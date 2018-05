Was für Sorgen die Datenschutz-Grundverordnung (DSGVO) schürt, zeigt das Beispiel von Maren Baumann. Obwohl die Bloggerin ihre Website schon mit einer neuen Datenschutzerklärung ausgestattet hat, will sie in diesem Artikel nicht mit ihrem richtigen Namen erscheinen – aus Angst vor einer Klage.

"Ich lasse mich ungern anonymisieren", sagt Baumann im Gespräch mit ZEIT ONLINE. "Aber ich will nicht diejenige sein, an der ein Exempel statuiert wird." Was sie damit meint: Sie will nicht die erste sein, die wegen eines Verstoßes gegen die DSGVO abgemahnt wird. Durch das neue Gesetz, das ab dem 25. Mai verpflichtend umgesetzt werden muss, können auch Bloggerinnen wie sie zu Schadenersatzzahlungen verurteilt werden. Wie teuer das wird, ist schwer zu sagen. Die in der Verordnung festgeschriebene Höchstsumme liegt bei 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei Unternehmen.

Ein Blick in die Blogosphäre verdeutlicht, dass diese Angst nicht nur Baumann umtreibt – und dass viele nicht so genau wissen, was sie eigentlich noch dürfen und was nicht. Die Bloggerin Kathrin Sandtner-Frieß will die Funktion, ihre Beiträge per E-Mail zu abonnieren, vorsichtshalber löschen. Der Fotograf Gunther Wegner bemerkt in einem Beitrag, dass er "in Zukunft stärker aufpassen" werde, welche Bilder er veröffentliche. Die Bloggerin Alice Gabathuler macht sogar einen radikalen Schnitt. Sie habe schlicht "null Lust auf eine Tonne Administration", wie sie auf ihrer Website Kreuz und Quer schreibt. "Die Datenschutzbeauftragte in meiner Firma ist meine Sekretärin, und die bin ich (unbezahlt)." Nach zwölf Jahren stellt sie ihren Onlineauftritt ein.

Eigentlich ist das neue Gesetz nicht gezielt für Blogger ausgelegt, sondern in erster Linie für Unternehmen, die Daten verarbeiten. Die DSGVO soll unter anderem dem großen Datensammeln von Google und Facebook, von Amazon und Netflix Einhalt gebieten. Statt ungehindert alles zu speichern, sollen sie ihren Nutzerinnen und Nutzern wenigstens ein bisschen mehr Hoheit über ihre Informationen gewähren: Die Verbraucherinnen und Verbraucher können ihre Daten herunterladen und bei einem anderen Dienst hochladen (das soll Datenmonopole brechen), sie können Fragen zu der Art der gesammelten Daten stellen (das soll mehr Transparenz schaffen), sie können ihre Daten löschen lassen, wenn sie nicht mehr benötigt werden (das soll unnötige Werbung verhindern). Für die Verbraucher bedeutet das mehr Transparenz – für Websitebetreiber mehr Arbeit.

Kleinere Firmen, Blogger, Vereine und gemeinnützige Organisationen stehen nun vor der Frage, wie sie die Verordnung erfüllen sollen. Denn mit der Anpassung der Datenschutzerklärung ist es nicht getan: Sie müssen sich mit Hosting-Verträgen, Plugins und Datenverarbeitung auf ihren Seiten auseinandersetzen. Oft fehlt aber die Expertise, das Geld oder die Zeit für eine Auseinandersetzung mit den rechtlichen Pflichten. Was können Betreiberinnen und Betreiber also tun, wenn sie mit ihren Webauftritten online bleiben wollen?

Die Datenschutzgrundverordnung – DSGVO Was ist die DSGVO? Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz. In 99 Artikeln regelt der Staatenbund damit die Verarbeitung von personenbezogenen Daten im Netz. Dazu gehören unter anderem sensible Informationen wie Namen oder biometrische Daten, aber auch solche zur politischen Meinung oder zur ethnischen Herkunft. Die Verarbeitung umfasst alles von der Erhebung, Speicherung, Veränderung bis hin zur Auswertung von Daten. Betroffen von der Verordnung sind alle, die sich im Internet bewegen und in irgendeiner Weise Daten verarbeiten: Privatpersonen, Websitebetreiber, soziale Netzwerke, App-Anbieter, kleine Handwerksbetriebe und Dax-Konzerne.



Die DSGVO ersetzt das alte Datenschutzgesetz aus dem Jahr 1995 und gilt unmittelbar für alle EU-Staaten. Es vereinheitlicht also den Datenschutz in Europa. Seit 2016 gibt es eine Umsetzungsfrist, die am 25. Mai 2018 abläuft. Wer die Vorgaben ab dann nicht anwendet, dem drohen Strafen von maximal 20 Millionen Euro oder vier Prozent des Jahresumsatzes.

Was ändert sich? Die Datenschutz-Grundverordnung soll vor allem den Verbrauchern mehr Rechte einräumen und Unternehmen stärker in die Pflicht nehmen. Websites müssen ihre Besucher künftig beispielsweise darüber aufklären, welche Daten sie erheben. Jede Person kann zudem die Informationen anfordern, die ein Unternehmen über sie sammelt. Binnen eines Monats müssen die Daten dann von den Firmen zur Verfügung gestellt werden. Auch den Zweck können Verbraucherinnen anfragen.



Ein weiterer wichtiger Aspekt ist das Kopplungsverbot. Wenn jemand beispielsweise ein T-Shirt im Netz kauft, darf der Onlineshop nur die Daten erheben, die wirklich zur Abwicklung der Bestellung benötigt werden – Name, Adresse, vielleicht noch die Telefonnummer. Wenn er aber die Lieferung an die Bedingung knüpfte, dass er dem Nutzer Werbung via E-Mail oder per Post schicken kann, verstieße das gegen die DSGVO: Diese Informationen wären für den Einkauf nicht notwendig, die Weitergabe der Daten somit nicht freiwillig. Was sagen die Experten? Die Meinungen zur DSGVO gehen auseinander: Verbraucherschützer feiern das neue Gesetz, die Wirtschaft sieht es eher kritisch. Der Bundesverband Verbraucherzentrale (VZBV) lobte schon bei der Verabschiedung des Gesetzes, dass es auch für ausländische Unternehmen außerhalb der EU gilt – wie etwa Google und Facebook. Auch dass Nutzer nun aktiv in die Verarbeitung ihrer Daten einwilligen müssten, wurde positiv bewertet. Die Wirtschaft sieht sich dagegen in ihrer Arbeit beeinträchtigt. BDI-Präsident Dieter Kempf kritisiert die "Datensparsamkeit" der DSGVO, dass Daten also nur noch dann erhoben werden dürfen, wenn sie einem bestimmten Zweck dienen. Dabei haben große Unternehmen immerhin Rechtsabteilungen, die sich mit dem Gesetz auseinandersetzen können. Für Blogger oder kleine Webseitenbetreiber wie Arztpraxen oder Vereine könnte es dagegen problematischer werden. Sie müssen ihre Seite ebenfalls auf die DSGVO anpassen. Debatten gibt es auch hinsichtlich der Regelungen zur Fotografie und Onlinewerbung. Experten erwarten deshalb in den kommenden Monaten und Jahren zahlreiche Klagen. Gerichtsurteile könnten dann die Unsicherheiten des Gesetzestexts ausräumen.

Bevor Menschen ihren Onlineauftritt löschen, sollten sie prüfen, ob die Datenschutz-Grundverordnung überhaupt auf sie zutrifft. Denn Privatpersonen sind laut des Gesetzestextes explizit ausgeschlossen von der Umsetzung, solange sie ausschließlich "persönliche oder familiäre Tätigkeiten" im Netz ausüben. Darunter würde beispielsweise ein geschütztes Blog fallen, auf den nur Freunde und Familie zugreifen können, aber auch ein privates Twitter- oder Instagram-Profil.

Allerdings dürften diese Voraussetzungen auf die wenigsten Seiten zutreffen. "Fast jede Website ist von der DSGVO betroffen", sagt Rechtsanwalt Thomas Schwenke, der sich mit Datenschutz befasst. Schon eine Kommentarspalte oder ein Kontaktformular reichen aus, damit ein Onlineauftritt unter die EU-Verordnung fällt. Schließlich werden beim Abschicken einer Anfrage Angaben wie die E-Mail-Adresse oder der Name der Person verarbeitet und gespeichert. Genau solche Informationen dürfen laut DSGVO jedoch nur mit der Zustimmung der Nutzerinnen geteilt werden. Gaben sie bisher automatisch ihr Einverständnis, in dem sie die Daten eintrugen, müssen Betreiber sie nun auf die Verarbeitung hinweisen. Selbst eine freiberufliche Webdesignerin mit einer statischen Website, die ein paar Informationen über das Portfolio enthält, kommt also um die Verordnung nicht herum.