Desaster DSGVO: Flur­schaden für den Bürger und Mit­tel­stand — Chance für Daten­kraken und Phishing

Der Staub legt sich langsam, wie nach einem huma­ni­tären US-Angriff zum Schutz der bedrohten Bevöl­kerung, tastet sich die­selbe vor­sichtig aus den Trümmern, klettert auf die Über­bleibsel der Welt von gestern und schaut sich um.
Nach anderthalb Wochen DSGVO kann man getrost sagen: Grandios gescheitert. Ope­ration gelungen, Patient tot. Die Reak­tionen reichen von bit­terem Humor, Ver­zweiflung bis purem Zorn.

 
Daten­kraken nutzen die DSGVO zu ihrem Vorteil
Die berühmten „Daten­kraken“ Google, Facebook, Amazon & Co werden kei­neswegs gebändigt, sondern pro­fi­tieren noch von alldem. Facebook kün­digte mit großem Tamtam an, sich den Regeln der DSGVO gewis­senhaft zu unter­werfen. Dazu bekommt der Nutzer neue Aus­wahl­mög­lich­keiten, um den Daten­zu­griff für „Micro­tar­geting“ zu redu­zieren. Allen schönen Worten zum Trotz wird Facebook wei­terhin Men­schen ana­ly­sieren und aus­werten, um seinen Wer­be­kunden genau die rich­tigen Ziel­gruppen vor die Rekla­me­flinte zu schieben.
Ganz harmlos ver­packt Facebook in dem ganzen Daten­nut­zungs-Erlaub­niswust aber die Ein­wil­ligung zur auto­ma­ti­schen Gesichts­er­kennung. Genau dieses Feature war bislang in der EU auf Gegenwehr gestoßen und löste ziem­liche Empörung aus. Nun rechnet Facebook – nicht einmal zu Unrecht – damit, dass viele Nutzer schon ermüdet von den stän­digen Daten­schutz-Mails, einfach alles mög­liche erlauben und nicht mehr allzu sorg­fältig die Optionen durch­forsten. Während in den USA eine mil­li­ar­den­schwere Sam­mel­klage gegen diese Gesichts­er­kennung läuft, wird sie in der EU nun im Zuge der DSGVO auf leisen Pfötchen frei­willig hereingelassen.
 
Für den eigentlich schüt­zens­werten Bürger der Horror
Die Effekte der DSGVO sind erschre­ckend und zeugen davon, was die bestürzten Par­la­men­tarier einen Tag vor dem Inkraft­treten des Daten­schutz­wahn­sinns selbst bemerkten: Sie hatten keine Ahnung, was sie ver­ab­schiedet – bzw. nicht ver­hindert – haben. Zu viele Seiten zu lesen, keine Lust das Kon­volut durch­zu­ar­beiten, was soll’s? Abnicken, hallamarsch.
Am Don­nerstag letzter Woche wachten plötzlich Poli­tiker der C‑Parteien auf und ver­langten hek­tisch ein Blitz­gesetz, um die schlimmsten Aus­wüchse dieses Blöd­sinns noch irgendwie einzufangen.
Während in Öster­reich von vor­ne­herein Pri­vat­leute, Hand­werker und Frei­be­rufler erst bei sys­te­ma­ti­schen Ver­stößen mit def­tigen Strafen rechnen müssen, bekam der brave Köter­michel gleich die volle Packung: Bei Verstoß gleich ent­weder 4% des glo­balen Jah­res­um­satzes (das kann den kleinen Mann kaum wirklich schrecken) oder 20 Mil­lionen Euro – je nachdem, was höher ist. Abge­segnet von unseren Volksvertretern.
Ent­spre­chende Panik machte sich am 25. Mai breit. Die Daten­mons­ter­ver­ordnung führten zu teil­weise kuriosen, aber auch trau­rigen Auswirkungen.
Dut­zende Web­seiten aus­län­di­scher Zei­tungen aus den Staaten waren für Europäer nicht mehr erreichbar. Andere Länder kümmern sich zum Teil über­haupt nicht darum. Man wird mit einem freund­lichen Hinweis einfach aus­ge­sperrt, sobald der ange­peilte Server eine IP aus der EU, sicher­heits­halber auch noch ein paar Länder drum­herum (z. B. Island und Nor­wegen) erkennt.

 
DSGVO: Schrecken der kleinen Mittelständler
In Deutschland treibt die neue Daten­schutz­ver­ordnung vor allem die Klein­un­ter­nehmer und klei­neren Mit­tel­ständler zur blanken Ver­zweiflung. Kleine Firmen, die sich einen Kun­den­stamm von zwi­schen 50 und 10.000 Kunden haben wissen über­haupt nicht, wie sie es schaffen sollen alle diese Kunden anzu­schreiben – oder ob sie das gar nicht müssen. Sie laufen auf die Seminare der ört­lichen IHKs, die ihnen aber auch nur all­ge­meine Erklä­rungen anbieten, aber keine Zeit haben, sich um jeden Betrieb im Ein­zelnen zu kümmern. Fach­kundige Anwälte sind für die meisten unbe­zahlbar und im Übrigen voll­kommen ausgebucht.
Manche sind einfach dazu über­ge­gangen, bei anderen Web­seiten die so etwas ähn­liches machen wie der eigene Betrieb, einfach abzu­kupfern und zu hoffen, dass das Heer der Abmahn­an­wälte nicht so genau hinschaut.
Der Aufwand ist nicht unbe­trächtlich: Die DSGVO regelt, dass Unter­nehmen künftig die Daten ihrer Kunden sicher ver­walten müssen und sie nicht mehr ohne aus­drück­liche Ein­wil­ligung zu Wer­be­zwecken wei­ter­geben dürfen; dass sie zudem Aus­kunft geben müssen, inwiefern Dritte die Kun­den­daten eben­falls nutzen und wo sie gespei­chert werden. Auf Kun­den­wunsch müssen sie die Kun­den­daten löschen.
Daten sind das Öl des 21. Jahr­hun­derts, heißt es. Und man muss die Bürger vor den bösen Daten­aus­beutern schützen, damit ihre Daten nicht benutzt und für kom­mer­zielle Zwecke miss­braucht werden.
Das Heer der kleinen Firmen, deren Besitzer kurz vor dem Ruhe­stand sind, den kleinen Laden noch aus Freude an der Sache und/oder Zubrot zur Rente betrieben haben, keinen Nach­folger für ihr Geschäft bekommen oder aus Idea­lismus als Gemein­schaft mit viel Zeit und Pri­vatgeld eine gemein­nützige Sache betrieben haben, diese große Zahl an wert­vollen Men­schen und beson­deren, kleinen Firmen und Blogs gibt nun zum Teil auf.
 
Ein Stück Wirt­schafts- und Kul­tur­ge­schichte des 21 Jahr­hun­derts stirbt mit den kleinen Blogs
Nun, die großen Daten­kraken haben, wie bereits bemerkt, Bataillone teurer Fach­ju­risten und ihre Schäfchen im Tro­ckenen. Wie steht es aber um den Bürger selbst? Hat die Politik, die uns ja die groß­artige DSVGO geschenkt hat, über­haupt auf dem Schirm, dass die Bürger nicht nur aus schutz­be­dürf­tigen Kon­su­menten bestehen, sondern auch aus Wirt­schaft- und Handel-Trei­benden? Also, in der weitaus über­wie­genden Zahl die­je­nigen, die bekann­ter­maßen ja andauernd durch scham­losen, aus­ufernden Daten­miss­brauch auf­fallen und endlich einmal mit dra­ko­ni­schen 20-Mil­lionen-Strafen zur Raison gebracht werden müssen.
Der kleine Laden­be­sitzer, die Hun­de­pension, der Bäcker oder Metzger, Fuß­ball­vereine, Senioren-Wan­der­clubs oder die Tanz­ver­an­stalter und regionale Aus­richter von Events, Kin­der­gärten und Backesfest-Orga­ni­sa­toren, Schul­lei­tungen wie auch Schüt­zen­vereine und Regionalzeitungen.Den Familien mit Täuf­lingen darf nicht mehr gra­tu­liert werden und den 80jährigen Jubi­laren. Sil­berne, goldene und dia­mantene Hoch­zeiten fallen unter „per­so­nen­be­zogene Daten“. Sogar Sport­wett­kampf­ergeb­nisse dürfen nicht mehr kund­getan werden, weder auf der Vereins- Web­seite, noch im Lokalblättchen.

Jeder noch so kleine Brauch­tums­verein oder Bas­tel­gruppe mit Blog muss wochenlang nach­lesen, Rat suchen, den über­las­teten Hobby-Web­seiten-Admi­nis­trator anflehen, ob er nicht wei­ter­helfen kann. Sollen sie selbst bei ihrem Web­hoster nach­for­schen, wo der die Daten spei­chert? Aber selbst wenn der Aus­kunft gibt, ver­stehen sie das auch? Wie sollen sie Daten­spei­cher­pläne und Lösch­pläne erstellen? Und selbst wenn man einen Anwalt zu Rate zieht, ver­steht man nicht, was der einem sagt. Anrufen ist sinnlos, weil man ihn nicht an die Leitung bekommt. Und könnte der Anwalt sich viel­leicht auch irren? Kann man über­haupt noch ris­kieren, einen News­letter zu verschicken?
 
Das viel­fältige Angebot wird kleiner und begünstigt gerade die Großen

Öffent­liche Ver­kehrs­ge­sell­schaften, die Bus- und S‑Bahntickets online ver­kauft haben, mussten die Shops schließen. Bereits gekaufte Tickets können nicht mehr abge­fahren werden.
Online Com­mu­nities und Foren, die Nut­zer­daten spei­chern, sind bis auf Wei­teres nicht mehr erreichbar. Viele Online-Video­spiele („Super Monday Night Combat“, „Rag­narok Online“) sind nicht mehr zugänglich. Es lohnt sich bei dem Daten­schutz­aufwand einfach nicht mehr.
 
Private Blogs schließen zuhauf oder stellen erst einmal einen Papp­deckel ein, der erklärt, man wolle vor­sichts­halber erst abwarten, wie sich die DSGVO-Front ent­wi­ckelt, um dann zu über­legen, ob man über­haupt wieder online geht. Unzählige kleine Blogs ört­licher Feu­er­wehren oder Rot­kreuzler, Näh- und Hand­ar­beits­blogs oder zum Aus­tausch von Tipps und Tricks mit Modell­ei­sen­bahnen, Koch­re­zepten, Modell­flug­zeugen, Old­timer-Auf­be­reitung und Imker­er­fah­rungen sterben schweigend. Niemand hat Zeit und Geld, sich mit dem töd­lichen Monster DSGVO einzulassen.
 

 
Gemein­de­leben und der mit­mensch­liche Umgang: Und immer droht die DSGVO
Schul­leiter und Vereine, die bisher gut mit Tele­fon­listen und Tele­fon­ketten gear­beitet haben, müssen jetzt von jedem ein schrift­liches Ein­ver­ständnis ein­holen. Und per­so­nen­be­zo­genen Daten dürfen über­haupt wie gespei­chert sein? Wie geht eine Schule mit hun­derten von Schü­ler­daten um? Und was ist mit ehe­ma­ligen Schülern?
Das führte dazu, das bei vielen Ver­einen der gesamte Vor­stand vor­sichts­halber zurücktrat, weil niemand Lust hatte, mit seinem gesamten Pri­vat­ver­mögen für even­tuelle Fehler oder Falsch­for­mu­lie­rungen ein­zu­stehen. Nimmt man die DSGVO wirklich genau, müsste jeder Ver­eins­vor­stand zu jedem ein­zelnen Mit­glied fahren und es bitten, eine Erlaubnis zu unter­schreiben, dass man ihm einen Brief an seine Post­adresse schreiben darf. Bei nicht selten über hundert Ver­eins­mit­gliedern wäre das ein Voll­zeitjob für zwei Monate mindestens.
Sehr schön exer­ziert auch die Seite Daten­schutz-Notizen eine mög­liche Ter­min­ab­sprache bei einem Arzt durch:
Stellen Sie sich fol­gende Situation in einer Arzt­praxis vor:
Frau Müller: „Gemein­schafts­praxis Schulze und Meyer, Sie sprechen mit Frau Müller. Guten Morgen, was kann ich für Sie tun?“
Herr Beyroth: „Beyroth, guten Morgen. Das ist ja echt schwierig, bei Ihnen durch­zu­kommen. Es ist ja per­manent besetzt.“
Frau Müller: „Ja, es ist gerade viel los, Grip­pe­welle und dann das neue Datenschutzrecht.“
Herr Beyroth: „Daten­schutz­recht? Naja, ich brauche einen Termin zur Auf­fri­schung der Tetanus-Impfung.“
Frau Müller: „Waren Sie schon mal bei uns?“
Herr Beyroth: „Nein, ich bin neu in der Stadt und suche einen neuen Hausarzt.“
Frau Müller: „Sie haben Glück, wir nehmen noch neue Pati­enten auf.“
Herr Beyroth: „Das klingt gut. Ich könnte am 20.3., 8:00 Uhr. Ginge das?“
Frau Müller: „Ja, das ginge. Bevor ich Sie bzw. den Termin in unser System auf­nehmen kann, muss ich Sie über den Daten­schutz infor­mieren. Das ist jetzt Pflicht, weil Sie noch nicht bei uns waren. Also:
Ver­ant­wortlich für die Daten­ver­ar­beitung ist die Gemein­schafts­praxis Dr. med. Paul Schulze und Dipl. med. Johann Meyer.
Daten­schutz­be­auf­tragter ist Herr Peter Müller. Sie erreichen ihn unter 0421/ 123456.
Zweck der Daten­ver­ar­beitung ist die Vor­be­reitung und Durch­führung eines Behandlungsvertrages.
Wir spei­chern die Daten für 10 Jahren, auf­grund § 9 Mus­ter­be­rufs­ordnung Ärzte und § 603f Bür­ger­liches Gesetzbuch.
Herr Beyroth: „Sind Sie fertig?“
Frau Müller: „Nein. Sie haben das Recht auf Aus­kunft, Berich­tigung, Löschung bzw. Ein­schränkung der Ver­ar­beitung und das Recht auf Datenübertragbarkeit.“
Herr Beyroth: „Ich will doch nur einen Termin.“
Frau Müller: „Den bekommen Sie auch gleich. Sie können sich noch bei der Daten­schutz-Auf­sichts­be­hörde beschweren, wenn Sie der Meinung sind, dass wir Ihre Daten nicht daten­schutz­konform ver­ar­beiten. Das wäre Frau Dr. Sommer, Arndt­straße 1, 27570 Bre­mer­haven, Tel.: 0471 596 2010.“
Herr Beyroth: „Aber sie machen doch sicher alles datenschutzkonform?“
Frau Müller: „Natür­liche, aber ich muss sie darauf hin­weisen. So. Fertig. Nun zu Ihrem Termin. Ich habe Sie am 20.3. um 8 Uhr bei Herrn Dr. Schulze eingetragen.“
Herr Beyroth: „Endlich! Vielen Dank. Bis dann.“
Die Erz­diözese Freiburg setzt die Über­tragung von aus­ge­wählten Got­tes­diensten im Internet vorerst aus: „Um diesen Dienst rechts­konform bereit­zu­stellen, müsste vorher von allen an der Lit­urgie Mit­wir­kenden (Zele­branten, Minis­tranten, Lek­toren, Sänger…) sowie von allen Got­tes­dienst­be­su­chern einzeln eine per­sön­liche Zustimmung zur Über­tragung ein­geholt und diese doku­men­tiert werden – das ist nicht durch­führbar. Um rechts­konform zu handeln, ver­zichtet das Erz­bistum Freiburg deshalb bis auf wei­teres auf Live-Über­tra­gungen. Dies betrifft bereits auch die geplante Über­tragung am kom­menden Hochfest des Leibes und Blutes Christi (Fron­leichnam) am kom­menden Don­nerstag (31. Mai 2018).“
 
Neue Mög­lich­keiten für Betrüger: Die DSGVO macht’s möglich
Woran unsere weisen und weit­sich­tigen Poli­tiker offenbar auch nicht gedacht haben, ist, dass sie damit eine völlig neue Spiel­wiese für Betrüger geschaffen haben, die nämlich mit solchen Gefälschten Opt-In-Daten­schutz-Mails an die doch zu schüt­zenden Bürger her­an­treten und genau die aller­wich­tigsten und schüt­zens­wer­testen Daten mit dieser Nummer ergaunern und schweren Schaden anrichten: Die per­sön­lichen Login-Daten für Amazon, Bank­konten, Goo­gle­konten, Paypal und so weiter:

 
Merkel will angeblich „lockern“, aber keiner weiß, wie, ob und wann
Von der im letzten Moment beab­sich­tigten Lockerung der irr­sin­nigsten DSGVO-Vor­schriften für jeden Gemü­se­ver­käufer ist nicht mehr viel zu hören. Frau Bun­des­kanz­lerin ließ ein wohl­do­siert for­mu­liertes Geschwurbel ab, was aber genau gar nichts sagt:
Natürlich brauchen wir Daten­sou­ve­rä­nität bei den ein­zelnen Men­schen. Die Richt­linie darf aber nicht dazu führen, dass der Umgang mit Daten nicht mehr prak­ti­kabel ist. Die Arbeit mit großen Daten­mengen, das so genannten Big Data Management, ist ein wich­tiger Wirt­schafts­faktor und damit zentral für die weitere Ent­wicklung des Landes.
Eine geradezu klas­sische, mer­kelsche Wort­hülse ohne Inhalt und Ver­bind­lichkeit. Man wartet wahr­scheinlich ver­gebens auf irgendeine brauchbare Aktion aus Berlin. Auch von den Par­la­men­ta­riern, die uns das alles ein­ge­brockt haben, wird keine Hilfe kommen.