer umfangreichen Umstellung der IT-Systeme. Das damit enorm an finanziellen und organisatorischen Ressourcen genagt wird, ist wohl redundant. Für große IT-Riesen wie Facebook stellt so die Umsetzung der DSGVO kein Problem dar. Die Verlierer sind jedoch wie so oft die kleinen Fische im Datenmeer. Diese erliegen den kommenden Dokumentationspflichten der DSGVO und benötigen vor allem die Daten ihrer Abnehmer, um ihre Produkte zu verbessern. Für deren Erhebung und Verarbeitung bedarf es jedoch weiterhin einer gesetzlichen Grundlage oder der Einwilligung des Betroffenen (Verbot mit Erlaubnisvorbehalt, gem. Art. 6 Abs. 1 DSGVO). Da die Rechtfertigung der Verarbeitung anhand gesetzlicher Erlaubnistatbestände meist schwer zu fassen ist, verbleibt somit nur der Rückgriff auf die Einwilligung. Hinsichtlich der Anforderungen des Art. 7 DSGVO stellt dies aber eine nicht unerhebliche Herausforderung dar.  Vor allem hinsichtlich der Skandalen wie Cambridge Analytica und Facebook, welche eine Welle der Datensensibilität aufkommen ließ, wird es nicht einfach sein diese Einwilligung zu bekommen. Für Online-Spiele wie Ragnarok Online und Super Monday Night Combat bedeutet der Startschuss für mehr Datenschutz gleichzeitig das Ende. Das haben die Spieleentwickler bekanntgegeben, da es betriebswirtschaftlich für sie nicht mehr sinnvoll ist, den Anforderungen des europäischen Datenschutzrechts nachzukommen.     
Ist das also das Resultat, was uns bleibt? Eine Stagnation der Innovation durch zu viel Bürokratie lediglich zum Schutz der Privatsphäre? Die Idee der DSGVO war es, Datenkraken wie Facebook und Google zu bändigen. Die Intention dahinter war definitiv die Richtige. Jedoch tun sich nur die großen Fische leicht, mit der Rechtslage umzugehen. Die kleinen Fische hingegen nicht.

 

Weiterführende Quellen:

1. Kleinz, „Europa lädt das Update hoch“ vom 08.05.2018, abrufbar unter: https://www.zeit.de/digital/datenschutz/2018-05/dsgvo-datenschutz-eu-aenderungen (zuletzt aufgerufen am 15.05.2018)
2. Mewes, „DSGVO: Newsletter-Dienst Unroll.me stellt Angebot in der EU ein“ vom 06.05.2018, abrufbar unter: https://www.heise.de/newsticker/meldung/DSGVO-Newsletter-Dienst-Unroll-me-stellt-Angebot-in-der-EU-ein-4042926.html (zuletzt aufgerufen am 15.05.2018)
3. Pressemitteilung Veritas, „EU DSGVO: Deutsche Verbraucher werden Firmen mit Anfragen fluten“ vom 03.05.2018, aufrufbar unter: https://www.veritas.com/de/de/news-releases/2018-05-02-consumers-to-target-businesses-with-onslaught-of-data-privacy-requests-following-deadline-for-gdpr-compliance (zuletzt aufgerufen am 15.05.2018)
4. Hopp/Zacher, „IDC Studie zur EU-Datenschutzgrundverordnung: 44 Prozent der Unternehmen in Deutschland sind noch nicht ausreichend vorbereitet“ vom 18.10.2017, aufrufbar unter: https://idc.de/de/ueber-idc/press-center/65095-idc-studie-zur-eu-datenschutz-grundverordnung-44-prozent-der-unternehmen-in-deutschland-sind-noch-nicht-ausreichend-vorbereitet (zuletzt aufgerufen am 15.05.2018)
5. Müller, „DSGVO schadet kleinen Entwicklerstudios“ vom 08.05.2018, aufrufbar unter: http://www.faz.net/aktuell/wirtschaft/diginomics/datenschutz-dsgvo-trifft-kleine-entwicklerstudios-15578629.html (zuletzt aufgerufen am 15.05.2018)
6. Herbig, „DSGVO und Videospiele: Warum manche Entwickler ihre Online-Games jetzt abschalten“, vom 04.05.2018, aufrufbar unter: https://www.heise.de/newsticker/meldung/DSGVO-und-Videospiele-Warum-manche-Entwickler-ihre-Online-Games-jetzt-abschalten-4040471.html (zuletzt aufgerufen am 15.05.2018)