EU-Datenschutzgrundverordnung

Mir wurde gestern Abend angeboten, ein Phrasenschwein zur DSGVO auf den Tisch zu stellen.
Um mein Umfeld weniger zu nerven, fasse ich meine Gedanken hier strukturiert zusammen.

Meine Perspektive beruht auf fehlenden juristischen Fachkenntnissen und dem Anspruch, das eigene Leben bewusst und informiert zu gestalten, indem ich Risiken und Folgen meines Handelns abschätze.

Bereiche, in denen ich die DSGVO bewusst anwende

Arbeit in Anstellung
Komplett easy: Ich erfülle die Vorgaben des Arbeitgebers (bei Mitdenken ist es nicht mehr ganz so easy, ist aber nicht meine Aufgabe und Verantwortung; wenn ich eine andere Auffassung hätte, könnte ich die einbringen und diskutieren).

privat aktiv und passiv
Ziemlich easy: Ich entscheide selbst, in welchen Bereichen ich mich bewegen möchte und an welchen Stellen ich mich vertieft mit dem Thema auseinandersetzen will/muss und an welchen Stellen ich einfach „wegklicke“

Projektarbeit als Freelancer
Ist okay: Eine eingeschränkte Geschäftstätigkeit erfordert keinen PR-Aufwand mit bewusst gestalteter Website etc.; ich führe meine eigenen Verfahrensverzeichnisse, setze bewusst ausgewählte Tools ein, schließe bewusst selbst ADV-Verträge ab, halte mich ansonsten an die Vorgaben der jeweiligen Auftraggeber, versuche, Datenhaltung auf meinen Geräten zu vermeiden, kann meine eigenen Chancen und Risiken einschätzen, bin in der Lage, sowohl die technischen als auch die verwaltungstechnischen Anforderungen selbst zu erfüllen.

Entstehende Mehrkosten kann ich aufgrund der Marktbedingungen nicht weiterberechnen/einkalkulieren. Da ich die Dinge selbst erledigen kann, ist das halt einfach so im Rahmen von selbständiger Gewerbetätigkeit.

Administrierung von Netzwerken und generelle Betreuung bei Fragen zur IT für kleine Unternehmen
Es ist ein Elend.

generell und wahrscheinlich auf viele kleine Unternehmen in Deutschland anwendbar:

  • es fehlen bei Auftraggebern Kenntnisse zu IT im allgemeinen und im besonderen (gerade bei langjährig bestehenden inhabergeführten Unternehmen besteht hier angesichts des allgemeinen Kenntnisstandes innerhalb der Gesellschaft kein Grund zur Häme – denen wurde IT zum Teil von außen und/oder durch Gesetze aufgezwungen)
  • es fehlen bei Auftraggebern Kenntnisse zur Funktionsweise von seit Jahren eingesetzter Software
  • es fehlen verwaltungsrechtliche Kenntnisse; mit den Begriffen „wirksam, verhältnismäßig und abschreckend“ kann nicht umgegangen werden, so dass händeringend nach genauen Vorgaben für rechtskonformes Handeln gesucht wird
  • es bestehen negative Erfahrungen mit Behörden (vermutete Willkür, harte Bestrafung von nicht wissentlich begangenen Fehlern)
  • angespannte Marktlage, in der entstehende Kosten für Beratung und erhöhten Arbeitsaufwand nicht auf Preise umgelegt werden können
  • zusätzliche Arbeiten können infolge fehlender Kenntnisse nicht selbst oder durch Familienmitglieder erledigt werden, so dass keine zusätzlichen Ressourcen zur Verfügung stehen
  • die Bußgeldandrohung wird als reale existentielle Bedrohung wahrgenommen: 4% vom Jahresumsatz in einer Branche mit geringen Margen würde für Einzelgewerbetreibende tatsächlich unter Umständen den Verlust des Privatvermögens bedeuten
  • seit 2016 gab es keinerlei im Alltag wahrgenommenen Hinweise auf die konkreten Auswirkungen der EU-DSGVO, auch durch die zuständigen Landesaufsichtsbehörden nicht; erst kurz vor dem Stichtag 25.05.2018 wurde das Thema in der Öffentlichkeit sichtbar: durch Panikmache von verschiedensten Akteuren und durch Begeisterung von Aktivisten
  • konkrete bereits früher stehende und nicht eindeutig geklärte Fragen wie z.B.

    • Wird vielleicht doch aufgrund der verarbeiteten Daten ein DSB benötigt?
    • Reicht intern oder besser extern?
    • Was ist in Bezug auf IT-Sicherheit der für ein kleines Unternehmen anzuwendende „Stand der Technik“?

    sind immer noch nicht geklärt; wie ein Verstoß in diesem Bereich eingeschätzt und geahndet wird, auch nicht

  • fehlende Ressourcen für juristische Begleitung/juristischen Beistand sind ein ganz klarer Wettbewerbsnachteil

anekdotisch:

  • Stärkung meiner Rolle als Systemadmin weg vom Arbeitsverhinderer hin zum Hoffnungsträger in Sachen Datenschutz
  • Beauftragung eines externen DSB, um Wohlwollen im Falle einer Kontrolle zu erreichen; dieser externe DSB scheint allgemeine Checklisten abzuarbeiten und erzeugt strittige Action, statt individuell zu beraten und zur Beruhigung beizutragen
  • vom Telefonanbieter wird zwangsweise eine neue Technologie eingeführt, die vom Anwender weder gewollt noch beherrscht wird und schon gar nicht in Bezug auf Datenschutz eingeschätzt werden kann – hier wird sich jetzt einfach auf den großen Namen verlassen
  • Betreuung erstreckt sich jetzt mehr auf rechtskonforme Dokumentation als auf tatsächliche Sorge für IT-Sicherheit durch Arbeit an der Technik, weil hier bei Fehlern das Risiko für ein Bußgeld höher scheint
  • Aufmerksamkeit verschiebt sich von tatsächlichem Datenschutz hin zur bürokratischen Pflichterfüllung und Schulterzucken in Bezug auf Rechtssicherheit
Warum ich mich aufregte und immer noch ärgere

Wir reden über gesellschaftliche Änderungen durch wirtschaftlichen Strukturwandel, über Änderung der Arbeitsbedingungen, Arbeitsmärkte etc.

Firmen, die aufgrund ihres vorausschauenden Handelns, ihrer Größe und Effizienz Marktbeherrschung erlangten, werden als Gefahr für die Gesellschaft gesehen und es wird häufig öffentlich der Eindruck vermittelt, dass ein Zerschlagen dieser Firmen eine Lösung für viele Probleme wäre.

Gleichzeitig wird Marktteilnehmern, die das Risiko einer selbständigen Tätigkeit auf sich nehmen und Alternativen bieten, die Geschäftstätigkeit derart erschwert.

Es hat den Anschein, dass für das Thema Datenschutz die damit verbundenen Themen und einzelne betroffene Marktsegmente übergangen (oder übersehen?) wurden.

Akteure, die die EU-DSGVO feiern, taten in Diskussionen so, als ob alles überhaupt kein Problem sei. Es kam der Vorwurf, dass sich ja nicht viel ändere und nur die Menschen/Unternehmen Probleme hätten, die schon die letzten zwei Jahre geschludert hätten und dass zu prüfen wäre, welche Agenda die Kritiker verfolgen würden.

Als ob betriebswirtschaftliche Zahlen keine Rolle spielen würden, als ob selbständige Gewerbetreibende mit kleinen Unternehmen nicht eh schon mit Bürokratie überlastet und überfordert wären und aufgrund ihrer Wochenarbeitszeit kaum Zeit zum Erwerb der Kenntnisse haben, als ob es nicht ein gesamtgesellschaftliches Defizit an Verständnis und Wissen im Bereich informationsverarbeitende Technologien gäbe.

Mit einer Selbstverständlichkeit wird von einzelnen „Traute“ im Umgang mit der DSGVO eingefordert, als ob das alles nur eine Frage des Willens und Wollens wäre.

Die Landesaufsichtsbehörden, also die, die die Bußgelder verhängen und sich gerade darüber freuen, endlich wirkungsvoll durchgreifen zu können, sind gleichzeitig die Anlaufstellen für Beratung und legen den Maßstab für die Bewertung und Auslegung der Bestimmungen fest.

Dabei wurde nicht mal eine Strafbefreiung bei Selbstanzeige (wie es die zum Beispiel im Steuerrecht gibt) vorgesehen – wem soll man denn unter diesen Umständen mit gutem Gewissen empfehlen, sich in Zweifelsfällen dort beraten zu lassen?

Diese Behörden sind bis heute noch nicht mit ausreichenden Mitteln ausgestattet – auch hier war seit 2016 Zeit, sich vorzubereiten.

Diese Mängel liegen nicht in der Verantwortung der EU-Abgeordneten, aber diese lassen öffentlich jegliches Verständnis vermissen und vermitteln den Eindruck, dass alle, die sich jetzt schwer tun, einfach nur unwillig (oder zu dumm?) sind. Deren Statements beziehen sich fast ausschließlich auf Online-Anwendungen; dass von den Regelungen so gut wie jeder Gewerbetreibende betroffen ist, weil es es kaum noch Daten gibt, die nicht personenbezogen sind, wird schlichtweg ignoriert.

Selbst wenn keine besonderen Maßnahmen zu treffen sind, ist ja das auch erst einmal zu ermitteln und festzuhalten.

Begeisterung und Engagement für das Thema Datenschutz sind so nicht zu erreichen, selbst Sachlichkeit dazu ist schwer durchzubringen.

Ausführlicher als ich hat das Thomas Knüwer in seinem Blog „Indiskretion Ehrensache“ aufgegriffen: http://www.indiskretionehrensache.de/2018/06/dsgvo-eu/

Worüber ich ernsthaft wütend bin

Jugendliche werden aus Räumen, die inzwischen zum Alltagsleben selbstverständlich dazu gehören, einfach ausgeschlossen
Das muss man sich auf der Zunge zergehen lassen: ab dem 13. Lebensjahr dürfen Jugendliche täglich zwischen 8:00 und 18:00 Uhr zwei Stunden arbeiten, ab dem 14. Lebensjahr sind sie voll religionsmündig, aber um sich in den gleichen Räumen wie die Erwachsenen aufhalten zu dürfen, benötigen sie die Erlaubnis ihrer Eltern.

Die Benutzung von sozialen Medien ist altersbezogen dem Kauf von „weichem“ Alkohol und dem ersten möglichen Führerschein gleichgestellt.

Jeder, der auf einem Elternabend jenseits der Grundschule oder in einem Vortrag von Manfred Spitzer einschließlich anschließender Diskussion war, wird meine Bauchschmerzen nachvollziehen können.
Das Thema, das Erwachsene unter sich nicht wissenschaftlich klären können, wird jetzt von den Jugendlichen über den Datenschutzweg ausgebadet.

Nele Heise hat das in ihrem Blogartikel „The first cut is the deepest“ beschrieben.

Webseiten werden vom Netz genommen
Von einer Datenschutz-Aktivistin wurde ich gefragt, ob es tatsächlich so schlimm sei, wenn jetzt einige Seiten erstmal vom Netz gehen würden.

Ich finde das schlimm. Mir tut es um jede Handarbeitsseite leid, um jedes Küchenblog, um jedes noch so kleine Projekt, das jetzt vom Netz genommen wurde, weil der Aufwand der Anpassung zu groß erscheint.

Selbst wenn die Projekte inzwischen inaktiv sind: sie sind ein Teil unserer Kultur, unseres Wissens, unserer Zeit. Uns wird in einigen Jahren etwas fehlen: der Ersatz für die Fotoalben, Tagebücher, Kochbücher, Mode- und sonstigen Zeitschriften etc., die uns heute faszinieren, wenn wir sie aus anderen Jahrzehnten in die Hände bekommen. Vieles, was vor Jahren noch analog zusammengetragen wurde, findet inzwischen im Netz statt.
Im Moment fehlt es uns noch nicht, weil jeden Tag etwas neues passiert. Irgendwann werden wir diese Lücken bemerken. (Das gilt auch für Papierdokumente, die jetzt im Zweifelsfall eher vernichtet als archiviert werden.)

Online-Angebote, die als Alternativen zu Monopolisten gestartet sind, werden eingestellt
Hier handelt es sich nach meiner Wahrnehmung bis jetzt um Projekte, die zum Stichtag sowieso eher vor sich hindümpelten und nur noch online waren, weil sie keine hohen Kosten verursachten; hier war die DSGVO wahrscheinlich nur der letzte Anstoß. Beispiele, bei denen ich selbst Accounts hatte, sind PaperC und SoBooks.

Schade, dass wir alle immer auf GAFA schimpfen, aber auf die Alternativen nicht genügend achten.

Projekte, die aus zivilgesellschaftlichem Engagement enstanden sind, ruhen
Die Hürden, etwas auszuprobieren, werden einfach immer höher gelegt.
Ein Beispiel, von dem ich weiß, dass Datenschutz immer ernst genommen wurde, ist die Beteiligungsplattform „Liquid Erfurt“ des Vereins Demokratielabor e.V..

Bislang hatte ich den Eindruck, dass die Schnittmenge von Personen, die sich für Datenschutz engagieren, mit der von Personen, die sich für Teilhabe, Diversität, ein offenes, dezentrales Netz, Offene Daten, Offene Bildungsressourcen interessieren, ziemlich groß ist.

Jetzt wird für den Datenschutz fast klaglos in Kauf genommen, dass Teilhabe wieder elitär wird: entweder in Bezug auf Wissen zum datenschutzkonformen Selbermachen oder in Bezug auf Finanzen für den Einkauf der entsprechenden Dienstleistungen.

Was ich befürchte

Interessenabwägungen
Ob Daten erhoben, verarbeitet und weitergegeben werden dürfen, wird im Streitfall überwiegend zugunsten der Unternehmen entschieden.

In einer Gesellschaft, die ausschließlich auf Wirtschaftswachstum baut und nicht aufhört, Daten als „das neue Öl“ zu bezeichnen, und in der von Behörden und Körperschaften des öffentlichen Rechts halbgare Software eingesetzt wird, mache ich mir da keine Illusionen.
Einwilligungen von uns werden dann vielfach nicht erforderlich sein; Unternehmen, die es sich leisten können, die entsprechenden Rechtsstreite zu führen und eventuell auch zu verlieren, werden da einen klaren Marktvorteil gegenüber finanzschwächeren Unternehmen haben.

private Inhalte werden so gut wie nur noch über geschlossene Plattformen veröffentlicht

Plattformen werden die Dienstleistung anbieten, sorgenfrei DSGVO-konform zu agieren, und dabei die Bedingungen und Designs bestimmen.

Mit meiner Meinung stehe ich nicht alleine; dass ich auf einmal zum Beispiel einem Gastbeitrag im Handelsblatt zustimme, finde ich nicht lustig.

es wird ein Gewöhnungseffekt wie bei den AGB einsetzen
Die vielen Erklärungen auf Webseiten werden nicht gelesen und verstanden, sondern einfach nur als störend weggeklickt.

Die Folge ist ein uninformiertes Einverständnis mit dem gleichzeitig beruhigenden Gefühl, dass ja alles DSGVO-konform ist

die DSGVO wird als Deckmantel für das Versagen von Informationen und Dienstleistungen verwendet
Das Projekt openschufa.de, das sich zum Ziel gesetzt hat, die Algorithmen hinter den SCHUFA-Scores herauszufinden, teilte zum Beispiel per Twitter mit, dass die SCHUFA wegen der DSGVO nicht mehr alle Scores an die anfragenden Personen herausgibt und ihnen das Schwierigkeiten bereitet.

Allgemeine Verbraucherrechte werden über den Dreh DSGVO durchgesetzt
Auch wenn das Ergebnis Recht zu geben scheint: wenn wir Verbraucherrechte, die innerhalb eines Vertrages selbstverständlich sein sollten, per DSGVO durchsetzen, höhlen wir das Thema Datenschutz am Ende aus und es wird beliebig.

Aktuelles Beispiel: Es wurde in Österreich erwirkt, dass der Zugang zu alten Bankdaten gratis gewährt werden muss (vorher wurde dafür eine Jahresgebühr in Höhe von 30 EUR berechnet).

Das klingt auf den ersten Blick klasse, die Auskunft zu Kontoumsätzen hat nur mit Datenschutz im Grundsatz nicht viel zu tun, sondern sollte eigentlich eine geschuldete Leistung aus dem bestehenden Vertrag über Bankdienstleistungen sein.

Was mir fehlt

Mir fehlt in den öffentlichen Statements und Berichterstattungen die klare Abgrenzung von Datenschutz und Privacy. Ich fürchte, dass der Unterschied vielen Menschen nicht klar/bewusst ist.

In diesem Zusammenhang fehlt mir auch die ständige Erinnerung, dass die DSGVO nicht für Behörden gilt und nicht vor staatlicher Überwachung schützt.

Was ebenfalls kaum noch zu sehen ist: die Aufforderungen/Erinnerungen und Anleitungen zur digitalen Selbstverteidigung.

Dieses bloße Feiern der Verordnung ohne Einordnung und ohne Blick auf die praktischen Fragen und Probleme der Anwender jenseits von GAFA ist für mich verdammt enttäuschend und geht mir verdammt auf die Nerven.

Beitragsnavigation