Die Datenschutzgrundverordnung, kurz DS-GVO hat in letzter Zeit viele Menschen beschäftigt, auch Handwerker. Gerade als das Handwerk in die Digitalisierung startet – das. Worauf muss man als Betrieb achten, welche Rechte ergeben sich, und für wen? Unternehmer, Angesteller, Privatperson, Webseitenbetreiber, App-Nutzer…die Verwirrung war groß. Doch was hat sich bisher getan, wie haben die Betroffenen und Unternehmen reagiert? Heute ziehen wir ein Zwischenfazit.

Was muss ich denn jetzt machen?!

Der Startschuss zur DS-GVO fiel genau genommen schon am 24.05.2016, denn zu diesem Zeitpunkt trat sie in Kraft. Neben etwas Aufregung wurde sie dann allerdings nicht nur vom Handwerk großflächig ignoriert, bis zwei Jahre später anwendbar wurde. Was unschuldig klingt, heißt allerdings: Sie wurde zur Pflicht. Das Ziel war und ist, die Verarbeitung personenbezogener Daten zu vereinheitlichen, die Transparenz zu erhöhen und auch den Datenverkehr im Europäischen Binnenmarkt zu schützen und zu gewährleisten. Falls Sie sich damit noch näher vertraut machen oder einzelne Rechte nachlesen möchten, können Sie das hier bei dejure.org tun.

Durch die DS-GVO sollen Anwendungen und Systeme aber so bereitgestellt werden, dass sie möglichst nutzer- und datenschutzfreundlich sind („Privacy by Design, Privacy by  Default“). Allerdings können wir an dieser Stelle keine allgemein gültige Antwort auf diese Frage liefern.

Löschen, speichern, verschlüsseln, informieren: Abhängig davon, was Sie tun, gibt es an unterschiedlichen Berührungspunkten mit persönlichen Daten unterschiedliche Pflichten. Eine fallspezifische Aussage ist hier erst möglich, wenn man die genauen Details der Datenverarbeitung und -nutzung kennt. Sinnvoll ist es daher immer, sich an einen Grundsatz der DS-GVO zu halten, nämlich die Datenminimierung. Informieren Sie sich z. B. bei einem Datenschutzbeauftragten über Ihre Pflichten und seien Sie gegenüber Kunden transparent bezüglich der Datennutzung.

Forderung und Wirklichkeit

Wir halten fest, dass die Umsetzung der DS-GVO ein langwieriger Prozess ist, der nach wie vor andauert. Das liegt einerseits daran, dass es sehr unterschiedliche Vorstellungen darüber gibt, was eine z. B.  „geeignete technische Maßnahme“ ist, andererseits liegt es auch am widersprüchlichen Verhalten der Nutzer/Verbraucher.

Das „Privacy Paradox“ besagt, dass Nutzer zwar sagen, sie würden sich um ihre persönlichen Daten und Datenschutz sorgen, handeln aber nicht nach diesen Grundsätzen. Sie lesen richtig: Hier geht es nur um die NUTZER. Auch die Verarbeiter von Daten lassen allerdings immer wieder große Unstimmigkeiten erkennen zwischen ihren Behauptungen und ihrem Handeln.

Handwerksbetriebe sind teilweise schon erstaunlich gut im Internet und Social Media unterwegs, andererseits haben viele auch noch gewisse Baustellen. Diese können sein:

  1. Ist Ihre Homepage SSL-verschlüsselt?
  2. Befinden sich alle geforderten Angaben im Impressum?
  3. Ist Ihre Datenschutzerklärung aktuell?
  4. Informieren Sie über auf der Seite aktive Skripte wie Google Analytics oder YouTube?
  5. Ist Ihr Cookie-Banner aktuell und verfügt über die richtigen Einstellungen?

Diese Dinge sind wichtig und werden von uns auch gerne im Rahmen eines kostenlosen Website-Checks geprüft, bei dem wir den Fokus auf die Leistung und Rechtmäßigkeit Ihrer Website legen.

Es gibt noch viel zu tun!

Gerade sind Tracking-Cookies ein aktuelles DS-GVO-verwandtes Thema. Grund dafür ist die Cookie-Richtlinie der EU und ein Urteil des europäischen Gerichtshofs 2019. Überhaupt ein Cookie-Banner zu haben reicht nicht aus. Auch die Cookies aufzulisten reicht nicht aus. Denn der EuGH sagt: Das Setzen von Cookies, die nicht unbedingt erforderlich sind, bedarf der aktiven Einwilligung des Internetnutzers. Je nach Sichtweise ist auch eine Vorauswahl nicht zulässig. Konkret bedeutet dies, dass der Seitennutzer selbst Häkchen setzen muss, welche Cookies er akzeptiert, sofern diese nicht unbedingt erforderlich sind.

Viele Seitenbetreiber zeigen aber noch missverständliche Cookie-Banner an, mit Nachrichten wie „Mit der weiteren Nutzung der Seite gehen wir von Ihrem Einverständnis aus“. Auch die zweckgebundene Datennutzung ist für die große Mehrheit der Nutzer eine hohle Phrase. Auch die regelrechte Abhängigkeit von bestimmten Diensten spielt eine Rolle und steht der Freiwilligkeit der Nutzung entgegen. Hier kommt auch das „Privacy Paradox“ immer wieder ins Spiel, z. B. erlauben dessen Nutzer dem Unternehmen, die Daten zu nutzen um zu wissen, was Freunde und Kollegen tun oder diese interessiert.

Die Problematik: Zuwenig Information, Wissen und Transparenz

Auch wenn die DS-GVO die Transparenz erhöhen soll und Nutzer über die Datennutzung informiert, werden die Nutzer nicht sofort zu Datenschutz-Experten. Selbst wenn alle Datenerhebungen und -verarbeitungen rechtlich im Einklang mit der DS-GVO stehen, ist schwer zu überblicken, wie weitreichend die Folgen eines „Akzeptieren“-Buttons sind. Theoretisch können Gesundheitsinformationen, sexuelle Neigungen oder politische Präferenzen anhand solcher Daten erkannt werden. Dies hängt auch davon ab, wie umfangreich diese erhoben und analysiert werden.

Schlagzeilen wie „US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank“ (heise.de, 19.01.) oder „Die große Einwilligungs-Lüge“ (sz.de, 18.01.) fallen aufgrund ihrer ständigen Gegenwart kaum noch auf, auch unrechtmäßige Datenweitergaben (spiegel.de, 15.01) wie sie in Norwegen bei beliebten Apps wie Tinder aufgedeckt wurden, überraschen und empören uns nur sehr kurz. Dass man innerhalb einer Woche mehrere solcher Schlagzeilen liest, ist leider nicht so ungewöhnlich wie man annehmen sollte.

Zitat aus dem Spiegel-Artikel: „Dating-App OkCupid soll sogar Informationen über Drogenkonsum, sexuelle Neigung oder politische Ansichten mit einer Analysefirma geteilt haben.“

Ja, Unternehmen erheben und verarbeiten auch solche Daten…und speichern und verkaufen sie weiter. Natürlich verstoßen sie damit gegen die DS-GVO und auch europäisches Recht. Auch wenn Handwerksunternehmer diese Sorgen in aller Regel nicht haben müssen, ergeben sich auch hier Fragen. Darf ich das GPS-Signal des Mitarbeiter-Smartphones tracken? Wie muss ich die Daten meiner Mitarbeiter und Kunden schützen und aufbewahren? Worüber muss ich meine Kunden aufklären, wann muss ich um Erlaubnis fragen? Wenn Sie beispielsweise auf Ihrer Handwerker-Homepage Bilder von Auftragsarbeiten veröffentlichen möchten, müssen Sie dazu die Einwilligung des Kunden einholen – am besten schriftlich.

Fazit

Die DS-GVO ist eine Verordnung, die wichtige Ziele setzt und Rechte einräumt. Durch Mangel an technischem Know-how, Personalmangel bei der Bearbeitung der Anfragen und Fälle und Unwissen seitens der Nutzer ist bisher allerdings nicht viel passiert. Dazu kommt das vorgetäuschte oder echte Unwissen der Datenverarbeiter, das teilweise von geschicktem kriminellen Verhalten nicht mehr zu unterscheiden ist. Auch die öffentliche Diskussion hat ihre Schwierigkeiten, Zusammenhänge klar darzustellen und neutral zu bewerten. Die Datensammler können häufig bestimmen, wie etwas dargestellt wird. Der offizielle Bericht „Out of Control“ (PDF, englisch) der norwegischen Verbraucherschützer legt nahe, dass zumindest die Werbebranche systematisch gegen das Gesetz verstößt. Somit kommen die Autoren schließlich zu den drei Kernforderungen:

  1. Die Verbreitung persönlicher Daten ist illegal und muss gestoppt werden
  2. Die Behörden müssen die geltenden Gesetze auch durchsetzen
  3. Marketer und Herausgeber von Daten müssen Verantwortung übernehmen.

Die zuständigen Behörden haben Bußgelder bisher zumeist nur in geringem Maße und auch in geringer Höhe verhängt. Allerdings gab es auch vereinzelt hohe Strafen, wie das 50 Millionen Euro-Bußgeld gegen Google. Aber auch wenn die DS-GVO noch nicht so funktioniert, wie sie es auf dem Papier soll, können wir – egal ob als Nutzer oder Verarbeiter von Daten – unserer eigenen Verantwortung nachkommen und verantwortungsvoll mit Daten umgehen. Außerdem will die EU-Kommission bis zum 25. Mai 2020 eine Evaluation der DS-GVO vorlegen. Wir sind gespannt, wie das Urteil ausfällt.