Das ewige Gemeckere über die DSGVO
Kolumne Doc Storage:
Seit sechs Jahren ist sie nun gültig, seit vier Jahren verpflichtend – die DSGVO. Immer noch hört man aus vielen Ecken Beschwerden über diese Verordnung, diese sei zu komplex, kaum in Gänze umzusetzen und behindere die DV mehr, als sie ihr helfen würde. Nun gut, die meisten kennen inzwischen meine Sicht auf die Dinge, auch ich hatte vor Jahren kritische Anmerkungen zum Regelwerk aus Brüssel. Allerdings müssen sich diejenigen, die heute, nach wie gesagt sechs Jahren, ihre Zeit immer noch mit Kritik und Ausreden vertun, über einige grundsätzliche Tatsachen klar sein.
Erstens hat man uns in der DV ja nicht über Nacht mit diesen Regeln gesegnet, sondern diese bereits in ihrer dann nicht mehr geänderten Form 2014 veröffentlicht. Das betroffene Personal hatte also zwei Jahre vor der Einführung der Verordnung 2016 und dann noch einmal zwei Jahre in der Überganzzeit bis 2018 Zeit, sich aller Regularien bewusst zu werden und diese dann in Ruhe einzuführen.
Zweitens ist der größte Teil der DSGVO gar nicht neu, sondern bereits seit Anfang 1978 in Deutschland im Bundesdatenschutzgesetz enthalten. Wer mir also nun erzählt, er hätte die DSGVO gänzlich oder in Teilen noch nicht umgesetzt, warum auch immer, hat mehr oder weniger die letzten 44 Jahre in der DV verschlafen.
Und schließlich drittens gibt es innerhalb der DSGVO genügend relativierende Regeln, um für den einzelnen Betrieb zu teure oder in der Umsetzung technisch zu komplexe Prozesse schlicht nicht einführen zu müssen. Man muss das nur eben dokumentieren und begründen, um dann bei einer eventuellen Prüfung auf der sicheren Seite zu sein.
Schutz personenbezogener Daten nicht diskutabel
Wenn wir tatsächlich mit einigen »Spezialisten« immer noch über die Sinnhaftigkeit von Datenschutz, hier vor allem über den Schutz personenbezogener Daten, diskutieren müssen, frage ich mich, ob diese Kollegen nicht vielmehr ihren Beruf verfehlt haben. Es geht eben nicht nur um das Einsammeln, Verarbeiten, Speichern und Ausgeben von Daten, sondern auch und vor allem um den Schutz dieser Informationen vor dem Zugriff unberechtigter Dritter. Und, das darf natürlich auch nicht vergessen werden, um die Kenntnisse der von den Daten Betroffenen über eben dieses Verarbeiten, Speichern und Aus- oder Weitergeben.
Nicht nur Ärzte, Finanzämter oder andere schon vorher sehr kritisch beäugte Instanzen müssen nun vorsichtig mit den Informationen über ihre Klientel umgehen, nein, jeder, der diese von seinen Kunden oder Partnern einsammelt. Eigentlich eine Selbstverständlichkeit, auch gänzlich ohne Gesetze oder Verordnungen. Sollte man meinen. Ist aber für manche offenbar nicht so. Wenn mir nun als Argument »nervige Abfragen« oder der Zwang zur Zustimmung zur Verarbeitung der angegebenen Informationen genannt werden, kann ich nur die Augenbrauen lüften. Wie viele Klicks, sondern wir tagtäglich über Browser ab, wie viele Formulare müssen wir durchlesen und unterschreiben, auch ganz ohne die DV-bezogenen Gesetze und Verordnungen? Da komme mir niemand mit »das wird mir jetzt aber zu viel«. Auch der Hinweis darauf, dass die gestiegene Menge dieser Abfragen zu einer Art Gleichgültigkeit gegenüber den wirklich wichtigen Aspekten geführt habe, zieht wohl kaum. Der angeblich so mündige Benutzer muss sich eben auch damit beschäftigen, was mit seinen Informationen passiert, bevor er diese abgibt.
DSGVO: Datenklassen tragen nicht zur Vereinfachung bei
Fast die Hälfte einer befragten Gruppe gab nach einer Umfrage an, dass nicht jedes Mal bei der Aufnahme von Namens- und Adressdaten eine Einwilligung gefordert werden sollte. Ja was denn bitte schön sonst? Das BDSG und die DSGVO fordert nun einmal, und wenn man mich fragt, absolut nicht ohne Grund, dass der »mündige Bürger« einwilligt, wenn seine Daten aufgenommen und der Verarbeitung zugeführt werden. Die Forderung nach »Datenklassen« zur Vereinfachung dieses Prozesses ist zwar gut und schön, allerdings müssten wir uns dann für zig tausend unterschiedlicher Anwendungen in hunderten von Branchen erst einmal auf solche Klassen einigen und diese sowie deren Nachverfolgung bis hin zur kontrollierten Löschung in allen Anwendungen durchsetzen. Wie lange soll das dauern, wie viele Leute sollen hier in Deutschland, dem Land des Konsenses, des Mitgenommen- und Abgeholt Werdens aller sich für gesellschaftlich relevant haltenden Gruppen und Einzelpersonen?
Im zweiten Teil der Befragung haben wir das Problem mit dem »Gefühl« auch schon: nur zwölf Prozent der Befragten »fühlt« eine ausreichende Selbstbestimmung über die abgegebenen Daten. Dreimal mehr wünschen sich eine größere Transparenz darüber, welche Daten erhoben werden. Da kann ich nur sagen: wer lesen kann, ist klar im Vorteil. Alle Erhebungen werden mehr als ausreichend erläutert, und die Daten, die erhoben werden, sind diejenigen, die der Benutzer eintippt und abschickt. Der Betreiber einer Anwendung kann nun mal nichts dafür, dass die Anwender im Laufe der Jahre schlichtweg zu faul geworden sind, um sich über diese Dinge Gedanken zu machen, selbst wenn sie aktiv an deren Erhebung beteiligt sind. Oder, wie es im entsprechenden Artikel schon heißt, es ist ihnen einfach nur egal.
Hier kann ich den Aussagen des Bitkom nur zustimmen. Alle, Betreiber und Nutzer, sollten, nein müssen den Datenschutz mehr wertschätzen. Die Begründungen der 40 Prozent von Unternehmen, die angeben, die DSGVO sei für sie kein Vorteil, und vor allem die der 18 Prozent, die sie sogar als Nachteil sehen, würde ich gern einmal hören. Es geht hier gar nicht um den Wettbewerb, und es geht auch nicht um Vor- oder Nachteile für die Firmen. Es geht hier nur und ausschließlich um den Schutz der Daten betroffener Personen. Es ist mir schlichtweg egal, ob ein Unternehmen das nun als Vor- oder Nachteil für den eigenen Geschäftsbetrieb sieht. Und die annähernd zwei Drittel, die heute noch (wer es schon wieder vergessen hat: das BDSG gilt seit 44, die DSGVO zwingend seit vier Jahren. Da müsste ich als C-Manager, der sich nach einer solchen Zeitspanne immer noch anhören muss, die Gesetze und Verordnungen würden »konkret die Umsetzung datengetriebener Geschäftsmodelle hemmen«, einmal über eine Neubesetzung meiner DV nachdenken.
DSGVO: Scheindiskussionen vermeiden
Natürlich gilt es immer, die Kirche im Dorf zu lassen. Anwendungen wie Videokonferenzsysteme nur nicht zu nutzen, weil der Anbieter außerhalb der EU sitzt, ist in der Praxis mehr als lächerlich. Niemand, wirklich niemand interessiert sich für 99 Prozent der abgehaltenen Konferenzen, weder für deren konkreten Inhalt noch für die Bilder der Teilnehmer. Und die Konferenzen, in denen schützenswertes geistiges Eigentum diskutiert oder ähnliche Informationen ausgetauscht werden, finden schon immer entweder auf getrennten Infrastrukturen oder mindestens verschlüsselt statt. Das ist eine Scheindiskussion, die sich nur ein Land wie Deutschland leisten kann, genauso wie nicht nur eine, sondern gleich 16 Datenschutzbehörden. Im Vergleich dazu möchte ich nicht wissen, wie viele schützenswerte Dokumente immer noch über einfache E-Mails versendet oder über öffentlich zugängliche Speichersysteme ausgetauscht werden. Da sagt, erstaunlicherweise, wieder niemand etwas.
Als Fazit lässt sich nur eines ziehen: Hört auf zu jammern und macht! Ihr hattet lange genug Zeit für die Umsetzung, und es gibt genügend Hintertürchen, wenn etwas partout nicht im Sinne der DSGVO zu implementieren ist. Alles andere ist – und jetzt höre ich die Kritiker schon wieder schimpfen – schlichte Sabotage am Unternehmen und den verarbeiteten Daten und gehört geahndet.
Also hört auf zu jammern und macht es wieder richtig!
Gruß
Doc Storage
- Doc Storage: EU/US-Privacy-Shield: Datenaustausch nicht mehr rechtens
- Doc Storage: DSGVO: Gerne noch höhere Bußgelder
- Doc Storage: DSGVO: Müssen Archive mit WORM-Speichern abgeschaltet werden?
- Doc Storage: DSGVO für KMUs: Machen, nicht diskutieren
- Doc Storage: DSGVO bleibt aus DV-Sicht ein unsägliches Thema