Unsicherheiten im Umgang mit der EU-DSGVO befeuern Überreaktionen
Datenschützer warnen vor „Panikmache“
Brüssel / München — Massenhafte Zustimmungsaufforderungen für elektronische Newsletter, unzählige Websites mit zu bestätigenden Cookie-Warnungen oder aus Sanktionsangst und Abmahnfurcht abgeschaltete Online-Shops und Vereinsportale: Die aus der Europäischen Datenschutzgrundverordnung – kurz: EU-DSGVO – abgeleiteten Erfordernisse führen zu mancher Überreaktion. Grund dafür sind Unsicherheiten bei der rechtskonformen Verarbeitung personenbezogener Daten. Daneben sorgen Absurditäten für unnötige Aufregung und bringen die verbraucherfreundliche Verordnung der Europäischen Union in Verruf. So verlangte jüngst der 900.000 Mitglieder zählende Eigentümerverband Haus & Grund Deutschland eine Klarstellung, ob die Verbindung von Nachname und Türnummer nach der EU-DSGVO unzulässig ist. Dann müßten alle Mieternamen auf Klingelschildern und Briefkästen pseudonymisiert und durch Ziffern oder Buchstabenkombinationen ersetzt werden. Behörden und Datenschützer reagierten umgehend auf den „Klingelgate“: Eine solche Notwendigkeit aus datenschutzrechtlichen Gründen existiert nicht.
Die Empfehlung, mit Verweis auf die EU-Datenschutzgrundverordnung vorsorglich die Namen der Mieter auf Klingelschildern und Briefkästen zu entfernen, um deren Privatsphäre zu gewährleisten und Bußgelder in Millionen-Höhe für den Vermieter zu vermeiden, halten Datenschützer für unsinnig. Hintergrund ist eine Entscheidung der österreichischen Hausverwaltung „Wiener Wohnen“, wegen der Beschwerde eines Mieters an 220.000 ihrer Wohnungen sukzessive die Namensschilder gegen Wohnungsnummern auszutauschen. Wer hiernach seinen Namen am Klingelschild behalten wolle, müsse selbst einen Aufkleber anbringen.
Datenschutz-konformer Umgang mit persönlichen Daten ist für das BRK schon immer eine Selbstverständlichkeit gewesen. Wir raten jedoch dazu, sich im eigenen Interesse genau zu überlegen, ob man sein Namensschild abmontiert oder nicht.
Thomas Stadler, Abteilungsleiter Rettungsdienst, Bayerisches Rotes Kreuz
Das Bayerische Staatsministerium des Innern und für Integration stellt klar, die EU-DSGVO gelte zum einen für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, zum anderen für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das Anbringen von Namensschildern sei keine automatisierte Verarbeitung. Bei gefährdeten Prominenten, Personen in einem Zeugenschutzprogramm oder Menschen, die durch Stalking bedroht werden, mag ein Pseudonym auf dem Klingelschild gerechtfertigt sein. Eine datenschutzrechtliche Notwendigkeit dafür gebe es jedoch nicht.
BRK: Wegfall von Namensschildern gefährdet Rettung
Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz, sieht eher eine Verpflichtung des Vermieters, den Namen des Mieters an die Klingel zu schreiben, und dies nur bei Widerspruch zu unterlassen. Das Bayerische Rote Kreuz (BRK) warnt sogar vor den Konsequenzen der Pseudonymisierung: Die Anzahl der Notfälle, bei denen der Rettungsdienst die Patienten nur verzögert oder möglicherweise gar nicht finden wird, werde „drastisch“ zunehmen. Patienten in nummerierten Apartments, Hotelzimmern oder Wohnheimen aufzufinden gehört zwar laut Thomas Stadler, Abteilungsleiter Rettungsdienst, zum Alltag, doch der allgemeine Wegfall von Namensschildern bedeute eine erhebliche Verwechslungsgefahr bei der Übermittlung der Einsatzstelle. „Grober Unfug“ nennt daher der ehemalige Bundesdatenschutzbeauftragte Peter Schaar die Pseudonymisierung.
Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), hält es zudem für „problematisch“, „unsinnige Behauptungen“ mit der EU-DSGVO zu begründen, obwohl diese nicht herangezogen werden könne, und dadurch das Regelwerk als „weltfremdes europäisches Recht“ zu diskreditieren: „Äußerungen in der Art, dass ein Mieter sich nur bei der Aufsichtsbehörde beschweren müsse, wenn sein Klingelschild nicht entfernt werde, und die Aufsichtsbehörde dann ein Bußgeld von 20 Millionen Euro verhängen werde, was rechtlich völlig ausgeschlossen ist, zeigen, dass es hier um Panikmache oder Streben nach Medienpräsenz geht, aber jedenfalls nicht um wirklichen Datenschutz“, so Kranig. Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfiehlt schließlich Verbänden und Institutionen, sich vor etwaigen öffentlichen Ratschlägen erst einmal bei den zuständigen Aufsichtsbehörden nach der Rechtslage zu erkundigen. Namen an Klingelschildern fielen nicht in den Anwendungsbereich der EU-DSGVO.
„Panikgetriebene Auslegung der EU-DSGVO“
Matthias Burghardt, Vorsitzender Richter am Oberlandesgericht in Bamberg, führt manche ⭲ Absurdität auf „übersteigerte Ansichten“ von den Datenschutzanforderungen zurück. Petri spricht sogar von einer „panikgetriebenen Auslegung der Datenschutzgrundverordnung“. Deshalb empfiehlt Brigitte Frey, stellvertretende Datenschutzbeauftragte der Landeshauptstadt München, bei Unsicherheit eine simple Daumenregel: „Wenn es Ihnen völlig absurd vorkommt, dann hat es nichts mit der Datenschutzgrundverordnung zu tun.“
Offensichtlich ist aber auch: Die am 25. Mai 2016 in Kraft getretene und seit dem 25. Mai 2018 EU-weit gültige EU-Datenschutzgrundverordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten hat einen hohen ⭲ Umsetzungsaufwand ausgelöst. Besonders herausgefordert: Institutionen, kleine und mittelständische Unternehmen (KMU), Vereine und Medien. Hier gibt es noch einige Baustellen. So ergab Anfang Oktober eine repräsentative Umfrage des Markt- und Meinungsforschungsinstitutes Forsa im Auftrag der Prüfgesellschaft DEKRA, dass nicht einmal jeder zweite (48 Prozent) abhängig Beschäftigte in deutschen Unternehmen, die beruflich mit Computern arbeiten, gut oder sehr gut über die EU-DSGVO informiert ist. Nur jeder Dritte (32 Prozent) erhalte regelmäßig IT-Sicherheitsschulungen am Arbeitsplatz. 18 Prozent wurden nur ein Mal geschult, knapp die Hälfte (48 Prozent) noch nie. Und Ende Oktober förderte eine Umfrage unter den 16 Länderbehörden im Auftrag des Münchner Unternehmens ER Secure GmbH zutage, dass erst 30 Prozent der Unternehmen der Meldepflicht für einen Datenschutzbeauftragten nachgekommen ist. Hier lautet die Faustformel, dass Unternehmen einen Datenschutzbeauftragten bestellen müssen, wenn mindestens zehn Mitarbeiter unabhängig vom Beschäftigungsverhältnis regelmäßig personenbezogene Daten verarbeiten.
Datenschutzbehörden und Verbände decken den Informationsbedarf mit detaillierten Praxisleitfäden, einfachen Checklisten und intensiven Beratungsangeboten. Allein beim BayLDA haben sich Beratungsanfragen und Beschwerden seit dem 25. Mai mehr als verdoppelt, Meldungen von Datenschutzverletzungen mehr als verzehnfacht. Präsident Kranig erklärt dies mit der gestiegenen Datenschutzsensibilität. Deutlich mehr Datenschutzbewusstsein erkennt auch Rebekka Weiß LL.M, Bereichsleiterin Datenschutz und Verbraucherrecht beim „Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom)“: „Betroffenenrechte werden viel mehr durchgesetzt, in den Unternehmen spielt Datenschutz eine viel größere Rolle und ist in den Chefetagen angekommen.“ Ihr Tipp für KMU und Start-ups: Im Zweifelsfall den Kontakt mit den Aufsichtsbehörden aufnehmen. Weiß ergänzt, der Gesprächsbedarf bleibt. ✻
Erstveröffentlichung
Print: Rosenheimer blick, Inntaler blick, Mangfalltaler blick, Wasserburger blick, 32. Jg., Nr. 44/2018, Samstag, 3. November 2018, S. 1f., Kolumne „Leitartikel“; Inn-Salzach blick, 10. Jg., Nr. 44/2018, Samstag, 3. November 2018, S. 1f., Kolumne „Leitartikel“ [173/3/2/10].
Online: ⭱ blick-punkt.com, Dienstag, 30. Oktober 2018; ⭱ E-Paper Rosenheimer blick, ⭱ E-Paper Inntaler blick, ⭱ E-Paper Mangfalltaler blick, ⭱ E-Paper Wasserburger blick, ⭱ E-Paper Inn-Salzach blick, Samstag, 3. November 2018. Stand: Neujahr, 1. Januar 2024.