Am 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten, nicht zuletzt, um den Schutz personenbezogener Daten im Internet zu verbessern. Ein Jahr später haben immer noch viele deutsche Wirtschaftsunternehmen die Verordnung nur mangelhaft oder unvollständig umgesetzt. Wer hier seine Hausaufgaben noch nicht erledigt hat, muss damit rechnen, dass Datenschutzbehörden jetzt häufiger und höhere Bußgelder verhängen. Zugleich erschwerte die DSGVO an vielen Stellen den Alltag und das nicht nur im Netz. Außerdem zeichnen sich mittel- und langfristige negative Effekte für das soziale und politische Leben ab.
Laut einer aktuellen Studie der Sicherheitsfirma TeamDrive haben mehr als 80 Prozent der deutschen Unternehmen die DSGVO bisher nur unzureichend umgesetzt. Auch wenn diese Studie auf einer Umfrage unter gerade einmal 100 vorwiegend mittelständischen Unternehmen beruht, sollte man sie ernst nehmen, denn andere Tests kommen zu ähnlichen Ergebnissen. So hat etwa die Deutsche Anwaltshotline vor Kurzem Internetauftritte von Handwerkern, Restaurants und Ärzten unter die Lupe genommen und ebenfalls zahlreiche Verstöße festgestellt. Einer YouGov-Umfrage zufolge hatten 18 Prozent der Unternehmen Anfang Februar 2019 mit der DSGVO-Umsetzung noch nicht einmal begonnen.
Vor diesem Hintergrund haben die meisten Unternehmen bisher großes Glück gehabt: Wegen DSGVO-Verstößen haben deutsche Datenschützer bislang in weniger als hundert Fällen Bußgelder verhängt. Am teuersten wurde es dabei mit 80.000 Euro für ein Unternehmen in Baden-Württemberg, bei dem Gesundheitsdaten ins Internet gelangten. 50.000 Euro musste eine Berliner Bank bezahlen, die unbefugt Daten ehemaliger Kunden verarbeitet hatte. Insgesamt haben sich die Behörden noch sehr zurückgehalten: Die Obergrenze für Bußgelder liegt bei vier Prozent des Jahresumsatzes von Unternehmen oder Unternehmensverbünden.
Wesentlich wahrscheinlicher war und ist es noch für Unternehmen, dass sie wegen DSGVO-Verstößen auf ihrer Website kostenpflichtig abgemahnt werden. Nicht zuletzt deshalb will die Bundesregierung das Abmahnwesen mit einem neuen Gesetz zur Stärkung des fairen Wettbewerbs eindämmen, das explizit auch Datenschutzabmahnungen einschließt. Das Gesetz soll gerade kleine und mittlere Unternehmen besser schützen und das Durchsetzen von Gegenansprüchen vereinfachen.
Für eine Unternehmens-Website stellt die DSGVO eine Reihe von Anforderungen. Eine SSL-Verschlüsselung der Website ist dabei nicht grundsätzlich erforderlich. Sobald jedoch personenbezogene Daten übertragen werden, ist die Verschlüsselung Pflicht. Wer immer noch ein Kontaktformular oder eine Buchungs- oder Reservierungsmöglichkeit ohne SSL-Verschlüsselung anbietet, verstößt gegen das Gesetz und riskiert zusätzlich, von Mitbewerbern und Verbraucherverbänden abgemahnt zu werden. Eine Entschuldigung für den Verzicht auf SSL gibt es heute nicht mehr, da sich dank Angeboten wie Lets Encrypt ein SSL-Zertifikat einfach, schnell und kostengünstig integrieren lässt. Zudem ist SSL längst ein Ranking-Kriterium bei Google.
Unbedingt erforderlich ist eine Datenschutzerklärung auf der Website. Diese muss nicht nur aktuell, umfassend und korrekt, sondern auch leicht auffindbar sein. Wie beim Webimpressum bedeutet dies, dass die Datenschutzhinweise von allen Seiten eines Webauftritts direkt verlinkt sein müssen. Zudem muss der Link eindeutig sein. Es reicht nicht, die Datenschutzhinweise ins Impressum zu setzen, wenn kein entsprechender Menüpunkt dorthin führt. Hier ist es mindestens erforderlich, den Menüpunkt Impressum/Datenschutz zu nennen. Besser ist es, einen separaten Sprunglink auf den betreffenden Bereich zu setzen oder die Datenschutzhinweise auf eine eigene Seite zu stellen.
Die Datenschutzerklärung muss genau aufschlüsseln, welche Daten bei Besuch und Nutzung der Website erhoben werden und das auch durch eingebundene Dienste wie Google Maps. Hier steckt der Teufel im Detail: Wer ungeprüft etwa von Verbänden bereitgestellte Muster-Datenschutzerklärungen 1:1 übernimmt oder einfach bei einem Mitbewerber abkupfert, macht sich im Zweifelsfall genauso angreifbar wie mit einer unzureichenden Datenschutzerklärung. Mustertexte decken alle Eventualitäten ab und enthalten so z. B. Formulierungen für den Einsatz von Social-Media-Plugins von Facebook bis Youtube. Bleiben diese in der Datenschutzerklärung, ohne dass entsprechende Plugins tatsächlich eingesetzt werden, ist diese fehlerhaft und damit abmahnbar. Darüber hinaus sollten Website-Betreiber darauf achten, auch in diesen Mustern nicht berücksichtigte Tracker- und Analysedienste aufzuführen, wenn sie diese nutzen.
Betreiber müssen berücksichtigen, ob und wo gesonderte Einwilligungen von Nutzern eingeholt werden müssen, und ob sie darüber hinaus zu einer Datenschutz-Folgeabschätzung verpflichtet sind. Ebenfalls sollte geklärt sein, ob die DSGVO-Vorgaben für das Verarbeitungsverzeichnis erfüllt sind. Hier ist die Mitwirkung des Datenschutzbeauftragten erforderlich wenn nicht des unternehmenseigenen, dann die eines spezialisierten Dienstleisters.
Mehr Kontrolle der Bürger über ihre Daten, stärkere Auskunfts- und Löschrechte wie das Recht auf Vergessenwerden, mehr Sicherheit vor unzulässiger Nutzung die Datenschutzgrundverordnung hatte hehre Ziele nach dem Prinzip Privacy by design and by default. Die reale Umsetzung hat jedoch ihre Tücken und konterkariert oft die eigentliche Intention, weil sie für unnötige Erschwernisse sorgt.
Das grundsätzliche Problem ist, dass die DSGVO auf Großunternehmen zugeschnitten ist. Ihre Anforderungen setzen nicht nur kleine Unternehmen und Selbstständige großen Belastungen aus, sondern behindern auch viele alltägliche Handlungen. Entsprechend fanden 32 Prozent der 2.055 Teilnehmer an der YouGov-Umfrage, dass die Benutzerfreundlichkeit des Internets durch die DSGVO stark gelitten hat. Zudem sorgte die DSGVO für erhebliche Kollateralschäden. Zahlreiche Blogs und Foren wurden eingestellt, weil die Hobby-Betreiber den administrativen Aufwand nicht bewältigen konnten oder wollten. Vereine mussten die Kommunikation mit ihren Mitgliedern neu regeln, Schulen und Kindergärten löschten panisch Kinderfotos und selbst beim Friseur und in der Autowerkstatt bekommen Kunden eine DSGVO-Einverständniserklärung zur Unterschrift vorgelegt.
Zahlreiche internationale Websites häufig Medienangebote machten es sich einfach und richteten IP-Sperren ein, um sich nicht mit der DSGVO abgeben zu müssen. Damit sind diese Angebote aus EU-Ländern nicht mehr direkt erreichbar. Bei anderen Websites von Facebook abwärts mussten sich Nutzer oft durch zig Einstellungsmenüs kämpfen, um einen gewohnten Dienst weiter nutzen zu können. Nicht wenige Anbieter nutzen die Gelegenheit, um durch nach Dark-Pattern-Prinzipen gestaltete Formulare und Eingabemasken neue, möglichst weitreichende Erlaubnisse zur Nutzung ihrer Daten zu erhalten. Ein Paradebeispiel, den Opt-out möglichst unbequem zu machen, lieferte mit dem DSGVO-Stichtag das US-Unternehmen Oath, das Angebote vom IT-Magazin TechCrunch bis zu Tumblr und Yahoo betreibt: Nicht nur, dass die Alles akzeptieren-Buttons groß und auffällig sind, während die Links zu den Einstellungen unauffällig im Fließtext stehen. Wer eine der Websites besuchen will, muss auch die Nutzung seiner Daten durch rund ein Dutzend Partner von Oath ohne Widerspruchsmöglichkeit akzeptieren und für die übrigen 124 Tracker jedes Opt-out-Häkchen einzeln setzen.
Der Regulierungsanspruch der DSGVO wird auch unter anderen Aspekten kritisch gesehen. So spricht Winfried Veil in seiner kritischen Betrachtung vom Datenschutz als zügellosem Recht, der entgegen der eigentlichen Intention die Bürger nicht schützt, sondern bevormundet. Seiner Ansicht nach bewirkt die DSGVO, dass Bürger und Unternehmen von ihren Grundrechten weniger Gebrauch machen, weil sie der Chilling effect abschreckt, der sich aus den 68 zu beachtenden Pflichten und den damit verbundenen Strafandrohungen bei Verstößen ergibt.
Veil argumentiert anhand zahlreicher Beispiele, dass die konsequente Umsetzung der DSGVO den Weg in den Präventionsstaat bereitet: Bestenfalls handelt es sich somit um ein Nullsummenspiel zugunsten bestimmter Freiheiten und zu Lasten anderer Freiheiten. Schlimmstenfalls ist sie weiterer Baustein einer freiheitsfeindlichen Entwicklung, die durch Überregulierung, staatlichen Paternalismus und die Utopie der Kontrolle menschlichen Verhaltens gekennzeichnet ist.