Teurer Zeitfresser statt digitaler Schutzschild
Datenschutz-Dschungel:
Acht Jahre DSGVO in der Praxis zeigen: Der bürokratische Aufwand überfordert den Mittelstand. Warum eine Kieler Digitalagentur gefühlt mehr Zeit mit Paragrafen als mit Pixeln verbringt – und warum die IHK jetzt ein DSGVOUpdate fordert.
Ein Meer aus Schiebereglern prangt auf dem Monitor. Spaltenweise steht die Anzeige auf „an“. Es sind digitale Schalter für Kategorien wie „Essenziell“, „Statistiken“ oder „Marketing“. Christopher Hlubek und Christian Lange blicken in ihrem Büro in der Kieler Innenstadt auf dieses ReglerLabyrinth. Dahinter verbergen sich 52 einzelne Partner und Referenzen. Für die Profis ist es ein Denkmal der Ineffizienz. „Kein ConsentBanner hat jemals irgendetwas besser gemacht“, konstatiert Hlubek trocken. Die Idee der informierten Einwilligung sei in der Praxis längst zu einem Klickritual verkommen. Nutzer hämmern unreflektiert auf „alle akzeptieren“, nur um endlich weitersurfen zu dürfen.
Die Schieflage der digitalen Welt
Seit der Einführung der DatenschutzGrundverordnung (DSGVO) vor acht Jahren hat sich das Arbeitsleben für DigitalDienstleister grundlegend gewandelt. Was früher eine technische Randnotiz war, ist heute ein massiver Zeit und Kostenfaktor. „Bei jedem Projekt macht das Einbinden von Consent Managern und CookieBannern gerade bei der Abstimmung massiv Arbeit“, erklärt Christian Lange. Dabei geht es den Geschäftsführern der networkteam GmbH nicht darum, den Datenschutz zu umgehen. Als Agentur legen sie Wert auf digitale Souveränität und Datensparsamkeit – auf ihrer eigenen Website verzichten sie konsequent auf Cookies sowie externe Dienste und nutzen Open Source, um Services lokal selbst zu betreiben.
Doch für ihre Kunden, oft mittelständische Unternehmen aus der Region, ist dieser Weg steinig. Wer moderne MarketingTools oder Kartenmaterial nutzen will, landet im bürokratischen Dickicht. Spätestens seit der Abmahnwelle wegen der Einbindung von Google Fonts ist die Rechtsunsicherheit für viele Betriebe zur teuren Realität geworden. „Google oder Amazon holen sich das Einverständnis einmal zentral und kontrollieren einen Riesenhaufen Dienste“, erklärt Hlubek. Während kleine Akteure bei jedem Besuch um Erlaubnis betteln müssen. „Die Großen kriegt man sowieso nicht, aber den Kleinen macht man es unnötig schwer“, resümiert Lange das Dilemma.
Wenn Abstimmungen die Innovation bremsen
Der PraxisCheck bei networkteam zeigt, wie tiefgreifend diese Verlangsamung ist. „Ein wesentlicher Teil der Zeit geht in Meetings mit den Datenschutzbeauftragten der Kunden drauf, nicht in die eigentliche Implementierung“, berichtet Hlubek. Jedes neue Feature muss erst durch den juristischen Filter. Da fast alles eine Grauzone sei, herrsche oft Ratlosigkeit. „Es wird alles verlangsamt“, so Hlubek. Unternehmen wollen vorwärtskommen und Innovationen bringen, werden aber durch langwierige Abstimmungsprozesse ausgebremst.
Besonders kritisch blicken die Unternehmer auf die Rolle der Aufsichtsbehörden. Statt pauschaler Warnungen brauche die Wirtschaft unterstützende, lösungsorientierte Beratung. Die IHK fordert hier eine verbindliche Guidance durch Checklisten und Mustervorgaben. Hlubek ergänzt, dass Verstöße dort bekämpft werden sollten, wo sie am effektivsten adressiert werden können – bei den PlattformHerstellern selbst, nicht bei den lokalen Nutzern, die auf die Technik oft gar keinen Einfluss haben.
Die Lösung könnte in technischen Standards liegen. Die IHK regt zum Beispiel an, die Einwilligung künftig über Browsereinstellungen zu lösen. Das würde den BannerWildwuchs beenden. Nach acht Jahren DSGVO ist das Fazit für Möller eindeutig: „Datenschutz ist wichtig, darf aber nicht zum Selbstzweck werden, der den Mittelstand lähmt. Es kann nicht sein, dass eine risikoarme Datenverarbeitung eines Kleinstunternehmens die gleichen Verpflichtungen hervorruft wie die der großen GAFAUnternehmen. Gerade jetzt geht es auch um die Wettbewerbsfähigkeit SchleswigHolsteins.“
Im Konferenzraum von networkteam kehrt kurz Ruhe ein. Draußen in der Innenstadt strömen die Menschen vorbei, das digitale Leben pulsiert auf ihren Smartphones. Christopher Hlubek klickt auf seinem MacBook durch die neue Testumgebung eines Kundenprojekts. Er zeigt auf eine interaktive Karte, die im Hintergrund über einen selbstgebauten Proxy läuft – eine technische Lösung, nur um die direkte Übergabe der NutzerIP an einen USDienst zu verhindern. „Das ist der Aufwand, den wir treiben, damit der Kunde nachts ruhig schlafen kann“, sagt er und lächelt schmal
Politischer Einsatz für das Augenmaß
Diese Einschätzung teilt Tina Möller, Rechtsexpertin der IHK zu Kiel. In ihrer Analyse zur Lage der DSGVO und der Betroffenheit der Wirtschaft macht sie deutlich, dass die DSGVO oft an der Realität vorbeigeht. „Der gesunde Menschenverstand hilft bei der Erfassung der Anforderungen kaum noch weiter. Das Gespür für ein datenschutzrechtlich konformes Verhalten ist den Datenschützern verloren gegangen. Was bleibt, ist eine enorme Rechtsunsicherheit, der Unternehmen häufig mit einer teuren, bürokratischen Übererfüllung begegnen“, sagt Möller.
Im Rahmen der Evaluierung der DSGVO fordert die IHK deshalb einen Kurswechsel hin zu mehr Praktikabilität. Ein zentraler Punkt ist für Möller die Ablösung des bisherigen „Onesizefitsall“Ansatzes durch eine stärkere Berücksichtigung der Belange von KMU. Möller führt hierfür konkrete Beispiele an: So setzt sich die IHK für die Einführung von Bagatellgrenzen in risikoarmen Alltagssituationen ein. Möller: „Eine einfache Tischreservierung im Restaurant mit Namen sollte keine Lawine an Dokumentations und Informationspflichten auslösen.“
Auch die Flut an Auftragsverarbeitungsverträgen ist der IHK ein Dorn im Auge. Christian Lange beschreibt, dass diese Verträge oft rituell abgehakt, aber nie wirklich gelesen werden: „Jeder müsste es prüfen, prüft es aber eigentlich nicht.“ Die IHK schlägt deshalb vor, diese Verpflichtungen gesetzlich festzulegen, statt für jede risikolose Datenüberlassung individuelle, inhaltsgleiche Verträge zu erzwingen.
Kontakt zur Expertin
Für Rückfragen zum politischen Forderungskatalog oder zur juristischen Einordnung der DSGVO können Sie sich an Tina Möller wenden:
Tina Möller
Geschäftsbereich Recht und Steuern
0431 5194258