DSGVO: Was steckt wirklich hinter der Hysterie?

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) der EU am 25. Mai hagelt es Kritik, Belustigung, Kopfschütteln und skurrile Anekdoten. Jetzt sei sogar die Visitenkarte eine Datenschutz-Falle. Die GDPR Hall of Fame sammelt die besten Fundstücke. Das Internet macht sich über den Datenschutz lustig – nur wenige Tage, nachdem Mark Zuckerberg wegen des Facebook-Datenskandals vor US- und EU-Ausschüssen aussagen musste.

Dabei schreiben die Autoren in der Verordnung, der technologische Wandel erfordere „einen soliden, kohärenten und klar durchsetzbaren Rechtsrahmen” (Grund 7). Der Datenschutz-Experte und Jurist Dr. Thomas Schwenke sagt, Datenschutz sei nun so kompliziert wie das Steuerrecht. Hunderttausende Unternehmen, Vereine, Freiberufler, Blogger und andere „Verantwortliche” sind überfordert, während die Abmahn-Maschinerie bereits angelaufen ist.

Angesichts der Folgen der DSGVO wird der EU vorgeworfen, ihre Arbeit sei schlampig, undurchdacht und weit entfernt von der Praxis der Menschen. Das bestärkt die weit verbreitete Überzeugung, in Brüssel würden weltfremde Bürokraten arbeiten, die sich immer noch mit Gurkenverordnungen beschäftigten.

So unterhaltsam all diese Nachrichten einer vermeintlich weltfremden EU auch sind, so oberflächlich und anekdotisch bleiben sie. Ein gründlicher Blick unter die Motorhaube offenbart einen Gesetzgeber, der Schwierigkeiten hat, die Komplexität einer digitalen Gesellschaft zu bewältigen.

Wir betrachten im Folgenden die fundamentalen Probleme der DSGVO und mögliche Lösungen für einen zeitgemäßen Datenschutz.


Alles verboten


Der Schutz personenbezogener Daten ist nach Artikel 8 Absatz 1 der EU-Charta ein Grundrecht, ebenso nach Artikel 16 Absatz 1 der AEUV. Somit ist die Verarbeitung personenbezogener Daten ein Eingriff in ein Grundrecht und erfordert eine explizite Erlaubnis, einen Beweis für diese Erlaubnis und die Informierung des Betroffenen. Das ist vergleichbar mit dem Recht auf körperliche Unversehrtheit. Jeder Eingriff benötigt eine gesetzliche Erlaubnis oder eine Zustimmung des Betroffenen.

Aus diesem Grund wendet die DSGVO das Prinzip „Verbot mit Erlaubnisvorbehalt” an. Das bedeutet, dass jede Verarbeitung von Daten verboten ist, wenn sie nicht durch ein Gesetz erlaubt wurde. Zudem gilt die Beweislastumkehr, die die Datenverarbeiter verpflichtet, die Rechtmäßigkeit der Verarbeitung zu beweisen. Das ist ein wichtiger Grundsatz, verlangt aber vom Gesetzgeber, möglichst präzise und dem Stand der Technik entsprechende Erlaubnisse zu definieren.

Genau das tut die Verordnung allerdings nicht. Sie ist in vielen Bereichen zu grob, zu einfach und somit unzureichend. Die Schwierigkeit beginnt bereits bei den breiten Definitionen von „personenbezogenen Daten” und „Verarbeitung” (Artikel 4, Absätze 1 und 2). Bei personenbezogenen Daten denken viele Menschen an eher private Angaben wie Name, Geburtsdatum oder Hobby. Der Gesetzgeber sieht aber auch IPs und Geräte-IDs als schützenswert an, ebenso geschäftliche Daten wie die berufliche E-Mail-Adresse.

Das wäre zunächst nicht so schlimm, aber die Verordnung behandelt alle Daten und alle Formen der Verarbeitung als gleichwertig und gleich schützenswert. „Verarbeitung” ist jeder beliebige Vorgang mit Daten, von der Erfassung bis zur Löschung. Für die Anwendbarkeit des Gesetzes spielen die Art, der Umfang, die Dauer oder der Zweck der Verarbeitung keine Rolle. Mit wenigen Ausnahmen gelten überall die gleichen strengen Regeln. Es gibt lediglich eine separate Kategorie für besonders sensible Daten, z. B. Angaben zu Religiosität und Sexualität (Artikel 9). Für sie gelten zusätzliche Regeln wie die Datenschutz-Folgenabschätzung (Artikel 35).

Dadurch unterliegt ein Foto der Jugendfußball-Mannschaft durch einen Journalisten der Lokalpresse den gleichen strengen Regeln wie die massenhafte und umfassende Datensammlung durch Google oder Facebook. Der Fotograf muss ggf. die Einwilligung aller Eltern einholen und dokumentieren (unter 16 Jahren sind Jugendliche nicht einwilligungsfähig, siehe Artikel 8). Die Nutzung des Fotos darf nur zu dem Zweck erfolgen, der zum Zeitpunkt der Einwilligung festgelegt wurde. Alle Betroffenen können jederzeit Widerspruch einlegen und die Löschung ihrer Fotos verlangen.


Zweifel über berechtigte Interessen


Nach Artikel 6 kann die Verarbeitung auch zur Wahrung von berechtigten Interessen erfolgen. Diese werden durch die Verordnung nicht genauer definiert. Juristen streiten sich, welches Interesse berechtigt ist. Nach gängiger Interpretation ist es ein berechtigtes Interesse, Werbung an die eigenen Kunden zu schicken. Trotzdem erhalten wir tagtäglich mehrere E-Mails, in denen Unternehmen um unsere Einwilligung bitten.

Die Interpretation wurde den Unternehmen überlassen. Sie müssen ihre eigenen Interessen gegen die Interessen der Betroffenen abwägen – und entscheiden, ob ihr Interesse höher wiegt. Dabei sind sie in einem klassischen Interessenkonflikt und unvermeidbar voreingenommen. Manche Unternehmen werden sich mit einer Einwilligung absichern, während andere lieber das Risiko einer Strafe auf sich nehmen, weil sie ihre Interessen überbewerten.

Ein Beispiel: Gemäß der DSGVO müssen alle Bewerber-Daten vernichtet werden, wenn der Bewerbungsprozess beendet ist und dem Bewerber abgesagt wurde. Das Unternehmen hat aber ein Interesse daran, die Daten zu behalten, weil der Bewerber wegen Diskriminierung klagen könnte und das Unternehmen den Bewerbungsprozess nachweisen muss. Kein Gesetz erlaubt das explizit und eine Einwilligung des Bewerbers ist nicht zu erwarten. Ob dies also ein berechtigtes Interesse ist, wird erst die Rechtsprechung herausfinden.


Wirtschaft als Exekutive des Staates


Das Gesetz verpflichtet Unternehmen, alle Lieferanten zu überwachen, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten. Dafür müssen Auftragsverarbeitungsverträge (AVVs, früher auch ADVs) abgeschlossen werden und die Lieferanten u. a. mit Inspektionen kontrolliert werden – und zwar regelmäßig, z. B. jährlich (Artikel 28, Absatz 3 h). Ein Unternehmen mit tausend Firmenkunden müsste durchschnittlich 5 Inspektionen pro Tag bei sich erwarten.

Um den Aufwand und das Risiko zu reduzieren, werden viele kleine und mittlere Unternehmen (KMUs) dazu neigen, die IT-Services einer möglichst geringen Zahl von Lieferanten anzunehmen. Sie werden zu Konzernen tendieren, statt eine Vielzahl kleiner Softwarehäuser zu beauftragen. Diese Konzerne erlangen einen Wettbewerbsvorteil. Die meisten KMUs haben weder die Kompetenz noch die Ressourcen, um die Überwachung ihrer Lieferanten effektiv durchzuführen. Konzerne mit ihren Abteilungen für Qualitätsmanagement und Compliance tun sich leichter.

Aktuell schließen KMUs massenhaft AVVs ab – mit Forderungen und Pflichten, die sie oft nicht einhalten können. Aus Unkenntnis und Zeitmangel verwenden sie Vorlagen, z. B. die des Bayerischen Landesamts für Datenschutzaufsicht, die von vielen Beratern und in zahlreichen Vorlage-Paketen übernommen wurde. Ein Auszug:

„Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen.”

Zur Erinnerung: Es spielt keine Rolle, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Das Abrufen der E-Mails reicht aus. Der Arbeitgeber muss jeden Firmenkunden fragen, ob ein Mitarbeiter (dessen Daten dafür an alle Kunden weitergegeben werden müssen), gelegentlich zu Hause arbeiten kann und diesen Kunden Zugang zur Wohnung des Mitarbeiters ermöglichen.

Ist die EU verrückt geworden? Nein. Die DSGVO schreibt das nicht vor. Für die Auslegung zu dieser 88-seitigen Grauzone wird u. a. die ISO 27001 genutzt. Derartige Normen sind auf größere Unternehmen mit erhöhten Ansprüchen ausgelegt. Außerdem bieten sie die Möglichkeit, die Norm auf die eigene Praxis anzupassen, wofür geeignete Experten beschäftigt werden.

Diese Komplikationen entstehen, weil der Gesetzgeber private Unternehmen, die dazu nicht befähigt sind, mit der Überwachung der Wirtschaft beauftragt. Man stelle sich folgendes Szenario vor: Der Staat hört auf, Kontrollen bei Lebensmittelherstellern durchzuführen. Er verpflichtet, Imbiss-Betreiber, ihre Lieferanten zu überwachen. Sie haften dann mit, wenn der Hersteller Standards verletzt.


Auch Datenschutz ist „Neuland”


Deutschland hätte mit dem neuen Bundesdatenschutzgesetz (BDSG-neu) und mit anderen Gesetzen einige Punkte konkretisieren und sogar abmildern können. Beispielsweise erlaubt die Verordnung allen EU-Staaten, die Altersgrenze für die Einwilligung auf bis zu 13 Jahren zu senken. Ausnahmeregelungen für Vereine, Blogger oder kleine Unternehmen wären möglich und wurden durch andere EU-Staaten auch genutzt (z. B. Österreich).

Leider hat die große Koalition die Anforderungen des 21. Jahrhunderts erneut verschlafen und behandelt dieses „Neuland” weiterhin stiefmütterlich. Auf die harsche Kritik von allen Seiten – Handwerk, Wirtschaftsverbänden und Verbrauchern – will die Kanzlerin mit einem „Nachbesserungsgesetz” als Notpflaster reagieren. Erneut zeigt sich, dass die GroKo auf den technologischen Wandel nur reagieren kann, statt aktiv an der Mitgestaltung der Zukunft mitzuwirken.

Deutschland hinkt hinterher: beim Netzausbau, bei der Digitalisierung der Behörden, bei der Vermittlung von Medienkompetenz an Schulen und bei der Förderung von Startups. Die Politik reagiert, wenn der Druck groß genug wird – ansonsten lässt sie andere Länder links und rechts vorbeiziehen.

Der EU allein lassen sich die Probleme nicht anlasten. In Brüssel sitzt immer noch ein sehr schlanker Apparat, dem häufig die Mittel und die Rückendeckung der nationalen Regierungen fehlen, um effektiv arbeiten zu können. Die EU wird allerdings auch von nationalen Regierungen gern als Sündenbock dargestellt.


Medienkompetenz ist der Schlüssel


Gegen Ende der 2000er Jahre, als Facebook und Twitter in rasantem Tempo wuchsen und Netzneutralität und die Vorratsdatenspeicherung aktuelle Themen waren, hörte man oft den Satz: „Das Internet vergisst nie”. Damals fürchtete man den Datenhunger des Staates und bezeichnete z. B. Schäubles Sicherheitspolitik als „Stasi 2.0”. Das Internet reagierte mit Tools und Infomaterialien zum sicheren Surfen. Das Ideal war ein Bürger mit Medienkompetenz, der „Digital Native”, der sich gegen einen übergriffigen Staat zur Wehr setzen kann. Darüber wird heute kaum noch gesprochen.

Es ist jetzt der Staat und es sind teilweise auch Konzerne (siehe NetzDG), die einen als unmündig betrachteten Bürger vor „diesem Internet” schützen sollen. In vielen Schulen ist Medienkompetenz weiterhin ein nachrangiges Thema. Zwar findet die Technik Einzug. Jedoch sollte es beim Umgang damit nicht nur darum gehen, die Nutzung von Tablets und Apps zu erlernen, sondern ein grundlegendes Verständnis der digitalen Welt zu schaffen. So schutzbedürftig dieses Grundrecht auch ist: Wir sollten allen Menschen ein gewisses Maß an Medienkompetenz zutrauen bzw. sie darin unterstützen, diese zu erlangen.


Eine kompetente EU


Mit der DSGVO hätte man explizit Bedingungen festlegen können, unter denen bestimmte Daten für bestimmte Zwecke und unter bestimmten Umständen unkompliziert verarbeitet werden können. Wer vor einem Fotografen posiert oder eine Visitenkarte auf der Messe verteilt, hat freiwillig einer Verarbeitung dieser Daten zugestimmt. Gleichzeitig könnten strenge Regeln zum Profiling und der Verarbeitung sensibler Daten weiter bestehen.

Immer kürzere Innovationszyklen und eine komplexer werdende Gesellschaft machen es unmöglich, eine Verordnung mit detaillierten Richtlinien zu beschließen, die mit dem technologischen Wandel mithalten kann. Die DSGVO bleibt sehr ungenau und spricht z. B. bei technischen Schutzmaßnahmen nur vom „Stand der Technik” (Artikel 32). Über die Auslegung sollen sich Juristen und Informatiker streiten.

Dieses Dilemma könnte gelöst werden, wenn die EU ein dauerhaftes Expertengremium einrichten würde, das detaillierte und verbindliche Richtlinien im Rahmen einer allgemeinen Verordnung festlegt und diese kontinuierlich aktualisiert. Die regionalen Aufsichtsbehörden benötigen ausreichende personelle Ressourcen und Befugnisse, um proaktiv die Einhaltung der Datenschutzrichtlinien zu überwachen und Unternehmen zu überprüfen.

In unserem Grundsatzprogramm bekennen wir uns zum Grundrecht auf informationelle Selbstbestimmung. Wir wollen einen hohen Datenschutzstandard, der kontinuierlich den Erfordernissen angepasst und konsequent angewendet wird. Er muss zeitgemäß den technischen und gesellschaftlichen Entwicklungen Rechnung tragen und dabei transparent, verständlich und praktikabel sein. Die EU ist dabei die zentrale und maßgebende Stelle. Doch um diese Ansprüche erfüllen zu können, muss sie organisatorisch und finanziell besser ausgestattet werden. Eine Verwaltung, die weniger Angestellte hat als eine mittlere europäische Stadt, und ein Haushalt, der nicht einmal die Hälfte des deutschen Bundeshaushaltes umfasst, sind dafür nicht ausreichend

[starbox]

Schreibe uns doch eine Nachricht:

Sending

©2018 Partei der Humanisten – Rational. Liberal. Fortschrittlich.

Log in with your credentials

Forgot your details?