Der Frankfurter Datenschutzanwalt Tim Wybitul von Hogan Lovells hat schon vor gut einem Jahr mit seiner Prophezeiung hier im Management-Blog richtig gelegen: „Das neue Datenschutzgesetz bringt Chaos – Tim Wybitul zeigt die wichtigsten Punkte“ war der Titel seines Gastbeitrags. Wybitul:https://blog.wiwo.de/management/2017/04/27/das-neue-datenschutzgesetz-bringt-chaos-tim-wybitul-zeigt-die-wichtigsten-punkte/

 

Genug Zeit – trotzdem ist Weihnachten wieder so unerwartet schnell da

Nebenbei bemerkt: Das war schon im April vergangenen Jahres. Die Datenschutzgrundverordnung (DSGVO) stand seitdem schon fest, die Unternehmen landauflandab – insbesondere deren Rechts- und Personalabteilungen – hatten Zeit genug, sich vorzubereiten. Aber irgendwie war es dann doch wieder wie mit Weihnachten: wenn es denn wieder kurz vor der Tür steht, sind alle überrascht.

 

Wybitul jedenfalls hat recht behalten. Das neue Gesetz bringt Chaos. Schon bevor es richtig losgeht, allein  mit der Hektik der Vorbereitung auf den letzten Drücker und den vielen Unsicherheiten, wer was genau tun muss und ob überhaupt.

 

Skurrile, unerwartete Folgen 

Patrick Bernau von „Faz.net“  listet die skurrilsten Folgen auf: „Private Blogs, Fußballblogs, eine Kindertagesstätte in Karlsruhe – überall werden Webseiten zumindest zeitweise abgeschaltet, weil ihre Betreiber sich von den Regeln der DSGVO überfordert sehen. Selbst die Rechtsanwaltskammer Düsseldorf hat ihre Webseite seit Inkrafttreten abgeschaltet. Sie dementiert, dass das in direktem Zusammenhang zur DSGVO stehe.“ Mehr noch: Eine Regionalzeitung will ihren Lesern nicht mehr zum Geburtstag gratulieren, weil sie die Geburtstage ja nicht mehr speichern darf. Und bei der „Bewegungs- und Rehabilitationssportgemeinschaft Ingelheim“ sei gleich der komplette Vorstand zurück getreten – aus Angst vor der Datenschutz-Verordnung. http://www.faz.net/aktuell/wirtschaft/diginomics/skurrile-folgen-der-dsgvo-15609815.html

Seit Tagen stehlen mir schon die E-Mails Stunden, in denen man – oft äußerst mühevoll und zeitraubend – die Absender schützen soll vor dem Vorwurf, gegen den Datenschutz zu verstoßen. Sie kommen von allen möglichen nur denkbaren Absendern, Unternehmen, Verlagen, Kanzleien, Medien, DAX-Konzernen und vielen, von denen man noch nie eine Pressemeldung erhalten hat – oder zuletzt vor etlichen Jahren.

 

Zeitraubende E-Mails

Da sind die Mails, bei denen man nur schweigen muss und alles ok, die sind mir die liebsten – aber bis man den Passus gefunden hat, muss man sie meist ganz lesen. Es ist ja nicht so, dass die Absender es einem leicht machen mit Fettdruck des Wichtigen.

Dann folgen die E-Mails, bei denen ein einfaches „ja“ als Antwort genügt und der Fall ist erledigt. Auch gut.

 

Ulkige Kanzlei-Kompetenzen: Gastfreundschaft, Beachtung, Weißer Kragen

Aber dann kommt´s: Die, bei denen man Häkchen setzen muss (die wundersamerweise in diversen Interaktionen immer wieder verschwinden und nochmal gesetzt werden müssen), man Antwortformulare mühselig ausfüllen muss und – was ja eigentlich nicht so blöde ist – man auch gleich seine Recherchegebiete ankreuzen muss. Krude wird es dann, wenn eine angelsächsische, namhafte Großkanzlei es sich einfach – und den Empfängern schwer – macht und offenbar den Google-Übersetzer oder ähnliches genutzt hat: Und wenn sie den erstaunten Empfängern als Rechtsgebiete für künftige Infos „Gastfreundschaft“ „Beachtung“ und „Weißer Kragen“ anbietet.

Das Modell Antwortformular erweist sich auch als das Unpraktischste. Eins war so schlecht programmiert, dass ich es am Ende viermal bestätigt hatte – ohne sicher zu sein, dass es geklappt hatte.

Damit nicht genug: die häufigste Frage in den vergangene Tagen, die ich mit Häkchen beantworten sollte, war, ob ich kein Computer bin. Und weiter geht´s mit lustigen Memory-Spielen in zwei Varianten. Um zu belegen, dass ich ein echter Mensch bin, soll ich unter zehn ziemlich schlecht aufgenommenen Fotos die ankreuzen, auf denen ein Autoteil zu sehen ist. Oder ein Hydrant – das war einfacher, weil er knallrot ist. Zu Ende? Haha, haben Sie gedacht – ich auch. Aber dann bekommt man angekündigt, dass man jetzt noch eine Mail bekomme mit einem Link, auf den man wiederum klicken muss…

 

Übervorsichtiger Humbug – nicht ganz, eher cleverer Gewinn

Um´s vorwegzunehmen: ich erfuhr später – im Experten-Gespräch – dass all dieser Humburg gar nicht nötig und übervorsichtig ist. Eine einfache Info-Mail, bei der der Adressat nix tun muss.

Doch halt, stopp – da gibt es noch ein geheimes Motiv der DSGVO-Einwilligungs-Mailer: Die Absender machen sich – und mir gleich mit – gar nicht nur aus Übervorsicht und unbedingtem Willen zur Gesetzestreue die viele Arbeit. Denn auf diese Weise lässt sich der Datenpool elegant aktualisieren und anschließend sind die Altdaten zehnmal so viel wert – weil sie nun Neudaten sind.

 

Einwilligungsmails im Spam

Müssig, zu erwähnen, dass in dieser Tagen gerade von diesen E-Mails eine große Zahl im Spam-Ordner statt im Posteingang landet. Ob das den Absendern klar ist? Eher nicht.

Beim Lunch jedenfalls erzählen Kollegen, wie sie sich freuen, dass sie manche Newsletter nun künftig nicht mehr bekommen. Eine Twitter-Lady freut sich hämisch über einen Neswletter, den sie ohne vorherige Zustimmung bekommen hat und dessen Absender sie jetzt zur Rechenschaft ziehen und anschreiben will.

Nach all dem Bohei begann ich nach einem Tipp eines Steuerberaters auch zu zweifeln, was um Himmels willen gilt: Praktisch jede Homepage müsse nun irgendwelche Hinweise enthalten – selbst wenn sie kein Kontaktformular hat, keine Gästebuchfunktion und überhaupt nicht Interaktives. Und da schon gar nichts aufläuft, was man überhaupt sammeln könnte.

 

Wer nix sammelt, muss nichts tun? Auch wieder falsch

Ob Datenschutz-Profi Wybitul die Antwort auf Fragen solcher Kleinunternehmen weiß? Aus der kurzen Frage wurde ein denkwürdiges Gespräch  – und dieses Blog-Stück. Die Antwort des Experten lautete nämlich: Wenn man sicher gehen will, sollte auch ohne jede Interaktionsmöglichkeit einen Datenschutzhinweis auf seine Homepage stellen – auch wenn der anscheinend so umfangreich ist wie sonst AGB´s ist, die keiner lesen will und kann.

 

Datenschutz für Hacker

Weil auch eine Webseite personenbezogene Daten verarbeitet. Der Server sammelt nämlich automatisch IP-Adressen der Besucher. Wozu er das tut? Um zu bemerken, wenn Hacker im Sekundentakt Angriffe starten. Ich verstehe, auch die Hacker müssen natürlich Datenschutz genießen. Soso.

Die Gegenwehr: Man kann versuchen, die IP-Adressen der Homepage-Besucher nicht oder nur in anonymisierter Form zu sammeln, „dann hat man zwar technische Nachteile, hat aber das Datenschutzthema nicht“, sagt Tim Wybitul.

Doch der Jurist erzählt noch viel mehr Interessantes: Von der Überlastung der Unternehmen mit der DSGVO. Jeder, der behaupte, es gebe keinen administrativen Aufwand, der rede groben Unfug. Wer glaube, er sei fertig mit den Anforderungen des neuen Gesetzes, sei immer noch nicht fertig. Wybitul: „Keiner, der Ahnung hat, glaubt, er ist jetzt schon wirklich fertig.“  Und er erzählt aus einem Beratungsalltag: Drei seiner über 100 DSGVO-Mandanten glaubten bereits, sie hätten das Ganze schon geschafft – bis diese drei Fragen auftauchten:

• Ob sie ein Löschkonzept haben? Vor allem: eins, das rechtlich ok ist.
• Ob sie Zugriffsberechtigungskonzepte für alle Datenverarbeitungen haben, die dem Gesetz Genüge tun?
• Ob sie ein vollständiges Verarbeitungsverzeichnis haben, in dem beispielsweise auch die Verarbeitungszwecke ordentlich festgelegt sind?

.

Unternehmen müssen eigens Leute einstellen wegen der DSGVO

Ob die Unternehmen diese Mehrarbeiten einfach so neben dem Tagesgeschäft schaffen? Nein, denkt Wybitul. Die IT-, Rechts- und die Personalabteilungen müssten dafür neue Leute einstellen. Das einzige Problem: Die Leute gibt es gar nicht auf dem Arbeitsmarkt. Unternehmen suchen händeringend nach diesen Profis, aber so schnell lässt sich das Datenschutz eben auch nicht lernen, sagt Wybitul.

Auch nicht von den vielen selbsternannten Datenschutzexperten unter den Anwälten, sagt er. Denn die überschwemmten ja derzeit alles und jeden mit ihre Weisheiten und Rechtstipps, auch wenn se oft nicht mal stimmen.

 

Abmahnanwälte wetzen schon die Messer

Das wahre Risiko für Unternehmen hierzulande seien erstmal auch nicht die hohen angedrohten Bußgelder, sondern die Abmahnanwälte. An den Bußgeldhype glaubt Wybitul nicht und ist genervt von der Panikmache. Doch die Abmahnanwälte, die freuten sich schon „wie Bolle“. Einer erzählte ihm im O-Ton: „Wir haben uns schon das Lätzchen umgebunden und die Messer gewetzt.“ Die durchkämmen jetzt nämlich die Homepages der Unternehmen und haben allerbeste Chancen, fündig zu werden. „Jeder fünfte Mittelständler hat mindestens keine Datenschutzerklärung auf seiner Homepage“, schätzt Wybitul.

Seine Erwartung: Die Abmahnanwälte werden die Firmen dazu zwingen, ihren Datenschützern und Kanzleien viel Geld zu geben, um sie ordentlich zu verteidigen. Der Schaden an der Marktwirtschaft sei hoch.

Das nächste Problem seien die Gerichte – aber nicht nur für die Unternehmen, sondern auch die Justiz selbst: „Wenn die Richter den Abmahnanwälten – noch dazu für diese Bagatellen – Gebühren und Schadenersatz zusprechen, ist die Folge am Ende der  Stillstand der Rechtspflege.“