Rheinland-Pfalz DSGVO: „Wenig Aufwand für besseren Schutz“

Internetseiten müssen auch bisher schon bestimmten Anforderungen genügen, sagt der rheinland-pfälzische Datenschutzbeauftragte D
Internetseiten müssen auch bisher schon bestimmten Anforderungen genügen, sagt der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. Wegen der wenigen neuen Pflichten wäre es nicht gerechtfertigt, eigene Webseiten stillzulegen.

Interview: Warum der Landesbeauftragte Dieter Kugelmann von der Europäischen Datenschutz-Grundverordnung überzeugt ist

„Europäische Datenschutz-Grundverordnung“ – schon der Name klingt einigermaßen abschreckend. Nicht zuletzt Vereinsmitglieder oder auch Handwerker treibt das Thema momentan um. Müssen doch die Vorgaben der Verordnung bis zum 25. Mai umgesetzt werden. Jürgen Müller befragte dazu Dieter Kugelmann, den rheinland-pfälzischen Landesbeauftragten für Datenschutz. Der rheinland-pfälzische CDU-Landtagsabgeordnete Michael Billen kritisiert die Datenschutz-Grundverordnung – abgekürzt: DS-GVO – als „Bürokratie-Wahnsinn“. Aus Protest will er seine Internetseite vom Netz nehmen. Sollten Privatpersonen mit eigenen Internetseiten vorsichtshalber seinem Beispiel folgen, um sich rechtlich nicht in die Nesseln zu setzen? Internetseiten müssen auch bisher schon datenschutzkonform sein, dies ist nicht erst mit Geltung der DS-GVO so. Durch die DS-GVO kommen zwar ein paar neue Pflichten hinzu, diese bedeuten aber keinesfalls einen solchen Aufwand, dass Webseiten stillgelegt werden müssten. Die beiden wichtigsten Pflichten für Webseitenbetreiber sind die Anpassung ihrer Datenschutzerklärung und das „Verzeichnis von Verarbeitungstätigkeiten“. Die Datenschutzerklärung ist schon bisher Pflicht, also nichts Neues. Auf der Webseite des Landesbeauftragten für Datenschutz wird es bald ein Muster für die Anpassungen geben. Das Verarbeitungsverzeichnis ist für viele Webseiten eine neue Pflicht. Sie ist aber mit recht wenig Aufwand erfüllbar. In wenigen verständlichen Worten gesagt: Was soll die Datenschutz-Grundverordnung dem Bürger eigentlich bringen – außer zusätzlichen Auflagen und Anforderungen? Die DS-GVO ist keineswegs ein Gesetz, dass der Masse der Bevölkerung das Leben im Netz erschwert. Für die Bürger bedeutet die DS-GVO in erster Linie einen besseren Schutz ihrer Grundrechte, wenn andere ihre personenbezogenen Daten verarbeiten. Sie müssen insbesondere besser als bisher über die Verarbeitung ihrer Daten informiert werden und die gleichen Datenschutzstandards gelten EU-weit und auch für Unternehmen, die aus Drittländern ihre Webdienste hier anbieten, also etwa für die großen Anbieter aus den USA. Die Pflichten der DS-GVO sind abgestuft je nachdem, wie hoch das Risiko ist, das von einer Datenverarbeitung ausgeht, und je nachdem, wie groß der Umfang der Verarbeitung ist. Für einfache Webseiten, die nicht mit besonders schutzwürdigen Datenkategorien arbeiten und die keine intensiven Tracking- und Analyseverfahren einsetzen, sind die Anforderungen gering. Unter anderem prangert der Abgeordnete Billen das „Verzeichnis der Verarbeitungstätigkeiten“ an. Darin müssen vom Tante-Emma-Laden über Behörden bis zu Vereinen eine Vielzahl von Betroffenen Angaben machen, wer seit wann welche Daten warum sammelt und wann sie gelöscht werden. Ist das nicht ein bisschen zu viel des Guten, würde es nicht auch ausreichen, wenn so etwas von Unternehmen oder Organisationen ab einer bestimmten Größenordnung verlangt werden würde? Das Verzeichnis der Verarbeitungstätigkeiten ist tatsächlich eine Pflicht, die für viele Webseitenbetreiber hinzukommt. Diese Pflicht ist aber keinesfalls mit so großem Aufwand verbunden, wie dargestellt. Die Verzeichnisse müssen nicht für jede Verarbeitung seitenlang sein, sondern sie umfassen relativ wenige Angaben. Wie ausführlich sie sind, hängt davon ab, wie viele Datenverarbeitungen in eine Webseite eingebunden sind, ob etwa Kommunikationskanäle unterhalten oder Analysen des Surfverhaltens durchgeführt werden. In erster Linie dienen die Verzeichnisse dazu, dass sich die Webseitenbetreiber klar machen, was sie da überhaupt tun. Wie viele solcher Verzeichnisse müssen bis zum 25. Mai allein in Rheinland-Pfalz angefertigt werden? Dazu liegen keine Angaben vor. Wer eine Webseite betreibt, muss in der Regel ein Verzeichnis führen, gleiches gilt für alle Unternehmen, die personenbezogene Daten verarbeiten. Es werden also viele Verzeichnisse sein. Die Menge der Verzeichnisse erhöht aber nicht den Aufwand für den Einzelnen. Und wer kontrolliert, ob in all diesen Verzeichnissen die Datenschutz-Grundverordnung eingehalten wird? Die Verzeichnisse der Verarbeitungstätigkeiten müssen nicht veröffentlicht werden. Sie sind nur beim Webseitenbetreiber vorzuhalten und nicht von außen einsehbar. Sie können also zum Beispiel gar nicht Anlass für eine Abmahnung werden. Sie spielen nur dann eine Rolle, wenn eine Aufsichtsbehörde aus anderen Gründen eine Kontrolle durchführt. Dann wird die Aufsichtsbehörde als erstes um das Verzeichnis bitten. Was droht bei Verstößen? Wenn bei einer Kontrolle herauskommt, dass gar kein Verzeichnis geführt wurde, kann das zu einem Bußgeld führen. Die Höhe des Bußgelds hängt von vielen Faktoren ab, unter anderem den finanziellen Mitteln, die dem Betreiber zur Verfügung stehen und seinem Willen zur Kooperation. Falls ein Verzeichnis geführt wurde, aber Mängel bestehen, wird wohl in der Regel zunächst eine Anordnung erfolgen, dass die Mängel beseitigt werden müssen. Ich selbst habe in den vergangenen Tagen von diversen Organisationen Mail-Anfragen bekommen, ob ich noch deren Newsletter beziehen möchte. Die einen machen es sich einfach, indem sie schreiben, dass alles so bleibt wie bisher, wenn ich das nicht bis da und da hin ablehne. Andere wollen von mir detaillierte Auskunft darüber, was ich von Ihnen noch erhalten möchte. Wer macht es richtig? Da muss man sich jeden Einzelfall ansehen, aber grundsätzlich ist es richtig, eine ausdrückliche Einwilligung einzuholen. Nicht nur Billen befürchtet, dass die Datenschutz-Grundverordnung zu einer sprudelnden Geldquelle für die berüchtigten Abmahn-Rechtsanwälte wird. Wie kann man sich schützen? Die derzeit in vielen Medien propagierte Furcht vor einer „Abmahnwelle“ durch die DS-GVO ist im Hinblick auf Webseiten weitgehend unbegründet. Abmahnungen können sich bei Webseiten ja nur auf das beziehen, das man beim Aufrufen der Webseite sehen kann. Ist die Datenschutzerklärung in Ordnung, gibt es eigentlich keinen Grund zur Furcht. Die DS-GVO führt keine Regelungen ein, die einer „Abmahnindustrie“ wie im Urheberrecht Vorschub leisten würden. Solche Darstellungen sind ganz einfach falsch. Zur Klarstellung: Falls auf einer Webseite ernsthafte Verstöße gegen den Datenschutz begangen werden, wie etwa das unbefugte Veröffentlichen von Informationen über andere Personen, dann sind sowohl Schadensersatzklagen als auch Bußgelder möglich.

Hält die Datenschutz-Grundverordnung für einen „Bürokratie-Wahnsinn“: der CDU-Landtagsabgeordnete Michael Billen.
Hält die Datenschutz-Grundverordnung für einen »Bürokratie-Wahnsinn«: der CDU-Landtagsabgeordnete Michael Billen.
x