Archiv für die Kategorie ‘Grundrechte’

Ein paar Gedanken zur DSGVO

Veröffentlicht: 19. Mai 2018 in Datenschutz, Grundrechte

Ich bin ja ein großer Freund von Datenschutz, mein Eindruck der DSGVO ist zur Zeit allerdings eher so ‚meh‘.

Ein wesentlicher Aspekt des Datenschutzrechts ist für mich, dass kein Unternehmen je das BDSG eingehalten hat und auch genausowenig je ein Unternehmen die DSGVO einhalten wird. Das geht gar nicht und das ging auch noch nie. Das ist einfach eine weltfremde Vorstellung. Das Datenschutzrecht hat schon immer darauf basiert, dass der ganze Kleinscheiß und die irrelevanten Verstöße gegen das Gesetz halt einfach nicht verfolgt werden. Beschäftigt hat man sich immer nur mit dem Teil, der auch tatsächlich jemanden interessiert hat. Der Rest ist wie nachts um 3 Uhr auf einer vollkommen verlassenen Straße über eine rote Fußgängerampel zu gehen.

Vom Feeling her ist das ein wenig so, als würde man in einer sehr großen Menschenmenge stehen, in der alle gegen das Gesetz verstoßen. Ein paar davon ein wenig mehr, ein paar weniger, ein paar ein bisschen dreister oder auch dem eigenen Empfinden nach „kriminell“, ein paar eher aus Bequemlichkeit, Naivität, Unwissen, oder weil es einfach absolut niemandem weiterhilft nachts um 3 Uhr an einer roten Fußgängerampel stehen zu bleiben. Irgendwo ganz vorne stehen ein paar Leute von den Aufsichtsbehörden mit großen Knüppeln in der Hand und dreschen auf die ersten paar Reihen ein. Okay, das ist ihr Job und da vorne stehen auch ein paar Leute rum, die ein wenig Geknüppel auch echt mal verdient haben. Leider haben einige der schlimmsten von denen Helme auf, oder können sich regelrechte Rüstungen leisten. Ein paar verkriechen sich ein paar Reihen weiter hinten, mischen sich unter die harmloseren Gesetzesbrecher und verstecken sich. Alles sehr unbefriedigend.

Die DSGVO ändert die Situation nicht grundsätzlich, aber sie versucht ein paar Verbesserungen in der Durchsetzung herbeizuführen. Die Pflichten, die alle haben, steigen, was dazu führt, dass quasi alle noch ein wenig mehr gegen das Gesetz verstoßen. Die Änderungen führen dazu, dass man sich fragt, ob man denn jetzt noch ein kleiner, irrelevanter Fisch ist, oder ob man jetzt schon als ernsthaft kriminell gilt, mit seiner roten Ampel, nachts um 3 Uhr. Außerdem sind die Behörden-Leute irgendwo ganz vorne es Leid mit Knüppeln auf die Leute einzuschlagen. Damit das ein wenig effektiver wird, haben die jetzt Maschinengewehre bekommen. Zur Zeit machen die sich noch mit den Gewehren vertraut, laden sie, entsichern, und hier und da ist die Vorfreude zu spüren, dass die in wenigen Tagen damit losballern dürfen. Die Typen mit den Helmen in den ersten Reihen sind dann endlich dran. Ein paar Reihen weiter hinten fragen sich alle, ob sie denn jetzt auch umgeballert werden. Aber man wird beruhigt. Die Behörden haben viel zu wenig Munition, um uns alle umzuballern. Die werden erstmal auf die großen Fische zielen und damit sind die wahrscheinlich noch eine Weile gut beschäftigt. Uhm, okay, gut, this is fine.

Dann gibt es aber noch ein zweites Problem. Jeder Horst, der sich irgendwie für abmahnbefugt hält, bekommt eine Pistole in die Hand gedrückt. Wenn der irgendeinen Grund findet, kann er dich abmahnen und dir dadurch – sagen wir mal – mit seiner Pistole in die Schulter schießen. Puh, das ist jetzt weniger gut. Aber kein Problem, sagen die Leute, wer sich bisher an die Gesetze gehalten hat, hat auch in Zukunft nichts zu befürchten. Äh, ich schaue mich in der Menschenmenge um und sehe überall nur Sünder. Ich erzähle was davon, wer denn den ersten Stein werfen wolle, wo wir doch alle nicht ohne Sünde seien, und so. Währenddessen sehe ich irgendwelche Leute, die aus politischen oder persönlichen Gründen etwas gegen mich oder meine Firma haben, Leute, die meine Konkurrenten sind, oder z.B. ehemalige Mitarbeiter, die im Streit gegegangen wurden sind, die bereits den Lauf ihrer brandneuen Pistole schrubben. Okay, this is, uhm, fine? I guess!?

Das ist sozusagen die Grundstimmung in der ich mich zur Zeit mit der DSGVO befasse. Der Kontext ist hier nicht privat, auch nicht politisch, sondern die Firmen-IT des mittelständischen B2B-Unternehmens, bei dem ich arbeite.

Dann versuche ich zu überblicken, was denn nun tatsächlich Phase ist, und greife zum Gesetzestext. (Ich kenne auch bereits diverse Blogs und Texte mit vielen Argumentationen, die sich aber leider fast nie auf den Kontext beziehen, der für mich im beruflichen Umfeld relevant ist.)

Also fangen wir von vorne an. Was haben wir da? Gegenstand und Ziele, okay, Anwendungsbereich, check, Begriffsbestimmen, ah, den Artikel 4 mache ich lieber mal in einem extra Tab auf. Worum geht es? „Personenbezogene Daten“ und „Verarbeitung“. Was ist das? Okay, komplett alles und alle Daten, die irgendwie mit einer Person in Verbindung gebracht werden können. Ich denke an meine Firmen-IT und mir schwant jetzt schon übles.

In Artikel 5 geht es los, die Grundsätze der Verarbeitung. Ich schaue mir das an und denke sofort, yea, well, no, not gonna happen.

Dort steht z.B., dass die Verarbeitung in einer für die betroffene Person nachvollziehbaren Weise passieren muss, dass sie festgelegte, eindeutige und legitime Zwecke haben muss, auf das für die Zwecke notwendige Maß beschränkt werden muss, sachlich richtig, erforderlich und auf dem neusten Stand sein muss, usw.. Ich denke an unsere Firmen-IT und fange an hysterisch zu kichern.

Wir haben als IT (und noch viel mehr unsere verantwortlichen Chefs) in vielen Fällen keine Ahnung, welche Daten irgendwo gespeichert sind, oder wofür die sind, ob die aktuell sind, ob die noch jemand braucht, oder z.B. auch wo die Daten herkommen. Mein Eindruck ist, viele Leute denken hier an irgendwelche Konzerne, die ihre Kunden detailliert ausforschen und dann in finsteren Kammern darüber sinnieren, wie sie ihren skrupellos angehäuften Datenschatz zu Geld machen können. Nichts davon trifft auf uns zu. Wir machen eigentlich nur Business to Business und der allergrößte Teil unserer personenbezogenen Daten betrifft eh unsere eigenen Mitarbeiter. Wenn ich darüber nachdenke, was das ist, denke ich z.B. an unseren Fileserver. Dort gibt es hunderte Ordner (pro Niederlassung…) mit tonnenweise Dateien drin, die teilweise bis zu 10-20 Jahre alt sind. Macht man davon was auf, findet man z.B. Word-Dokumente in denen irgendwelcher Text drin steht. Manchmal sind da z.B. Kontaktdaten drin, von irgendwelchen Ansprechpartnern von unseren Kunden oder Zulieferern. Viele haben Fußzeilen, mit Firmeninformationen, inkl. den Namen der Vorstände und Aufsichtsräte (was für Geschäftsbriefe aller Art gesetzlich vorgeschrieben ist). Die Dateien haben oft Metadatan, wo drin steht, wer sie erstellt hat. Windows verwaltet z.B. auch die Zugriffskontrolle auf Filesystem-Ebene. Da stehen manchmal SIDs von Active Directory Accounts drin. Man findet da manchmal Excel-Listen, wo aller möglicher Krams drinstehen kann. Oder Powerpoint-Präsentationen, die wir mal von irgendeiner anderen Firma geschickt bekommen haben, die ebenfalls personenbezogene Daten enthalten können. Wenn man lange genug sucht, findet man sogar Ordner mit Fotos der verdammten Weihnachtsfeier. Ist irgendetwas davon für die Betroffnen nachvollziehbar? Wohl kaum. Hat irgendetwas davon einen festgelegten Zweck? Uhm, manches davon hatte vielleicht mal einen. Viel Glück bei dem Versuch das herauszufinden. Wenn es gut läuft, arbeitet die Person, die diesen vielleicht noch wüsste, noch bei uns. Ist das, was da überall steht, alles sachlich richtig und aktuell? lol! Erforderlich? Natürlich nicht. Einer der beliebtesten Aufräum-Moves in einer Firmen-IT ist es erstmal großflächig zu löschen und dann zu schauen, ob irgendjemand jammert. Yolo! Ich schaue wieder in den DSGVO-Text und erinnere mich, dass ich ja hysterisch kichern wollte.

Weiter geht’s, Rechtmäßigkeit der Verarbeitung, Artikel 6. Einwilligung, puh, also viele der Daten, die bei uns rumliegen, haben wir wahrscheinlich von den betroffenen Personen bekommen, oder zumindest mit deren Wissen. Also vielleicht. Wer weiß das schon so genau? Erfüllung eines Vertrags, hmm, das sollte auch für Arbeitsverträge gelten, oder? Die ganzen Daten über unsere Mitarbeiter dienen total der Erfüllung des Arbeitsvertrages, *hust*. Rechtliche Verpflichtung, okay, öffentliches Interesse, uhm, eher nicht, berechtigte Interessen… huh!? Ich schaue in die Begriffsbestimmungen, aber der Begriff taucht da nicht auf. Ich lese ihn immer wieder in Blog-Artikeln. Dort wird das so dargestellt, als könnte uns dieser Punkt den Arsch retten. Tut er das? Keine Ahnung. Ich weiß leider nicht, was er bedeutet.

Artikel 7, Bedingungen für die Einwilligung. Oh oh, wir müssen die Einwilligung nachweisen können. Ich denke an unseren Fileserver…, well, there goes the neighbourhood. Tja, liebes berechtigte Interesse, jetzt sind es wir beide, you and me, du und ich gegen die Welt! (Ich schmunzle noch ein wenig über die Vorstellung, dass jemand seine Einwilligung widerruft und wir deswegen anfangen müssen alle personenbezogenen Daten dieser Person von unserem Fileserver zu kratzen, aber hey, es liegen ja eh keine Einwilligungen für diese ganze Zeug vor. ¯\_(ツ)_/¯)

Weiter in Artikel 8, und um hier mal Southpark zu zitieren: „Wir machen keine geilen Sachen mit Kindern“. Puh, glück gehabt.

Artikel 9, uuuhh, die heiklen Daten. Machen wir nicht. Also eigentlich. Die Personalabteilung vielleicht, aber die wird ihren Krams schon im Griff haben. Ich fange aber an darüber nachzudenken. Kann man eine ethnische Herkunft nicht oftmals aus dem Namen ableiten? Hmm, nicht zuverlässig, schätze ich mal. Aus den Fotos der letzten Weihnachtsfeier könnte man es wohl… Also vermutlich haben wir damit nichts am Hut, aber wissen wir, ob irgendein Mitarbeiter von uns in seinem persönlichen E-Mail-Adressbuch in einem Kontakt notiert hat, dass jemand Muslim ist, um daran zu denken ihm zum Ramadan zu gratulieren? Nö, wissen wir nicht. Potenziell könnte es viele solcher Fälle geben, vielleicht aber auch keine. Woher sollen wir (in der IT, oder der Chef-Abteilung) das wissen? Aber the good news is: Wenn wir es selber schon nicht wissen, dann findet es auch keine Datenschutzbehörde raus. :-)

Artikel 10, personenbezogene Daten zu Straftaten. Oho. Also theoretisch haben wir damit nichts am Hut, praktisch kann es in unserem Business aber vorkommen, dass Mitarbeiter Dinge tun, die verboten sind (oder Kunden von uns, und wir werden unwissentlich zu Mittätern oder zumindest Zeugen). Funfact: Ich hatte mal eine Aufforderung der holländischen Polizei auf dem Tisch bestimmte E-Mails herauszurücken. Ich musste einiges dazu googlen, aber der Wisch war tatsächlich echt. Mehr schreibe ich zu dem Thema nicht, ohne meinen Anwalt. :-)

Artikel 11 klingt nach etwas, was erst weiter hinten relevant wird.

Artikel 12-23, die rechte der Betroffenen auf Auskunft, Berichtigung und Löschung. Ich denke wieder an meinen Fileserver. :-)

In Artikel 12 (5) finde ich erstmal einen Trollschutz. Das ist doch schön. Wenn uns jemand einfach nur anpissen will, können wir ihm theoretisch den Stinkefinger zeigen. Was „offenkundig unbegründet“ bedeutet, werden wir uns aber im Ernstfall dann wahrscheinlich trotzdem von Gerichten erklären lassen müssen. :/

Es geht los mit Informationspflichten bei der Erhebung personenbezogener Daten bei der betroffenen Person, Artikel 13. Äh, was heißt das? Daten, die wir von der Person direkt bekommen? Da komme ich mal weg von unserem Fileserver und fange an über unser E-Mail-System nachzudenken. Nehmen wir mal an eine uns unbekannte Person schickt eine E-Mail an unsere info@-Adresse mit der Bitte mit einem Verkäufer in Kontakt zu kommen (das ist ein häufiges Szenario bei uns). Wir haben dann in unserem System a) seine E-Mail-Adresse und b) alles, was er in die E-Mail z.B. in die Signatur geschrieben hat. Das sind personenbezogene Daten und wir haben sie in dem Moment erhoben, oder nicht? Was sollen wir da tun? Ein Auto-Reply zurückschicken mit einer Datenschutzerklärung? „Guten Tag, wir speichern ab jetzt die Daten aus Ihrer E-Mail zum Zwecke sie zu lesen, weil wir das laut Art 6 (1) b DSGVO dürfen. Die Dauer der Speicherung beträgt so lange, bis der E-Mail-Admin meckert, dass diese Maildatenbank langsam mal zu groß wird.“ Hmm, ob wir das nach Art 6 (1) b DSGVO dürfen, kommt drauf an, worum es in der E-Mail geht. So pauschal könnten wir das also gar nicht schreiben und damit wohl auch nicht automatisiert. Mich deucht, dass das alles ein wenig unrealistisch ist. Aber konkret begründen, warum wir das denn nicht eigentlich tun müssten, kann ich aktuell nicht. Wir machen es halt einfach nicht, wegen Artikel Roflcoptergtfo der LMAAVO.

Artikel 14 ist offenbar der ganze Spaß nochmal, wenn wir die Daten nicht von der betroffenen Person haben. In dem Fall müssen wir der betroffenen Person auch mitteilen, aus welcher Quelle die Daten stammen. Ich denke da zuerst an den Fall, dass uns ein Geschäftspartner schreibt, dass wir bitte folgende 4 E-Mail-Adressen in den Mailverteiler für Dingensbummens-E-Mails aufnehmen sollen. Das ist bei uns alltäglich, denn zu unseren Arbeitsprozessen gehören hunderte solcher Mailverteiler mit eigenen Mitarbeitern, Kundenkontakten oder Geschäftspartnern. Müssen wir dann den vier Leuten unsere Datenschutzerklärung schicken? „Guten Tag, wir speichern jetzt Ihre E-Mail-Adresse in unserer Verteilerliste, weil Ihr Kollege hat gesagt, wir sollen das machen. Die Dauer der Speicherung ist bis ihr Kollege es sich anders überlegt hat. Die Quelle dieser Daten ist, you guessed it, Ihr Kollege.“ Tun wir auch nicht, wegen Artikel Wirhabenbessereszutun LMAAVO.

Artikel 15, auf den freue ich mich schon, das Auskunftsrecht (und ja, ich weiß, dass das jetzt schon existiert). Nach allem, was ich bisher gelesen habe, sehe ich keinen Grund, warum dieses Recht nicht z.B. auch eigene Mitarbeiter, oder Ex-Mitarbeiter haben.

Mal angenommen so ein Ex-Mitarbeiter stellt eine solche Anfrage. Ich denke zuerst wieder an unseren Fileserver. Jaaa, lol. Dort könnten potenziell personenbezogene Daten dieser Person drinstehen. In Dokumenten, in Metadaten, in Bildern, usw.. Wie schon erwähnt, ist selbst die SID seines Active Directory-Accounts ein personenbezogenes Datum. Wer hier weiß, wo Windows überall diese SIDs hinschreibt? Das kann wahrscheinlich nicht mal Microsoft so genau sagen. Bei dem Gedanken an Dateien auf lokalen Festplatten überall in der Firma schüttele ich kurz den Kopf und denke lieber wieder an unser E-Mail-System. Wir nutzen IBM Notes. Dort gibt es neben den E-Mails noch mehrere hundert andere Datenbanken. Notes arbeitet so, dass in Datenbanken Dokumente gespeichert werden (das sind faktisch Datensätze, bestehend aus mehreren Feldern). Jedes Speichern trägt automatisch den Benutzernamen in ein Metadatenfeld des Dokuments ein. Das können wir nicht beeinflussen und wir können auch nicht auf Knopfdruck alle Einträge exportieren, bei denen diese Person drinsteht. Und wir reden hier von mehreren hundert Datenbanken mit potenziell zig- bis hunderttausenden Dokumenten und das obwohl wir noch nicht mal vom Inhalt dieser Dokumente geredet haben. Da kann die Person z.B. auch in Dateianhängen potenziell überall drinstehen (das gilt übrigens auch für personenbezogene Daten von Kunden, Geschäftspartnern, etc.). Wenn die Person mal in einem Workflow vor 10 Jahren in irgendeiner Datenbank einen Arbeitsschritt gemacht hat, dann steht das da drin. Personenbezogen. Und da sind wir noch gar nicht bei sowas wie Session-Logs, die es nämlich auch gibt, oder Serverlogs, da kann man z.B. ablesen, dass die Person an Tag x zur Uhrzeit y eine E-Mail bekommen hat. Ein personenbezogenes Datum. Um das alles für eine einzelne Person zusammenzukratzen kann man ein komplettes Team für den Rest seines Lebens beschäftigen, um so eine Anfrage wirklich vollständig zu bearbeiten. An alle E-Mails, in denen personenbezogene Daten dieser Person drinstehen, in allen E-Mail-Datenbanken, die wir haben, möchte ich gar nicht erst denken. Und ich habe hier bisher nur zwei Systeme erwähnt, von dutzenden, die wir im Einsatz haben. Und wir sind hier nur bei der Frage, welche Daten wir überhaupt haben. Beauskunften müssten wir über all diese Daten aber auch den Zweck, Kategorien, Empfänger der Daten, Speicherdauer, Quelle der Daten, usw.. Yea, well, no, not gonna happen.

Das Recht auf Berichtigung in Artikel 16 hebt da schon wieder meine Laune. Kaum etwas wünschen wir uns so sehr, wie dass uns bei den ganzen Schrottdaten, die wir so haben, mal einer mitteilt, was denn die richtigen und aktuellen Daten wären. Wir wissen’s nämlich nicht. Also wer uns beim Aktualisieren unserer Daten helfen will, immer gerne. :-)

Recht auf Löschung, Artikel 17, drollig. Manche der Daten, die wir so haben, können gar nicht gelöscht werden. Das betrifft allerdings in erster Linie (Ex-)Mitarbeiter. Wir nutzen diverse Software-Tools, die diverse Dinge tun und dazu diverse Dinge speichern, unter anderem über den Benutzer des Tools. Die Software speichert das, weil sie das halt macht. Wenn jemand den Zweck eines gespeicherten Datums wissen möchte, kann er ja den Entwickler der Software fragen, wenn er ihn findet… Wenn er ihn gefunden hat, kann er ihn auch gleich fragen, wie man solche Einzeldaten gezielt löschen kann. Viele Tools ermöglichen das nämliche für viele Arten von Daten gar nicht. Da gibt es eigentlich nur die Server-mit-Benzin-übergießen-und-anzünden-Methode, allerdings sind da halt auch noch andere Daten drauf, die wir noch brauchen. Tja. Aber auch wenn uns z.B. ein Kunde schreibt wir sollen seine Telefonnummer bei uns löschen, die er in jeder E-Mail seit 20 Jahren in seinem Mail-Footer mitgeschickt hat, kriegt er von uns halt nur ein lolnope. In der Praxis würden wir seine Nummer vielleicht aus irgendeiner Kundenkartei rausschmeißen, aber realistisch gesehen heißt das dann halt nicht, dass wir diese Telefonnummer dann nicht mehr haben, nicht nur den den alten E-Mails, sondern z.B. auch in den lokal gespeicherten persönlichen Adressbüchern unserer Mitarbeiter.

Wenn ich mir die Diskussionen (und den Gesetzestext) so anschaue, dann scheinen einige (alle!?) ziemlich skurrile Vorstellungen davon zu haben, welche personenbezogene Daten ein Unternehmen so in seiner IT schlummern hat, welchen Überblick das Unternehmen selbst darüber hat, aus welchen Gründen, zu welchen Zwecken und auf welchen Wegen diese Speicherungen erfolgen und wieviel Kontrolle die eigene Firmen-IT darüber überhaupt hat. Irgendwelche wohlgepflegten Karteien, mit vorbildlich dokumentierten Datenschutzinformationen, sind eine verschwindend geringe Ausnahme. Bei so Datenschleudern wie Facebook, deren Geschäftsmodell auf die Erhebung von Daten basiert, existiert sowas in Bezug auf die eigenen Kunden vielleicht noch, aber ein herkömmliches Industrie- oder Serviceunternehmen hat sowas bestenfalls noch für seinen Newsletterverteiler, seine eigenen Personalakten und noch 2-3 andere Sachen, aber dann hört es ganz schnell auf. Für >90% der personenbezogenen Daten in so einer Firma existieren solche Dokumentations-, oder überhaupt technischen Strukturen schlicht nicht und werden es auch nie. Das ist eine Vorstellung aus einer völligen Parallelwelt.

Ach, ich könnte jetzt noch seitenweise weiter DSGVO-Artikel durchgehen, aber ich denke das Muster wird auch so langsam klar. Spannend ist z.B. auch, dass wir ein weltweit agierendes Unternehmen sind und massenhaft Daten über die EU-Grenze hinwegschaufeln und dort genauso, wie auf unserem Fileserver und in unserem Notes, natürlich massenhaft personenbezogene Daten dabei sind. Dürfen wir das? Ich glaube eigentlich nicht, zumindest bei ein paar der betroffenen Ländern. Können wir das unterbinden? Klar, wenn wir unsere Zusammenarbeit mit unseren Niederlassungen dort einfach größtenteils einstellen. Spitzenplan.

Unter’m Strich bleibt, dass wir uns natürlich nicht an die DSGVO halten. Genausowenig, wie alle anderen. Wir sind eine große Menschenmenge an Sündern und wir alle hoffen, dass nur die vorderen Reihen umgeballert werden. Was wir in erster Linie tun, ist unser Abmahnrisiko minimieren und hoffen, dass niemals jemand eine Datenauskunft von uns verlangt. Wenn das passiert, lösen wir wahrschienlich die Firma auf und gründen Sie heimlich unter anderem Namen neu. ;) (Naja, oder wir lügen die Person halt einfach an, so wie alle anderen.)

Der Punkt aber ist, dass all die Daten, von denen ich hier seitenweise geschrieben habe, kein Schwein interessiert. Unseren Kunden und Geschäftspartner könnte das alles egaler nicht sein (Business to Business halt…). Wenn wir anfangen die mit Datenschutzinformationen zuzuballern und stapelweise Einwilligungen einzusammeln, erklären die uns für verrückt.

So ist es also 1. vollkommen unmöglich die ganzen Vorschriften alle einzuhalten, aus praktischen und technischen Gründen, und 2. auch vollkommen unnötig das zu tun, da eh niemand überhaupt ein Interesse daran hat, von ein paar wenigen ganz spezifischen Fällen mal abgesehen, wie z.B. Arbeitsvertragsgeschichten.

Diese Situation war schon mit dem BDSG so und mit der DSGVO ist es erst recht so. Nur sehe ich leider nicht, dass das in der Diskussion eine Rolle spielt. Ich sehe eher, dass diese Diskussion vollkommen weltfremd geführt wird. Bzw. konkreter, wird diese Diskussion so geführt, dass sie ein paar ganz bestimmte Fälle im Kopf hat, nämlich meistens die, dass ein Unternehmen aktiv Daten über seine Kunden sammelt und dann mit diesen Daten irgendwie Geld verdienen möchte. Das ist eine sehr regulierungswürdige Geschichte und ich bin froh, dass die DSGVO hier Grenzen setzt und Rechte sichert. Das ist aber halt nur ein kleiner Teil des Geltungsbereichs dieser Vorschriften. Der größte Teil sind klassische Unternehmen, die nachts um 3 Uhr an einer roten Fußgängerampel stehen und jetzt Hemmungen haben einfach drüber zu gehen, so wie sie es die letzten 50 Jahre lang gemacht haben. Immerhin dort, wo es irgendwelche Blogger, Aktivisten, oder Webseitenbetreiber berührt, gibt es eine Diskussion über die Grenzen der Sinnhaftigkeit der neuen Gesetzeslage. Über die jammendernden Mittelstandsunternehmen höre ich Dinge wie „Wird ja auch mal Zeit, dass die sich auch mal Gedanken machen, ob die ihre Datenspeicherungen wirklich brauchen!“ Herzlichen Dank auch, dass wir viele davon nicht wirklich brauchen, wussten wir auch bisher. Das geht aber komplett am Problem vorbei, siehe oben.

Im Grunde gibt es zwei Wege, wie man legislativ mit dieser Lage ganz generell umgehen könnte. Entweder man führt das System so weiter und hofft sich mit Pragmatismus, Verhältnismäßigkeit und Gelassenheit behelfen zu können, oder man baut die Systematik so um, dass die verdammte Fußgängerampel nachts halt abgeschaltet wird und die ganze Datenverarbeitung, die eigentlich eh niemanden interessiert, auch nicht mehr unter die DSGVO-Regeln fällt.

Momentan gilt die erste Variante. Die kleinen Fische werden wahrscheinlich unbehelligt bleiben. Strafen bekommen (erstmal!?) nur die großen Sünder, für ihre richtigen Schweinereien. Für irgendwelche Serverlogs, die eh niemand auswertet, wird sich wahrscheinlich auch in Zukunft niemand interessieren. Und solange einen niemand auf dem Kieker hat, der einen mit seinen Betroffenenrechten trollen möchte, oder man sich irgendwo leichtfertig abmahnanfällig macht, wird man wohl auch weiterhin wie bisher durchkommen. (Unschön ist das aber für Leute, die politisch aktiv sind, denn in dem Umfeld hat man sehr schnell ganze Horden an den Hacken, die einen auf dem Kieker haben…)

Ich finde diese Situation ehrlichgesagt unbefriedigend. Das war schon mit dem BDSG unschön, aber die DSGVO hat auch den Zweck etwas dagegen zu tun, dass sich kein Schwein ans Datenschutzrecht hält. Dass man damit bisher fast immer durchgekommen ist, ist aber der einzige Grund, warum das BDSG nicht schon immer zum völligen Kollaps geführt hat. Dass sich die meisten nur teilweise um Datenschutz scheren, ist ein überlebensnotwendiger Teil des Systems. Ob’s einem passt, oder nicht.

Je mehr ich darüber nachdenke, desto mehr würde ich eigentlich die zweite Variante favorisieren.

Das Datenschutzrecht sollte vielleicht lieber auflisten welche Arten von Daten es reguliert (z.B. Profiling- oder Tracking-Daten) und welche Verwendungen von Daten es reguliert (z.B. Weiterverkauf, Verhaltensanalyse, oder algorithmische Beurteilungen). Damit kann man für alle Arten von interessanten Daten passende Vorschriften zusammenklöppeln, die dann auch 1. tatsächlich einen konkreten Schutzzweck haben und 2. evtl. auch tatsächlich praktisch umsetzbar sind, oder zumindest so nah an der Umsetzbarkeit dran sind, dass (möglichst alle) Softwarehersteller eine Chance haben ihre Tools so umzubauen, dass man die Vorschriften damit dann einhalten kann. Das birgt dann die Gefahr, dass Schlupflöcher und Gesetzeslücken bleiben, die Unternehmen ausnutzen, um finstere Machenschaften zu treiben. Aber falls das wirklich passiert, kann man die Gesetze erweitern und das abstellen. Dafür macht man damit dann aber nicht ein paar millionen Unternehmen und Unternehmer völlig kirre, die jetzt alle abwägen müssen, wie illegal genau sie ihre IT weiter betreiben möchten und welches rechtliche Risiko sie halt einzugehen bereit sind.

In der Praxis ist das nämlich genau das, wie das Datenschutzrecht jetzt schon umgesetzt wird. Alle Firmen überlegen sich, für welche Arten von Daten sie die ganzen Vorschriften überhaupt umsetzen wollen und für welche Arten der Verwendung dieser Daten sich vielleicht mal jemand interessieren könnte. Für alle Daten mit irgendwelchem Killefit, die eh für nichts relevantes genutzt werden, macht sich kein Unternehmen die Mühe die Vorschriften der DSGVO einzuhalten. Nur entscheiden die Unternehmen das nun eben mit Hilfe von gesundem Menschenverstand selbst, was darunter fällt, und setzen sich damit über die jetzige Rechtslage einfach hinweg.

Das Ergebnis ist ungefähr das gleiche, nur dass wir so, wie es jetzt ist, eben alle Sünder sind, die sich nun anhören dürfen, dass sie nichts zu befürchten haben, wenn sie sich auch bisher schon an das BDSG gehalten haben. Sehr beruhigend. Wir schauen nun also alle zu, wie die Behörden bald versuchen werden die ersten paar Reihen der Menschenmenge wegzuballern und warten auf den Tag, an dem sie zu uns kommen, der hoffentlich nie eintrifft.

Advertisements

Wir nennen es „Demo“

Veröffentlicht: 23. Dezember 2013 in Freiheit, Grundrechte, Hamburg

Ich lese und grüble und lese und grüble und es will und will nicht zusammenpassen. Es gibt inzwischen einige Texte, viele, viele Tweets, Pressemitteilungen und Videos zum 21.12.2013 in Hamburg und bei vielem davon habe ich das Gefühl, dass der Unfall bereits vor dem Tippen passiert ist, weil den Leuten überhaupt nicht klar zu sein scheint, was da eigentlich stattgefunden hat in und großflächig um das Schanzenviertel.

Ich lese hier viele Diskussionen wer angefangen hat, wer welche Gesetze gebrochen hat, wer schuld ist an dem was da passiert ist. Mir kommt das alles etwas müßig vor, weil der Kontext des ganzen hier offenbar völlig falsch eingeschätzt wird. Am deutlichsten zeigt sich das für mich an der Aufforderung, die Demo solle sich doch von Gewalttätigen abgrenzen, oder diese zur Mäßigung aufrufen. Lolwhut? Als ich auf der Demo angekommen bin, habe ich mich 5 Minuten durch die Menge geschlängelt, bis ich mal die ersten Leute ohne schwarze Kapuze, Sonnenbrille und Tuch vor dem Mund gefunden habe. Ich glaube einigen ist nicht ganz klar wer hier zum Tanz geladen hat und was getanzt wurde.

Wir haben hier in diesem Land ein ausgeklügeltes System etabliert, um gesellschaftliche Konflikte zu kanalisieren, durchzukneten und systematisch in einen stabilen Zustand zu versetzen. Wir nennen es Rechtsstaat und Demokratie. Gleiche Rechte für alle, neutrale Instanzen, gegenseitige Kontrolle und Einflussmöglichkeiten auf die Spielregeln. Dennoch fühlt sich nicht jeder mit dem Resultat einverstanden. Nicht jeder hält die Einflussmöglichkeiten für ausreichend oder findet das Konstrukt fair und gut ausbalanciert. Es gibt Leute, die akzeptieren die Regeln nicht und schaffen sich ihre eigenen. Weil sie es können. Weil sie es besser finden. Solche Leute besetzen z.B. Häuser und interessieren sich reichlich wenig dafür, wie der Eigentümer das findet. Sie akzeptieren die Macht von Investoren – die Macht deren Geldes – nicht und genausowenig die allgemeinen Spielregeln, die ihnen diese Macht theoretisch verleihen würden. Sie diktieren ihre eigenen Spielregeln und setzen diese durch.

Diese Leute machen das mit dem Opt-Out aus einem System, das keinen Opt-Out vorsieht. Sie verschaffen sich ebenfalls einen mehr oder weniger stabilen Zustand, aber nicht mit den Mitteln, die der Rechtsstaat und die Demokratie vorsehen. Natürlich bedienen sie sich dem Mittel der Gewalt, bzw. überwiegend der Gewaltandrohung. Da kann man lange nach Demos mit dem Finger auf andere zeigen und Videos durchschauen, wer jetzt von wem zuerst auf die Mütze bekommen hat.

Diesen Samstag wurde nicht für eine Demonstration im demokratischen Sinne nach Hamburg gerufen. Die Eigentümer der Roten Flora haben den außerdemokratischen stabilen Zustand in der Schanze in Frage gestellt und ihre Antwort bekommen. So wie ich das sehe hat hier eines der internationalen Zentren der autonomen Szene zur Machtdemonstration gerufen. Unter einer Demonstration stellt man sich üblicherweise das Aufmerksammachen für ein Thema vor, das Aufzeigen der Relevanz durch Masse, die Beeinflussung der Politik durch eine laut vertrene Botschaft. Wir haben ein Grundrecht dies zu tun, denn es gehört zu den demokratischen Spielregeln. Am Samstag ging es aber um eine Demonstration des Gewaltpotenzials der Szene. Deren Stärke bemisst sich nicht in Solidarität in der Bevölkerung, oder in Wählerpotenzial, das sie mobilisieren können, sondern in den (sozialen und finanziellen) Kosten, die sie verursachen können, wenn versucht wird sie wieder in die Spielregeln, die sie bewusst verlassen haben, zurückzuzwängen.

Die Kritik, dass die Gewalt die Botschaft der Demonstration entwerten würde, greift also meiner Einschätzung nach komplett daneben. Sie denkt innerhalb der demokratischen Spielregeln, wo dieser Konflikt aber nicht stattfindet. Defakto gab es an diesem Samstag zwei Demonstrationen, die angemeldete Hülle, nach demokratischen Regeln, und eine Demo in der Demo, mit dem Zweck mindestens deutlich mit den Säbeln zu rasseln. Die Vorstellung die Gewaltbereiten aus dieser Demo auszuschließen erscheint mir absurd, denn diese waren kein Bug, sondern ein Feature, genauer noch der Zweck der ganzen Veranstaltung. Zu Gast waren hier eher die „normalen“ Demonstranten, die entweder defakto eine Soli-Demo für die Autonomen gemacht haben, oder wohl tatsächlich versuchen wollten nebenher noch mal eben demokratisch für die angemeldeten Anliegen einzutreten. Dass diese Kombi-Demo in irgendeiner Variante nicht in gewalttätigen Ausschreitungen geendet hätte, finde ich allerdings ziemlich unrealistisch. Die Frage war eigentlich nur wann bzw. wo.

Ich denke, dass der Polizei das alles mehr oder weniger so von vorneherein bewusst war. Ich weiß nicht, ob die Polizei es je in Betracht gezogen hat den Demonstrationszug auf die eigentliche Demoroute zu lassen. Aus polizeitaktischer Sicht ist das Schulterblatt ein günstiger Ort die Menschenmenge von mehreren Tausend Menschen zu kontrollieren. Ich kann mir gut vorstellen, dass die keine besonders große Lust hatten diese Menschenmasse irgendwo im weiträumigen Gelände an den Hacken zu haben. Klar scheint mir aber, dass an diesem Tag null Toleranz die Devise war. Die haben das ganze Ritual der gegenseitigen Provokation einfach übersprungen und gleich am Anfang Feierabend geläutet. Aus Polizeisicht war diese Taktik halbwegs erfolgreich. Wirklich große Straßenschlachten gab es soweit ich das mitbekommen habe nur im Bereich der Flora. Die Gruppen, die dann unvermeidlicherweise den ganzen Tag durch Hamburg gezogen sind, waren alle verhältnismäßig klein und sozusagen „beherrschbar“. Eine Chance auf einen halbwegs friedlichen Verlauf des Tages gab es so aber natürlich nicht mehr. Wahrscheinlich schätzten die Verantwortlichen die Chance dafür eben ähnlich gering ein wie ich. Die Frage der Demonstrationsfreiheit hat sich an dieser Stelle ohnehin erledigt. Die gibt es nur für friedliche Demonstrationen, die sich an die Regeln halten, mit Ordnern und auf die Polizei hören und ohne Sachen kaputtmachen oder werfen. Da kann man hinterher dann zetern wie man will. Die Spielregeln nur einseitig aufzukündigen funktioniert halt nicht.

Spannend ist allerdings die Frage, was mit dem Rest der Demo ist. Irgendwo ein paar Reihen weiter hinten gab es sie ja doch, die Leute, die eine ganz normale, friedliche Demo abhalten wollten. In der Praxis ist dieser Teil zum Kollateralschaden der ganzen Nummer geworden. Ob das so zulässig ist, ist da schon eher fraglich. Die angemeldete Demonstration wurde sehr früh offiziell für beendet erklärt. So wie ich das mitbekommen habe, gab es mehrere Versuche Spontandemos anzumelden. Es wurde aber wohl nichts mehr zugelassen. Wahrscheinlich war es den Beamten zu mühselig hier noch großartig zwischen friedlichen und gewaltbereiten Demonstranten zu unterscheiden. Der Rest des Tages drehte sich nur noch darum alles, was nach Demo aussah, gewaltsam auseinander zu treiben oder zu kesseln, leider wieder mal häufig mit völlig unverhältnismäßiger Polizeigewalt und einer großen Portion Willkür. Schilderungen von verschiedenen Fällen finden sich im Netz zuhauf.

Für mich ergibt sich daraus ein zwiespältiges Bild. Ich kann mit den demokratischen Strukturen in diesem Land im Großen und Ganzen gut leben. Mein politisches Engagement ist der Verbesserung der Zustände über die geordneten Bahnen verschrieben. Die Möglichkeiten des zivilen Ungehorsams, dort, wo die Maschinerie ungebremst Ungerechtigkeit und Leid produziert, Sand ins Getriebe werfen zu können, haben ihren Charme und ich denke auch ihre Berechtigung. Man sollte sich allerdings bewusst machen, dass das unter Umständen einen hohen Preis haben kann. Am Samstag bestand dieser Preis aus erheblichen Zerstörungen im öffentlichen Raum, demolierten Geschäften und anderen Einrichtungen, vielen Leuten, die einen echt beschissenen Tag hatten, einigen Verhaftungen und juristischen Konsequenzen, teilweise willkürlich, vielen hunderten Verletzten, einige davon schwer. War es das wert? Hat das sein müssen?

Ich glaube ich mochte den stabilen Zustand vorher lieber.

Ich will aber gegen Gesetze verstoßen

Veröffentlicht: 30. Juni 2013 in Freiheit, Grundrechte

Laut einer Umfrage des ZDF Politbarometers finden 30% der Deutschen das Datensammeln durch Geheimdienste der USA und GB zur Bekämpfung von Terrorismus gerechtfertigt, 65% finden das nicht. Das ist zu wenig.

Seit einigen Tagen schon rollt einiges an, um den restlichen 30% auch noch klar zu machen, warum diese Datensammlungen und der damit verbundene weltweite Trend zum Überwachungsstaat schlecht ist und die Freiheit in unserer Gesellschaft bedroht. Vielen ist bereits klar, dass der Spruch „Wer nichts zu verbergen hat, hat auch nichts zu befürchten“ Unsinn ist, und sie legen ausführlich dar warum das so ist. Es gibt überzeugende Texte, die aufzeigen, warum auch unbescholtene Bürger, die nie jemandem etwas böses wollten, von Überwachung bedroht werden. Ebenfalls wird plastisch, wie in die Ecke gedrängte Staatsapparate ihre Macht missbrauchen, um lästige Personen anzugreifen und zu diskreditieren. Der Blick in die jüngere Geschichte, z.B. auf die Stasi, macht wahrscheinlich besonders die deutsche Gesellschaft noch vergleichweise sensibel für die konkreten Auswirkungen auch auf gesetzestreue Bürger. Es gibt viele Wege darzulegen, wie sich eine überwachte, eine kontrollierte Gesellschaft zum schlechten verändert und ihre Freiheit verliert, wie sich unsere Gedanken verändern, Hemmungen entstehen, wo Unbeschwertheit sein sollte, und wie all das auch den braven Bürger betrifft, der glaubt, dass er nichts zu verbergen und nichts zu befürchten hat. Das reicht mir aber nicht. Ich will auch gegen geltende Gesetze verstoßen. Und ich will damit davon kommen.

Zu allem, was bereits erklärt wurde, muss man sich auch vor Augen halten, dass Recht nicht immer gleich Gerechtigkeit ist. Ein Regelwerk, das sich eine Gesellschaft gibt, eine Sammlung von Gesetzen und Vorschriften, kann nie perfekt sein. Es gibt gleich mehrere verschiedene systemimmanente Probleme damit. Ein Staatsapparat, der mit der Durchsetzung der Gesetze betraut ist, kann deren Einhaltung in der Praxis auch niemals wirklich in Gänze erzwingen. Es gibt immer ein Vollzugsdefizit, einen Bereich, den der Staat nicht erreicht, verborgene Machenschaften, kleine Verstöße, systematischen Rechtsbruch, oder Balanceakte in der rechtlichen Grauzone. Ein Überwachungsstaat strebt danach dieses Treiben restlos aufzudecken, die Beteiligten zu finden und das Verhalten abzustellen. Je mehr Aufwand dort hineingesteckt wird, desto effektiver kann das Regelwerk der Gesellschaft praktisch durchgesetzt werden. Die zunehmende Digitalisierung und Vernetzung unseres Lebens erleichtert dieses Vorhaben. Totalüberwachung war nie so leicht wie heute. Es liegt nun leider in der Natur der Sache, dass die absolute Durchsetzung des Rechts keine absolute Gerechtigkeit ist. Im Gegenteil führt es dazu, dass unverzichtbare Spielräume ausgemerzt werden.

Zum einen ist das Recht immer allgemein und es muss wenigstens halbwegs simpel sein, um überhaupt verstanden und nachvollzogen werden zu können. Es kann niemals der Komplexität des Lebens, des Einzelfalls und seiner näheren Umstände voll gerecht werden. Das beliebte Standardbeispiel ist die rote Fußgängerampel, die einen daran hindert die völlig leere Straße zu überqueren. Die Ampel ist schlicht zu dumm die Verkehrssituation richtig einzuschätzen. Sie ist eben nur ein Stück Technik. Darum laufen wir auch bei Rot über die Straße und wenn wir nicht gerade zwischen fahrenden Autos herumhüpfen und dabei von Kindern beobachtet werden, die das richtige Maß an Vorsicht erst noch lernen müssen, juckt das völlig zurecht auch keine Sau. Eine Ampel mit eingebauter Kamera und automatischer Gesichtserkennung würde einem da irgendwie dann schon ein wenig auf den Keks gehen. Es gibt viele Fälle, in denen bestehende Regeln auch mal nicht ganz so konsequent eingehalten werden. Ich wage z.B. zu behaupten, dass keine einzige Firma in ganz Deutschland alle Gesetze einhält, die für sie gelten. Es gibt einfach zuviele davon und häufig kennt man noch nichtmal alle. Für die Gesellschaft ist das manchmal ein Problem, schließlich haben diese Gesetze ja üblicherweise irgendeinen Grund. Oftmals ist es aber gar nicht so wichtig, dass diese wirklich immer 100% eingehalten werden und das Leben geht auch so weiter. Wie nervig wäre denn die Welt, wenn man wirklich niemals Fünfe gerade sein lassen könnte, weil der Staat einfach immer dahinterkommt und die dafür vorgesehene Strafe verhängt? Ich glaube nicht, dass sie eine bessere wäre.

In einigen Fällen wird auch ganz bewusst und mit voller Absicht gegen bestehende Regeln verstoßen. So gibt es zum Beispiel das Konzept des zivilen Ungehorsams, mit dem starre Regelungen bewusst auf die Probe gestellt werden, wenn sie der gerechten Sache im Wege stehen. Ich denke dabei z.B. an Blockaden von Nazi-Demos, an Schlauchboote, die sich Walfängern in den Weg stellen, oder an Besetzungen leerstehender Häuser. In all diesen Fällen werden einzelne Interessen vom Gesetz geschützt und von anderen die moralische Legitimität dieses Schutzes in Frage gestellt. Besonders interessant ist auch der Fall, in dem der Staat seine eigenen Interessen schützt, z.B. durch die Geheimhaltung eigener Verfehlungen. Organisationen wie Wikileaks versuchen das anonyme Unterlaufen dieser Geheimhaltung zu erleichtern, gegen den Willen des Staates. Ob der zivile Ungehorsam jeweils gerechtfertigt ist, hängt üblicherweise vom konkreten Einzelfall ab. Das Recht beantwortet diese Frage aber meist pauschal und ein voll ausgebauter Überwachungsstaat hat die Macht dieses Recht auch immer durchzusetzen. Wollen wir wirklich eine Gesellschaft, in der das Recht die Moral diktiert? In der wir jahrelang am Schreibtisch über Sonderregelungen diskutieren müssen, während Ungerechtigkeit in der Gesellschaft einfach passiert und vom Überwachungsstaat geschützt wird? Ich glaube nicht, dass sie eine bessere wäre.

Gesetze bilden so gut es eben geht die moralischen Ansichten einer Gesellschaft ab. Wir haben demokratische Prozesse, die es ermöglichen eine Veränderung und Entwicklung herbeizuführen. Impulse für Veränderungen gehen dabei praktisch nie von der Politik selbst aus. Diese müssen in der Gesellschaft entstehen, um von dort aus dann in die Parlamente zu drängen und schließlich in Recht umgesetzt zu werden. Das führt dazu, dass Gesetze häufig noch in Kraft sind, während die Gesellschaft sich davon schon zumindest teilweise verabschiedet hat. Als Beispiel käme das Verbot von Homosexualität in Frage. Ein Überwachungsstaat wäre in der Lage homosexuelle Handlungen, oder gar nur den Gedanken daran, zu finden und zu ahnden. Die Furcht vor Strafe würde diese unterdrücken und Betroffenen wäre vermutlich gar nicht erst klar, dass sie kein unmoralischer Sonderfall sind, sondern nur einer von vielen, denen allen Ungerechtigkeit widerfährt. Der gesellschaftliche Wandel hin zu einer Änderung des Rechts würde im Keim erstickt. Es gibt noch weitere Beispiele, bei denen gesellschaftlicher Fortschritt durch das Unterlaufen anachronistischer Gesetze überhaupt erst möglich wurde, zum Beispiel bei der Erkämpfung des Streikrechts oder Kriegsdienstverweigerung. Auch aktuell könnte man argumentieren, dass z.B. der Drogenkonsum in der Gesellschaft oder massenhafte Urheberrechtsverletzungen zu einer Anpassung des Rechts an die gesellschaftlichen Praxis führen sollten. Ob die bestehenden Gesetze wirkliche ihre Legitimation eingebüst haben, ist oftmals auch eine Frage der Perspektive. Wenn jede Entwicklung, die bestehenden Gesetzen zuwiderhandelt, vom Überwachungsstaat frühzeitig erkannt und mit gnadenloser Effizienz verfolgt wird, wird es in Zukunft aber nur noch die eine Perspektive des Status Quo in der Gesellschaft geben können. Ich glaube nicht, dass sie je wieder eine bessere werden würde.

Und darum muss sich eine freie Gesellschaft ein bisschen Spielraum erhalten, einen Bereich, in dem der Staat keine absolute Macht inne hat. Dass es dort auch zu Gesetzesverstößen kommen kann, ist kein Bug, sondern ein Feature. Da das Internet inzwischen mehr und mehr zur Lebensader der Gesellschaft wird, wird der Erhalt eines geschützten Bereichs ein wenig schwierig, wenn staatliche Behörden dort den gesamten verdammten Traffic mitschneiden und auswerten. Ich will das nicht, und wem eine freie Gesellschaft wichtig ist, sollte das auch nicht wollen.