Der IT-Rechtler steht immer recht erstaunt vor populistischen Forderungen, insbesondere, wenn sie aus der Politik kommen, indes offenbar gewisse Basiskenntnisse über bestehende Gesetze  vermissen lassen.

Es gibt sie schon, die „neuen Gesetze“

Manch ein Politiker ruft jetzt nach neuen Gesetzen zum Datenschutz. Wer sich zumindest in den letzten Monaten, wenn nicht gar zwei Jahren mit dem Datenschutzrecht befasst hat, weiß, dass die EU-Datenschutz-Grundverordnung (DSGVO) bereits am 25. Mai 2018 gilt. Neben den drastischen Sanktionsmöglichkeiten, die nicht nur bis zu 20 Millionen €, sondern darüber hinaus 4 % des weltweiten Konzernumsatzes als Bußgeld vorsehen, treffen Unternehmen eine Vielzahl ganz dezidierte Verpflichtungen.

Für die hier in Rede stehenden Fälle sind vor allem Information und Einwilligung der Betroffenen zu nennen. Ich verwende hierzu gerne die Redewendung: „ein Blick ins Gesetz erspart manches Geschwätz“. Sieht man sich die Art. 13 und 14 DSGVO an, wird man bei aufmerksamer Lektüre eine Vielzahl von Informationspflichten erblicken.

Verwendung von Algorithmen für personalisierte Entscheidungen nicht neu

Auf Tatsachenebene ist – jedenfalls für mit der Materie Befasste  – allgemein bekannt, dass Unternehmen mit Targeting und vor allem dezidierten Algorithmen arbeiten. Solche Techniken sind nicht zuletzt der Grund, warum mit Blick auf die Geltung der DSGVO derzeit erhebliche Aufwände in eine datenschutzkonforme Umsetzung eingebracht werden. Führende Online-Unternehmungen wissen sehr viel über die jeweiligen Nutzer. Dies geht von der Kenntnis der politischen Einstellung über die Einschätzung, ob ein Nutzer Single ist oder sich bald trennen möchte, bis hin zu dem konkreten Kaufverhalten. Große Online-Versender wissen schon, dass eine bestimmte Anzahl an Personen in naher Zukunft bestimmte Artikel bestellen wird und betreiben auf dieser Erkenntnis ihren vorausschauenden Bestellprozess. All dies ist nicht neu, genauso wenig wie Cookies, die Nutzer nach Sichtung eines Produktes dauerhaft mit der diesbezüglichen Bewerbung  reizen (können). Soweit jetzt in der Politik diskutiert wird, dass es Regelungen geben muss, die offenbaren, wenn ein Nutzer unterschiedliche Preise erhält, gibt auch hier der Blick in das Gesetz dem Anbieter schon bereits zum 25. Mai die Verpflichtung auf zu belehren über,

das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Vorstehendes gilt genauso für die Informationspflicht, dass ein Händler personenbezogene Daten im Rahmen einer automatisierten Entscheidungsfindung verwendet und dies dazu führen kann, dass der Betroffene den Artikel bei schlechter Bonität nicht mehr auf Rechnung, sondern nur noch durch Vorauskasse erhalten kann.

Richtig ist sicherlich der Hinweis einiger informierter Politiker, die eine effektive Anwendung des (dann geltenden) Rechts fordern. Das Recht ist vorhanden, muss angewendet und durch die jeweiligen Unternehmen auch beachtet werden.

Dennoch Auswirkung auf die Praxis – der Fokus liegt noch mehr auf dem Datenschutz

Für die Praxis bedeutet allerdings die jetzt noch einmal neuaufgeflammte Diskussion, dass dem Datenschutz und erst recht der bald geltenden DSGVO viel Aufmerksamkeit entgegengebracht werden wird, nicht zuletzt auch von den Aufsichtsbehörden.

Fälle wie der jüngste Datenskandal von Facebook und Cambridge Analytica werden mit neuer Strenge bei der Bußgeldverhängung behandelt werden, was auch Indizwirkung für Datenverstöße kleinerer Unternehmen haben dürfte.

Unternehmen sind daher weiter gut beraten, sich voll darauf zu konzentrieren, die entsprechenden Anforderungen an den Datenschutz umzusetzen