Eine politische Bewertung der aktuellen Diskussion zur “Einführung“ der DSGVO
Da ist es passiert: Nach kontinuierlichem Nölen der üblichen Verdächtigen aus Wirtschaft und Politik ließ Kanzlerin Merkel Anfang Merkel in fast schon ungewohnter Direktheit durchblicken, „Änderungen an der DSGVO seien noch möglich“. Das, nachdem der endgültige Entwurf Mitte Dezember 2015 zwischen Europäischen Parlament, Kommission und Rat (also den Mitgliedstaaten) verhandelt und verabschiedet wurde und am 24. Mai 2016 offiziell in Kraft trat. Seitdem galt eine zweijährige Übergangsfrist bis nun, ab dem 25. Mai 2018 alle Regelungen uneingeschränkt anzuwenden sind.
Wenn ich jetzt – kurz bevor es endlich ernst wird – höre, es hätte nicht genug Zeit gegeben, sich vorzubereiten und schlimmer noch: vieles sei noch unklar, bin ich mehr als irritiert. Worauf, liebe Unternehmer habt Ihr seit Anfang 2016 gewartet? Dass sich doch noch was ändert oder gar das Gesamtwerk auf magische Weise verschwindet?
Status
- Insbesondere die Unternehmen, die öffentlich immer wieder genannt werden als zentrale Ziele der Regelungen („böse“ globale digitale Plattformen aka Facebook, Google, Amazon etc.) haben nicht nur die Zeit seit Verabschiedung intensiv genutzt, sich auf die Verordnung vorzubereiten, sondern bereits davor damit begonnen und gleichzeitig intensiv Lobbyarbeit betrieben – die sind bereit und es wird schwerfallen, da so schnell Verstöße nachzuweisen.
- Die DSGVO ist bereits seit längerem eine große Arbeitsbeschaffungsmaßnahme für Juristen und Berater. Die meisten größeren Unternehmen sind mit ihren entsprechenden Programmen mindestens so weit, dass relevante Rechtsrisiken aus dem „Go-Live“ zum magischen Datum 25. Mai minimal sind – oder haben sich dafür entschieden, entsprechende Risiken als Rückstellung in die Bücher einzupreisen.
- Nicht vorbereitet scheinen die zuständigen Behörden. Aktuell wird in der Wirtschaft von Einzelnen – leider – schon allein deshalb entwarnt, da viele davon ausgehen, die verantwortlichen Datenschutzbehörden können objektiv gar keine Fälle verfolgen, da sie das dafür nötige Personal gar nicht haben. Schlimmer noch: Auch die ebenfalls zugeschriebene Beratungsfunktion kann bisher nur sehr eingeschränkt erfüllt werden. Da passt es komplett ins Bild wenn Jan-Phillip Albrecht zurecht moniert, dass kein einziges Mitgliedsland der EU Bürger und Unternehmen bisher aktiv, und in sonst gern opulenten Kampagnen über die Veränderungen, neuen und alten Rechte und Pflichten aufklärt.
- Genau diese Unsicherheit öffnet Tür und Tor für die bekannten Abmahnanwälte, die die Zeit natürlich auch nicht haben verstreichen lassen. Es ist interessant, zu beobachten, wie einerseits einige Juristen gerade durchs Land ziehen mit der Botschaft „Alles nicht so schlimm, erstmal abwarten“, während Ihre Kollegen sehr nachdrücklich Panik vor den großen Abmahnbeträgen ab Tag 1 verbreiten. Beides ist falsch: Die DSGVO muss ernstgenommen werden – ignorieren wird nicht helfen. Gleichzeitig gibt es keinen Grund zur Panik – Auch die Gerichte müssen sich in der Tat ja erst einmal auf die neuen Regelungen einstellen. Wer also bisher Datenschutzkonform gearbeitet hat ist auch weiterhin nicht gefährdet, sondern sollte einfach genau prüfen, inwiefern Anpassungen in Bezug auf die neu definierten Betroffenenrechte notwendig und sinnvoll sind.
Die größte Herausforderung ist gleichzeitig der größte Erfolg der DSGVO: Insbesondere in Deutschland gibt es – anders als viele meinen – keine materiellen Veränderungen bereits bestehender Regeln zum Schutz von Privatdaten der Bürger. Es wurde nur erstmalig, eindeutig und mit hohen Strafen bei Nichtbefolgung versehen und europaweit geregelt, sodass diese Anforderungen für jede Person in der EU uneingeschränkt gelten und auch einklagbar sind. Leider zeigt sich, dass neben großen globalen Datenstaubsaugern vor allem auch kleine Unternehmen bisher bestehende Regelungen nicht ausreichend ernst genommen haben, sondern in oftmals eklatanter Weise gegen einfache Prinzipien des Kundenmanagements verstoßen.
Es sind diese “schwarzen Schafe“, die die beschlossenen Verschärfungen notwendig gemacht haben. Und es ist in der Tat Zeit, dass real vorkommendem Datenmissbrauch, sinnlosen Marketingkampagnen und anderen Formen von „Datenverwertung“ ohne das Einverständnis der betroffenen Personen Einhalt geboten wird. Wer sich darüber aufregt, sollte die eigene Einstellung zur Freiheit des Einzelnen (hier informationelle Selbstbestimmung) vielleicht mal auf den Prüfstand stellen. Wer Datenschutz als Problem für eigenen wirtschaftlichen Erfolg betrachtet und entsprechend auch verächtlich macht, hat aus meiner Sicht – als politischer Bürger & Unternehmensberater gleichermaßen – ein fatales Verständnis von Kundenmanagement. Wer nachhaltiges Kundenmangement verstanden hat muss auch keine Angst vor der DSGVO haben.
Disclaimer: Als Unternehmensberater bin auch ich aktuell in DSGVO-Projekten beschäftigt und erlebe im Realbetrieb, wie sich Firmen erfolgreich auf die Veränderungen vorbereitet haben – und dass Verstetigung und Konsolidierung tatsächlich oft noch nicht abgeschlossen sind. Positionen in diesem Artikel stellen meine persönliche Meinung dar und stehen in keinem direkten Bezug auf spezifische Projekte, die ich begleite oder die Position meines Arbeitgebers. Gleichzeitig bin ich jedoch in der positiven Situation, persönliche Haltung und berufliche Positionierung ohne Schwierigkeiten zu vereinigen.
Allg. Quellen:
- Europäische Kommission: https://ec.europa.eu/info/law/law-topic/data-protection_de
- Bundesdatenschutzbeauftragte: https://www.bfdi.bund.de/DE/Home/home_node.html
- In Kompakt & verständlich:
https://deinedatendeinerechte.de/
https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung
Tomatenfisch gibt seine Gedanken zum Besten. 