Ein paar Gedanken zur DSGVO

Veröffentlicht: 19. Mai 2018 in Datenschutz, Grundrechte

Ich bin ja ein großer Freund von Datenschutz, mein Eindruck der DSGVO ist zur Zeit allerdings eher so ‚meh‘.

Ein wesentlicher Aspekt des Datenschutzrechts ist für mich, dass kein Unternehmen je das BDSG eingehalten hat und auch genausowenig je ein Unternehmen die DSGVO einhalten wird. Das geht gar nicht und das ging auch noch nie. Das ist einfach eine weltfremde Vorstellung. Das Datenschutzrecht hat schon immer darauf basiert, dass der ganze Kleinscheiß und die irrelevanten Verstöße gegen das Gesetz halt einfach nicht verfolgt werden. Beschäftigt hat man sich immer nur mit dem Teil, der auch tatsächlich jemanden interessiert hat. Der Rest ist wie nachts um 3 Uhr auf einer vollkommen verlassenen Straße über eine rote Fußgängerampel zu gehen.

Vom Feeling her ist das ein wenig so, als würde man in einer sehr großen Menschenmenge stehen, in der alle gegen das Gesetz verstoßen. Ein paar davon ein wenig mehr, ein paar weniger, ein paar ein bisschen dreister oder auch dem eigenen Empfinden nach „kriminell“, ein paar eher aus Bequemlichkeit, Naivität, Unwissen, oder weil es einfach absolut niemandem weiterhilft nachts um 3 Uhr an einer roten Fußgängerampel stehen zu bleiben. Irgendwo ganz vorne stehen ein paar Leute von den Aufsichtsbehörden mit großen Knüppeln in der Hand und dreschen auf die ersten paar Reihen ein. Okay, das ist ihr Job und da vorne stehen auch ein paar Leute rum, die ein wenig Geknüppel auch echt mal verdient haben. Leider haben einige der schlimmsten von denen Helme auf, oder können sich regelrechte Rüstungen leisten. Ein paar verkriechen sich ein paar Reihen weiter hinten, mischen sich unter die harmloseren Gesetzesbrecher und verstecken sich. Alles sehr unbefriedigend.

Die DSGVO ändert die Situation nicht grundsätzlich, aber sie versucht ein paar Verbesserungen in der Durchsetzung herbeizuführen. Die Pflichten, die alle haben, steigen, was dazu führt, dass quasi alle noch ein wenig mehr gegen das Gesetz verstoßen. Die Änderungen führen dazu, dass man sich fragt, ob man denn jetzt noch ein kleiner, irrelevanter Fisch ist, oder ob man jetzt schon als ernsthaft kriminell gilt, mit seiner roten Ampel, nachts um 3 Uhr. Außerdem sind die Behörden-Leute irgendwo ganz vorne es Leid mit Knüppeln auf die Leute einzuschlagen. Damit das ein wenig effektiver wird, haben die jetzt Maschinengewehre bekommen. Zur Zeit machen die sich noch mit den Gewehren vertraut, laden sie, entsichern, und hier und da ist die Vorfreude zu spüren, dass die in wenigen Tagen damit losballern dürfen. Die Typen mit den Helmen in den ersten Reihen sind dann endlich dran. Ein paar Reihen weiter hinten fragen sich alle, ob sie denn jetzt auch umgeballert werden. Aber man wird beruhigt. Die Behörden haben viel zu wenig Munition, um uns alle umzuballern. Die werden erstmal auf die großen Fische zielen und damit sind die wahrscheinlich noch eine Weile gut beschäftigt. Uhm, okay, gut, this is fine.

Dann gibt es aber noch ein zweites Problem. Jeder Horst, der sich irgendwie für abmahnbefugt hält, bekommt eine Pistole in die Hand gedrückt. Wenn der irgendeinen Grund findet, kann er dich abmahnen und dir dadurch – sagen wir mal – mit seiner Pistole in die Schulter schießen. Puh, das ist jetzt weniger gut. Aber kein Problem, sagen die Leute, wer sich bisher an die Gesetze gehalten hat, hat auch in Zukunft nichts zu befürchten. Äh, ich schaue mich in der Menschenmenge um und sehe überall nur Sünder. Ich erzähle was davon, wer denn den ersten Stein werfen wolle, wo wir doch alle nicht ohne Sünde seien, und so. Währenddessen sehe ich irgendwelche Leute, die aus politischen oder persönlichen Gründen etwas gegen mich oder meine Firma haben, Leute, die meine Konkurrenten sind, oder z.B. ehemalige Mitarbeiter, die im Streit gegegangen wurden sind, die bereits den Lauf ihrer brandneuen Pistole schrubben. Okay, this is, uhm, fine? I guess!?

Das ist sozusagen die Grundstimmung in der ich mich zur Zeit mit der DSGVO befasse. Der Kontext ist hier nicht privat, auch nicht politisch, sondern die Firmen-IT des mittelständischen B2B-Unternehmens, bei dem ich arbeite.

Dann versuche ich zu überblicken, was denn nun tatsächlich Phase ist, und greife zum Gesetzestext. (Ich kenne auch bereits diverse Blogs und Texte mit vielen Argumentationen, die sich aber leider fast nie auf den Kontext beziehen, der für mich im beruflichen Umfeld relevant ist.)

Also fangen wir von vorne an. Was haben wir da? Gegenstand und Ziele, okay, Anwendungsbereich, check, Begriffsbestimmen, ah, den Artikel 4 mache ich lieber mal in einem extra Tab auf. Worum geht es? „Personenbezogene Daten“ und „Verarbeitung“. Was ist das? Okay, komplett alles und alle Daten, die irgendwie mit einer Person in Verbindung gebracht werden können. Ich denke an meine Firmen-IT und mir schwant jetzt schon übles.

In Artikel 5 geht es los, die Grundsätze der Verarbeitung. Ich schaue mir das an und denke sofort, yea, well, no, not gonna happen.

Dort steht z.B., dass die Verarbeitung in einer für die betroffene Person nachvollziehbaren Weise passieren muss, dass sie festgelegte, eindeutige und legitime Zwecke haben muss, auf das für die Zwecke notwendige Maß beschränkt werden muss, sachlich richtig, erforderlich und auf dem neusten Stand sein muss, usw.. Ich denke an unsere Firmen-IT und fange an hysterisch zu kichern.

Wir haben als IT (und noch viel mehr unsere verantwortlichen Chefs) in vielen Fällen keine Ahnung, welche Daten irgendwo gespeichert sind, oder wofür die sind, ob die aktuell sind, ob die noch jemand braucht, oder z.B. auch wo die Daten herkommen. Mein Eindruck ist, viele Leute denken hier an irgendwelche Konzerne, die ihre Kunden detailliert ausforschen und dann in finsteren Kammern darüber sinnieren, wie sie ihren skrupellos angehäuften Datenschatz zu Geld machen können. Nichts davon trifft auf uns zu. Wir machen eigentlich nur Business to Business und der allergrößte Teil unserer personenbezogenen Daten betrifft eh unsere eigenen Mitarbeiter. Wenn ich darüber nachdenke, was das ist, denke ich z.B. an unseren Fileserver. Dort gibt es hunderte Ordner (pro Niederlassung…) mit tonnenweise Dateien drin, die teilweise bis zu 10-20 Jahre alt sind. Macht man davon was auf, findet man z.B. Word-Dokumente in denen irgendwelcher Text drin steht. Manchmal sind da z.B. Kontaktdaten drin, von irgendwelchen Ansprechpartnern von unseren Kunden oder Zulieferern. Viele haben Fußzeilen, mit Firmeninformationen, inkl. den Namen der Vorstände und Aufsichtsräte (was für Geschäftsbriefe aller Art gesetzlich vorgeschrieben ist). Die Dateien haben oft Metadatan, wo drin steht, wer sie erstellt hat. Windows verwaltet z.B. auch die Zugriffskontrolle auf Filesystem-Ebene. Da stehen manchmal SIDs von Active Directory Accounts drin. Man findet da manchmal Excel-Listen, wo aller möglicher Krams drinstehen kann. Oder Powerpoint-Präsentationen, die wir mal von irgendeiner anderen Firma geschickt bekommen haben, die ebenfalls personenbezogene Daten enthalten können. Wenn man lange genug sucht, findet man sogar Ordner mit Fotos der verdammten Weihnachtsfeier. Ist irgendetwas davon für die Betroffnen nachvollziehbar? Wohl kaum. Hat irgendetwas davon einen festgelegten Zweck? Uhm, manches davon hatte vielleicht mal einen. Viel Glück bei dem Versuch das herauszufinden. Wenn es gut läuft, arbeitet die Person, die diesen vielleicht noch wüsste, noch bei uns. Ist das, was da überall steht, alles sachlich richtig und aktuell? lol! Erforderlich? Natürlich nicht. Einer der beliebtesten Aufräum-Moves in einer Firmen-IT ist es erstmal großflächig zu löschen und dann zu schauen, ob irgendjemand jammert. Yolo! Ich schaue wieder in den DSGVO-Text und erinnere mich, dass ich ja hysterisch kichern wollte.

Weiter geht’s, Rechtmäßigkeit der Verarbeitung, Artikel 6. Einwilligung, puh, also viele der Daten, die bei uns rumliegen, haben wir wahrscheinlich von den betroffenen Personen bekommen, oder zumindest mit deren Wissen. Also vielleicht. Wer weiß das schon so genau? Erfüllung eines Vertrags, hmm, das sollte auch für Arbeitsverträge gelten, oder? Die ganzen Daten über unsere Mitarbeiter dienen total der Erfüllung des Arbeitsvertrages, *hust*. Rechtliche Verpflichtung, okay, öffentliches Interesse, uhm, eher nicht, berechtigte Interessen… huh!? Ich schaue in die Begriffsbestimmungen, aber der Begriff taucht da nicht auf. Ich lese ihn immer wieder in Blog-Artikeln. Dort wird das so dargestellt, als könnte uns dieser Punkt den Arsch retten. Tut er das? Keine Ahnung. Ich weiß leider nicht, was er bedeutet.

Artikel 7, Bedingungen für die Einwilligung. Oh oh, wir müssen die Einwilligung nachweisen können. Ich denke an unseren Fileserver…, well, there goes the neighbourhood. Tja, liebes berechtigte Interesse, jetzt sind es wir beide, you and me, du und ich gegen die Welt! (Ich schmunzle noch ein wenig über die Vorstellung, dass jemand seine Einwilligung widerruft und wir deswegen anfangen müssen alle personenbezogenen Daten dieser Person von unserem Fileserver zu kratzen, aber hey, es liegen ja eh keine Einwilligungen für diese ganze Zeug vor. ¯\_(ツ)_/¯)

Weiter in Artikel 8, und um hier mal Southpark zu zitieren: „Wir machen keine geilen Sachen mit Kindern“. Puh, glück gehabt.

Artikel 9, uuuhh, die heiklen Daten. Machen wir nicht. Also eigentlich. Die Personalabteilung vielleicht, aber die wird ihren Krams schon im Griff haben. Ich fange aber an darüber nachzudenken. Kann man eine ethnische Herkunft nicht oftmals aus dem Namen ableiten? Hmm, nicht zuverlässig, schätze ich mal. Aus den Fotos der letzten Weihnachtsfeier könnte man es wohl… Also vermutlich haben wir damit nichts am Hut, aber wissen wir, ob irgendein Mitarbeiter von uns in seinem persönlichen E-Mail-Adressbuch in einem Kontakt notiert hat, dass jemand Muslim ist, um daran zu denken ihm zum Ramadan zu gratulieren? Nö, wissen wir nicht. Potenziell könnte es viele solcher Fälle geben, vielleicht aber auch keine. Woher sollen wir (in der IT, oder der Chef-Abteilung) das wissen? Aber the good news is: Wenn wir es selber schon nicht wissen, dann findet es auch keine Datenschutzbehörde raus. :-)

Artikel 10, personenbezogene Daten zu Straftaten. Oho. Also theoretisch haben wir damit nichts am Hut, praktisch kann es in unserem Business aber vorkommen, dass Mitarbeiter Dinge tun, die verboten sind (oder Kunden von uns, und wir werden unwissentlich zu Mittätern oder zumindest Zeugen). Funfact: Ich hatte mal eine Aufforderung der holländischen Polizei auf dem Tisch bestimmte E-Mails herauszurücken. Ich musste einiges dazu googlen, aber der Wisch war tatsächlich echt. Mehr schreibe ich zu dem Thema nicht, ohne meinen Anwalt. :-)

Artikel 11 klingt nach etwas, was erst weiter hinten relevant wird.

Artikel 12-23, die rechte der Betroffenen auf Auskunft, Berichtigung und Löschung. Ich denke wieder an meinen Fileserver. :-)

In Artikel 12 (5) finde ich erstmal einen Trollschutz. Das ist doch schön. Wenn uns jemand einfach nur anpissen will, können wir ihm theoretisch den Stinkefinger zeigen. Was „offenkundig unbegründet“ bedeutet, werden wir uns aber im Ernstfall dann wahrscheinlich trotzdem von Gerichten erklären lassen müssen. :/

Es geht los mit Informationspflichten bei der Erhebung personenbezogener Daten bei der betroffenen Person, Artikel 13. Äh, was heißt das? Daten, die wir von der Person direkt bekommen? Da komme ich mal weg von unserem Fileserver und fange an über unser E-Mail-System nachzudenken. Nehmen wir mal an eine uns unbekannte Person schickt eine E-Mail an unsere info@-Adresse mit der Bitte mit einem Verkäufer in Kontakt zu kommen (das ist ein häufiges Szenario bei uns). Wir haben dann in unserem System a) seine E-Mail-Adresse und b) alles, was er in die E-Mail z.B. in die Signatur geschrieben hat. Das sind personenbezogene Daten und wir haben sie in dem Moment erhoben, oder nicht? Was sollen wir da tun? Ein Auto-Reply zurückschicken mit einer Datenschutzerklärung? „Guten Tag, wir speichern ab jetzt die Daten aus Ihrer E-Mail zum Zwecke sie zu lesen, weil wir das laut Art 6 (1) b DSGVO dürfen. Die Dauer der Speicherung beträgt so lange, bis der E-Mail-Admin meckert, dass diese Maildatenbank langsam mal zu groß wird.“ Hmm, ob wir das nach Art 6 (1) b DSGVO dürfen, kommt drauf an, worum es in der E-Mail geht. So pauschal könnten wir das also gar nicht schreiben und damit wohl auch nicht automatisiert. Mich deucht, dass das alles ein wenig unrealistisch ist. Aber konkret begründen, warum wir das denn nicht eigentlich tun müssten, kann ich aktuell nicht. Wir machen es halt einfach nicht, wegen Artikel Roflcoptergtfo der LMAAVO.

Artikel 14 ist offenbar der ganze Spaß nochmal, wenn wir die Daten nicht von der betroffenen Person haben. In dem Fall müssen wir der betroffenen Person auch mitteilen, aus welcher Quelle die Daten stammen. Ich denke da zuerst an den Fall, dass uns ein Geschäftspartner schreibt, dass wir bitte folgende 4 E-Mail-Adressen in den Mailverteiler für Dingensbummens-E-Mails aufnehmen sollen. Das ist bei uns alltäglich, denn zu unseren Arbeitsprozessen gehören hunderte solcher Mailverteiler mit eigenen Mitarbeitern, Kundenkontakten oder Geschäftspartnern. Müssen wir dann den vier Leuten unsere Datenschutzerklärung schicken? „Guten Tag, wir speichern jetzt Ihre E-Mail-Adresse in unserer Verteilerliste, weil Ihr Kollege hat gesagt, wir sollen das machen. Die Dauer der Speicherung ist bis ihr Kollege es sich anders überlegt hat. Die Quelle dieser Daten ist, you guessed it, Ihr Kollege.“ Tun wir auch nicht, wegen Artikel Wirhabenbessereszutun LMAAVO.

Artikel 15, auf den freue ich mich schon, das Auskunftsrecht (und ja, ich weiß, dass das jetzt schon existiert). Nach allem, was ich bisher gelesen habe, sehe ich keinen Grund, warum dieses Recht nicht z.B. auch eigene Mitarbeiter, oder Ex-Mitarbeiter haben.

Mal angenommen so ein Ex-Mitarbeiter stellt eine solche Anfrage. Ich denke zuerst wieder an unseren Fileserver. Jaaa, lol. Dort könnten potenziell personenbezogene Daten dieser Person drinstehen. In Dokumenten, in Metadaten, in Bildern, usw.. Wie schon erwähnt, ist selbst die SID seines Active Directory-Accounts ein personenbezogenes Datum. Wer hier weiß, wo Windows überall diese SIDs hinschreibt? Das kann wahrscheinlich nicht mal Microsoft so genau sagen. Bei dem Gedanken an Dateien auf lokalen Festplatten überall in der Firma schüttele ich kurz den Kopf und denke lieber wieder an unser E-Mail-System. Wir nutzen IBM Notes. Dort gibt es neben den E-Mails noch mehrere hundert andere Datenbanken. Notes arbeitet so, dass in Datenbanken Dokumente gespeichert werden (das sind faktisch Datensätze, bestehend aus mehreren Feldern). Jedes Speichern trägt automatisch den Benutzernamen in ein Metadatenfeld des Dokuments ein. Das können wir nicht beeinflussen und wir können auch nicht auf Knopfdruck alle Einträge exportieren, bei denen diese Person drinsteht. Und wir reden hier von mehreren hundert Datenbanken mit potenziell zig- bis hunderttausenden Dokumenten und das obwohl wir noch nicht mal vom Inhalt dieser Dokumente geredet haben. Da kann die Person z.B. auch in Dateianhängen potenziell überall drinstehen (das gilt übrigens auch für personenbezogene Daten von Kunden, Geschäftspartnern, etc.). Wenn die Person mal in einem Workflow vor 10 Jahren in irgendeiner Datenbank einen Arbeitsschritt gemacht hat, dann steht das da drin. Personenbezogen. Und da sind wir noch gar nicht bei sowas wie Session-Logs, die es nämlich auch gibt, oder Serverlogs, da kann man z.B. ablesen, dass die Person an Tag x zur Uhrzeit y eine E-Mail bekommen hat. Ein personenbezogenes Datum. Um das alles für eine einzelne Person zusammenzukratzen kann man ein komplettes Team für den Rest seines Lebens beschäftigen, um so eine Anfrage wirklich vollständig zu bearbeiten. An alle E-Mails, in denen personenbezogene Daten dieser Person drinstehen, in allen E-Mail-Datenbanken, die wir haben, möchte ich gar nicht erst denken. Und ich habe hier bisher nur zwei Systeme erwähnt, von dutzenden, die wir im Einsatz haben. Und wir sind hier nur bei der Frage, welche Daten wir überhaupt haben. Beauskunften müssten wir über all diese Daten aber auch den Zweck, Kategorien, Empfänger der Daten, Speicherdauer, Quelle der Daten, usw.. Yea, well, no, not gonna happen.

Das Recht auf Berichtigung in Artikel 16 hebt da schon wieder meine Laune. Kaum etwas wünschen wir uns so sehr, wie dass uns bei den ganzen Schrottdaten, die wir so haben, mal einer mitteilt, was denn die richtigen und aktuellen Daten wären. Wir wissen’s nämlich nicht. Also wer uns beim Aktualisieren unserer Daten helfen will, immer gerne. :-)

Recht auf Löschung, Artikel 17, drollig. Manche der Daten, die wir so haben, können gar nicht gelöscht werden. Das betrifft allerdings in erster Linie (Ex-)Mitarbeiter. Wir nutzen diverse Software-Tools, die diverse Dinge tun und dazu diverse Dinge speichern, unter anderem über den Benutzer des Tools. Die Software speichert das, weil sie das halt macht. Wenn jemand den Zweck eines gespeicherten Datums wissen möchte, kann er ja den Entwickler der Software fragen, wenn er ihn findet… Wenn er ihn gefunden hat, kann er ihn auch gleich fragen, wie man solche Einzeldaten gezielt löschen kann. Viele Tools ermöglichen das nämliche für viele Arten von Daten gar nicht. Da gibt es eigentlich nur die Server-mit-Benzin-übergießen-und-anzünden-Methode, allerdings sind da halt auch noch andere Daten drauf, die wir noch brauchen. Tja. Aber auch wenn uns z.B. ein Kunde schreibt wir sollen seine Telefonnummer bei uns löschen, die er in jeder E-Mail seit 20 Jahren in seinem Mail-Footer mitgeschickt hat, kriegt er von uns halt nur ein lolnope. In der Praxis würden wir seine Nummer vielleicht aus irgendeiner Kundenkartei rausschmeißen, aber realistisch gesehen heißt das dann halt nicht, dass wir diese Telefonnummer dann nicht mehr haben, nicht nur den den alten E-Mails, sondern z.B. auch in den lokal gespeicherten persönlichen Adressbüchern unserer Mitarbeiter.

Wenn ich mir die Diskussionen (und den Gesetzestext) so anschaue, dann scheinen einige (alle!?) ziemlich skurrile Vorstellungen davon zu haben, welche personenbezogene Daten ein Unternehmen so in seiner IT schlummern hat, welchen Überblick das Unternehmen selbst darüber hat, aus welchen Gründen, zu welchen Zwecken und auf welchen Wegen diese Speicherungen erfolgen und wieviel Kontrolle die eigene Firmen-IT darüber überhaupt hat. Irgendwelche wohlgepflegten Karteien, mit vorbildlich dokumentierten Datenschutzinformationen, sind eine verschwindend geringe Ausnahme. Bei so Datenschleudern wie Facebook, deren Geschäftsmodell auf die Erhebung von Daten basiert, existiert sowas in Bezug auf die eigenen Kunden vielleicht noch, aber ein herkömmliches Industrie- oder Serviceunternehmen hat sowas bestenfalls noch für seinen Newsletterverteiler, seine eigenen Personalakten und noch 2-3 andere Sachen, aber dann hört es ganz schnell auf. Für >90% der personenbezogenen Daten in so einer Firma existieren solche Dokumentations-, oder überhaupt technischen Strukturen schlicht nicht und werden es auch nie. Das ist eine Vorstellung aus einer völligen Parallelwelt.

Ach, ich könnte jetzt noch seitenweise weiter DSGVO-Artikel durchgehen, aber ich denke das Muster wird auch so langsam klar. Spannend ist z.B. auch, dass wir ein weltweit agierendes Unternehmen sind und massenhaft Daten über die EU-Grenze hinwegschaufeln und dort genauso, wie auf unserem Fileserver und in unserem Notes, natürlich massenhaft personenbezogene Daten dabei sind. Dürfen wir das? Ich glaube eigentlich nicht, zumindest bei ein paar der betroffenen Ländern. Können wir das unterbinden? Klar, wenn wir unsere Zusammenarbeit mit unseren Niederlassungen dort einfach größtenteils einstellen. Spitzenplan.

Unter’m Strich bleibt, dass wir uns natürlich nicht an die DSGVO halten. Genausowenig, wie alle anderen. Wir sind eine große Menschenmenge an Sündern und wir alle hoffen, dass nur die vorderen Reihen umgeballert werden. Was wir in erster Linie tun, ist unser Abmahnrisiko minimieren und hoffen, dass niemals jemand eine Datenauskunft von uns verlangt. Wenn das passiert, lösen wir wahrschienlich die Firma auf und gründen Sie heimlich unter anderem Namen neu. ;) (Naja, oder wir lügen die Person halt einfach an, so wie alle anderen.)

Der Punkt aber ist, dass all die Daten, von denen ich hier seitenweise geschrieben habe, kein Schwein interessiert. Unseren Kunden und Geschäftspartner könnte das alles egaler nicht sein (Business to Business halt…). Wenn wir anfangen die mit Datenschutzinformationen zuzuballern und stapelweise Einwilligungen einzusammeln, erklären die uns für verrückt.

So ist es also 1. vollkommen unmöglich die ganzen Vorschriften alle einzuhalten, aus praktischen und technischen Gründen, und 2. auch vollkommen unnötig das zu tun, da eh niemand überhaupt ein Interesse daran hat, von ein paar wenigen ganz spezifischen Fällen mal abgesehen, wie z.B. Arbeitsvertragsgeschichten.

Diese Situation war schon mit dem BDSG so und mit der DSGVO ist es erst recht so. Nur sehe ich leider nicht, dass das in der Diskussion eine Rolle spielt. Ich sehe eher, dass diese Diskussion vollkommen weltfremd geführt wird. Bzw. konkreter, wird diese Diskussion so geführt, dass sie ein paar ganz bestimmte Fälle im Kopf hat, nämlich meistens die, dass ein Unternehmen aktiv Daten über seine Kunden sammelt und dann mit diesen Daten irgendwie Geld verdienen möchte. Das ist eine sehr regulierungswürdige Geschichte und ich bin froh, dass die DSGVO hier Grenzen setzt und Rechte sichert. Das ist aber halt nur ein kleiner Teil des Geltungsbereichs dieser Vorschriften. Der größte Teil sind klassische Unternehmen, die nachts um 3 Uhr an einer roten Fußgängerampel stehen und jetzt Hemmungen haben einfach drüber zu gehen, so wie sie es die letzten 50 Jahre lang gemacht haben. Immerhin dort, wo es irgendwelche Blogger, Aktivisten, oder Webseitenbetreiber berührt, gibt es eine Diskussion über die Grenzen der Sinnhaftigkeit der neuen Gesetzeslage. Über die jammendernden Mittelstandsunternehmen höre ich Dinge wie „Wird ja auch mal Zeit, dass die sich auch mal Gedanken machen, ob die ihre Datenspeicherungen wirklich brauchen!“ Herzlichen Dank auch, dass wir viele davon nicht wirklich brauchen, wussten wir auch bisher. Das geht aber komplett am Problem vorbei, siehe oben.

Im Grunde gibt es zwei Wege, wie man legislativ mit dieser Lage ganz generell umgehen könnte. Entweder man führt das System so weiter und hofft sich mit Pragmatismus, Verhältnismäßigkeit und Gelassenheit behelfen zu können, oder man baut die Systematik so um, dass die verdammte Fußgängerampel nachts halt abgeschaltet wird und die ganze Datenverarbeitung, die eigentlich eh niemanden interessiert, auch nicht mehr unter die DSGVO-Regeln fällt.

Momentan gilt die erste Variante. Die kleinen Fische werden wahrscheinlich unbehelligt bleiben. Strafen bekommen (erstmal!?) nur die großen Sünder, für ihre richtigen Schweinereien. Für irgendwelche Serverlogs, die eh niemand auswertet, wird sich wahrscheinlich auch in Zukunft niemand interessieren. Und solange einen niemand auf dem Kieker hat, der einen mit seinen Betroffenenrechten trollen möchte, oder man sich irgendwo leichtfertig abmahnanfällig macht, wird man wohl auch weiterhin wie bisher durchkommen. (Unschön ist das aber für Leute, die politisch aktiv sind, denn in dem Umfeld hat man sehr schnell ganze Horden an den Hacken, die einen auf dem Kieker haben…)

Ich finde diese Situation ehrlichgesagt unbefriedigend. Das war schon mit dem BDSG unschön, aber die DSGVO hat auch den Zweck etwas dagegen zu tun, dass sich kein Schwein ans Datenschutzrecht hält. Dass man damit bisher fast immer durchgekommen ist, ist aber der einzige Grund, warum das BDSG nicht schon immer zum völligen Kollaps geführt hat. Dass sich die meisten nur teilweise um Datenschutz scheren, ist ein überlebensnotwendiger Teil des Systems. Ob’s einem passt, oder nicht.

Je mehr ich darüber nachdenke, desto mehr würde ich eigentlich die zweite Variante favorisieren.

Das Datenschutzrecht sollte vielleicht lieber auflisten welche Arten von Daten es reguliert (z.B. Profiling- oder Tracking-Daten) und welche Verwendungen von Daten es reguliert (z.B. Weiterverkauf, Verhaltensanalyse, oder algorithmische Beurteilungen). Damit kann man für alle Arten von interessanten Daten passende Vorschriften zusammenklöppeln, die dann auch 1. tatsächlich einen konkreten Schutzzweck haben und 2. evtl. auch tatsächlich praktisch umsetzbar sind, oder zumindest so nah an der Umsetzbarkeit dran sind, dass (möglichst alle) Softwarehersteller eine Chance haben ihre Tools so umzubauen, dass man die Vorschriften damit dann einhalten kann. Das birgt dann die Gefahr, dass Schlupflöcher und Gesetzeslücken bleiben, die Unternehmen ausnutzen, um finstere Machenschaften zu treiben. Aber falls das wirklich passiert, kann man die Gesetze erweitern und das abstellen. Dafür macht man damit dann aber nicht ein paar millionen Unternehmen und Unternehmer völlig kirre, die jetzt alle abwägen müssen, wie illegal genau sie ihre IT weiter betreiben möchten und welches rechtliche Risiko sie halt einzugehen bereit sind.

In der Praxis ist das nämlich genau das, wie das Datenschutzrecht jetzt schon umgesetzt wird. Alle Firmen überlegen sich, für welche Arten von Daten sie die ganzen Vorschriften überhaupt umsetzen wollen und für welche Arten der Verwendung dieser Daten sich vielleicht mal jemand interessieren könnte. Für alle Daten mit irgendwelchem Killefit, die eh für nichts relevantes genutzt werden, macht sich kein Unternehmen die Mühe die Vorschriften der DSGVO einzuhalten. Nur entscheiden die Unternehmen das nun eben mit Hilfe von gesundem Menschenverstand selbst, was darunter fällt, und setzen sich damit über die jetzige Rechtslage einfach hinweg.

Das Ergebnis ist ungefähr das gleiche, nur dass wir so, wie es jetzt ist, eben alle Sünder sind, die sich nun anhören dürfen, dass sie nichts zu befürchten haben, wenn sie sich auch bisher schon an das BDSG gehalten haben. Sehr beruhigend. Wir schauen nun also alle zu, wie die Behörden bald versuchen werden die ersten paar Reihen der Menschenmenge wegzuballern und warten auf den Tag, an dem sie zu uns kommen, der hoffentlich nie eintrifft.

Kommentare
  1. nk sagt:

    Über die praktische Umsetzbarkeit brauchen wir gar nicht reden, denn das sieht bei uns in der Firma nicht anders aus. Das Fazit finde ich allerdings falsch. Meine Ansicht: Die DSGVO könnte uns zumindest für die Zukunft den Weg weisen. Um den Herstellen mal Dampf zu machen, ihre Produkte so zu gestalten, dass es Datenschutzebenen (Sichtbarkeiten) auch in normaler Software (nicht nur der Lohnbuchhaltung) gibt, dass Exportschnittstellen und Metadatensuchen geschaffen werden. Für die Firmen selber, dass Prozesse datenorientiert gestaltet werden (also z.B. nicht alles in schlecht benannten Exceldateien gesammelt wird und deren Kopien auf dem Server rumgammeln). Aus Verbrauchersicht ist die DSGVO genau richtig: Du hast das Recht zu wissen, was über Dich gespeichert wird, wozu und wie lange. Du hast das Recht dem zu widersprechen, das löschen zu lassen etc. DAS bedeutet Transparenz. Will man vor dem Thema Datenmissbrauch nicht kapitulieren, muss man genau so ansetzen. Und Sch.. ja, es wird schwer werden, dem gerecht zu werden, aber so fängt Firma eben auch mal an, sich überhaupt zu bewegen. Einen zahnlosen Papiertiger wie die Mietpreisbremse (mal als Beispiel) braucht kein Mensch.

    • StreetDogg sagt:

      Dazu zwei Dinge:

      1. Den „Verbraucher“ gibt es in unserer Firma nicht. Mit diesem ganzen Szenario haben wir absolut gar nichts zu tun. Wir machen Business to Business. Es gibt im Wesentlichen zwei relevante Personengruppen:

      Das eine sind Einkäufer, Verkäufer und Sachbearbeiter unserer Geschäftspartner. Wir sind in Geschäftsprozesse eingebunden, an denen manchmal sogar eine zweistellige Anzahl an Unternehmen beteiligt sind. Die meisten personenbezogenen Daten sind hier die Information wer bei wem der zuständige Sachbearbeiter ist, wer welchen Arbeitsschritt wann schon gemacht hat oder plant ihn zu machen und die Kontaktdaten dieser Personen, oftmals deren Firmen-Emailaddresse und deren Firmen-Telefonnummer. Deren einziges Interesse ist, dass sie an den richtigen Stellen mit den richtigen Informationen und Kontaktdaten drinstehen und das ist exakt auch unser Interesse, weshalb wir das eh schon so gut umzusetzen versuchen, wie es geht. Nichts davon hat irgendetwas mit Verbrauchern oder Grundrechtsschutz zu tun.

      Die andere Gruppe sind unsere eigenen Mitarbeiter. Da wird es schon etwas interessanter, denn da sind so Dinge dabei, wie unsere Webproxy-Logs, aus denen hervorgeht, wer wo den ganzen Tag im Internet surft. Aber auch deren Daten sind nicht nur von solchem Kaliber. >90% der Daten, die unsere Mitarbeiter in den Systemen hinterlassen, sind völlig uninteressant und fallen größtenteils an, weil die Technik halt so arbeitet. Viele dieser Datenspeicherungen haben wir gar nicht aktiv und bewusst veranlasst. Von einigen Dingen wissen wir noch nicht einmal selbst, oder wir haben nur eine oberflächliche Vorstellung davon, was die Software wo speichert (geschweige denn zu welchem Zweck).

      2. Keine Firma möchte mit schlecht benannten Excel-Dateien auf irgendwelchen Fileservern arbeiten.

      Es ist tatsächlich seit 15 Jahren mein Beruf solche Arbeitsweisen durch sinnvollere, strukturiertere und beherrschbarere Arbeitsweisen abzulösen. Es gibt bei uns Geschäftsprozesse, die besser ablaufen. Bei ein paar wenigen von diesen Geschäftsprozessen könnten wir vielleicht sogar die Vorgaben der DSGVO umsetzen. Aber halt nur bei wenigen. Diese Anforderungen für alles zu erfüllen, bräuchte eine Meeenge Projektarbeit, mit Projektmeetings, Ist-Analyse, Pflichtenheftausarbeitung, Softwareauswahl (und geeignete Software müsste es überhaupt erstmal geben), Umsetzung, Dokumentation und Schulung. Aber genau das machen wir eigentlich eh schon den lieben langen Tag. Eine komplette Firmen-IT umzukrempeln ist nur leider eine Lebensaufgabe und das selbst ohne den Fokus auf die DSGVO-Anforderungen zu setzen. Die Vorstellung, dass man eine Firmen-IT „einfach mal so“ (oder überhaupt!!) derart umgestalten könnte, ist Science Fiction. Weitestgehend unstrukturierte Datenverarbeitung wie E-Mails, Dateianhänge, Fileserver, etc. werden uns noch eine lange Zeit begleiten, auch wenn Marketing-Fritzen von Softwarehäusern seit 20 Jahren was anderes erzählen.

  2. nk sagt:

    Dann lass es mich anders ausdrücken: Ich sehe in der DSGVO eine Hoffnung für neue Ansätze in der Zukunft (unter Zwang). E-Mail ist das beste Beispiel. Pro: etabliert und niedrigschwellig. Kontra: Unstrukturiert, keine geeignete Ablage für Geschäftsvorgänge oder Kundendaten oder Passwörter etc. (und für all das wird E-Mail benutzt). Alles was E-Mail eigentlich schon längst können sollte (Verschlüsselung, Authentifizierung, aber bspw. auch die bereits vorgeschriebene revisionssichere Archivierung) ist bis heute nicht umgesetzt, daher ist doch die Frage, ob man in irgendeiner Hinsicht E-Mail in der heutigen Form als Kontaktweg noch bereitstellen soll oder ob es nicht Zeit ist für ein zeitgemäßes Nachrichtenprotokoll. Meinetwegen ein E-Mail-Server, der unternehmensseitig eingehende Post direkt in eine rechtssichere Datenzugriffsarchitektur umwandelt. E-Mail durchläuft dann vielleicht Spamfilter > Archivierung > Entschlüsselung > Inhaltsanalyse > Abfrage bestehende Kundendatenbank > Einordnung mit Zugriffsrecht > Bereitstellung in einer Helpdesk-Anwendung inkl. automatischem Eingangsticket und Mitarbeiter-View mit begrenzter Anzeige (bspw. ausgeblender E-Mail-Adresse).
    Mir ist klar, dass es solche Systeme wohl noch nicht gibt und dass sie uns auch nicht mit den alten „Datenschätzen“ weiterhelfen, aber vielleicht hilft die DSGVO dabei, auf die Softwarehersteller mal Druck auszuüben, weil man ihre bestehenden Produkte nicht mehr einsetzen kann (PS: Dass E-Mail kein Produkt ist, ist mir bewusst).

  3. nk sagt:

    Ergänzend: Ansätze für zukünftige B2B Datenaustauschformen gibt es ja auch: Bluetooth-Handshake, QR Code (Visitenkarte), automatische Sprachaufzeichnung (Telefon). Dann ist Herr Meier von ACMETec eben so lange „ACMETec Regionalleiter West“ bis er über einen Weg sein Einverständnis zur Verarbeitung der Daten, repektive der Personalisierung auf seinen Namen gegeben hat. Und das klingt für uns heute noch seltsam, aber wieso sollte projektbezogen denn keine anonyme Kommunikation möglich sein. Wenn eine Software (und sei es ein standardisiertes Business-Chatprotokoll) eine rein ID-basierte Kommunikation ermöglicht, dann entfiele der Zwang zum Erheben privater Daten vollständig. Ob mein Gesprächspartner dann ein Mann, eine Frau, ein Konsortium aus drei Halbtagsstellen oder ein kompetenter Bot ist, wird dann egal und die Übertragung bspw. der IP ist plötzlich auch kein Problem mehr.

    • StreetDogg sagt:

      Immer wenn mir jemand erzählt, dass man E-Mail mal mit was vernünftigem ablösen sollte, muss ich an unseren Fax-Server denken. :-)

      Ähnlich wie bei Fileservern scheitert das nicht daran, dass die Technik dafür noch nicht erfunden wäre.

      E-Mail wird bleiben, weil:
      – Jeder Horst und sein Hund in der Lage ist es zu nutzen
      – Jedes noch so gammelige Frickel-Tool E-Mail kann
      – Sämtliche Infrastruktur in der Lage ist E-Mails abzuwickeln
      – Drölfzigmillionen Admins die Systeme dafür bereits beherrschen
      – Man mit E-Mails allen möglichen Krams machen kann, wie Dateien übertragen, HTML verschicken, oder sie als Übertragungsprotokoll für technische Schnittstellen missbrauchen
      – Die Verwaltung von E-Mails und E-Mail-Adressen von der Oma bis zur Google-Konzernzentrale jeder auf die Reihe bekommt

      Für die verschiedenen Schritte, die du beschreibst, die eingehende E-Mails durchlaufen sollten, gibt es natürlich bereits Systeme. Die ein oder andere Firma macht das für den ein oder anderen Anwendungsfall wahrscheinlich auch bereits. Allerdings gibt es dafür keine universellen Out-of-the-Box-Lösungen (außer für den Spam-Filter-Teil, da gibt’s das tatsächlich). Sowas einzuführen ist für jeden einzelnen Anwendungsfall ein (Groß-)Projekt. Und Anwendungsfälle, für die zur Zeit E-Mail benutzt werden, gibt es quasi so viele, wie die Fantasie hergibt. Damit werden sich Admins und Entwickler noch beschäftigen, wenn ich längst in Rente bin. Die DSGVO wird hier nur Augenrollen verursachen, aber so bald keine Technik-Revolution. Evtl. bremst diese die sogar aus, weil der Umstieg vom gammeligen Status Quo auf ein „ordentliches“ System, das alles Relevante berücksichtigt, dadurch noch aufwendiger wird. (Erwähnte ich schon, dass die personenbezogenen Daten bei uns in der Firma, von denen wir hier reden, absolut niemanden interessieren, einschließlich und insbesondere die Personen nicht, zu denen der Personenbezug besteht?)

      • nk sagt:

        Versteh mich nicht falsch, ich will hier keine falschen Türen einrennen, nicht übers Ziel hinausschießen oder Dich zutexten. Nur habe ich in den letzten Wochen diverse Diskussionen über DSGVO geführt und alles hat über die Last/bevorstehende Unbequemheiten gestöhnt. Ich würde die Verordnung gerne als Chance begreifen, vielleicht sogar als letzte Chance. Das gestrige „Interview“ mit Zuckerberg hat mich in dieser Haltung nur bestärkt. Ohne klare Kante wird sich am Sauhaufen der in jedem Kleinunternehmen bis in den größten Konzern herrscht, nix ändern. Es ist nicht nur Laissez-faire, eher noch scheint mir die pure Vorstellung abhanden gekommen zu sein, dass eine korrekte Datenhaltung kein Nice-to-have ist, sondern auch Standard sein könnte und etwas mit unternehmerischer Verantwortung zu tun haben. So lange Wert von und Verantwortung für private Daten nicht wächst, wird Datenschutz immer das Thema sein, „für das gerade keine Zeit da ist“ (weil $Unternehmen $$ verdienen muss).
        Und – no offense – „dass die personenbezogenen Daten bei uns in der Firma, von denen wir hier reden, absolut niemanden interessieren“ > vielleicht braucht es auch hier Umdenken, um zu erkennen, dass auch die Geschäftspartner, B2B-Kunden in einer Rolle auch Personen mit Privatsphäre darstellen.

        „E-Mail wird bleiben“ > Keine Angst, ich habe die Abschaffung auch gar nicht gefordert, aber „oder sie als Übertragungsprotokoll für technische Schnittstellen missbrauchen“ das wär doch mal ein Ansatz. Die richtige Schnittstelle, gesellschaftliche Etablierung und ein paar Clients, die die Schnittstelle als Plugin anbieten und voila, da ist sie die „normierte“ Anfragemöglichkeit an Unternehmen, das Austauschformat für B2B-Kommunikation etc. Man es ist 2018 und wir eiern immer noch mit E-Mail und Individual-Kommunikation rum, wer gut ist benutzt schon Textbausteine! Zeitgemäße Ansätze sind ja bspw. bei Behördnenschnittstellen, beim beA und ja, selbst beim E-Postbrief zu beobachten gewesen. Zugegeben in der Umsetzung alles Katastrophen, aber mit dem interessanten Detail, dass sie Individualkommunikation wegabstrahieren können. Wer dann dagegen immer noch seine Aufträge von Oma Erna in Comic Sans annehmen will, dem bleibt zukünftig noch der historische Weg, den Posteingang mit Manpower zu erschlagen, sprich ein Sachbearbeiter sichtet, sortiert ein, schickt Oma Erna eine Eingangsbestätigung inkl. Datenspeicherbelehrung und Nutzungsvereinbarung. Knicken, Lochen, Abheften in Digitalistan.

  4. […] Streetdogg: Ein paar Gedanken zur DSGVO (via @Street_Dogg / […]

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s