Zwei Jahre Datenschutz-Grundverordnung – das „neue Normal“

Brüssel, 29.05.2020: Als die Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft trat, wurde es sehr hektisch. Alle Unternehmen realisierten damals: Jetzt geht es wirklich los. Einige wähnten sogar den Untergang des Unternehmertums. Zwei Jahre später zeigt sich, dass die Untergangs-Visionen nicht eingetreten sind. Richtig war und bleibt dabei die Feststellung, dass die neuen Regeln des Datenschutzes viel Kapazität und Ressourcen gerade im Mittelstand binden.

Datenschutz ist als absolute Grundvoraussetzung jeglicher datenverarbeitenden Prozesse in den Köpfen der Unternehmer fest verankert – dies zeigt auch die hohe und vor allem nicht abbrechende Zahl von Anfragen, die den MITTELSTANDSVERBUND erreichen.

Datenschutz ist überall

Ob Postkartenwerbung, Direkt-Marketing, Online-Auftritte oder Gewinnspiele im Geschäft – Datenschutz ist überall und macht keinen Unterschied zwischen Mittelständlern oder weltweiten Unternehmen. Vielleicht sind erstere noch stärker betroffen, agieren mittelständische Betriebe immer in einem lokalen Kontext – und damit der scharfen Aufsicht der Kunden. Hier gilt es also, den Betroffenen jederzeit klar und deutlich zu vermitteln, welche Daten zu welchem Zweck verarbeitet werden und vor allem: Wo darin der Mehrwert besteht. Denn: der Kunde, User oder Verbraucher ist aufgrund der vielschichtigen sozialen Medien gewohnt, seine Daten preiszugeben. Wo aber der Mehrwert einer solchen Preisgabe auch gegenüber kleineren Akteuren liegt, bleibt weiterhin eine der Hauptaufgaben der Mittelständler.

Datenschutz als Bremse?

Der Umgang mit den neuen Vorschriften stellt sich dabei oftmals zwar als Herausforderung dar, führt aber in den meisten Fällen nicht zur Unmöglichkeit ganzer Geschäftsmodelle. Anders sieht das Ganze hingegen im Bereich der aufkommenden Daten-Ökonomie aus: Viele Verbundgruppen erarbeiten derzeit Modelle, die das Teilen von Daten innerhalb von Verbünden erleichtern und damit dem wirtschaftlichen Gewicht der angeschlossenen Unternehmen insgesamt dienen sollen. Auch Deutschland und die Europäische Union versuchen derzeit, Europa digital souverän – also unabhängiger von großen Tech-Konzernen aus den USA – in die Zukunft zu führen. Daten-Räume und Daten-Infrastrukturen sind hierbei wohl die gängigen Schlagworte.

Hier zeigt sich hingegen, dass noch völlig unklar ist, wie und auf welche Art und Weise dabei auch personenbezogene Daten untereinander getauscht werden können. Schon die Definition des „personenbezogenen Datums“ bringt viele Zentralen dabei ins Schwitzen. Denn: Auch wenn die Daten im Einzelnen vielleicht keinen Personenbezug haben, kann eine Zusammenführung einzelner Daten wiederum einen solchen herstellen. Auch bei einem Mix aus unterschiedlichen Daten-Arten ist der genaue Umgang noch unklar.

Hier bedarf es auf politscher Ebene zunächst eine Anerkennung dieses Problems – im besten Fall danach verbunden mit praxistauglichen Lösungsansätzen. Nur so können die aufkommen mittelständischen Konzepte tatsächlich zum Erfolg führen.

„Gerade die Corona-Pandemie und die damit verbundene Isolation vieler Menschen zeigt, dass lokale Konzepte wieder gefragt sind. Damit diese auch vom Kunden wahrgenommen und sogar selbst mitgestaltet werden, braucht es wiederum einer praktikablen Auslegung der Datenschutz-Vorschriften.“, meint auch Tim Geier, Geschäftsführer Büro Brüssel, DER MITTELSTANDSVERBUND.

Cookie-Management und Datenschutz: Eine offene Flanke

Nach einem der jüngsten BGH-Urteile ist klar: Die Verwendung von Cookies kann nur auf der Grundlage einer Einwilligung erfolgen. Die damit verbundenen Folge-Fragen sind absehbar: Wie garantiere ich – gerade mit Blick auf die Verwendung großer Daten-Analyse-Dienste – eine gut informierte Entscheidung des Nutzers meiner Dienste? Was ist zu tun, wenn ein Nutzer seine Einwilligung widerruft? Gerade hier zeigt sich, dass auch das umfassende Gerüst der DSGVO an seine Grenzen stößt. Die immer noch in Brüssel verhandelte E-Privacy-Verordnung könnte hierbei mehr Klarheit und vor allem mehr Freiraum schaffen. Wünschenswert dabei wären auch hier Ansätze, die nicht nur großen Online-Diensten in die Karten spielen, sondern eine gangbare Lösung für alle betroffenen Unternehmen darstellen würde.

Auch wenn der Fokus der EU-Politik aufgrund der Corona-Pandemie aktuell auf anderen Themen liegt, bedarf es gerade hier und gerade jetzt klarer, verständlicher und auch umsetzbarer Regeln.

Fazit

Die DSGVO ist damit nicht das Ende, sondern erst der Anfang eines neuen Verständnisses von Datenschutz. Dieses Verständnis wird derzeit schon von Unternehmen gelebt und von den Kunden akzeptiert. Nunmehr gilt es, den Datenschutz fit für die Zukunft zu machen und neue Geschäftsmodelle nicht von vornherein zu verhindern.