Nachdem man gestern aus allen Rohren beschossen wurde, hat sich nun der Pulverdampf gelegt.
Jetzt warten alle gespannt auf das, was da kommt.
Tja, ich bin etwas zwiegespalten.
Positiv:
Auf der einen Seite finde ich das, was die DSGVO eigentlich erreichen will, richtig gut. Alle Unternehmen müssen sich Gedanken machen, was sie eigentlich für Daten speichern und benutzen und es soll das Prinzip der Datensparsamkeit durchgesetzt werden.
Firmen sollen nur noch die Datenspeichern, die sie wirklich brauchen.
Diese wirklich notwendigen Daten (aus gesetzlichen oder vertraglichen Gründen) dürfen sie ohne Wenn und Aber speichern.
Nur für zusätzliche Daten müssen sie entweder eine Interessenabwägung machen (schwierig ohne gerichtlich bestätigte Beispiele und rechtlich unsicher, weil das Gericht anders abwägen kann) oder eine Einwilligung einholen (schwierig, weil man das dokumentieren muss und jederzeit wieder löschen können muss).
Es wäre also wünschenswert, wenn die Firmen sich auf ihre vertraglichen Pflichten beschränken und dann wäre es auch für diese der einfachste Weg.
Negativ:
Da es wenig bis gar keine offiziellen Anleitungen gibt, was man wie machen muss, herrscht auch bei den Firmen, die eigentlich keine Probleme haben sollten, weil sie nur vertraglich notwendige Daten speichern, große Rechtsunsicherheit. Was muss man wie schreiben, damit man auf der sicheren Seite ist. Da gibt es unzählige verschiedene Meinungen zu.
Dazu kommt, dass die Informationspflicht in der DSE völlig übertrieben ist. Man muss da so viel reinschreiben (oder glaubt das), dass es so unübersichtlich ist, dass es niemand mehr liest. Z.B. der Teil über "Rechte des Benutzers" ist bei allen Firmen absolut identisch, muss aber dort stehen. Dazu kommt, dass der Teil dann der längste von allen ist, wenn man kein Tracking etc. betreibt. Diese Informationen verfehlen damit völlig ihr Ziel.
Leider Praxis:
Anstatt sich wirklich um die Ziele zu kümmern und sich zu beschränken (siehe erster Punkt) wird man von allen Firmen mit Datenschutzerklärungen tot geschmissen, die niemand liest. Anstatt das eigene Tun bezgl. Tracking, Plugins etc. zu überdenken, wird einfach ein Riesensermon in die DSE geschrieben, dass man dass unbedingt machen muss und zwar auf Grund einer Interessenabwägung. Ich möchte wetten, dass sich da keiner Gedanken über irgendwelche Interessen gemacht hat, sondern einfach von den Hausjuristen gesagt bekam: "Schreib das, dann dürfen wir weiter machen wie bisher." Ob das Interesse wirklich überwiegt, ist noch gar nicht so einfach geklärt. Es gibt keine juristischen Beispiele dazu. Ich vermute stark, dass die einfach auch darauf setzen, dass niemand gerichtlich prüfen lässt, ob die Interessenabwägung wirklich stattgefunden hat bzw. richtig ist.
Fazit für mich momentan:
Die Firmen, die sich eh schon vernünftig verhalten, haben keine Rechtssicherheit, wie sie sich verhalten sollen.
Die Firmen, die sich eigentlich ändern sollten, machen weiter wie bisher. Sie können sich dann darauf berufen, dass sie Datenschutz für wichtig nehmen, denn sie haben ja alles aufgeschrieben und informiert. Eine Prüfung der Interessenabwägung wird wohl selten bis gar nicht erfolgen, fürchte ich.