Eine neue Ära des Datenschutzes

„Entweder Sie klicken jetzt an, dass Sie weiter unsere Aussendungen haben wollen - oder das war´s mit uns.“ Sind dir in letzter Zeit auch massenhaft E-Mails mit ähnlich kreativen Formulierungen ins Postfach geflattert? Mit der dringenden Frage der Absender, ob man wohl nach wie vor am Erhalt der E-Mail-Newsletter interessiert sei? Ist ja nett, dachtest du vielleicht, dass ich mir jetzt nicht selbst die Arbeit machen muss, mich von unerwünschten Newslettern abzumelden. Allerdings machen die das natürlich nicht freiwillig – denn kein Webseiten-Betreiber wird Interesse daran haben, die wichtigen Kunden selbst von der günstigsten Werbeform, dem E-Mail-Newsletter, abzuschneiden. Nein, in Wahrheit steckt da eine neue EU-Regelung dahinter, die sogenannte Datenschutz-Grundverordnung (DSGVO). Die wurde in den letzten Jahren von EU-Kommission und dem Europäischen Rat ausverhandelt, im April 2016 vom EU-Parlament beschlossen. Ab 25. Mai 2018 wird sie europaweit in Kraft treten. Die DSGVO hat zum Ziel, die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit zu vereinheitlichen.

Daten? Welche Daten?

Zuerst müssen wir klären, was eigentlich gemeint ist, wenn vom Schutz unserer personenbezogenen Daten gesprochen wird – denn das Konzept der Daten ist ja oft eher abstrakt. Personenbezogene Daten sind Daten, die eindeutig einer bestimmten Person zugeordnet sind oder zumindest unmittelbar zugeordnet werden können. Das sind z.B. ganz simple, eigentlich offensichtliche Dinge, wie die Augenfarbe, das Geburtsdatum, die E-Mail-Adresse etc. Unsere Daten können aber auch viel abstrakter und weniger augenscheinlich sein, beispielsweise unsere Kleidergröße oder unsere politische Einstellung und unser Engagement für den Tierschutz. Gerade, wenn unsere Daten weitergegeben oder verkauft werden – und dabei ist es egal, ob legal oder illegal – können wir Probleme kriegen. Wie groß die Relevanz dieser beiden letzten, weniger offensichtlichen Daten-Beispiele in Wahrheit sein kann, möchten wir gerne verdeutlichen. Beispiel 1: Die Kleidergröße: Nehmen wir an, wir bestellen im Internet eine Hose in XXL, also in Übergröße. Der Online-Shop hat von nun an die Information, dass wir übergewichtig sind. Diese Information kommt in unser Kunden-Profil, das auch noch viele weitere personenbezogene Daten enthält. Nehmen wir jetzt an, dass eine Versicherungsfirma die Daten aus unserem Kundenprofil in die Hände bekommt. Dann weiß sie bereits, dass wir übergewichtig sind, weshalb sie uns möglicherweise nicht versichern will. Beispiel 2: Unser Engagement für den Tierschutz: Möglicherweise klicken wir bei Facebook besonders häufig auf “Gefällt mir”, wenn es im Beitrag um Tiere und Tierschutz geht. Aus diesen und anderen Informationen kreiert Facebook dann ein Persönlichkeitsprofil, das auf unserem Nutzungsverhalten basiert. Nehmen wir weiter an, es gibt bald eine Wahl. Dabei steht eine Partei zur Wahl, die sich für Tierschutz einsetzt, was uns gefällt, deren andere Inhalt uns aber weniger zusagen. Da allerdings aufgrund unseres Facebook-Nutzungsverhaltens bekannt ist, dass wir bei Tieren schwach werden, bekommen wir gezielt politische Werbung dieser Partei vorgesetzt, bei der der Tierschutz im Vordergrund steht. Es wird versucht, unsere Wahlentscheidung unterbewusst zu manipulieren. Diese Methode wird auch Microtargeting genannt und wurde beispielsweise beim Facebook-Skandal von der in Verruf geratenen Firma Cambridge Analytics angewandt, um Donald Trump mehr Wähler zu verschaffen.

Kommt eine Abmahnwelle?

Wie wir also sehen, kann ein sorgloser Umgang mit personenbezogenen Daten tatsächlich sehr reale, negative Auswirkungen auf unser aller Leben haben. Dem will die EU-Kommission von nun an einen Riegel vorschieben – zu Recht, wie wir meinen. Auf gut Deutsch bedeutet die neue Regelung also, dass jedes europäische Unternehmen, das auf irgendeine Art und Weise personenbezogene Daten sammelt und verarbeitet, die neuen gesetzlichen Regelungen umsetzen muss. Konkret muss von den betroffenen Individuen die dezidierte Erlaubnis zu jeder Art von Datenverarbeitung eingeholt werden, deshalb also die E-Mail-Flut bezüglich der Newsletter. Geschieht das nicht, können theoretisch empfindlich hohe Strafen drohen - bis zu 20 Millionen Euro. Obwohl die EU-Verantwortlichen, allen voran die federführende EU-Kommissarin Vera Jourová, nicht müde werden, zu betonen, dass die Strafen vor allem als Abschreckung für datenhungrige, aber auffällige laxe Großkonzerne wie Facebook und Konsorten gedacht sind, steht kleinen Gewerbetreibenden, Bloggern und Vereinsführern allerdings schon jetzt der Angstschweiß auf der Stirn: Denn auch, wenn gesammelte Daten nicht einmal gewerblich genutzt werden, sind die DSGVO-Regeln Pflicht. Jeder kleine Handwerksbetrieb, der eine Kundendatei führt und Rechnungen ausstellt und jeder Freizeit-Blogger, der E-Mail-Newsletter verschickt, steht jetzt plötzlich in der Pflicht, die DSGVO umzusetzen. Viele fürchten daher bereits eine Abmahnwelle, die gerade jene kleinen Akteure treffen könnte, die nicht das nötige technische Know-how oder die finanziellen Mittel für professionelle Unterstützung haben. Zwar beschwichtigt Kommissarin Jourová, dass die DSGVO-Regelungen immer im Einzelnen geprüft und nach Maß und Ziel ausgelegt werden, allerdings gilt: Sicher ist sicher. Die Industrie- und Handelskammern bieten beispielsweise eine praktische Check-Liste, anhand derer man den eigenen Betrieb/die eigene Website DSGVO-fit machen kann.