Sie möchten unseren Newsletter zukünftig direkt an Ihr E-Mail-Postfach zugestellt bekommen? Dann melden Sie sich hier für den OSK Weekly an.
Liebe Leserinnen und Leser,
der 25. Mai 2018 – Sie erinnern sich? Ein Datum, das Angst und Schrecken verbreitete und vielen Publishern Schweißperlen auf die Stirn trieb: An diesem Tag trat die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Unternehmen und Onlinehändler, aber auch Behörden und Vereine müssen seit diesem Datum dokumentieren, welche Daten sie von wem wozu einholen. Von einer Abmahnwelle großen Ausmaßes berichteten viele Medien im Vorfeld. Ein gutes halbes Jahr ist seitdem vergangen. Für unseren aktuellen OSK Weekly haben wir uns angeschaut, was bislang passiert ist.
Viel Spaß beim Lesen!
Erste Geldbuße nach DSGVO verhängt
Die Landesdatenschutzbehörde von Baden-Württemberg hat vor zwei Wochen als erste Kontrollinstanz in Deutschland eine Geldbuße nach DSGVO verhängt: Das soziale Netzwerk Knuddels muss 20.000 Euro zahlen, weil es die Passwörter seiner Kunden nicht ausreichend geschützt hatte, wie die Frankfurter Allgemeine Zeitung berichtet. Obwohl die DSGVO eine maximale Geldbuße bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr zulässt, kam Knuddels glimpflich davon. Der Grund: Das Unternehmen schloss die Schwachstelle, investierte in die Sicherheit und kooperierte mit der Datenschutzbehörde. Auch die Nutzer wurden umgehend informiert. Diese gute Zusammenarbeit honorierte die Behörde mit einer niedrigen Buße.
Facebook droht Milliardenstrafe
Für Facebook dürfte ein Hack deutlich teurer werden als 20.000 Euro: Im September musste das soziale Netzwerk zugeben, dass rund 50 Millionen Konten weltweit gehackt wurden. Die Angreifer nutzten dabei eine Kombination aus drei Sicherheitslücken. Da Facebook Europa seinen Sitz in Dublin hat, ist in diesem Fall die irische Datenschutzbehörde zuständig. Kommt sie zu dem Schluss, dass Facebook die Auflagen der DSGVO verletzt hat, könnte ein Bußgeld von bis zu 1,4 Milliarden Euro fällig werden, schätzt heise.de.
Behörden in Deutschland überlastet
Wie die beiden beispielhaften Fälle zeigen, sind nicht nur Unternehmen, sondern auch die Datenschutzbehörden gefordert, die sich um die Einhaltung der DSGVO kümmern und die Abwicklung entsprechender Vorgänge organisieren müssen. Kurios: Wegen der hohen Belastung könnten Selbstanzeigen der deutschen Behörden bei der EU möglich werden. Dabei melden Datenschutzbeauftragte, dass ihre Behörde wegen fehlender Mitarbeiter ihre Pflichten nicht erfüllen könne. Eine Überlastung haben Sachsen, Mecklenburg-Vorpommern und Hamburg dem Portal t-online.de bestätigt. Baden-Württembergs Datenschutzbeauftragter Stefan Brink sagte, er gehe davon aus, dass es ein Vertragsverletzungsverfahren gegen Deutschland geben werde. „Die EU-Kommission ist bei Deutschland besonders sensibel und wird besonders schnell agieren, weil Deutschland beim Datenschutz Vorbild war.“
DSGVO stärkt Googles Machtposition beim Ad Tracking
Die Zahl der Ad Tracker hat in den USA laut einer aktuellen Studie stark zugelegt, während sie in der EU seit Einführung der DSGVO abgenommen hat. Größter Profiteur der Entwicklung in der EU ist dabei Google: Offenbar trauen Werbetreibende Google am ehesten zu, die Tracking-Systeme, welche die Performance von Werbekampagnen messen, nach der DSGVO regelkonform zu gestalten. Werbetreibende verzichten daher zugunsten von Google auf andere, kleinere Anbieter. Dadurch kann Google seine Reichweite ausbauen und so noch mehr Nutzerdaten einsammeln. Obwohl Facebook über ebensolche Ressourcen verfügen dürfte wie Google, verlor das soziale Netzwerk in der EU gut sechs Prozent bei der Werbereichweite. Warum, bleibt allerdings unklar.
Sieg für die „Datenschutztaliban“?
Als Lobbyschlacht, die zugunsten der „Datenschutztaliban“ ausgegangen sei, bezeichnete Datenschutzrechtsexperte und Künstler Winfried Veil die DSGVO. Seine Arbeit als Hobby-Straßenfotograf sei praktisch illegal und er warte nur darauf, dass er seine „Kunstfreiheit“ vor den Gerichten verteidigen könne. Bereits kurz nach der Einführung der DSGVO kritisierte Veil, dass die Verordnung einem „One size fits all“-Ansatz folge, also grundsätzlich alle Datenverarbeiter gleich behandele. Gleichzeitig sagte er, dass man den meisten Machern der DSGVO zugestehen müsse, „aus Überzeugung das Gute“ zu wollen.
Diese Aussage blieb nicht unwidersprochen: Schleswig-Holsteins Datenschutzbeauftragte und Informatikerin Marit Hansen wirbt im Gegenzug dafür, sich der vielen Möglichkeiten des technischen Datenschutzes zu bedienen. Statt über die „blöde DSGVO“ zu schimpfen, sollten kreative Lösungen wie beispielsweise eine nicht trackende Fanpage umgesetzt werden.
Befürchtete große Abmahnwelle ist bisher ausgeblieben
Kurz vor dem Start der neuen Regeln im Mai sagten viele Medien eine neue große Abmahnwelle voraus. Sie ist bislang ausgeblieben. Offen war und ist noch immer die Frage, ob Unternehmen ihre Wettbewerber wegen Verstößen gegen die DSGVO abmahnen können. Die Landgerichte Bochum und Würzburg sind sich in dieser Frage nicht einig. Während Bochum einen Unterlassungsanspruch verneint, ließ Würzburg eine Abmahnung zu. Das Oberlandesgericht (OLG) Hamburg ist der Auffassung, dass DSGVO-Verstöße grundsätzlich abmahnfähig sind, allerdings komme es immer auf den Einzelfall an. Eine Übersicht mit den wichtigsten Urteilen aktualisiert regelmäßig die Website handwerk.com.
DSGVO: Was Publisher beachten müssen
Wer eine Website betreibt, muss sich an die DSGVO halten. Denn jeder Zugriff auf eine Homepage übermittelt automatisch die IP-Adresse. Damit falle allein das Bereitstellen einer Website in den Geltungsbereich der DSGVO, erklärt Anwalt Christian Solmecke. Bereits im Februar erklärte er in einem Beitrag für „Fit für Journalismus“ Grundlegendes rund um die DSGVO, zum Beispiel Medienprivileg, Auskunftsrecht, berechtigtes Interesse oder Tracking-Dienste. Solmecke sagt auch, dass die DSGVO Websitebetreiber zu möglichst datenschutzfreundlichen Voreinstellungen verpflichte. So dürften nur Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich seien. Alle Websitebetreiber sollten daher überprüfen, welche Daten – auch von externen Diensten – auf dem eigenen Auftritt erhoben werden.
Sechs Monate DSGVO – unsere Einschätzung:
Marc Wolter, OSK-Geschäftsführer:
„Die DSGVO ist ein komplexes und umfangreiches Regelwerk. 99 Artikel in 11 Kapiteln muss man erst einmal lesen, auf ihre Relevanz für das Unternehmen hin abklopfen und verarbeiten. Erschwerend kommt hinzu, dass ein großer Teil der Regeln Interpretationen zulässt und vieles schlichtweg noch ungeklärt ist. Wir haben deshalb viel Zeit und Ressourcen investiert, um unsere Prozesse bis zum Stichtag im Mai anzupassen und, wo nötig, umzustellen. Dabei hat unsere interne Projektgruppe einen guten Weg gefunden, die Daten unserer Kunden und Mitarbeiter zu schützen, ohne die Prozesse unnötig zu verkomplizieren.“
Thomas Georg, Director Consulting & Content bei OSK:
„Im Vorfeld des DSGVO-Stichtags im Mai sind viele E-Mail-Postfächer geradezu mit Nachrichten bombardiert worden. Die Mails kamen von Medien, Unternehmen und Publishern, welche die Empfänger um eine explizite Bestätigung dafür baten, weiterhin die jeweiligen E-Mail-News und -Newsletter zu erhalten. Wer die Einverständniserklärung nicht aktiv gab, wurde aus dem Verteiler gelöscht. Damals herrschte Unsicherheit in der Branche, wie hart die Datenschützer durchgreifen würden. Deswegen gingen viele auf Nummer sicher und holten sich diese doppelte Bestätigung ein. Für die Pressearbeit wäre diese Vorgehensweise jedoch sehr ungünstig gewesen, da ein großer Teil der langjährig aufgebauten Pressekontakte verloren gegangen wäre. Übrigens nicht etwa zwingend aus dem Grund, dass der jeweilige Kontakt tatsächlich aus dem Verteiler entfernt werden wollte. Vielmehr ging ein großer Teil dieser Bestätigungsmails in den übervollen Postfächern unter und viele Nutzer löschten sie ungelesen. Nach entsprechender Prüfung haben sich daher damals viele dazu entschieden, bei Presseverteilern keine weitere Bestätigungsanfrage zu versenden, sofern Journalisten sich im Vorfeld bereits einmal aktiv, ordnungsgemäß und per Double-Opt-In für den E-Mail-Presse-Newsdienst des Unternehmens angemeldet hatten. Das zeigt, dass es sich lohnt, einen kühlen Kopf zu bewahren, sich nicht von Panikstimmung anstecken zu lassen und sich mit den Details der DSGVO auseinanderzusetzen und gut überlegt zu handeln.“
Zu weiteren spannenden Themen aus der Digital- und Kommunikations-Branche geht es hier.