DSGVO bleibt aus DV-Sicht ein unsägliches Thema
Unser Doc Storage ist kein Freund der DSGVO. Dies hat er in mehreren Kolumnen klar formuliert. In seinem zweiten Teil zu »Ein Jahr DSGVO« fasst er nochmal zusammen, warum die Thematik aus seiner DV-Sicht für Firmen unsäglich ist.
Die Kolumne unseres Doc Storage spiegelt nicht zwangsläufig die Meinung der Redaktion wieder. Wir sind uns bewusst, dass das Thema polarisiert. Wie stehen Sie zur DSGVO?
Kolumne Doc Storage:
Man mag nicht mehr darauf hinweisen, denn eigentlich sollte sie nach über einem Jahr jedem DV-Menschen ins Blut gefahren sein: Die Datenschutz-Grundverordnung. Auch wenn dort eigentlich nichts neues gegenüber vorher bestehenden Datenschutz-Regelungen formuliert wird, haben Unternehmen hierdurch gegenüber dem Nutzer erweiterte Informationspflichten, müssen die Verarbeitung von Personendaten transparent darlegen und den Datenschutz in allen Prozessen implementieren. Bitkom meint, dass es hierdurch hauptsächlich positive Effekte gäbe, allerdings herrscht im Feld noch großer Bedarf der Anpassung und Nachbesserung. Positiv wird vor allem die nun europaweit einheitliche Regelung gesehen, aber auch und vor allem die Einflüsse auf nicht-europäische Märkte – Amerika und Asien, Konzerne und Handelspartner passen sich der DSGVO immer weiter freiwillig an, um nicht von einem ihrer wichtigsten Märkte ausgeschlossen zu werden. Allerdings gibt es immer noch Defizite in der Interpretation und der Einführung der Regeln.
Aus Sicht des deutschen Verbandes bestehen die größten Probleme bei der Rechtsunsicherheit der Anwendung und Durchsetzung der Verordnung. Die DSGVO macht absolut keinen Unterschied zwischen kleinsten Betrieben und großen, internationalen Konzernen. Im Ende wirkt sich die Verordnung sogar positiver aus, je größer das Unternehmen ist, da relativ gesehen die Aufwände zur Implementierung und dem Betrieb der Regeln deutlich geringer werden. Allerdings werden manche tagtäglichen Prozesse zum Vabanque-Spiel, egal wie groß der DV-Betrieb ist.
Im Ende hat die DSGVO die Datenverarbeitung und damit die gesamte Wirtschaft spürbar verändert, da das schiere Bewusstsein für den Datenschutz wesentlich gestiegen ist, sowohl beim Endverbraucher als auch in der gesamten Industrie. Allerdings murren viele Unternehmen und Verbände, dass die Verordnung viele Prozesse zunehmend behindert. Drei Viertel aller Firmen sehen die Vorschriften und Anforderungen durch die europäischen Regelungen als größte Hürde vor dem Einsatz neuer Technologien. 2018 sahen das nur zwei Drittel so, ein Jahr davor sogar weniger als die Hälfte.
Allerdings gibt es auch positive Aspekte: der Zwang zur Überprüfung und Reinigung der Datenbanken hat zu einer wesentlich verbesserten Qualität der Informationsbasis geführt.
Wenn wir den Blick auf den Endverbraucher, also den jeweils unmittelbar von gespeicherten Daten betroffenen wenden, gibt es immer noch, auch und vor allem in größeren Unternehmen, einige Herausforderungen, die nur langsam und Schritt für Schritt implementiert werden (können). Dem größten Teil der Internet-Teilnehmer ist überhaupt nicht oder nur in sehr eingeschränktem Maße bewusst, welche Daten über sie überhaupt bei Firmen gespeichert sind. Das soll zwar nun mit einer einfachen Abfrage möglich sein, allerdings gestaltet sich dies komplizierter, je so größer die Datenbanken sind. Im Idealfall muss eine Kopie aller personenbezogenen Daten auf Verlangen herausgegeben werden. Wir alle, die wir in der DV schon länger arbeiten, wissen, dass sich das schön anhört, allerdings hier noch andere Hürden zu nehmen sind, beispielsweise die eineindeutige Identifikation des Antragstellers, die Herausgabe über bestimmte Medien und noch einiges mehr. Und dies macht das Befolgen der DSGVO unendlich komplex und damit umso teurer, je mehr Daten das Unternehmen hat.
Hat denn nun die Abfrage und Übergabe der Daten funktioniert, kommt die nächste Hürde. Der Verbraucher kann das Unternehmen einfach auffordern, diese Daten zu löschen. Allerdings ist für die Firma die große Kunst festzustellen, wie viele Kopien aller oder eines Teiles der Daten in welchen Datenbanken oder als flache Dateien auf welchen Speichern herumliegen. Und dies nicht nur auf Festplatten und in aktiven Bereichen, sondern auch in Backups und Archiven. Da wird die in der DSGVO so schön beschriebene einfache Löschung der Daten schnell zu einem Wirrwarr an sehr sehr scharfem Stacheldraht. Da steht zu hoffen, dass man in der DV des Unternehmens nachweisen kann, die Daten des Verbrauchers für Steuernachweise zu benötigen. Dann muss man sie nämlich nicht löschen, auch wenn der Verbraucher dies wünscht. Eine weitere schöne Vorstellung der Verordnung ist, dass die öffentlich gemachten Daten von Endbenutzern auch auf dritten Speichern, auch außerhalb der eigenen DV, zu löschen sind und dies in der Verantwortung des zuerst speichernden Unternehmens liegt. Fällt jemandem außer mir hier sofort das Wort »unmöglich« ein, vielleicht noch ergänzt durch ein »völlig«?
Ein weiteres Recht für Endbenutzer, wo mir schon seit langem der Schauer den Rücken runterläuft, ist das in der DSGVO zementierte Recht, Daten zum Beispiel beim Wechsel des E-Mail-Anbieters oder Chat-Betreibers mitnehmen zu können. Das hört sich schön an, aber jeder, der einen E-Mail- oder Chat-Server betreibt weiß, dass das in der Praxis völliger Blödsinn ist. Dies mag zwischen Servern derselben Software schon schwierig sein, zwischen unterschiedlichen Anwendungen allerdings schlicht unmöglich. Hieran, und nicht nur hieran, erkennt man, dass die Verordnung nicht von Fachleuten geschrieben worden sein kann. Selbst wenn es technisch möglich sein könnte – wer ist denn dafür verantwortlich, im schlimmsten Falle GBytes an Daten durch den Draht zu schießen, und in welcher Zeit soll das bitte passieren? Es gibt keinen sogenannten Experten, der hierauf bis heute eine vernünftige Antwort hat.
Einen weiteren Nachteil durch die DSGVO muss man nicht groß beschreiben – das, was da seit einem Jahr mit der Zustimmung zur Nutzung bestimmter Daten mit dem Endverbraucher getrieben wird, ist schon fast unerträglich. Vor dem Besuch eines Arztes muss nun ein Verfahren durchlaufen werden, dass die ohnehin schon langen Wartezeiten noch ausgedehnt hat. Die früher so bequem über Whatsapp oder andere Messenger abgewickelten Terminabsprachen mit wem auch immer sind völlig weggefallen, da jeder Angst vor einer Abmahnung und saftigen Strafen haben muss. Viele Blogs und kleine Webseiten sind im letzten Jahr aus demselben Grund einfach abgeschaltet worden. Wer weiß, wo noch überall weitere Stacheldrähte liegen, das wird sich erst in der weiteren Praxis zeigen.
Dutzende Abschnitte der Verordnung sind darüber hinaus unklar. Was zum Beispiel ist das «berechtigte Interesse« eines Betreibers, wegen dem über Cookies getrackt werden darf? Was passiert mit personenbezogenen Daten, wenn man die Visitenkarte und damit die Angaben zum Nutzer ändert? Und, und, und. All dies ist nur sehr schwammig definiert, und beim EU-eigenen Hass auf große Unternehmen dürfte diese Unsicherheit meistens auf dem Buckel dieser Firmen ausgetragen werden.
Experten bewerten die DSGVO allerdings positiv. Sowohl für die Endverbraucher als auch – irgendwann einmal – für die Unternehmen. Und für die ganzen »Berater« sowieso, die wie damals Tetzel auf dem klingenden Wägelchen durch die Lande gezogen sind und gegen Einwurf kleiner Münzen die Firmen von ihren Bedenken befreien konnten. Das Recht, das ja zumindest in Deutschland in anderer Formulierung größtenteils schon seit langem bestand, hätte nun wesentlich größere Muskeln bekommen. Wie und ob sich jedoch bestimmte Regelungen mit noch so viel Wucht durchsetzen lassen werden, werden erst die kommenden Jahre zeigen.
So, und das sind meine letzten Worte zu diesem unseligen Thema für die nächsten Jahre…
Gruß
Doc Storage