Unsicherheiten im Umgang mit der EU-DSGVO befeuern Überreaktionen
Datenschützer warnen vor „Panikmache“

Brüssel / München — Massenhafte Zustimmungsaufforderungen für elek­tro­ni­sche News­let­ter, un­zäh­li­ge Web­sites mit zu be­stä­ti­gen­den Cookie-War­nun­gen oder aus Sank­tions­angst und Ab­mahn­furcht ab­ge­schal­te­te On­line-Shops und Ver­eins­por­ta­le: Die aus der Eu­ro­päi­schen Da­ten­schutz­grund­ver­ord­nung – kurz: EU-DSGVO – ab­ge­lei­te­ten Er­for­der­nis­se füh­ren zu man­cher Über­reak­tion. Grund da­für sind Un­si­cher­hei­ten bei der rechts­kon­for­men Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten. Da­ne­ben sor­gen Ab­sur­di­tä­ten für un­nö­ti­ge Auf­re­gung und brin­gen die ver­brau­cher­freund­li­che Ver­ord­nung der Eu­ro­päi­schen Union in Ver­ruf. So ver­lang­te jüngst der 900.000 Mit­glie­der zäh­len­de Ei­gen­tü­mer­ver­band Haus & Grund Deutsch­land ei­ne Klar­stel­lung, ob die Ver­bin­dung von Nach­na­me und Tür­num­mer nach der EU-DSGVO un­zu­läs­sig ist. Dann müß­ten al­le Mie­ter­na­men auf Klin­gel­schil­dern und Brief­käs­ten pseu­do­ny­mi­siert und durch Zif­fern oder Buch­sta­ben­kom­bi­na­tio­nen er­setzt wer­den. Be­hör­den und Da­ten­schüt­zer rea­gier­ten um­ge­hend auf den „Klin­gel­gate“: Ei­ne sol­che Not­wen­dig­keit aus da­ten­schutz­recht­li­chen Grün­den exis­tiert nicht.

Die Empfehlung, mit Verweis auf die EU-Da­ten­schutz­grund­ver­ord­nung vor­sorg­lich die Na­men der Mie­ter auf Klin­gel­schil­dern und Brief­käs­ten zu ent­fer­nen, um de­ren Pri­vat­sphä­re zu ge­währ­leis­ten und Buß­gel­der in Mil­lio­nen-Hö­he für den Ver­mie­ter zu ver­mei­den, hal­ten Da­ten­schüt­zer für un­sin­nig. Hin­ter­grund ist ei­ne Ent­schei­dung der ös­ter­rei­chi­schen Haus­ver­wal­tung „Wie­ner Woh­nen“, we­gen der Be­schwer­de ei­nes Mie­ters an 220.000 ih­rer Woh­nun­gen suk­zes­si­ve die Na­mens­schil­der ge­gen Woh­nungs­num­mern aus­zu­tau­schen. Wer hier­nach sei­nen Na­men am Klin­gel­schild be­hal­ten wol­le, müs­se selbst ei­nen Auf­kle­ber anbringen.

Datenschutz-konformer Umgang mit per­sön­li­chen Da­ten ist für das BRK schon im­mer ei­ne Selbst­ver­ständ­lich­keit ge­we­sen. Wir ra­ten je­doch da­zu, sich im ei­ge­nen In­ter­es­se ge­nau zu über­le­gen, ob man sein Na­mens­schild ab­mon­tiert oder nicht.
Thomas Stadler, Ab­tei­lungs­lei­ter Ret­tungs­dienst, Baye­ri­sches Ro­tes Kreuz

Das Bayerische Staatsministerium des Innern und für Integration stellt klar, die EU-DSGVO gel­te zum ei­nen für die ganz oder teil­wei­se au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten, zum an­de­ren für die nicht au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten, die in ei­nem Da­tei­sys­tem ge­spei­chert sind oder ge­spei­chert wer­den sol­len. Das An­brin­gen von Na­mens­schil­dern sei kei­ne au­to­ma­ti­sier­te Ver­ar­bei­tung. Bei ge­fähr­de­ten Pro­mi­nen­ten, Per­so­nen in ei­nem Zeu­gen­schutz­pro­gramm oder Men­schen, die durch Stal­king be­droht wer­den, mag ein Pseu­do­nym auf dem Klin­gel­schild ge­recht­fer­tigt sein. Ei­ne da­ten­schutz­recht­li­che Not­wen­dig­keit da­für ge­be es je­doch nicht.

BRK: Wegfall von Namensschildern gefährdet Rettung

Prof. Dr. Thomas Petri, Bayerischer Lan­des­be­auf­trag­ter für den Da­ten­schutz, sieht eher ei­ne Ver­pflich­tung des Ver­mie­ters, den Na­men des Mie­ters an die Klin­gel zu schrei­ben, und dies nur bei Wi­der­spruch zu un­ter­las­sen. Das Baye­ri­sche Ro­te Kreuz (BRK) warnt so­gar vor den Kon­se­quen­zen der Pseu­do­ny­mi­sie­rung: Die An­zahl der Not­fäl­le, bei de­nen der Ret­tungs­dienst die Pa­tien­ten nur ver­zö­gert oder mög­li­cher­wei­se gar nicht fin­den wird, wer­de „dras­tisch“ zu­neh­men. Pa­tien­ten in num­me­rier­ten Apart­ments, Ho­tel­zim­mern oder Wohn­hei­men auf­zu­fin­den ge­hört zwar laut Thomas Stadler, Ab­tei­lungs­lei­ter Ret­tungs­dienst, zum All­tag, doch der all­ge­mei­ne Weg­fall von Na­mens­schil­dern be­deu­te ei­ne er­heb­li­che Ver­wechs­lungs­ge­fahr bei der Über­mitt­lung der Ein­satz­stel­le. „Gro­ber Un­fug“ nennt da­her der ehe­ma­li­ge Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar die Pseu­do­ny­mi­sie­rung.

Thomas Kranig, Präsident des Baye­ri­schen Lan­des­amts für Da­ten­schutz­auf­sicht (BayLDA), hält es zu­dem für „prob­le­ma­tisch“, „un­sin­ni­ge Be­haup­tun­gen“ mit der EU-DSGVO zu be­grün­den, ob­wohl die­se nicht heran­ge­zo­gen wer­den kön­ne, und da­durch das Re­gel­werk als „welt­frem­des eu­ro­päi­sches Recht“ zu dis­kre­di­tie­ren: „Äu­ße­run­gen in der Art, dass ein Mie­ter sich nur bei der Auf­sichts­be­hör­de be­schwe­ren müs­se, wenn sein Klin­gel­schild nicht ent­fernt wer­de, und die Auf­sichts­be­hör­de dann ein Buß­geld von 20 Mil­lio­nen Eu­ro ver­hän­gen wer­de, was recht­lich völ­lig aus­ge­schlos­sen ist, zei­gen, dass es hier um Pa­nik­ma­che oder Stre­ben nach Me­dien­prä­senz geht, aber je­den­falls nicht um wirk­li­chen Da­ten­schutz“, so Kra­nig. Andrea Voßhoff, Bun­des­be­auf­trag­te für den Da­ten­schutz und die In­for­ma­tions­frei­heit, emp­fiehlt schließ­lich Ver­bän­den und In­sti­tu­tio­nen, sich vor et­wai­gen öf­fent­li­chen Rat­schlä­gen erst ein­mal bei den zu­stän­di­gen Auf­sichts­be­hör­den nach der Rechts­la­ge zu er­kun­di­gen. Na­men an Klin­gel­schil­dern fie­len nicht in den An­wen­dungs­be­reich der EU-DSGVO.

„Panikgetriebene Auslegung der EU-DSGVO

Matthias Burghardt, Vorsitzender Richter am Ober­lan­des­ge­richt in Bamberg, führt man­che ⭲ Ab­sur­di­tät auf „über­stei­ger­te An­sich­ten“ von den Da­ten­schutz­an­for­de­run­gen zu­rück. Petri spricht so­gar von ei­ner „pa­nik­ge­trie­be­nen Aus­le­gung der Da­ten­schutz­grund­ver­ord­nung“. Des­halb emp­fiehlt Brigitte Frey, stell­ver­tre­ten­de Da­ten­schutz­be­auf­trag­te der Lan­des­haupt­stadt Mün­chen, bei Un­si­cher­heit ei­ne simp­le Dau­men­re­gel: „Wenn es Ih­nen völ­lig ab­surd vor­kommt, dann hat es nichts mit der Da­ten­schutz­grund­ver­ord­nung zu tun.“

Offensichtlich ist aber auch: Die am 25. Mai 2016 in Kraft ge­tre­te­ne und seit dem 25. Mai 2018 EU-weit gül­ti­ge EU-Da­ten­schutz­grund­ver­ord­nung zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten und zum freien Ver­kehr sol­cher Da­ten hat ei­nen ho­hen ⭲ Um­set­zungs­auf­wand aus­ge­löst. Be­son­ders heraus­ge­for­dert: In­sti­tu­tio­nen, klei­ne und mit­tel­stän­di­sche Un­ter­neh­men (KMU), Ver­ei­ne und Medien. Hier gibt es noch ei­ni­ge Bau­stel­len. So er­gab An­fang Ok­to­ber ei­ne re­prä­sen­ta­ti­ve Um­fra­ge des Markt- und Mei­nungs­for­schungs­in­sti­tu­tes For­sa im Auf­trag der Prüf­ge­sell­schaft DEKRA, dass nicht ein­mal je­der zwei­te (48 Pro­zent) ab­hän­gig Be­schäf­tig­te in deut­schen Un­ter­neh­men, die be­ruf­lich mit Com­pu­tern ar­bei­ten, gut oder sehr gut über die EU-DSGVO in­for­miert ist. Nur je­der Drit­te (32 Pro­zent) er­hal­te re­gel­mä­ßig IT-Si­cher­heits­schu­lun­gen am Ar­beits­platz. 18 Pro­zent wur­den nur ein Mal ge­schult, knapp die Hälf­te (48 Pro­zent) noch nie. Und En­de Ok­to­ber för­der­te ei­ne Um­fra­ge unter den 16 Län­der­be­hör­den im Auf­trag des Münch­ner Un­ter­neh­mens ER Se­cure GmbH zu­ta­ge, dass erst 30 Pro­zent der Un­ter­neh­men der Mel­de­pflicht für ei­nen Da­ten­schutz­be­auf­trag­ten nach­ge­kom­men ist. Hier lau­tet die Faust­for­mel, dass Un­ter­neh­men ei­nen Da­ten­schutz­be­auf­trag­ten be­stel­len müs­sen, wenn min­des­tens zehn Mit­ar­bei­ter un­ab­hän­gig vom Be­schäf­ti­gungs­ver­hält­nis re­gel­mä­ßig per­so­nen­be­zo­ge­ne Da­ten verarbeiten.

Datenschutzbehörden und Verbände decken den In­for­ma­tions­be­darf mit de­tail­lier­ten Pra­xis­leit­fä­den, ein­fa­chen Check­lis­ten und in­ten­si­ven Be­ra­tungs­an­ge­bo­ten. Al­lein beim BayLDA ha­ben sich Be­ra­tungs­an­fra­gen und Be­schwer­den seit dem 25. Mai mehr als ver­dop­pelt, Mel­dun­gen von Da­ten­schutz­ver­let­zun­gen mehr als ver­zehn­facht. Prä­si­dent Kra­nig er­klärt dies mit der ge­stie­ge­nen Da­ten­schutz­sen­si­bi­li­tät. Deut­lich mehr Da­ten­schutz­be­wusst­sein er­kennt auch Rebekka Weiß LL.M, Be­reichs­lei­te­rin Da­ten­schutz und Ver­brau­cher­recht beim „Bun­des­ver­band In­for­ma­tions­wirt­schaft, Te­le­kom­mu­ni­ka­tion und neue Me­dien e. V. (Bitkom)“: „Be­trof­fe­nen­rech­te wer­den viel mehr durch­ge­setzt, in den Un­ter­neh­men spielt Da­ten­schutz ei­ne viel grö­ße­re Rol­le und ist in den Chef­eta­gen an­ge­kom­men.“ Ihr Tipp für KMU und Start-ups: Im Zwei­fels­fall den Kon­takt mit den Auf­sichts­be­hör­den auf­neh­men. Weiß er­gänzt, der Ge­sprächs­be­darf bleibt. 


Erstveröffentlichung

Print: Ro­sen­hei­mer blick, Inn­ta­ler blick, Mang­fall­ta­ler blick, Was­ser­bur­ger blick, 32. Jg., Nr. 44/2018, Sams­tag, 3. No­vem­ber 2018, S. 1f., Ko­lum­ne „Leit­ar­ti­kel“; Inn-Salz­ach blick, 10. Jg., Nr. 44/2018, Sams­tag, 3. No­vem­ber 2018, S. 1f., Ko­lum­ne „Leit­ar­ti­kel“ [173/3/2/10].
Online: ⭱ blick-punkt.com, Diens­tag, 30. Ok­to­ber 2018; ⭱ E-Paper Ro­sen­hei­mer blick, ⭱ E-Paper Inn­ta­ler blick, ⭱ E-Paper Mang­fall­ta­ler blick, ⭱ E-Paper Was­ser­bur­ger blick, ⭱ E-Paper Inn-Salz­ach blick, Sams­tag, 3. No­vem­ber 2018. Stand: Neu­jahr, 1. Ja­nu­ar 2024.
 

Dr. Olaf Konstantin Krueger M.A.

Digitaljournalist – Digitalpolitiker