Um es gleich vorweg und in aller Deutlichkeit zu sagen: Es geht nicht darum, Datenmissbrauch Vorschub zu leisten oder ihn gar zu bagatellisieren. Mehr Datenschutz und -transparenz ist richtig, wichtig und dringend nötig. Es geht nicht an, dass heimlich und ohne Wissen und Akzeptanz der Menschen Datenbanken über sie aufgebaut werden, die jedermann, der mit Geld für diese Daten winkt, Rückschlüsse auf deren Leben erlauben.

Bisherige Auswirkungen der DSGVO

Einige Bestandteile der neuen Datenschutzverordnung sind durchaus segensreich für Konsumenten, auch wenn die Regelungen einigen Online-Marketern sicher nicht besonders gut schmecken. Mehr Schutz der und mehr Transparenz über erfasste und gespeicherte Daten sind objektiv gesehen zu begrüßen. Ebenso die Möglichkeit, Auskunft bei Unternehmen einzuholen und sich im Falle vermuteter Verstöße an entsprechende Institutionen wenden zu können.

Viele Unternehmen reagierten erst kurzfristig und sperrten z. B. Twitter-Konten oder löschten ihre Facebook-Fanpage. Auch die Installation bzw. Nutzung von Apps auf Smartphones wie z. B. WhatsUp wurde kurzerhand verboten. Datenschutzrechtlich ist das sicher zu begrüßen, denn einige dieser Apps gehen allzu sorglos mit den ihnen anvertrauten Daten um, holen sich gleich sämtliche Kontaktdaten aus dem Adressbuch und funken sie nach Hause – meist in die USA. Ein Unding. Andererseits bedeutet das oft eine plötzliche Einschränkung der (Re-)Aktionsfähigkeit der betroffenen Nutzer. Plötzlich fallen wichtige Kommunikationskanäle weg, über die man (nicht gesetzeskonform) eine durchaus für den Einzelnen wichtige Historie und auch Kontakte verliert. Insofern ist die persönliche Verärgerung vielleicht durchaus auch nachvollziehbar.

Probleme haben auch gemeinnützige, vor allem kleine Vereine bekommen, deren Vorstände zwar kostenlos nebenbei in ihrer Freizeit aus Leidenschaft arbeiten, aber ja juristisch haften müssen. Meist ist kein Geld da, um die Anforderungen der DSGVO rechtssicher prüfen und umsetzen zu lassen. Die zuhause per Excel oder via Google Spreadsheet geführten Mitgliederlisten sind plötzlich rechtlich wacklig bzw. dürfen nur weitergeführt werden, wenn alle Mitglieder aktiv zugestimmt haben. Kein Mitgliederantragsformular der letzten Jahrzehnte dürfte diese Erlaubnis vorhergesehen und automatisch mit eingeholt haben. Hier bleibt vielen nur, die Reißleine zu ziehen und das Ehrenamt aufzugeben, weil sie die zusätzlich nötige Zeit nicht haben oder ihnen das persönlich empfundene Risiko einfach zu hoch wird. Selbst der Online-Gottesdienst der Erzdiözese Freiburg wurde aufgrund der neuen Vorschriften bis auf Weiteres eingestellt. Das Feuerwehrmagazin hat gemeldet, dass sogar einige Websites der Freiwilligen Feuerwehr in Kreis Balingen bis auf weiteres geschlossen wurden, weil man wegen der neuen Vorschriften auf Nummer sicher gehen wollte.

Und sogar die Zeugen Jehovas müssen bei ihren handgeschriebenen Zetteln bei Hausbesuchen den Datenschutz beachten, wie der EuGH höchst richterlich mittlerweile bestätigte. Das gilt selbst dann, wenn diese Handzettelchen nicht zentral gesammelt bzw. nicht an die Gemeinschaft weitergegeben werden, sondern bei den Schreibern in deren Heftchen oder der eigenen Schublade verbleiben. Eine Digitalisierung oder Weitergabe ist also nicht zwingend nötig, damit die DSGVO Anwendung findet. Es genügt, dass man die Daten später wieder leicht auffinden kann.

Mario Ohoven, der Verbandspräsident des Mittelstands, sieht seine Befürchtungen, dass die Datenschutz-Grundverordnung zu einer Entdigitalisierung der mittelständischen Wirtschaft führe, „leider mehr als bestätigt.“ Die Bundesregierung will die Digitalisierung, so Ohoven, jetzt leistet sie seiner Meinung nach der Entdigitalisierung Vorschub. Eine aktuelle Umfrage des Bundesverbands der Digitalen Wirtschaft (BVDW) scheint dies zu bestätigen. 42 % der Mitglieder, so die Studie, hätten ihre digitalen Aktivitäten eingeschränkt, weil die unklaren Formulierungen und Widersprüche zu einer erheblichen Verunsicherung geführt hätten. Fünf Prozent der Befragten gaben sogar an, bereits eine Abmahnung erhalten zu haben. Über die Hälfte waren der Meinung, dass sich die DSGVO negativ oder sehr negativ auf den Umsatz auswirken würde. Für Thomas Duhr, den BDVW-Vizepräsidenten, ist das ein klares Warnsignal für eine fehlgelenkte Regulierung. Die Ergebnisse der Studie sind kostenlos unter einfach.st/30tagedsvgo einsehbar. Die Stichprobe ist mit 278 „Experten aus BVDW-Mitgliedsunternehmen“ allerdings deutlich zu klein und von der Auswahl her zu gefiltert, um wirklich repräsentativ für die Online-Branche oder gar die gesamte Wirtschaft zu sein. Das hat diejenigen allerdings nicht abgehalten, die News in den letzten Wochen genau mit dieser Fehlinterpretation zu fluten, die für sich wegen ihrer wertvollen unabhängigen Recherchearbeit das Leistungsschutzrecht fordern. Aber auch wenn dies statistisch nicht zulässig ist, nachdenklich sollten die Ergebnisse trotzdem machen.

Läuft die Abmahnmaschine schon?

Was Deutschland von anderen europäischen Ländern unterscheidet, ist u. a. die Möglichkeit, auch ohne selbst wirklich betroffen zu sein, abmahnen zu können. Geht man davon aus, dass ein Kunde oder der Nutzer einer Website sich geschädigt fühlt, kann er sich mit Bezug auf die DSGVO nun juristisch einfacher wehren. Das ist gut so und erschwert den unseriösen Sitebetreibern ihr Handwerk. Nicht selten werden solche Negativ-Beispiele ja verwendet, um eine ganze Branche in Verruf zu bringen. Wovor viele Unternehmen mit Websites aber Angst haben, sind die berüchtigten Abmahnanwälte, die zum Teil wohl mit eigenen Crawlern nach Verstößen auf Websites suchen und anschließend eine Abmahnung dafür produzieren. Das Ziel ist klar – für einen einfachen und ggf. automatisch erstellten Brief einige Hundert Euro Gebühren zu verlangen. Unterwirft sich ein Unternehmen der Abmahnung und verstößt in Zukunft wissentlich oder unwissentlich erneut gegen den zu unterlassenden Sachverhalt, wird es dann mit oft mehreren Tausend Euro so richtig teuer – oder lukrativ, je nach Perspektive. Diese Angst nahmen einige Politiker auch wahr und es gab den Vorstoß, solche Abmahnungen zunächst für ein Jahr auszusetzen. Dies scheiterte allerdings am Widerstand der SPD. Für den juristischen Laien mag das durchaus kurios wirken: Da gibt es eine Regelung (jeder darf abmahnen) und man will sie einfach aussetzen, nachdem klar wurde, dass sie politisch gesehen einige Unruhe bei Unternehmen produziert. Man fragt sich, ob das Abmahnen nun in Ordnung ist, wenn man es mal eben so aussetzen kann. In den sozialen Medien schmunzelt man derzeit darüber, dass es kein Wunder ist, dass Anwälte durch immer komplizierter und schwammig formulierte Verordnungen immer mehr Arbeit bekommen. Schließlich sind viele Politiker Juristen und die Branche verdient nicht zuletzt durch die DSGVO erheblich. Ob dies tatsächlich die Triebfeder bei einigen Abgeordneten ist oder die Unfähigkeit, klare Regelungen zu formulieren, man fachlich vom Verständnis her überfordert ist oder es gar ganz andere Motivationstreiber gibt, bleibt offen. Vielen Diskutanten im Web erscheint offenbar eine Mischung der ersten drei Vermutungen zumindest plausibel.

Wie groß ist die Gefahr von Abmahnungen nun tatsächlich? Wahrscheinlich deutlich geringer, als die meisten vermuten, so die Meinung vieler Juristen. Die sind sich nämlich noch gar nicht sicher, ob aufgrund der DSGVO überhaupt legitim abgemahnt werden kann, weil dieses Instrument der Abmahnung zum Wettbewerbsrecht gehört. Man setzt es ein, um zu verhindern, dass sich ein Wettbewerber durch nicht legales Verhalten (z. B. falsche Preisauszeichnungen, irreführende Werbung etc.) einen Vorteil verschafft. Wer also abmahnt (Anwälte, Verbände, Verbraucherzentralen etc.), muss sich nach aktueller Rechtsauffassung auf Gegenreaktionen einrichten, sofern der Abgemahnte einen versierten Anwalt einschaltet, statt einfach zu zahlen. Denn eine unberechtigte Abmahnung kann selbst einen Wettbewerbsverstoß darstellen und den Abmahnenden umgekehrt vor Gericht bringen – mit allen finanziellen Folgen.

Umgekehrt gab es bereits einige spektakuläre Abmahnungen, die sich auf die DSGVO stützen. So berichtet heise online (http://einfach.st/heise1), dass der durch frühere Abmahnungen bereits bekannte Anwalt Gereon Sandhage einen Online-Händler wegen eines nicht SSL-verschlüsselten Formulars für einen Mandanten auf Schadensersatz über 8.500 € bzw. 12.500 € abmahnte. Die Argumentation geht dahin, dass die ungeschützte Übertragung der Daten seines Mandanten diesem persönliches Leid zugefügt habe, und bezieht sich auf eine seiner Meinung nach drastische Missachtung der DSGVO-Vorschriften. Die DSGVO sieht tatsächlich die Geltendmachung von Schadensersatz bei Verstößen vor. Ob die Höhe gerechtfertigt erscheint, wird von Juristen durchaus bezweifelt. Aber wer in seinen Formularen noch immer keine Verschlüsselung einsetzt, sollte dies vielleicht als Weckruf betrachten, mit Kundendaten sorgsamer umzugehen.

Eines scheint jedoch fast sicher zu sein: Die mit der Überwachung beauftragten und ausführenden Behörden scheinen aktuell wegen personeller und finanzieller Engpässe verständlicherweise mehr als überfordert. Auf Beschwerden müssen sie zwar reagieren – aber bei gleicher Personaldecke fragt man sich, ob das überhaupt zu leisten ist. Insofern gibt es wohl eine gewisse Schonfrist von dieser Front, sofern es sich nicht um gravierende Verstöße handelt. Am 25. Juni d. J. titelte die FAZ bezeichnenderweise: „Behörden verzweifeln am neuen Datenschutz.“ Die Unternehmen sind also nicht alleine.

Fachanwalt Christian Schefold ist sich allerdings relativ sicher, dass die Abmahnwelle noch kommen wird, sobald die Anwendung der DSGVO von Landesämtern und über erste Gerichtsentscheidungen präzisiert wurde. Entwarnung vor allem für kleine und mittlere Unternehmen gibt es daher offenbar noch nicht.

Die DSGVO und Fotos

Wer mit dem Smartphone oder einer digitalen Kamera Personen fotografiert, speichert damit unzweifelhaft personenbezogene Daten. Dies verunsichert viele Menschen – was darf man nun noch und wo lauern teure Fallen? Ein Beispiel: Man macht auf einer Konferenz ein Foto mit dem Handy und stellt es online. Darauf sind ggf. unterschiedliche Personen zu sehen und im Kontext ist möglicherweise erkennbar, wo sich die Personen wann aufgehalten haben – auch ohne Nennung von Namen. Bisher ist das Veröffentlichen von Personen bereits seit 1907 durch das Kunsturheberrechtsgesetz (KUG) geregelt. Im Grundsatz gilt, dass Bilder von Personen nur mit deren Zustimmung veröffentlicht werden dürfen. Als Ausnahme ist u. a. zu betrachten, dass Personen nur als „Beiwerk“ gesehen werden, wenn es sich um öffentliche Veranstaltungen handelt. Die DSGVO verlangt nun aber – ausgenommen sind rein private Zwecke – eine Rechtfertigung (Art. 6 Abs. 1) bei solchen Bildern. Problematisch dabei ist u. a., dass bekanntlich europäisches Recht (DSGVO) über deutschem (KUG) steht und der deutsche Gesetzgeber bislang noch nicht mit Anpassungen reagiert hat. Für viele Onliner ist sicherlich die Trennung zwischen „privat“ und „geschäftsmäßig“ nicht so leicht zu ziehen. Ist der eigene Facebook-Account nun wirklich nur privat oder fällt er durch die Art der übrigen Postings vielleicht sogar aus diesem Schutzrahmen heraus? Viele Rechtsanwälte beklagen aktuell, dass einige „schwammige“ Formulierungen dringend geklärt oder präzisiert werden müssen, um wieder Rechtssicherheit herzustellen. Und auch wenn einige Juristen in sozialen Medien schreiben, es ändere sich wegen des KUG nichts, muss man sicher abwarten, wie die Gerichte das sehen werden. Denn in unserem Rechtssystem entscheiden bekanntlich nicht Anwälte, wie Gesetze auszulegen oder anzuwenden sind, sondern Richter. Bis zur Klärung, die durchaus einige Jahre in Anspruch nehmen kann, schwebt also erneut ein Damokles-Schwert über jedem digitalen Bild, das nicht von Angehörigen der Presse oder rein privat gemacht wurde. Zudem muss berücksichtigt werden, dass das KUG nur die Veröffentlichung von Bildern regelt, nicht aber die Datenerhebung (digitale Bilder). Für das Fotografieren selbst bzw. den Vorgang der Datenspeicherung gilt nach wie vor die DSGVO. Das Land Brandenburg hat dazu Stellung bezogen und bietet unter dem Titel „Verarbeitung personenbezogener Daten bei Fotografien“ unter einfach.st/brafoto ein neunseitiges PDF zu den rechtlichen Anforderungen der DSGVO an. Dort gibt es auch den Hinweis, seine „Altbestände“ an Bildern auf die zulässige Verwendung zu prüfen.

Spannend erscheint die Frage, was nach einem nun möglichen Widerruf einer vormals erteilten Genehmigung einer fotografierten und veröffentlichten Person passiert. Müssen dann Bilder von Websites gelöscht werden? Was passiert mit Stockfotos, für die die abgelichtete Person widerruft? Wie erhält das Unternehmen davon Kenntnis und wer wird wem ggf. schadensersatzpflichtig?

Personen auf Bühnen, wie z. B. Referenten bei Vorträgen, darf man übrigens nach allgemeiner Auffassung weiterhin fotografieren, da diese ja bewusst im Rampenlicht stehen und daher damit rechnen müssen.

Gibt es das vermutete Website-Sterben tatsächlich?

Enno Park sammelt die Domains von Blogs, die aufgrund der DSGVO geschlossen wurden. Anfang Juli verzeichnete er dort immerhin 320 Einträge (http://einfach.st/ennopark), die sich bei ihm nach einem Aufruf meldeten. Er selbst ist sich im Klaren darüber, dass das keineswegs repräsentativ ist, und vermutet, die Dunkelziffer läge mindestens um den Faktor 10 höher. Würde diese Annahme stimmen und ginge man vorsichtig von durchschnittlich 25 Blogbeiträgen im Lauf der Jahre aus, wäre das deutsche Web um 80.000 Seiten bzw. Beiträge ärmer.

Wir haben direkt bei einigen Providern und SEO-Tool-Anbietern nachgefragt, ob man um den 25. Mai herum vermehrt das Offline-Gehen von Websites erkennen konnte.

Markus Käkenmeister vom Hoster Goneo teilte uns auf unsere Anfrage hin mit, dass bereits seit Anfang des Jahres im Support eine erhöhtes und bis zum 25.05. weiter angestiegenes Aufkommen an Fragen zu den rechtlichen Bedingungen zu verzeichnen war, das danach schlagartig wieder abfiel. Die Provider können bzw. dürfen bei rechtlichen Fragen freilich nicht beratend tätig werden. Aber dass Geschäftskunden nach rechtlichen Ratschlägen bei ihrem Provider suchen, mag diesen einerseits ehren, zeigt aber andererseits entweder, wie verzweifelt Unternehmen nach Unterstützung suchen – viele Rechtsanwälte waren ja lange ausgebucht – oder wie unbeholfen sie in Fragen der DSGVO tatsächlich agieren. Käkenmeister stellte bei einer Datenanalyse fest, dass gegenüber dem Vorjahreszeitraum schon eine spürbare Anzahl an Domains das Web verlassen hat bzw. Websites aufgegeben haben. Darunter war aber offenbar auch ein größerer Anteil an Zombie-Sites, also Webpräsenzen, die ohnehin schon seit Jahren unverändert dahindümpeln und für deren Löschung die neue Verordnung wohl nur ein erinnernder Anlass war. Aber auch vor allem kleine Gewerbetreibende, Freiberufler, Einzelselbstständige etc. haben sich wegen des gestiegenen Aufwands durch die Vorschriften der DSGVO wohl gegen das weitere Betreiben einer Website entschieden und sie aufgegeben, wie der Support aus vielen Gesprächen mit Kunden heraushören konnte.

Als positiv verzeichnete man bei Goneo, dass es umgekehrt einen vergleichsweise hohen Zustrom an neuen Domainregistrierungen gab, bei denen offenbar die Verwendung (auch) als Maildomain der Grund war. Viele Kunden, so schätzt Käkenmeister, wollen nach den Diskussionen um den Datenschutz von Freemailern weg und hin zu einem eigenen Mailserver.

Der Webhoster Strato hat einen signifikanten Anstieg an Domainkündigungen registriert, insbesondere in den kritischen Kalenderwochen 20 und 21. Auch hier erbrachte eine Nachfrage im Support, man könne aus Gesprächen begründet davon ausgehen, dass die DSGVO einen nennenswerten (Negativ-)Beitrag dazu geleistet haben dürfte. Erfreulich ist, dass der Einbau eines Tools, mit dem man die Domain nun „pausieren“ kann, ohne sie gleich zu kündigen, zu einem spürbaren Rückgang der Abmeldungen führte. Auch ist die Schlussfolgerung wohl nicht vermessen, dass viele Websitebetreiber eben trotz des zeitlichen Vorlaufs mit den tatsächlich zu erledigenden Aufgaben am Ende bis zum Stichtag überfordert waren und aus Furcht vor Konsequenzen zunächst eine Pause einlegten.

Johannes Beus von Sistrix hat aufgrund unserer Nachfrage eine eigene Analyse gefahren, wie viele unterschiedliche Domains über Google auffindbar sind. Dabei ist zu erkennen, dass seit Anfang April die Zahl der Domains deutlich nach unten ging. Rund eine Viertel Mio. Domains fehlen nach dieser Analysemethode. Ob dieser Rückgang allerdings zwangsweise auf die DSGVO zurückzuführen ist, dessen ist sich Beus verständlicherweise nicht sicher.

Dem Vernehmen nach sind viele Webverantwortliche in kleineren und mittleren Unternehmen vielleicht weniger juristisch als technisch überfordert. Irgendwann kommt man an den Punkt, wo die Betreuung der Webagentur von nebenan nicht mehr ausreicht und ein professioneller Admin mit wirklich guten Kenntnissen hermuss. Aber woher nehmen, wenn der Markt leer ist, bzw. welches Gehalt muss man mittlerweile aufrufen für so jemanden? Bastler gibt es wohlgemerkt viele, aber viele Unternehmen kommen nun an einen Punkt, wo sie erkennen, dass „ich glaube“ oder „ich denke“ eben nicht mehr ausreicht. Man muss „wissen“, will man vor Strafen oder Abmahnungen zumindest mit hoher Wahrscheinlichkeit sicher sein.

Auch einige Anbieter kostenloser Tools nahmen diese vom Netz, wie z. B. Kai Spriestersbach, der Betreiber von infoggrx.com, einem bisher kostenlosen Tool zur Erstellung dynamischer Infografiken. Er kam wie auch andere in ähnlichen Situationen zu dem Schluss, dass ohne Monetarisierung der nun zusätzliche Aufwand nicht mehr tragbar ist. Und solche bisher für alle frei verfügbaren Tools einfach mit einer entsprechenden Zahlungsfunktion und Verwaltung zu versehen, lohnt den dazu notwendigen Aufwand in der Regel leider eben auch nicht.

Wo liegen Fallstricke für Unternehmen?

Zunächst muss geklärt werden, was personenbezogene Daten überhaupt sind. Dass dies gar nicht so einfach ist, wie es auf den ersten Blick erscheint, zeigt die noch immer herrschende Unwissenheit in einigen Unternehmen, dass auch die (vollständige) IP-Adresse ein personenbezogenes Datum darstellt. Der juristische Laie, aber technisch Versierte, mag sich fragen, wie man mit einer IP-Adresse den Bezug zu einer Person herstellen kann. Im Zweifelsfall geht das auch gar nicht, z. B. dann, wenn mehrere Personen einen Rechner mit Internetzugang nutzen. Und der Normalbürger kommt an die oft wechselnden IP-Adressen zu einer bestimmten Uhrzeit sowieso nicht heran, weil die beim Provider liegen und nur bei offiziellen Anfragen von Behörden (Polizei bzw. Staatsanwaltschaft) herausgegeben werden. Trotzdem herrscht die juristische Auffassung, dass IP-Adressen personenbezogene und damit schützenswerte Daten darstellen. Dieses kleine Beispiel zeigt, dass man nicht mit einer persönlichen Einschätzung an die Klassifizierung solcher Daten herangehen sollte. Eine weitere nicht einfache Frage ist die, an welchen Stellen solche Daten im Unternehmen anfallen und wo sie gespeichert werden. Auf dem Smartphone eines Vertriebsmitarbeiters, der einen Kundenkontakt dort ablegt? Und was, wenn er diese Kontakte mit der Cloud eines Anbieters synchronisiert, um auch vom Arbeits-PC darauf zugreifen zu können? Bei einem Anbieter eines kostenlosen Plug-ins für die eigene Wordpress-Site, an den die Daten im Hintergrund für gewisse Verarbeitungen (z. B. der Check auf Fehleingaben in Formularen oder ein bisher üblicher Spam-Check) übermittelt werden? Und wer hat Zugriff auf alle diese Daten? Wird bisher überwacht, welcher Mitarbeiter auf welche Daten wann zugreift bzw. wer überhaupt eine Zugriffsberechtigung haben sollte? Was ist mit Back-ups in anderen Systemen? Ein Rechner oder eine Festplatte ist kaputt? Wer die repariert, hat ggf. Zugriff auf Kundendaten – man benötigt eine gesonderte Datenschutzvereinbarung, deren Abschluss man natürlich präventiv dokumentieren muss. Digitalisierung verlangt also immer auch mehr „Papierkram“.

Wie stellt man sicher, dass nach Beschwerden von Kunden oder Websitebesuchern oder gar nach einem Löschbegehren sicher verhindert wird, dass weiterhin die nun verbotenen Daten erhoben bzw. erneut gespeichert werden? Und vor allem: Wo und wie speichert man ab, dass Erika Mustermann das künftige Speichern ihrer Daten untersagt hat?

Es erscheint kurios: Die DSGVO soll zum sparsamen Umgang mit Daten anhalten, verlangt dazu aber sehr umfassende Dokumentationspflichten mit Beweisumkehr. Ab jetzt muss niemand anders mehr einen Fehler nachweisen – man muss immer in der Lage sein zu belegen, dass man selbst nichts falsch gemacht hat!

Man muss gar nichts Böses mit einem Missbrauch personenbezogener Daten im Sinn haben. Es genügt bereits, wenn die Daten durch irgendein noch unbekanntes Prozesslöchlein auch nur für Sekunden an Dritte übermittelt werden, denen man bisher keinerlei Aufmerksamkeit geschenkt hat – wie z. B. einem kostenlosen Spam Plug-in, das in Wordpress von einem früheren Mitarbeiter oder gar einer Agentur vor vielen Jahren installiert wurde, sich automatisch updatet und das niemand mehr auf dem Schirm hatte. Bisher.

Deutschland – wohin steuerst du eigentlich?

Ein Website-Sterben lässt sich statistisch nicht sicher diagnostizieren. Ob es beklagenswert ist, dass alte, nicht mehr gepflegte Websites vom Netz gingen, mag jeder für sich selbst entscheiden. Zumindest bei Blogs gingen eine mehr oder weniger wertvolle Informationsressource für Recherchen oder zum Teil auch wertvolle Informationen wahrscheinlich für immer verloren. Sicherlich beklagenswert sind hingegen die vielen sehr kleinen Unternehmen, die für ihren kleinen Kundenkreis Infos oder gar Bestellmöglichkeiten aufgaben, weil die Erfüllung der neuen Anforderungen sie schlicht finanziell überfordert. Wenn man viel oder alles selbst macht bzw. gemacht hat und nun auch noch juristische oder tiefer gehende technische Kenntnisse benötigt, ist der aufsteigende Frust sicher nachvollziehbar.

Sicherlich brachte die DSGVO mehr gebracht und sensibilisierte für den Umgang mit Daten. Sicherlich ist auch ein Argument, dass man dies alles ja schon länger wusste und sich hätte darauf vorbereiten können. Die Praxis zeigt, dass dies auch größere Unternehmen eben nicht taten, und das in einem Umfang, dass ein „selbst schuld“ wohl leicht dahingesagt ist, am Kern aber vorbeigeht. Die Wucht der Folgen bis hin zur Frage, ob und welche Apps man denn nun auf dem Diensthandy haben dürfe, unterschätzten eben doch fast alle. Entsprechend groß waren die Hektik und der Aufschrei über die tatsächlichen Auswirkungen, die viele eben dann doch erst jetzt erkannten. Nimmt man die Angst vor gewerbsmäßigen Abmahnungen dazu, berechtigt oder nicht, ist einzusehen, dass fast niemand ein gutes Haar an der für viele zu umfassenden Verordnung lässt. Die Forderung nach mehr Zeit hätte sicherlich nichts gebracht, denn das Inkrafttreten war ja lange angekündigt. Das hätte nur eine aufschiebende Wirkung gehabt. Aber vielleicht hätte man die Verordnung auch in kleinere Happen aufteilen können, die nacheinander wirksam geworden wären. Möglicherweise hätte das durch erste Schritte eine rechtzeitige Aufmerksamkeit und weniger Hektik ausgelöst.

Wer glaubt, nach dem Bezwingen des Monsters „DSGVO“ wäre der gröbste Brocken erst mal verdaut, der darf sich gleich jetzt schon auf die im nächsten Jahr anstehende ePrivacy-Verordnung freuen, die dem Vernehmen nach wahrscheinlich noch stärkere Auswirkungen auf Websitebetreiber haben wird. Und das in Deutschland bereits gescheiterte Leistungsschutzrecht, gepaart mit einem der blinden Technikgläubigkeit von Politikern entsprungenen Upload-Filter, wurde auf europäischer Ebene zwar im Juli erst einmal mit knapper Mehrheit abgelehnt – aber im September steht eine erneute Abstimmung einer angepassten Version an. Wer die durchaus heftige Diskussion dazu in den letzten Wochen aus fachlicher Sicht verfolgte, dürfte sich künftig vor allem über eines Sorgen machen: Was kommt noch auf die Branche zu, wenn weiterhin Abgeordnete, die mit der Komplexität der Technik im Web überfordert sind und die oft weitreichenden Folgen ihrer Entscheidungen offenbar noch nicht mal im Ansatz überblicken, die Finger bei Fragen heben oder eben unten lassen. Und statt erst einmal zuzuhören oder sich fachlich beraten zu lassen (z. B. eben nicht nur von Verlagslobbyisten), stampfen sie mit dem Fuß auf und machen sich durch ihre Begründungsversuche und den Versuch, Kritiker zu diskreditieren, eher noch unglaubwürdiger – und manchmal auch fachlich lächerlich. Kein Wunder, dass Zorn und Politikverdrossenheit in der Branche immer mehr um sich greifen.

Viele Experten haben schon längst begriffen, dass Deutschland und Europa den (digitalen) Anschluss verliert oder schon verloren hat. So muss jeder für sich entscheiden, wie wichtig die Regelung jeder tiefen Nuance des Datenschutzes ist – in Abwägung, dass man Start-ups schon im Ideenstadium erdrosselt oder erschwert, in anderen Ländern als innovativ gefeierte Neuerungen im Keim unterbindet und somit auf längere Sicht vielleicht viele Menschen arbeitslos macht, weil künftig noch mehr ohne unsere Beteiligung im Westen oder Osten dieser Welt entwickelt wird und eingekauft werden muss. Am Ende bleibt eine Frage stehen: Wollen wir uns weiterhin den Luxus gönnen, die Regelungsfahnen hoch und höher zu halten? Freilich klingt das tapfer, gut und edel, keine Frage. Und die EU-Kommissarin Vera Jourova sieht die DSGVO begeistert bereits als „Goldstandard“, obwohl sie „… einige übertriebene Ängste gesehen …“ hat. Was passiert aber, wenn andere Länder wie die USA oder China sich keinen Deut darum scheren und die deutsche und europäische Bevölkerung sich weiterhin den Shops, Apps, Plattformen und Webangeboten dieser Länder zuwendet und es ihnen einfach weiterhin egal ist, was Facebook mit ihren Daten treibt? Haben wir dann am Ende effizient bis ins Kleinste geregelt und geschützt, was niemand mehr benutzt oder zur Verfügung stellen mag? Das ist weder eine einfache Frage noch kann man eine einfache Antwort darauf geben.