Kommentar: Das Europäische Parlament wollte mit der Datenschutz-Grundverordnung die Rechte der EU-Bürger gegenüber großen Internet-Konzernen stärken. Ihre strengen Regeln und hohen Strafen treffen nun aber auch Selbständige und Mittelständler, die dafür nicht gewappnet sind.
Am 25.05.2016 ist die Datenschutz-Grundverordnung der Europäischen Union in Kraft getreten. Es wird wohl nicht viele Selbständige und Mittelständler geben, die das damals bemerkt haben. Noch weniger von ihnen dürften damals schon damit begonnen haben, ihre Organisation und ihre Webseite auf den 25.05.2018 vorzubereiten – also auf den Tag, an dem die DS-GVO nach einer zweijährigen Übergangszeit verbindlich wirksam werden sollte.
Erst in den letzten Wochen wurde allgemein bekannt, was es mit dieser Verordnung auf sich hat. Sie stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten, die teilweise nur schwer erfüllbar sind und einen hohen Aufwand verursachen. Außerdem droht sie absurd hohe Strafen an, die für Selbständige und Mittelständler vollkommen unangemessen sind.
Das Europäische Parlament hat viele Jahre lang daran gearbeitet, die Datenschutz-Rechte der EU-Bürger gegenüber den großen Internetkonzernen zu stärken. Das ist grundsätzlich ein gutes und wichtiges Anliegen. Ob es mit der DS-GVO auch wirksam umgesetzt wurde, werden die schon begonnenen rechtlichen Auseinandersetzungen zwischen Datenschützern und Internetkonzernen zeigen. Es wäre keine Überraschung, wenn diese Rechtsstreits mit großem Aufwand durch mehrere Gerichtsinstanzen geführt werden müssten und sich jahrelang hinziehen würden. Die Konzerne sind mit ihren eigenen Rechtsabteilungen und großen Finanzreserven allerdings auch gut dafür gewappnet.
Viel weniger gut gewappnet sind Selbständige und Mittelständler. Die DS-GVO trifft auch sie mit großer Wucht, überhäuft sie mit Arbeit und setzt sie unnötig hohen Risiken aus. Darin liegt der grundlegende Fehler der Grundverordnung. Wenn Selbständige und Mittelständler die zahlreichen neuen Vorschriften nicht vollständig beachten oder sogar wegen fehlender technischer Lösungen nicht beachten können, drohen hohe Bußgelder der Aufsichtsbehörden. Diese Gefahr ist derzeit zum einen dadurch noch etwas abgemildert, dass die unterbesetzten Aufsichtsbehörden mit den vielen Anfragen zur DS-GVO überlastet sind. Zum anderen werden sie auch von Politikern dazu angehalten, mit Augenmaß zu agieren.
Wahrscheinlich eröffnet die Grundverordnung aber auch ein neues Betätigungsfeld für Anwaltskanzleien. Sie könnten vermeintliche oder tatsächliche Datenschutz-Verstöße dafür nutzen, um kostspielige Abmahnungen an Webseitenbetreiber zu verschicken. Die ersten Meldungen darüber gibt es schon. Dabei wäre es der Bundesregierung und dem Bundestag durchaus möglich, Privatleute, Vereine, Selbständige und Mittelständler wirksam davor schützen. Denn in der DS-GVO gibt es Öffnungsklauseln, die nationale Anpassungen erlauben.
Österreich hat diesen Spielraum mit seinem Datenschutz-Deregulierungsgesetz sogar so ausgiebig genutzt, dass der eigentlich europaweit gültige Datenschutz dort weitgehend außer Kraft gesetzt wurde. Dieses andere Extrem kann niemand wollen, dem die informationelle Selbstbestimmung der Bürger wichtig ist. Aber nationale Anpassungen, die unnötige schwere Fehlentwicklungen verhindern, sind auf jeden Fall notwendig.
