Kaum ein Thema sorgt wohl im Raum Internet aktuell für so viel Unmut wie die DS-GVO (Datenschutz Grundverordnung). In Unternehmen herrscht absolute Verunsicherung, die von einer Vielzahl an Falschaussagen begleitet wird. Das ist Grund genug für mich, eine Blogreihe zu dem Thema DS-GVO zu starten. Dabei möchte ich einige Mythen ausräumen und von persönlichen Erfahrungen berichten. In diesem Beitrag geht es mir um die grundlegende Bedeutung der DS-GVO.
Woher kommt die Idee eigentlich?
Egal ob in dem Bundestag hitzig diskutiert wird, Unternehmerverbände für eine Abschwächung appellieren oder in den Medien Angst geschürt wird, die DS-GVO ist eines der wichtigsten Gesetze (eigentlich ist eine Verordnung kein Gesetz) des 21. Jahrhunderts. Die Bedeutung leitet sich dabei 1:1 aus der Bedeutung des Internets ab. Keiner würde bestreiten, dass das Internet das wichtigste Medium in der aktuellen Wirtschaftsentwicklung ist. Das Problem ist, dass der Gesetzgeber immer den realen Entwicklungen hinterherläuft. Das war schon zu Zeiten der Industrialisierung so. Dadurch konnte sich auch das Internet weitestgehend ohne rechtliche Beschränkungen entwickeln.
Einfach gesagt: Jeder durfte machen, was er wollte.
Daraufhin haben die einzelnen Länder mit regionalen Datenschutzgesetzen versucht das Problem zu lösen. Da wir aber in der europäischen Gemeinschaft leben, wollen wir auch von dem Vorteil profitieren, dass wir in jedem Mitgliedsstaat mit den gleichen Bestimmungen unsere Produkte anbieten können. Und hier kommt die DS-GVO ins Spiel. Sie ist eine Verordnung und gilt somit in allen Mitgliedsstaaten unmittelbar. Durch die sogenannten Öffnungsklauseln erlaubt sie den Mitgliedsstaaten trotzdem an bestimmten Stellen eigene Regelungen zu erlassen, solange diese der DS-GVO nicht entgegenstehen. Dadurch wurde ein einheitlicher Rechtsraum für alle Mitgliedstaaten der EU erreicht. Das ist das digitale Äquivalent zu Schengen.
Die DS-GVO ist zu kompliziert und unsinnig.
Zugegeben – die fehlende Rechtssprechung zu dem Thema gestaltet die Anwendung manchmal schwierig. Einige sehr spezielle Themen befinden sich momentan noch in der Grauzone, aber das sind absolute Spezialfälle. Die DS-GVO selbst ist erstaunlich gut aufgebaut und in sich logisch. Sie können den Text beispielsweise hier (https://dsgvo-gesetz.de/) selbst nachlesen. Das ist im Zweifel auch leichter als in Foren nach Meinungen zu suchen. Sie werden erstaunt sein, wie oft Sie mit Ihrem Bauchgefühl richtig liegen. Sie sollten die Kundendaten einfach so wie Ihre Eigenen behandeln.
Na und – mir sind meine Daten egal.
Bei diesem Satz zucke ich immer zusammen. Da man Unternehmen wie Google, Amazon oder Facebook nicht sieht oder anfassen kann, ist die Datenübermittlung für viele so abstrakt, dass sie es schlichtweg akzeptieren. Sie würden keinem realen Menschen freiwillig so geheime Informationen geben, doch akzeptieren es bei den digitalen Riesen ohne Zweifel.
Google kennt Sie besser als Ihre Ärzte, Ihre Familie und sogar besser als Sie sich selbst.
Wussten Sie beispielsweise, dass Sie bei der Verwendung von Google Sprachdiensten zugestimmt haben, dass alles Gesprochene auf den Google Servern gespeichert wird. Das betrifft auch die „Text zur Sprache“ Funktion, die Sie vielleicht für Whatsapp nutzen. Sie können alle Sprachaufzeichnungen in Ihrem Google Profil anhören. Das geheime Aufzeichnen von Sprache regelt der deutsche Gesetzgeber übrigens sogar im Strafgesetzbuch (§201 StGB) und ahndet es auch mit Freiheitsstrafen bis zu drei Jahren. So sensibel werden diese Daten juristisch eingeschätzt.
Daten sind die wertvollste Währung im Internet.
Sie bezahlen im Internet wenig bis nichts für Dienste wie Facebook oder Google. Das betrifft jedoch nur den monetären Aspekt. Sie zahlen nämlichen mit Ihren Daten. Personenbezogene Daten sind die Währung im Internet (neben Bitcoin versteht sich). Die großen Datensammler erstellen dabei Profile über die einzelnen Personen und können Einfluss auf das Kaufverhalten aber auch auf die Meinungsbildung nehmen. Wozu das führen kann, hat die US-Wahl gezeigt. Durch das Ignorieren der DS-GVO nehmen viele Unternehmen unwissentlich an diesem Konstrukt teil und sammeln Daten an der Front. So informiert beispielsweise ein Geschäft für Babyausstattung durch das Einbinden des Facebook oder Google Analytics Pixels die Konzerne darüber, wer aktuell ein Baby hat und wer nicht.
Die DS-GVO unterstützt ein Grundrecht.
Die Datenschutz-Grundverordnung hat im Kern eine Aufgabe – sie unterstützt das Recht auf informationelle Selbstbestimmung. Dieser Begriff geht bereits auf das Jahr 1971 zurück und wurde im Jahr 1983 vom Bundesverfassungsgericht als ein Grundrecht anerkannt. Es besagt vereinfacht:
Jeder darf selbst über seine Daten und deren Verarbeitung bestimmen.
Dieses Recht hat auch Einzug in die Charta der Grundrechte der EU gefunden. In Art. 8 GRCh wird der Schutz der personenbezogenen Daten als Grundrecht beschrieben. Das können Sie beispielsweise hier (https://dejure.org/gesetze/GRCh/8.html) nachlesen. Die DS-GVO ist also eine Verordnung, die den Umgang mit diesem Grundrecht näher bestimmt. Dabei ist folgendes Grundverständnis der Thematik wichtig:
Das Verarbeiten personenbezogener Daten ist grundsätzlich verboten.
Ich lese oft in Foren, dass man Prozesse nutzen kann, die die DS-GVO nicht verbietet. Das ist ein Denkfehler, da das Verarbeiten personenbezogener Daten grundsätzlich verboten ist. Die DS-GVO beschreibt hingegen Ausnahmen, für die eine Verarbeitung zulässig ist. Das heißt in Beamtendeutsch:
Verarbeitungsverbot mit Erlaubnisvorbehalt
Dieses Grundverständnis im Umgang mit Daten ist essentiell und ein wichtiger juristischer Grundpfeiler für die Digitalisierung. Die DS-GVO beschreibt keine Verbote, sondern definiert Ausnahmen von diesem Verbot. Sie benötigen eine zulässige Rechtsgrundlage für die Verarbeitung. Diese Rechtsgrundlagen werden in Art. 6 DS-GVO (hier: https://dsgvo-gesetz.de/art-6-dsgvo/ nachlesen) aufgezählt. Sie dürfen also weiterhin Ihre Kundendaten verarbeiten, aber Sie sollten die Rechtmäßigkeiten, auf die Sie diese Verarbeitungen stützen, untersuchen. Dazu werde ich in einem weiteren Blogbeitrag mehr schreiben.
Wo Licht ist, ist auch Schatten.
Die DS-GVO ist eine Verordnung, die der Digitalisierung einen wichtigen rechtlichen Rahmen gibt. Wie wichtig dieser ist, wird vor allem bei biometrischen Daten deutlich. Dieses Beispiel erzähle ich gerne, wenn Kunden der Umgang mit den eigenen Daten nicht wichtig ist. Der Unterschied zu allen anderen personenbezogenen Daten ist, dass Sie biometrische Daten nicht einfach neu beantragen können, wenn sie gestohlen wurden. Die biometrische Authentifizierung wird in naher Zukunft an Bedeutung gewinnen und Sie würden beim Verlust Ihrer biometrischen Daten von diesem Markt ausgeschlossen werden, da Ihre Daten nicht länger einmalig sind. Dank der DS-GVO müssen Unternehmen, die solche Daten erfassen, viele wichtige Auflagen erfüllen, wodurch ein Verlust frühzeitig verhindert werden soll.
Die DS-GVO überfordert kleine Unternehmen.
Leider ist bei der Umsetzung der DS-GVO einiges schief gegangen. Der Staat hat zwei wichtige Maßnahmen für die korrekte Umsetzung eingeleitet:
- Es gab zwei Jahre Vorlaufzeit für die Umsetzung.
- Eine DS-GVO Beratung kann gefördert werden.
Was jedoch überhaupt nicht funktioniert hat, ist der Informationsfluss, an dem Staat, Verbände, Kammern, Medien und so weiter beteiligt waren. Die Bedeutung und Tragweite wurde nicht verständlich kommuniziert. Lediglich die Medien fingen kurz vor dem Mai 2018 mit einer fragwürdigen Berichterstattung an. Es wurde überwiegend negativ berichtet und Panik verbreitet. Dabei wurde von Abmahnwellen und extremen Bußgeldern berichtet. Das ist natürlich beides schlichtweg falsch. Die Behörden sind weder der Feind, noch haben sie ein Interesse daran, kleine Unternehmen zu schädigen, die wichtige Steuern zahlen. Die Hauptaufgabe der Behörden ist die Aufklärung von Unternehmen und Bürgern und sie müssen erst dann mit Bußgeldern aktiv werden, wenn ein Unternehmen sich mutwillig weigert, die DS-GVO umzusetzen. Nach dem Mai ist das Thema Datenschutz dann plötzlich wieder aus der Berichterstattung verschwunden. Bis heute hat die überwiegende Zahl an Unternehmen keine Datenschutzmaßnahmen eingeleitet.
Mehr Förderungen statt Aufweichung des Datenschutzes
Gerade Organisationen mit wenig Mitteln wie Vereine und Schulen sind mit der Situation überfordert. Doch die Lösung wird nicht sein, die DS-GVO abzuschaffen oder abzuschwächen, sondern weitere Förderprogramme ins Leben zu rufen, um diese Organisationen mit Geld zu unterstützen. Bis dies soweit ist, fördern wir selbst diese Beratung.
Schreiben Sie uns gerne an. Wir werden gemeinsam einen Weg finden.
Zusammenfassung
Es lässt sich festhalten, dass die Datenschutz-Grundverordnung den Umgang mit einem europäischen Grundrecht näher bestimmt. Dieses Recht (Art. 8 GRCh) schützt die Daten eines jeden Bürgers der EU und verbietet die unrechtmäßige Datenverarbeitung. Dank der DS-GVO sind Verarbeitungen weiterhin zulässig, wenn sie eine Rechtsgrundlage haben. Die Abschaffung des Grundrechtes oder der DS-GVO sind unwahrscheinlich. Unternehmen müssen somit Ihrer Verantwortung gerecht werden und handeln. Unterstützt werden Sie dabei von externen Datenschutzbeauftragen, den Behörden und dem Staat. Durch Förderprogramme wie bafa (hier) werden Datenschutzberatungen unterstützt. Sollten Organisationen keine Förderungen erhalten, können wir die Beratung selbst fördern.
Zögern Sie nicht – packen wir es an.
Ich hoffe der kleine Exkurs über die Herkunft der DS-GVO hat Ihnen gefallen. In dem nächsten DS-GVO Beitrag wird es um die Mindestanforderung an den Datenschutz gehen, wobei ich auch wieder einige Mythen ausräumen möchte.