Datenschutz: Webseite aus Angst vor Bußgeldern offline / Verordnung ein Jahr in Kraft
Heute vor einem Jahr ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten und hält Vereine und Unternehmen seitdem auf Trab. Aus Angst vor Bußgeldern haben die Lahrer Narren sogar ihre Homepage vom Netz genommen.
Lahr. Es waren fünf Buchstaben, die im Mai vergangenen Jahres einigen Anwälten, Webseitenbetreibern, Vereinsvorsitzenden und Unternehmern in ganz Deutschland Bauchschmerzen bereitet haben: DSGVO. Mit dieser Verordnung wollte die Europäische Union die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlichen. Davon betroffen: jeder Gewerbetreibende und jeder Verein. Auch in Lahr. Und da per Definition der DSGVO auch IP-Adressen als personenbezogene Daten gelten, war plötzlich jede Webseite gefährdet. Denn wer seine Webseite nicht ausreichend verschlüsselt und in der Datenschutzerklärung auf die Verarbeitung der Daten hinweist, riskiert seit dem 25. Mai 2018 ein hohes Bußgeld. Webseite ist offline: Dieses Risiko war Johannes Ruf, Oberzunftmeister der Lahrer Narrenzunft, irgendwann zu groß. Die Homepage der Narren wurde vom Netz genommen. "Hallo, diese Webseite ist bis auf Weiteres wegen der neuen Datenschutzrichtlinie offline", heißt es seitdem im Netz. "Die Homepage wird derzeit überarbeitet und geprüft", erklärt Ruf auf Nachfrage unserer Zeitung. Nach den Schulferien soll sich dann wieder jeder online über die Termine der Narren informieren können. Die Entscheidung, dem Internetauftritt vorerst den Stecker zu ziehen, habe der geschäftsführende Vorstand nach einem Infoabend des Landesdatenschutzbeauftragten getroffen, sagt Ruf weiter. Zu groß war die Angst vor Bußgeldern. "Wir können keine 15 000 Euro Strafe zahlen." Strafen bis zu 20 Millionen Euro: Eine pauschale Strafzahlung gibt es jedoch nicht, Rufs Zahl ist daher eher ein Beispiel als ein konkrete Bedrohung. In welcher Höhe ein Bußgeld verhängt wird, kommt auf den Einzelfall an. Das können in besonders schweren Fällen bis zu 20 Millionen Euro – oder bei Unternehmen bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – sein.
Der Oberzunftmeister "als verantwortungsvoller Vorstand" will seinen Verein jedoch auch ohne konkrete Bedrohung schützen. "Ich kann unseren Mitgliedern nicht zumuten, in finanzielles Risiko zu gehen." Insgesamt kritisiert Ruf die Vorschrift. "Es heißt immer, dass man das Ehrenamt stärken will, aber dann macht man gleichzeitig solche Vorschriften", sagt er. Ruf würde sich daher wünschen, dass man Vereine und multinationale Konzerne wie Google, Facebook und Amazon nicht in einen Topf wirft und schlägt eine "Maximalstrafe für Vereine" vor. Denn grundsätzlich hat er Verständnis für das Thema: "Daten sind sensibel, ganz klar." Daher gehe man schon immer sorgsam mit den Daten der Mitglieder um. Durch die DSGVO musste verschriftlicht werden, was genau mit den Daten passiert und wie diese verarbeitet werden. Zudem muss darüber informiert werden. Ein großes Problem war das bei den Lahrer Narren aber nicht.
Stadt hat hohen Aufwand: "Geändert haben sich für die Stadt Lahr vor allem die Dokumentation- und Informationspflichten, die viel Personalressourcen bindet", heißt es von der Stadt. Vor allem das Erstellen des Verzeichnisses für Verarbeitungstätigkeiten – also welche Daten in welcher Form verarbeitet und gespeichert werden – war eine Herausforderung. Und auch die Datenschutzinformation für Betroffene "machte eine große Arbeit". Ansonsten habe sich aber nicht viel geändert, sagt der behördliche Datenschutzbeauftragte Jürgen Witzelmaier. "Das Datenschutzniveau in Deutschland war bereits vor der DSGVO auf einem hohen Niveau."
Ein Bußgeld habe die Stadt noch nicht bezahlen müssen, dem Datenschutzbeauftragten ist auch keine Datenpanne bekannt. Auch die Bürger würden ihr Recht auf Auskunft, welche Daten die Verwaltung von ihnen verarbeit, nur selten nutzen. Die DSGVO-Einführung sieht Witzelmaier positiv. "Man macht sich Gedanken um den Datenschutz, das finde ich gut." Keine Abmahnung bekannt: "Man muss sich halt damit beschäftigen", sagt dagegen Michael Schmiederer, Vorsitzender der Lahrer Werbegemeinschaft. Bei ihm im Unternehmen sei die Umstellung relativ reibungslos verlaufen. Auch weil man wenig bis keine Kundendaten erfasse. Auf der Webseite habe man "alle gängigen Tools" abgeschaltet, oder über die Nutzung informiert. Von anderen Unternehmen aus der Werbegemeinschaft habe er ebenfalls von keinen Komplikationen gehört.
Auch bei der IHK Südlicher Oberrhein hat man bislang von keiner Abmahnung für ein Unternehmen gehört. "Manche haben E-Mails erhalten, die den Anschein einer Klage erwecken sollten. Aber die waren virenverseucht oder jemand wollte seine Dienstleistungen für den Datenschutz anpreisen", sagt IHK-Justiziar Markus Czogalla.
Insgesamt scheint die drastische Reaktion der Lahrer Narren in der Region also eher ein Einzelfall zu sein. Und der Landesdatenschutzbeauftragte für Baden-Württemberg, Stefan Brink, schreibt in einer Mitteilung: "Ehrenamtlich tätige Vereine und kleine Firmen ohne größere Datenverarbeitungen stehen nicht im Fokus unserer Kontrollaktion. Auch in dieser Hinsicht bewahren wir Augenmaß."
Insgesamt 3902 Beschwerden sind bei der Aufsichtsbehörde, dem Landesdatenschutzbeauftragten, im Jahr 2018 aus Baden-Württemberg eingegangen. Das sind etwa 30 Prozent mehr als 2017. Vor allem Beschwerden im nicht-öffentlichen Bereich (vor allem Unternehmen und Vereine) haben deutlich zugenommen, während die Beschwerden für öffentliche Bereiche in etwa gleich blieben. Zudem wurden von betroffenen Behörden, Unternehmen und Vereinen insgesamt 774 Datenpannen gemeldet. Kontrollen gab es 2018 nur 13. Diese Zahl soll sich im laufenden Jahr deutlich erhöhen. "2019 wird das Jahr der Kontrollen", hatte Stefan Brink angekündigt. Wobei eine Kontrolle nicht zwingend ein Bußgeld nach sich ziehe. Zwei Bußgeldbescheide unter der DSGVO wurden 2018 laut Tätigkeitsbericht ausgestellt. Zahlen für Lahr und die Region erfasst die Datenschutz-Behörde jedoch noch nicht.