99 Tage DSGVO und die Abmahnwelle in ihrem Kielwasser: Ebbe oder Flut?

Rückblick: Die DSGVO stand im Frühsommer vor der Tür und es waren vor allem auch Abmahnwellen, die am Horizont erahnt wurden. Die Unsicherheit war groß, nicht weniger der Widerstreit unter den Fachleuten, sowohl den echten als auch den selbst ernannten.

Keine Flut, aber …

Wirft man dieser Tage einen Blick in die Medien, finden sich Bezüge zum Szenario vom Mai. Tagesschau.de konstatiert in ihrem Beitrag Drei Monate DSGVO: Die große Abmahnwelle ist ausgeblieben. Laut den Recherchen hier sind zumindest jene Schreckensszenarien, die im Frühsommer heraufbeschworen waren, bislang nicht eingetreten.

Eine Einschätzung, die Rechtsanwalt Markus Schließ durchaus teilt. Wenngleich er von Abmahnungen aus seiner Beratungspraxis berichten kann, die auf die Datenschutzerklärungen von Webseiten abzielten oder auch die Verwendung von Google Analytics betreffen.

Die Recherche zu aktuellen Abmahnungen findet darüber hinaus Stichworte wie Google Fonts, fehlende Verschlüsselung eines Kontaktformulars, Like und Share-Button von Facebook oder auch fehlende Datenschutzerklärungen. Vieles davon Themen, wie Markus Schließ betont, die bereits vor der DSGVO gegen geltendes Recht verstoßen haben, jedoch nun durch die DSGVO deutlich an Schärfe wegen der drohenden Strafen gewonnen haben.
Er gibt indes auch zu bedenken, dass die Nervosität im Mai und die Drohkulisse der Abmahnungen ein einträgliches Szenario für Teile der mit Datenschutz betrauten Branche waren.

Dass die Grundsensibilität zum Thema deutlich gestiegen ist, betont auch Dr. Klaus Meffert, der sich als Experte für IT Lösungen bei der Entwicklung von Software, Apps, Anwendungen, und Shops einen Namen gemacht hat. Er berichtet aus seiner persönlichen Erfahrung, dass es nun möglich war, seine Handynummer innerhalb von kürzester Zeit und ohne Rückfragen aus einigen Verzeichnissen löschen zu lassen - was erfolgreich gelungen ist und wahrscheinlich auch auf das DSGVO-Bewusstsein auf Anbieterseite zurückzuführen ist. Man versuche, hier keine Angriffsflächen zu bieten, was, so Dr. Meffert, eine richtige Taktik sei. Vieles - wie zum Beispiel die Einbindung der Google Fonts - sei eine Frage der fachgerechten Umsetzung. Dass in manchen Bereichen erst jetzt reagiert werde, liege in der Tat an den drohenden höheren Bußgeldern.

Bereits Anfang Juli hatte der Bundesverband der Digitalwirtschaft eine Umfrage unter seinen Mitgliedern zu den ersten Erfahrungen mit der DSGVO gemacht. Das Stimmungsbild war eingetrübt: Über 40% der befragten Unternehmen hatten ihre digitalen Aktivitäten eingeschränkt, über die Hälfte rechnete damit, Umsätze zu verlieren. Bei fünf Prozent der Befragten war bereits eine Abmahnung eingegangen, die DSGVO-Belange berührte.

Die Deutung dieser Zahlen sollte nicht vorschnell erfolgen. Nicht jeder, der seine Aktivitäten reduziert, folgt hier bewusst einem schlechten Gewissen. Wie Markus Schließ erläuterte, ist es durchaus willkommen zu heißen, dass durch die DSGVO nun Verfahrensweisen und Geschäftsmodelle unterbunden werden, die aus rechtlicher Sicht abmahnfähig und auch -bedürftig sind. Jedoch gibt er auch zu bedenken, dass nicht jede Verringerung von Onlineaktivitäten darauf hinweist, dass hier Unlauteres unterlassen werde. Vielmehr käme es oft zu Unklarheiten und womöglich auch Einschüchterungen, die dazu führten, Maßnahmen nicht weiter zu verfolgen, obwohl diese, ganz objektiv, weitergeführt werden könnten.

Diese Haltung ist, aus seiner Sicht, unangebracht. Zumindest für kleine und mittelgroße Betriebe sei ein DSGVO-konformes Auftreten “mit der Hand am Arm” planvoll zu bewältigen. Die Situation ist für ihn von weit weniger Unsicherheiten durchsetzt als dies bisweilen geschäftstüchtig suggeriert werde.

Tatsache bleibt indes, dass für manche Unternehmen in der Tat Geschäftsmodelle zur Disposition stehen. So liegt das Lösungskonzept nicht darin, den Status quo DSGVO-wasserdicht zu bekommen, sondern ein Geschäftsmodell an den Start zu bringen, das den Regeln entspricht.

Ähnlich sieht es auch Dr. Meffert. Geschäftsmodelle, die zum Beispiel Fanpages bei Facebook einschließen oder ein Retargeting nutzen, werden angepasst werden müssen oder zumindest werden Vorkehrungen zu treffen sein, um eine vorherige Einwilligungen zur Datennutzung einzuholen. Man darf annehmen, dass dies die Kennzahlen der Aktion kaum verbessern wird.

Aus der Sicht von Markus Schließ ist es wichtig zu verstehen, dass die DSGVO auf die Player von Big Data abzielt und damit die großen Datenkonzerne im Visier hat, deren Geschäftsmodelle primär auf Nutzerprofilen und deren Vermarktung und Urbarmachung ausgelegt sind. So sind die großen Aufgaben auch in diesen Konzernen gelagert.

Dieser Absichtsbestimmung der DSGVO stimmt auch Bastian Rang zu, wenngleich er zu bedenken gibt, dass die Folgen aus dieser Absicht auf Dauer womöglich den Markt abriegeln. Die kleineren Player müssen sich den Regeln unterwerfen, während die großen möglicherweise ihre herausragende Position nutzen und sich das Nötige seitens der Nutzer beschaffen, um nicht zu sagen erzwingen: Willige ein, Nutzer, oder verweile im digitalen Nirwana. Für kleinere Player wird es wichtig sein, ihre Geschäftsmodelle findig an ihre Zielgruppen heranzutragen.

Fazit ...

Nichts desto weniger positiv ist der Eindruck, dass die DSGVO keine schlaflosen Nächte bereiten muss. Mit Planung und Umsicht ist es möglich, das Anforderungsprofil dauerhaft zu bewerkstelligen, sofern man zu den kleineren oder mittelgroßen Unternehmen gehört. Falls die eigenen Mittel nicht ausreichen, bleiben externe Partner eine gute Wahl. Eine bessere zumindest als die Option, das Projekt bis auf Längeres zu vertagen und zu hoffen, der eigene Schreibtisch bliebe von Abmahnschreiben verschont.

Wie Robert Kummer anmerkt, lässt sich auch mit Hilfe entsprechend digitalisierter Prozesse ein DSGVO-konformes Konzept realisieren. Dies kann durchaus den Umgang mit Daten rationalisieren. So können zum Beispiel die Datenhaltung, Datenlöschung und Zugriffsberechtigungen effektiv und systematisch automatisiert verwaltet werden, ohne dabei zwangsläufig die Mitarbeiter stärker überwachen oder sie exzessiv im Umgang mit Daten schulen zu müssen.

Offenbar ist die Abmahnwelle nicht über das digitale Land hereingebrochen. Dies sollte nicht bedeuten, dass dem Thema fortan geringe Bedeutung beizumessen und der DSGVO tiefenentspannt gegenüber zu stehen wäre. Eine solide Lösung und Wappnung gegen Abmahnungen durch ein DSGVO-konformes Konzept und dessen Umsetzung ist für jedes kleine und mittelgroße Unternehmen leistbar.

Einen Schritt weiter gedacht ergibt sich aus der gegenwärtigen Situation auch aus der Not die Tugend, das eigene Geschäftsmodell neu zu justieren. Und vielleicht dabei auch in Lücken zu stoßen, die gegenwärtig durch die Wettbewerber aus DSGVO-Gründen weniger okkupiert werden.


Die Experten

Zu unseren Experten, die uns extern und intern für diesen Beitrag unterstützt haben:

Markus Schließ … ist Fachanwalt und Lehrbeauftragter für IT-Recht in Stuttgart, Data Protection Risk Manager und Datenschutzbeauftragter.
https://srln.de/markus-schliess/
schliess@srln.de

Dr.-Ing. Klaus Meffert … ist Diplom-Informatiker und Geschäftsführer der IT Logic GmbH, Ingenieurbüro für Datenschutz.
https://meine-datenschutzerklaerung.de/
klaus.meffert@it-logic.de

Bastian Rang … ist Wirtschaftsinformatiker und Experte für die Digitalisierung von Geschäftsprozessen und digitale Geschäftsmodelle in Verlagen.
bastian.rang@ipunkt.biz

Robert Kummer … ist Wirtschaftsinformatiker und Fachmann für IT-Lösungen und Prozesse in KMU und Industrieprojekten.
robert.kummer@ipunkt.biz