DSGVO-Countdown: Endspurt bis zum 25. Mai

Das kann ja noch heiter werden im World Wide Web. Kaum verdaut Facebooks CEO Mark Zuckerberg seinen Datenskandal rund um Cambridge Analytica und die (offiziell) 87 Millionen  mißbrachten Profildaten, schon legt Google nach. So kündigte das Unternehmen an, dass sich die Regeln rund um den Datenschutz weitreichend ändern.

Davon betroffen sind unter anderem die Werbepartner. Die Neuerung: Nutzer müssen explizit einer Datenauswertung zustimmen, bevor zum Beispiel auf ein Profil individualisierte Werbung ausgespielt werden darf. Hintergrund ist die neue EU-Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai verbindlich gilt. Eine neue Herausforderung für Werbetreibende: Sie werden ihre Kampagnen nachhaltig anpassen müssen. Und für Nutzer: Wer nicht zustimmt, wird aller Voraussicht nach mit einem höheren Werbedruck rechnen und leben müssen.

DSGVO: Was wollen die eigentlich?

Wer als Webseitenbetreiber bis jetzt noch abgewartet hat, muss die Ärmel hochkrempeln. Denn die EU-DSGVO, in der Europäischen Union seit 2016 bereits in Kraft, wird am 25. Mai 2018 in Deutschland mit 99 Artikeln verbindlich umgesetzt. Und soll die ohnehin schon umfänglichen bundesdeutschen Datenschutzgesetze ergänzen.

Nicht nur Datensammler-Giganten aus Übersee wie Google, Facebook, Apple und Co sind betroffen. Auch deutsche Finanz- und Wirtschaftsunternehmen – vom Konzern bis zum regionalen Versicherungsmakler.

Das Ziel der EU-Verordnung ist es unter anderem, die Grundlagen für Datenschutz und Datentransfer für alle EU-Bürger zu vereinheitlichen. Zur Umsetzung sind alle Unternehmen verpflichtet, die mit EU-Bürgern als Kunden zu tun haben. Weltweit. Im Fokus: die Daten des Kunden deutlich besser schützen und persönliche Informationen sichern.

Erheblicher Aufwand: Transparenz und Dokumentation

Die Forderung an Unternehmen und Makler sind (eigentlich) simpel: Mehr Transparenz und mehr Dokumentation zur Datenverarbeitung. Doch leichter gesagt als getan.

„Selbst wenn Vermittler und Makler bereits heute datenschutzkonform nach dem derzeit gültigen BDSG arbeiten, ist allein eine Bestandsaufnahme, welche Umsetzungen noch zu erfolgen haben, ein erheblicher Aufwand“, so Rechtsanwalt Norman Wirth im Interview.

Auch Vermittlerverbände kritisierten bereits mehrfach den erheblichen Aufwand, den die Marktteilnehmer nun mit der Umsetzung treiben müssten. Immerhin  arbeiten viele Branchenteilnehmer mit mehreren heterogenen Systemen – zum Beispiel dann, wenn sie ihr Geschäft bei verschiedenen Anbietern direkt oder über mehrere Pools einreichen. Hier ist nun zu gewährleisten, dass alle diese Systeme und die Prozesse ihrer Pflege der neuen Richtlinie konform betrieben werden. Gerade bei Allfinanz-Betrieben kann diese Prüfung schnell ausufern.

Das Augenmerk muss dabei im Wesentlichen auf Datengewinnung, Verarbeitung, Weiterleitung und Nutzung sowie Speicherung liegen. Wie und mit welchem Ziel führt das Unternehmen einzelne Datenverarbeitungsprozesse durch? Auf welche Weise und mit welchen Maßnahmen minimiert es Datenmissbrauch und Informationsverlust? Welche Kontrollinstanzen überwachen wie zuverlässig die angewandten Maßnahmen?

Wer nicht hören will…

Allerdings scheinen Vertagen und Verdrängen gang und gäbe zu sein. Denn nach Erkenntnissen der Studie des Zentrums für europäische Wirtschaftsforschung aus Februar 2018 setzten sich lediglich 50 Prozent der befragten Unternehmen mit den neuen DSGVO-Anforderungen auseinander. 52,5 Prozent haben zwar Kenntnis davon, aber keine Anstalten gemacht, sich auch in der Praxis vorzubereiten.

Das kann böse ausgehen, vor allem finanziell. Denn bei konsequenter Nichtumsetzung der Verordnung drohen harsche Bußgelder, im schlimmsten Fall sogar Schadensersatzprozesse. Dazu äußerte sich vor kurzem Prof. Dr. Johannes Caspar, Landesbeauftragter für Datenschutz Hamburg. Er rechne mit dem Faktor 67. Konkret: Aus bisher 1.000 Euro für einen Verstoß werden künftig 67.000 Euro Bußgeld.

Rechtsanwalt Boris Burow aus Karlsruhe geht sogar noch weiter. In einem Interview gegenüber basicthinking.de spricht der Rechtsanwalt von Bußgeldern bis zu 20 Millionen Euro oder vier Prozent vom Kernumsatz. Sein Rat:

„Meines Erachtens ist es für ein Unternehmen immer sinnvoll, das Thema DSGVO in enger Abstimmung mit der IT-Abteilung beziehungsweise einem externen IT-Administrator und einem Juristen anzugehen. Die Kosten, die dann entstehen, sind regelmäßig verschmerzbar und deutlich geringer als wenn der Unternehmer versucht, sämtliche Anforderungen selbst zu erfüllen.“

Wettbewerbs- und Verbraucherschutzverbände

Nebst Aufsichtsbehörden können direkte Mitbewerber und Wettbewerbs- und Verbraucherschutzverbände zum Problem werden. So können diese laut § 8 des Gesetzes gegen unlauteren Wettbewerb (UWG) wettbewerbsrechtlich relevante Datenschutzverstöße ahnden und Unterlassungs- und Beseitigungsansprüche gegen das betreffende Unternehmen geltend machen. Grundsätzlich ist es möglich über § 9 UWG einen Schadensersatz geltend zu machen.

Verhängnisvoller für Unternehmen und Makler als ein Schadensersatzanspruch kann der Anspruch auf Gewinnabschöpfung nach § 10 UWG werden. Denn demnach muss derjenige, der vorsätzlich einen wettbewerbsrechtlich relevanten Datenschutzverstoß begangen hat und zu Lasten einer Vielzahl von Abnehmern einen Gewinn erzielt, diesen herausgeben.

Die helfende Hand

Zur Vorbereitung auf die DSGVO bieten diverse Spezialdienstleister und Fachjuristen Hilfe an. Grundsätzlich empfiehlt sich aber auch die individuelle und persönliche Auseinandersetzung mit der neuen Richtlinie. Wer sich dazu nicht durch den Gesetzestext quälen will, dem seien zwei helfende Webangebote empfohlen: zum einen der Leitfaden der Europäischen Kommission zur Umsetzung der DSGVO. Zum anderen bietet die IT-Zeitschrift c’t einen kostenfreien “Folterfragebogen” an.

Bild: ©zhukovvvlad / fotolia.com