Ein paar Gedanken zur DSGVO

Ich bin ja ein großer Freund von Datenschutz, mein Eindruck der DSGVO ist zur Zeit allerdings eher so ‚meh‘.

Ein wesentlicher Aspekt des Datenschutzrechts ist für mich, dass kein Unternehmen je das BDSG eingehalten hat und auch genausowenig je ein Unternehmen die DSGVO einhalten wird. Das geht gar nicht und das ging auch noch nie. Das ist einfach eine weltfremde Vorstellung. Das Datenschutzrecht hat schon immer darauf basiert, dass der ganze Kleinscheiß und die irrelevanten Verstöße gegen das Gesetz halt einfach nicht verfolgt werden. Beschäftigt hat man sich immer nur mit dem Teil, der auch tatsächlich jemanden interessiert hat. Der Rest ist wie nachts um 3 Uhr auf einer vollkommen verlassenen Straße über eine rote Fußgängerampel zu gehen.

Vom Feeling her ist das ein wenig so, als würde man in einer sehr großen Menschenmenge stehen, in der alle gegen das Gesetz verstoßen. Ein paar davon ein wenig mehr, ein paar weniger, ein paar ein bisschen dreister oder auch dem eigenen Empfinden nach „kriminell“, ein paar eher aus Bequemlichkeit, Naivität, Unwissen, oder weil es einfach absolut niemandem weiterhilft nachts um 3 Uhr an einer roten Fußgängerampel stehen zu bleiben. Irgendwo ganz vorne stehen ein paar Leute von den Aufsichtsbehörden mit großen Knüppeln in der Hand und dreschen auf die ersten paar Reihen ein. Okay, das ist ihr Job und da vorne stehen auch ein paar Leute rum, die ein wenig Geknüppel auch echt mal verdient haben. Leider haben einige der schlimmsten von denen Helme auf, oder können sich regelrechte Rüstungen leisten. Ein paar verkriechen sich ein paar Reihen weiter hinten, mischen sich unter die harmloseren Gesetzesbrecher und verstecken sich. Alles sehr unbefriedigend.

Die DSGVO ändert die Situation nicht grundsätzlich, aber sie versucht ein paar Verbesserungen in der Durchsetzung herbeizuführen. Die Pflichten, die alle haben, steigen, was dazu führt, dass quasi alle noch ein wenig mehr gegen das Gesetz verstoßen. Die Änderungen führen dazu, dass man sich fragt, ob man denn jetzt noch ein kleiner, irrelevanter Fisch ist, oder ob man jetzt schon als ernsthaft kriminell gilt, mit seiner roten Ampel, nachts um 3 Uhr. Außerdem sind die Behörden-Leute irgendwo ganz vorne es Leid mit Knüppeln auf die Leute einzuschlagen. Damit das ein wenig effektiver wird, haben die jetzt Maschinengewehre bekommen. Zur Zeit machen die sich noch mit den Gewehren vertraut, laden sie, entsichern, und hier und da ist die Vorfreude zu spüren, dass die in wenigen Tagen damit losballern dürfen. Die Typen mit den Helmen in den ersten Reihen sind dann endlich dran. Ein paar Reihen weiter hinten fragen sich alle, ob sie denn jetzt auch umgeballert werden. Aber man wird beruhigt. Die Behörden haben viel zu wenig Munition, um uns alle umzuballern. Die werden erstmal auf die großen Fische zielen und damit sind die wahrscheinlich noch eine Weile gut beschäftigt. Uhm, okay, gut, this is fine.

Dann gibt es aber noch ein zweites Problem. Jeder Horst, der sich irgendwie für abmahnbefugt hält, bekommt eine Pistole in die Hand gedrückt. Wenn der irgendeinen Grund findet, kann er dich abmahnen und dir dadurch – sagen wir mal – mit seiner Pistole in die Schulter schießen. Puh, das ist jetzt weniger gut. Aber kein Problem, sagen die Leute, wer sich bisher an die Gesetze gehalten hat, hat auch in Zukunft nichts zu befürchten. Äh, ich schaue mich in der Menschenmenge um und sehe überall nur Sünder. Ich erzähle was davon, wer denn den ersten Stein werfen wolle, wo wir doch alle nicht ohne Sünde seien, und so. Währenddessen sehe ich irgendwelche Leute, die aus politischen oder persönlichen Gründen etwas gegen mich oder meine Firma haben, Leute, die meine Konkurrenten sind, oder z.B. ehemalige Mitarbeiter, die im Streit gegegangen wurden sind, die bereits den Lauf ihrer brandneuen Pistole schrubben. Okay, this is, uhm, fine? I guess!?

Das ist sozusagen die Grundstimmung in der ich mich zur Zeit mit der DSGVO befasse. Der Kontext ist hier nicht privat, auch nicht politisch, sondern die Firmen-IT des mittelständischen B2B-Unternehmens, bei dem ich arbeite.

Dann versuche ich zu überblicken, was denn nun tatsächlich Phase ist, und greife zum Gesetzestext. (Ich kenne auch bereits diverse Blogs und Texte mit vielen Argumentationen, die sich aber leider fast nie auf den Kontext beziehen, der für mich im beruflichen Umfeld relevant ist.)

Also fangen wir von vorne an. Was haben wir da? Gegenstand und Ziele, okay, Anwendungsbereich, check, Begriffsbestimmen, ah, den Artikel 4 mache ich lieber mal in einem extra Tab auf. Worum geht es? „Personenbezogene Daten“ und „Verarbeitung“. Was ist das? Okay, komplett alles und alle Daten, die irgendwie mit einer Person in Verbindung gebracht werden können. Ich denke an meine Firmen-IT und mir schwant jetzt schon übles.

In Artikel 5 geht es los, die Grundsätze der Verarbeitung. Ich schaue mir das an und denke sofort, yea, well, no, not gonna happen.

Dort steht z.B., dass die Verarbeitung in einer für die betroffene Person nachvollziehbaren Weise passieren muss, dass sie festgelegte, eindeutige und legitime Zwecke haben muss, auf das für die Zwecke notwendige Maß beschränkt werden muss, sachlich richtig, erforderlich und auf dem neusten Stand sein muss, usw.. Ich denke an unsere Firmen-IT und fange an hysterisch zu kichern.

Wir haben als IT (und noch viel mehr unsere verantwortlichen Chefs) in vielen Fällen keine Ahnung, welche Daten irgendwo gespeichert sind, oder wofür die sind, ob die aktuell sind, ob die noch jemand braucht, oder z.B. auch wo die Daten herkommen. Mein Eindruck ist, viele Leute denken hier an irgendwelche Konzerne, die ihre Kunden detailliert ausforschen und dann in finsteren Kammern darüber sinnieren, wie sie ihren skrupellos angehäuften Datenschatz zu Geld machen können. Nichts davon trifft auf uns zu. Wir machen eigentlich nur Business to Business und der allergrößte Teil unserer personenbezogenen Daten betrifft eh unsere eigenen Mitarbeiter. Wenn ich darüber nachdenke, was das ist, denke ich z.B. an unseren Fileserver. Dort gibt es hunderte Ordner (pro Niederlassung…) mit tonnenweise Dateien drin, die teilweise bis zu 10-20 Jahre alt sind. Macht man davon was auf, findet man z.B. Word-Dokumente in denen irgendwelcher Text drin steht. Manchmal sind da z.B. Kontaktdaten drin, von irgendwelchen Ansprechpartnern von unseren Kunden oder Zulieferern. Viele haben Fußzeilen, mit Firmeninformationen, inkl. den Namen der Vorstände und Aufsichtsräte (was für Geschäftsbriefe aller Art gesetzlich vorgeschrieben ist). Die Dateien haben oft Metadatan, wo drin steht, wer sie erstellt hat. Windows verwaltet z.B. auch die Zugriffskontrolle auf Filesystem-Ebene. Da stehen manchmal SIDs von Active Directory Accounts drin. Man findet da manchmal Excel-Listen, wo aller möglicher Krams drinstehen kann. Oder Powerpoint-Präsentationen, die wir mal von irgendeiner anderen Firma geschickt bekommen haben, die ebenfalls personenbezogene Daten enthalten können. Wenn man lange genug sucht, findet man sogar Ordner mit Fotos der verdammten Weihnachtsfeier. Ist irgendetwas davon für die Betroffnen nachvollziehbar? Wohl kaum. Hat irgendetwas davon einen festgelegten Zweck? Uhm, manches davon hatte vielleicht mal einen. Viel Glück bei dem Versuch das herauszufinden. Wenn es gut läuft, arbeitet die Person, die diesen vielleicht noch wüsste, noch bei uns. Ist das, was da überall steht, alles sachlich richtig und aktuell? lol! Erforderlich? Natürlich nicht. Einer der beliebtesten Aufräum-Moves in einer Firmen-IT ist es erstmal großflächig zu löschen und dann zu schauen, ob irgendjemand jammert. Yolo! Ich schaue wieder in den DSGVO-Text und erinnere mich, dass ich ja hysterisch kichern wollte.

Weiter geht’s, Rechtmäßigkeit der Verarbeitung, Artikel 6. Einwilligung, puh, also viele der Daten, die bei uns rumliegen, haben wir wahrscheinlich von den betroffenen Personen bekommen, oder zumindest mit deren Wissen. Also vielleicht. Wer weiß das schon so genau? Erfüllung eines Vertrags, hmm, das sollte auch für Arbeitsverträge gelten, oder? Die ganzen Daten über unsere Mitarbeiter dienen total der Erfüllung des Arbeitsvertrages, *hust*. Rechtliche Verpflichtung, okay, öffentliches Interesse, uhm, eher nicht, berechtigte Interessen… huh!? Ich schaue in die Begriffsbestimmungen, aber der Begriff taucht da nicht auf. Ich lese ihn immer wieder in Blog-Artikeln. Dort wird das so dargestellt, als könnte uns dieser Punkt den Arsch retten. Tut er das? Keine Ahnung. Ich weiß leider nicht, was er bedeutet.

Artikel 7, Bedingungen für die Einwilligung. Oh oh, wir müssen die Einwilligung nachweisen können. Ich denke an unseren Fileserver…, well, there goes the neighbourhood. Tja, liebes berechtigte Interesse, jetzt sind es wir beide, you and me, du und ich gegen die Welt! (Ich schmunzle noch ein wenig über die Vorstellung, dass jemand seine Einwilligung widerruft und wir deswegen anfangen müssen alle personenbezogenen Daten dieser Person von unserem Fileserver zu kratzen, aber hey, es liegen ja eh keine Einwilligungen für diese ganze Zeug vor. ¯\_(ツ)_/¯)

Weiter in Artikel 8, und um hier mal Southpark zu zitieren: „Wir machen keine geilen Sachen mit Kindern“. Puh, glück gehabt.

Artikel 9, uuuhh, die heiklen Daten. Machen wir nicht. Also eigentlich. Die Personalabteilung vielleicht, aber die wird ihren Krams schon im Griff haben. Ich fange aber an darüber nachzudenken. Kann man eine ethnische Herkunft nicht oftmals aus dem Namen ableiten? Hmm, nicht zuverlässig, schätze ich mal. Aus den Fotos der letzten Weihnachtsfeier könnte man es wohl… Also vermutlich haben wir damit nichts am Hut, aber wissen wir, ob irgendein Mitarbeiter von uns in seinem persönlichen E-Mail-Adressbuch in einem Kontakt notiert hat, dass jemand Muslim ist, um daran zu denken ihm zum Ramadan zu gratulieren? Nö, wissen wir nicht. Potenziell könnte es viele solcher Fälle geben, vielleicht aber auch keine. Woher sollen wir (in der IT, oder der Chef-Abteilung) das wissen? Aber the good news is: Wenn wir es selber schon nicht wissen, dann findet es auch keine Datenschutzbehörde raus. :-)

Artikel 10, personenbezogene Daten zu Straftaten. Oho. Also theoretisch haben wir damit nichts am Hut, praktisch kann es in unserem Business aber vorkommen, dass Mitarbeiter Dinge tun, die verboten sind (oder Kunden von uns, und wir werden unwissentlich zu Mittätern oder zumindest Zeugen). Funfact: Ich hatte mal eine Aufforderung der holländischen Polizei auf dem Tisch bestimmte E-Mails herauszurücken. Ich musste einiges dazu googlen, aber der Wisch war tatsächlich echt. Mehr schreibe ich zu dem Thema nicht, ohne meinen Anwalt. :-)

Artikel 11 klingt nach etwas, was erst weiter hinten relevant wird.

Artikel 12-23, die rechte der Betroffenen auf Auskunft, Berichtigung und Löschung. Ich denke wieder an meinen Fileserver. :-)

In Artikel 12 (5) finde ich erstmal einen Trollschutz. Das ist doch schön. Wenn uns jemand einfach nur anpissen will, können wir ihm theoretisch den Stinkefinger zeigen. Was „offenkundig unbegründet“ bedeutet, werden wir uns aber im Ernstfall dann wahrscheinlich trotzdem von Gerichten erklären lassen müssen. :/

Es geht los mit Informationspflichten bei der Erhebung personenbezogener Daten bei der betroffenen Person, Artikel 13. Äh, was heißt das? Daten, die wir von der Person direkt bekommen? Da komme ich mal weg von unserem Fileserver und fange an über unser E-Mail-System nachzudenken. Nehmen wir mal an eine uns unbekannte Person schickt eine E-Mail an unsere info@-Adresse mit der Bitte mit einem Verkäufer in Kontakt zu kommen (das ist ein häufiges Szenario bei uns). Wir haben dann in unserem System a) seine E-Mail-Adresse und b) alles, was er in die E-Mail z.B. in die Signatur geschrieben hat. Das sind personenbezogene Daten und wir haben sie in dem Moment erhoben, oder nicht? Was sollen wir da tun? Ein Auto-Reply zurückschicken mit einer Datenschutzerklärung? „Guten Tag, wir speichern ab jetzt die Daten aus Ihrer E-Mail zum Zwecke sie zu lesen, weil wir das laut Art 6 (1) b DSGVO dürfen. Die Dauer der Speicherung beträgt so lange, bis der E-Mail-Admin meckert, dass diese Maildatenbank langsam mal zu groß wird.“ Hmm, ob wir das nach Art 6 (1) b DSGVO dürfen, kommt drauf an, worum es in der E-Mail geht. So pauschal könnten wir das also gar nicht schreiben und damit wohl auch nicht automatisiert. Mich deucht, dass das alles ein wenig unrealistisch ist. Aber konkret begründen, warum wir das denn nicht eigentlich tun müssten, kann ich aktuell nicht. Wir machen es halt einfach nicht, wegen Artikel Roflcoptergtfo der LMAAVO.

Artikel 14 ist offenbar der ganze Spaß nochmal, wenn wir die Daten nicht von der betroffenen Person haben. In dem Fall müssen wir der betroffenen Person auch mitteilen, aus welcher Quelle die Daten stammen. Ich denke da zuerst an den Fall, dass uns ein Geschäftspartner schreibt, dass wir bitte folgende 4 E-Mail-Adressen in den Mailverteiler für Dingensbummens-E-Mails aufnehmen sollen. Das ist bei uns alltäglich, denn zu unseren Arbeitsprozessen gehören hunderte solcher Mailverteiler mit eigenen Mitarbeitern, Kundenkontakten oder Geschäftspartnern. Müssen wir dann den vier Leuten unsere Datenschutzerklärung schicken? „Guten Tag, wir speichern jetzt Ihre E-Mail-Adresse in unserer Verteilerliste, weil Ihr Kollege hat gesagt, wir sollen das machen. Die Dauer der Speicherung ist bis ihr Kollege es sich anders überlegt hat. Die Quelle dieser Daten ist, you guessed it, Ihr Kollege.“ Tun wir auch nicht, wegen Artikel Wirhabenbessereszutun LMAAVO.

Artikel 15, auf den freue ich mich schon, das Auskunftsrecht (und ja, ich weiß, dass das jetzt schon existiert). Nach allem, was ich bisher gelesen habe, sehe ich keinen Grund, warum dieses Recht nicht z.B. auch eigene Mitarbeiter, oder Ex-Mitarbeiter haben.

Mal angenommen so ein Ex-Mitarbeiter stellt eine solche Anfrage. Ich denke zuerst wieder an unseren Fileserver. Jaaa, lol. Dort könnten potenziell personenbezogene Daten dieser Person drinstehen. In Dokumenten, in Metadaten, in Bildern, usw.. Wie schon erwähnt, ist selbst die SID seines Active Directory-Accounts ein personenbezogenes Datum. Wer hier weiß, wo Windows überall diese SIDs hinschreibt? Das kann wahrscheinlich nicht mal Microsoft so genau sagen. Bei dem Gedanken an Dateien auf lokalen Festplatten überall in der Firma schüttele ich kurz den Kopf und denke lieber wieder an unser E-Mail-System. Wir nutzen IBM Notes. Dort gibt es neben den E-Mails noch mehrere hundert andere Datenbanken. Notes arbeitet so, dass in Datenbanken Dokumente gespeichert werden (das sind faktisch Datensätze, bestehend aus mehreren Feldern). Jedes Speichern trägt automatisch den Benutzernamen in ein Metadatenfeld des Dokuments ein. Das können wir nicht beeinflussen und wir können auch nicht auf Knopfdruck alle Einträge exportieren, bei denen diese Person drinsteht. Und wir reden hier von mehreren hundert Datenbanken mit potenziell zig- bis hunderttausenden Dokumenten und das obwohl wir noch nicht mal vom Inhalt dieser Dokumente geredet haben. Da kann die Person z.B. auch in Dateianhängen potenziell überall drinstehen (das gilt übrigens auch für personenbezogene Daten von Kunden, Geschäftspartnern, etc.). Wenn die Person mal in einem Workflow vor 10 Jahren in irgendeiner Datenbank einen Arbeitsschritt gemacht hat, dann steht das da drin. Personenbezogen. Und da sind wir noch gar nicht bei sowas wie Session-Logs, die es nämlich auch gibt, oder Serverlogs, da kann man z.B. ablesen, dass die Person an Tag x zur Uhrzeit y eine E-Mail bekommen hat. Ein personenbezogenes Datum. Um das alles für eine einzelne Person zusammenzukratzen kann man ein komplettes Team für den Rest seines Lebens beschäftigen, um so eine Anfrage wirklich vollständig zu bearbeiten. An alle E-Mails, in denen personenbezogene Daten dieser Person drinstehen, in allen E-Mail-Datenbanken, die wir haben, möchte ich gar nicht erst denken. Und ich habe hier bisher nur zwei Systeme erwähnt, von dutzenden, die wir im Einsatz haben. Und wir sind hier nur bei der Frage, welche Daten wir überhaupt haben. Beauskunften müssten wir über all diese Daten aber auch den Zweck, Kategorien, Empfänger der Daten, Speicherdauer, Quelle der Daten, usw.. Yea, well, no, not gonna happen.

Das Recht auf Berichtigung in Artikel 16 hebt da schon wieder meine Laune. Kaum etwas wünschen wir uns so sehr, wie dass uns bei den ganzen Schrottdaten, die wir so haben, mal einer mitteilt, was denn die richtigen und aktuellen Daten wären. Wir wissen’s nämlich nicht. Also wer uns beim Aktualisieren unserer Daten helfen will, immer gerne. :-)

Recht auf Löschung, Artikel 17, drollig. Manche der Daten, die wir so haben, können gar nicht gelöscht werden. Das betrifft allerdings in erster Linie (Ex-)Mitarbeiter. Wir nutzen diverse Software-Tools, die diverse Dinge tun und dazu diverse Dinge speichern, unter anderem über den Benutzer des Tools. Die Software speichert das, weil sie das halt macht. Wenn jemand den Zweck eines gespeicherten Datums wissen möchte, kann er ja den Entwickler der Software fragen, wenn er ihn findet… Wenn er ihn gefunden hat, kann er ihn auch gleich fragen, wie man solche Einzeldaten gezielt löschen kann. Viele Tools ermöglichen das nämliche für viele Arten von Daten gar nicht. Da gibt es eigentlich nur die Server-mit-Benzin-übergießen-und-anzünden-Methode, allerdings sind da halt auch noch andere Daten drauf, die wir noch brauchen. Tja. Aber auch wenn uns z.B. ein Kunde schreibt wir sollen seine Telefonnummer bei uns löschen, die er in jeder E-Mail seit 20 Jahren in seinem Mail-Footer mitgeschickt hat, kriegt er von uns halt nur ein lolnope. In der Praxis würden wir seine Nummer vielleicht aus irgendeiner Kundenkartei rausschmeißen, aber realistisch gesehen heißt das dann halt nicht, dass wir diese Telefonnummer dann nicht mehr haben, nicht nur den den alten E-Mails, sondern z.B. auch in den lokal gespeicherten persönlichen Adressbüchern unserer Mitarbeiter.

Wenn ich mir die Diskussionen (und den Gesetzestext) so anschaue, dann scheinen einige (alle!?) ziemlich skurrile Vorstellungen davon zu haben, welche personenbezogene Daten ein Unternehmen so in seiner IT schlummern hat, welchen Überblick das Unternehmen selbst darüber hat, aus welchen Gründen, zu welchen Zwecken und auf welchen Wegen diese Speicherungen erfolgen und wieviel Kontrolle die eigene Firmen-IT darüber überhaupt hat. Irgendwelche wohlgepflegten Karteien, mit vorbildlich dokumentierten Datenschutzinformationen, sind eine verschwindend geringe Ausnahme. Bei so Datenschleudern wie Facebook, deren Geschäftsmodell auf die Erhebung von Daten basiert, existiert sowas in Bezug auf die eigenen Kunden vielleicht noch, aber ein herkömmliches Industrie- oder Serviceunternehmen hat sowas bestenfalls noch für seinen Newsletterverteiler, seine eigenen Personalakten und noch 2-3 andere Sachen, aber dann hört es ganz schnell auf. Für >90% der personenbezogenen Daten in so einer Firma existieren solche Dokumentations-, oder überhaupt technischen Strukturen schlicht nicht und werden es auch nie. Das ist eine Vorstellung aus einer völligen Parallelwelt.

Ach, ich könnte jetzt noch seitenweise weiter DSGVO-Artikel durchgehen, aber ich denke das Muster wird auch so langsam klar. Spannend ist z.B. auch, dass wir ein weltweit agierendes Unternehmen sind und massenhaft Daten über die EU-Grenze hinwegschaufeln und dort genauso, wie auf unserem Fileserver und in unserem Notes, natürlich massenhaft personenbezogene Daten dabei sind. Dürfen wir das? Ich glaube eigentlich nicht, zumindest bei ein paar der betroffenen Ländern. Können wir das unterbinden? Klar, wenn wir unsere Zusammenarbeit mit unseren Niederlassungen dort einfach größtenteils einstellen. Spitzenplan.

Unter’m Strich bleibt, dass wir uns natürlich nicht an die DSGVO halten. Genausowenig, wie alle anderen. Wir sind eine große Menschenmenge an Sündern und wir alle hoffen, dass nur die vorderen Reihen umgeballert werden. Was wir in erster Linie tun, ist unser Abmahnrisiko minimieren und hoffen, dass niemals jemand eine Datenauskunft von uns verlangt. Wenn das passiert, lösen wir wahrschienlich die Firma auf und gründen Sie heimlich unter anderem Namen neu. ;) (Naja, oder wir lügen die Person halt einfach an, so wie alle anderen.)

Der Punkt aber ist, dass all die Daten, von denen ich hier seitenweise geschrieben habe, kein Schwein interessiert. Unseren Kunden und Geschäftspartner könnte das alles egaler nicht sein (Business to Business halt…). Wenn wir anfangen die mit Datenschutzinformationen zuzuballern und stapelweise Einwilligungen einzusammeln, erklären die uns für verrückt.

So ist es also 1. vollkommen unmöglich die ganzen Vorschriften alle einzuhalten, aus praktischen und technischen Gründen, und 2. auch vollkommen unnötig das zu tun, da eh niemand überhaupt ein Interesse daran hat, von ein paar wenigen ganz spezifischen Fällen mal abgesehen, wie z.B. Arbeitsvertragsgeschichten.

Diese Situation war schon mit dem BDSG so und mit der DSGVO ist es erst recht so. Nur sehe ich leider nicht, dass das in der Diskussion eine Rolle spielt. Ich sehe eher, dass diese Diskussion vollkommen weltfremd geführt wird. Bzw. konkreter, wird diese Diskussion so geführt, dass sie ein paar ganz bestimmte Fälle im Kopf hat, nämlich meistens die, dass ein Unternehmen aktiv Daten über seine Kunden sammelt und dann mit diesen Daten irgendwie Geld verdienen möchte. Das ist eine sehr regulierungswürdige Geschichte und ich bin froh, dass die DSGVO hier Grenzen setzt und Rechte sichert. Das ist aber halt nur ein kleiner Teil des Geltungsbereichs dieser Vorschriften. Der größte Teil sind klassische Unternehmen, die nachts um 3 Uhr an einer roten Fußgängerampel stehen und jetzt Hemmungen haben einfach drüber zu gehen, so wie sie es die letzten 50 Jahre lang gemacht haben. Immerhin dort, wo es irgendwelche Blogger, Aktivisten, oder Webseitenbetreiber berührt, gibt es eine Diskussion über die Grenzen der Sinnhaftigkeit der neuen Gesetzeslage. Über die jammendernden Mittelstandsunternehmen höre ich Dinge wie „Wird ja auch mal Zeit, dass die sich auch mal Gedanken machen, ob die ihre Datenspeicherungen wirklich brauchen!“ Herzlichen Dank auch, dass wir viele davon nicht wirklich brauchen, wussten wir auch bisher. Das geht aber komplett am Problem vorbei, siehe oben.

Im Grunde gibt es zwei Wege, wie man legislativ mit dieser Lage ganz generell umgehen könnte. Entweder man führt das System so weiter und hofft sich mit Pragmatismus, Verhältnismäßigkeit und Gelassenheit behelfen zu können, oder man baut die Systematik so um, dass die verdammte Fußgängerampel nachts halt abgeschaltet wird und die ganze Datenverarbeitung, die eigentlich eh niemanden interessiert, auch nicht mehr unter die DSGVO-Regeln fällt.

Momentan gilt die erste Variante. Die kleinen Fische werden wahrscheinlich unbehelligt bleiben. Strafen bekommen (erstmal!?) nur die großen Sünder, für ihre richtigen Schweinereien. Für irgendwelche Serverlogs, die eh niemand auswertet, wird sich wahrscheinlich auch in Zukunft niemand interessieren. Und solange einen niemand auf dem Kieker hat, der einen mit seinen Betroffenenrechten trollen möchte, oder man sich irgendwo leichtfertig abmahnanfällig macht, wird man wohl auch weiterhin wie bisher durchkommen. (Unschön ist das aber für Leute, die politisch aktiv sind, denn in dem Umfeld hat man sehr schnell ganze Horden an den Hacken, die einen auf dem Kieker haben…)

Ich finde diese Situation ehrlichgesagt unbefriedigend. Das war schon mit dem BDSG unschön, aber die DSGVO hat auch den Zweck etwas dagegen zu tun, dass sich kein Schwein ans Datenschutzrecht hält. Dass man damit bisher fast immer durchgekommen ist, ist aber der einzige Grund, warum das BDSG nicht schon immer zum völligen Kollaps geführt hat. Dass sich die meisten nur teilweise um Datenschutz scheren, ist ein überlebensnotwendiger Teil des Systems. Ob’s einem passt, oder nicht.

Je mehr ich darüber nachdenke, desto mehr würde ich eigentlich die zweite Variante favorisieren.

Das Datenschutzrecht sollte vielleicht lieber auflisten welche Arten von Daten es reguliert (z.B. Profiling- oder Tracking-Daten) und welche Verwendungen von Daten es reguliert (z.B. Weiterverkauf, Verhaltensanalyse, oder algorithmische Beurteilungen). Damit kann man für alle Arten von interessanten Daten passende Vorschriften zusammenklöppeln, die dann auch 1. tatsächlich einen konkreten Schutzzweck haben und 2. evtl. auch tatsächlich praktisch umsetzbar sind, oder zumindest so nah an der Umsetzbarkeit dran sind, dass (möglichst alle) Softwarehersteller eine Chance haben ihre Tools so umzubauen, dass man die Vorschriften damit dann einhalten kann. Das birgt dann die Gefahr, dass Schlupflöcher und Gesetzeslücken bleiben, die Unternehmen ausnutzen, um finstere Machenschaften zu treiben. Aber falls das wirklich passiert, kann man die Gesetze erweitern und das abstellen. Dafür macht man damit dann aber nicht ein paar millionen Unternehmen und Unternehmer völlig kirre, die jetzt alle abwägen müssen, wie illegal genau sie ihre IT weiter betreiben möchten und welches rechtliche Risiko sie halt einzugehen bereit sind.

In der Praxis ist das nämlich genau das, wie das Datenschutzrecht jetzt schon umgesetzt wird. Alle Firmen überlegen sich, für welche Arten von Daten sie die ganzen Vorschriften überhaupt umsetzen wollen und für welche Arten der Verwendung dieser Daten sich vielleicht mal jemand interessieren könnte. Für alle Daten mit irgendwelchem Killefit, die eh für nichts relevantes genutzt werden, macht sich kein Unternehmen die Mühe die Vorschriften der DSGVO einzuhalten. Nur entscheiden die Unternehmen das nun eben mit Hilfe von gesundem Menschenverstand selbst, was darunter fällt, und setzen sich damit über die jetzige Rechtslage einfach hinweg.

Das Ergebnis ist ungefähr das gleiche, nur dass wir so, wie es jetzt ist, eben alle Sünder sind, die sich nun anhören dürfen, dass sie nichts zu befürchten haben, wenn sie sich auch bisher schon an das BDSG gehalten haben. Sehr beruhigend. Wir schauen nun also alle zu, wie die Behörden bald versuchen werden die ersten paar Reihen der Menschenmenge wegzuballern und warten auf den Tag, an dem sie zu uns kommen, der hoffentlich nie eintrifft.