Happy Birthday DSGVO

Im Mai war es ein Jahr, dass die DSGVO voll inhaltlich in Kraft getreten sind, es hat sich einiges getan. Die Datenschutzgrundverordnung wurde sogar Wort des Jahres 2018, sie war also wortwörtlich in aller Munde. Einer Umfrage zur Folge kennen 67 % der EU-Bürger die Datenschutzgrundverordnung, 36 % sagen, dass sie über die Inhalte der Verordnung Bescheid wüssten.

Seit letztem Jahr gilt es also, die Sicherheit und Privatsphäre natürlicher Personen bzw. deren persönlicher Daten angemessen zu schützen und das EU-weit einheitlich. So kann es schon mal vorkommen, dass Sie als Privatperson beim Zahnarzt ein Schreiben zur Unterschrift, mit den Worten„wissen’s eh – Datenschutz“ vorgelegt bekommen. Unternehmen, die beispielsweise ein WLAN betreiben, sehen sich da schon mit mehr Aufwand konfrontiert. Um Daten zu verarbeiten, muss eine Rechtsgrundlage gegeben sein. Der Gast bucht ein Zimmer mit WLAN, oder der Kunde kauft ein WLAN-Ticket. Verarbeitet werden dürfen nur Daten, die für die bestimmungsgemäße Nutzung gebraucht werden – für Marketingzwecke gelten strenge Vorschriften, der Kunde muss nicht nur einverstanden sein, er muss auch über die Verwendung aufgeklärt werden. ‚Implizites‘ Einverständnis, etwa „mit der Nutzung des WLAN erklären Sie sich einverstanden, Werbemails zu erhalten“ ist nicht mehr rechtskonform. Werden Daten an Dritte übertragen, muss die betroffene Person ebenso informiert bzw. einverstanden sein, genauso über die Aufbewahrungsdauer. Und zu guter Letzt der Datenschutzhinweis, bei dem darüber aufgeklärt wird, welche Daten auf welcher Grundlage wie lange gespeichert werden. All diese Informationen müssen klar ersichtlich sein und dürfen nicht im berüchtigten „Kleingedruckten“ versteckt werden.

Erwartungsgemäß konnten nicht alle Unternehmen diese Vorgaben umsetzen, so ist es zu Beschwerden und Meldungen aufgrund von Datenpannen gekommen. Laut Europäischem Datenschutzausschuss gab es bis Mai 2019 281.088 Meldungen im Rahmen der DSGVO, davon 144.376 Beschwerden.

Die anfangs befürchtete Abmahnwelle ist bisher aber ausgeblieben, haben sich doch sehr viele Unternehmen auf die Verordnung eingestellt und notwendige Vorkehrungen getroffen. Es kann aber auch daran liegen, dass die Mühlen der Justiz langsam mahlen, erste Strafen erst langsam verhängt werden. Zum Beispiel wurde in Deutschland vor Kurzem ein Beamter zu einer Strafe von 1.400 Euro verurteilt, weil er seine Tätigkeit nutzte, um die Kontaktdaten einer Frau zu bekommen. Mittels Kfz-Kennzeichen suchte der Polizist Ihre persönlichen Daten in der internen Datenbank und nahm telefonisch Kontakt zu ihr auf, was als klarer Verstoß gegen die DSGVO gilt.

Ganz nebenbei hat sich aber auch gezeigt, dass sich mit dem Gesetz gut Geld verdienen lässt. Neben auf Datenschutz spezialisierten Anwaltskanzleien haben sich mittlerweile Bürgerrechtsorganisationen und Vereine dem Datenschutz verschrieben. Erst kürzlich gegründet und schon in den Schlagzeilen, weil sie Mahnungen ausgesprochen hat, ist die IDG – Interessensgemeinschaft Datenschutz e.V., die sich als Vertreter der Bürger gegenüber Unternehmern und Unternehmen darstellt. Mit der Abmahnung flattert dann gleich eine Rechnung ins Haus. Dabei ist noch gar nicht geklärt, ob nichtstaatliche Organisationen solche Mahnungen aussprechen dürfen, dieser Verein ist aber auf jeden Fall nicht dazu legitimiert. Sollten Sie eine Rechnung dieser oder ähnlicher Organisationen erhalten, bezahlen Sie sie nicht, informieren Sie sich erst bei einem Datenschutzbeauftragten oder einer öffentlichen Stelle.

Und was noch? Vorratsdatenspeicherung  – nein danke!

Vor Kurzem hat der EU-Rat der EU-Kommission den Auftrag erteilt, über die 2014/2016 gekippte Vorratsdatenspeicherung zu diskutieren. Man spricht in diesem Zusammenhang von der Speicherung bestimmter Daten wie Anrufprotokolle, Standortdaten und Einordnung zu der genutzten IP-Adresse zu einem bestimmten Zeitpunkt sowie die Weitergabe dieser Informationen an Behörden. Gekippt wurde dieses Gesetz damals, weil das anlasslose Speichern von Daten über Personen, gegen die es keinen Verdacht auf Straftaten gibt, illegal ist.

Wie verträgt sich nun aber die Vorratsdatenspeicherung mit der Datenschutzgrundverordnung und gibt es schlagkräftige Argumente (bei Einführung war es Terrorbekämpfung), die eine solche Speicherung rechtfertigen? Genau das soll die Kommission ermitteln – welche Daten benötigen Behörden und wie kann eine ‚legale‘ Umsetzung der Vorratsdatenspeicherung aussehen? Doch nicht nur das, die EU hat noch eine ePrivacy-Regelung auf der Agenda, die die Bürger speziell im Netz schützen soll. Die Vorratsdatenspeicherung schränkt das Recht zur Geheimhaltung von Kommunikation ein und bewirkt somit das genaue Gegenteil der ePrivacy-Regelung. Wie das alles unter einen Hut passt und dabei noch mit den Grundrechten der EU und der einzelnen Mitgliedstaaten vereinbar ist, muss jetzt geklärt werden. Es bleibt also auf jeden Fall spannend – wir bleiben dran!

Und jetzt?

Noch immer zu Unsicherheiten führt die Tatsache, dass die EU-Mitgliedstaaten das Gesetz unterschiedlich ausgelegt haben. Im deutschen Parlament wird unter anderem diskutiert, die DSGVO wieder aufzuweichen, etwa für kleine Unternehmen und Vereine. Beispielsweise soll ein Datenschutzbeauftragter erst ab einer Größe von 20 Mitarbeitern gestellt werden müssen (bisher sind es 10 Mitarbeiter, die mit personenbezogenen Daten zu tun haben). In Österreich soll gar der Datenschutz weichen, wenn die Meinungsfreiheit durch ihn eingeschränkt wird.

Viele Fragen bleiben offen, aber eines können wir Ihnen garantieren: Mit der IACBOX sind Sie bei der derzeitigen Gesetzeslage auf der sicheren Seite. Sie bietet datensparsame und datenschutzfreundliche Grundeinstellungen sowie Löschungs- und Anonymisierungsfunktionen und Datenschutzhinweise für den Endbenutzer. Und mit dem zukaufbaren Modul Privacy Toolkit haben Sie darüber hinaus Optionen, ein individuelles Datenverarbeitungsverzeichnis mit Berücksichtigung der spezifischen Anmeldemethoden und Datenbank-Anbindungen zu erstellen, sowie komfortable Möglichkeiten zu privacy by design / default Voreinstellungen, Vertraulichkeits- und Auftragsverarbeiter-Vereinbarung, Checks, Hilfetexte und Zugriffsprotokollierung. Die technische Auslegung des Moduls ist so gestaltet, dass das Entwicklerteam der IACBOX auf Änderungen zeitnah reagieren kann. So ist Ihre Gäste-WLAN Lösung immer up to date und auf der sicheren Seite.