DS-GVO-Fehlkonzept Nr. 7: Datenschutz-Verletzungen sind innerhalb 72 Stunden zu melden

Einen Bärendienst am Verantwortlichen hat man ihm mit der Ausgestaltung der Meldepflicht von Datenschutzverletzungen erwiesen. Die ist gelinde gesagt, Mumpitz. Das Problem hier besteht darin, dass es in der Praxis unmöglich ist, innerhalb einer Frist von drei Tagen eine Aussage darüber zu machen, welche Auswirkungen die ausgenutzte Schwachstelle eines Systems hat. Das ist in etwa mit einem Flugunfall zu vergleichen: Man muss rasch möglichst informieren, dass etwas passiert ist.  Es ist zu diesem Zeitpunkt jedoch völlig unrealistisch, den resultierenden Schaden und die Auswirkungen umfassend zu bezeichnen. Noch viel weniger ist es möglich, die Ursachen zu benennen. Ohne eine vertiefte Untersuchung lässt sich keine seriöse Aussage machen. Damit trägt auch die Informationspflicht an die Betroffenen höchstens zu einer maximalen Verunsicherung bei.

Absolut gleich verhält es sich mit digitalen Ereignissen. Wir haben gesehen, dass die Transparenz, so wie sie sich der Gesetzgeber vorstellt, nicht erreicht werden kann. Die damit verbundene Unschärfe führt auch dazu, dass weder mit Sicherheit vorausgesagt werden kann, wo Schäden eintreten, noch welche Konsequenzen damit verbunden sind.

Mit anderen Worten: In erster Linie geht es darum, das Ereignis kompetent zu erfassen, die richtige Kommunikation zu veranlassen und die notwendigen Massnahmen zu ergreifen. Dies kann bei aktiven Cybercrime-Angriffen darin bestehen, dass man NICHT kommuniziert, um den Angreifer in Ungewissen darüber zu lassen, ob der Angriff erkannt worden ist (z.B. mit Honeypots). Die letzte Aktion, welche die betroffene Organisation in diesem Fall unternehmen sollte, ist die sofortige Kommunikation mit der Datenschutzbehörde. Viel wichtiger wäre die Kommunikation über eine nationale Sicherheits-Meldestelle, um die Abwehrmassnahmen abzustimmen.

Natürlich  passt diese losgelöste und unausgegorene Massnahme ins Bild: Über Informationssicherheit und wie man mit realen Bedrohungen kompetent umgeht, wurde nicht weiter nachgedacht (vgl. FK 6.).

Diese Bestimmung zeigt einmal mehr, dass es den Verfassern primär darum ging, “grosse” Anbieter unter Druck zu setzen, damit diese Sicherheitsereignisse frühzeitig melden. Das ist ein durchaus lobenswerter Beweggrund. Gleichzeitig bestraft man aber damit wieder 99% aller anderen Unternehmen, weil die unklare Definition, was tatsächlich meldepflichtig ist, zu einer maximalen Verunsicherung führt. Es wäre viel ehrlicher gewesen, hätte man eine Regulierung für die Verwaltung grosser Datenmengen eingeführt und diese Bewilligung an verschiedenste Rahmenbedingungen geknüpft, wie eben z.B. die Meldepflicht.

NB: Ein praktischer Hinweis zur 72 Stunden Frist. Den Gesetzgebern war es offenbar nicht wirklich wohl in ihrer Haut, weshalb sie ein Schlupfloch eingebaut haben, denn der Verordnungstext Art. 33 Abs.1 DS-GVO lautet wie folgt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des  müssen Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

In der Praxis wird deshalb die 72 Stunden Frist nie eingehalten werden.

DS-GVO Fehlkonzept Nr. 6: Informationssicherheit ist unwichtig


Sie staunen? Sie haben den Eindruck, dass Informationssicherheit heute ein sehr wichtiges Thema ist? Dann deckt sich ihre Einstellung mit meiner. Die Datenschutzgesetze und vor allem die DS-GVO bilden die Bedeutung der Informationssicherheit in keiner Art und Weise ab (Art. 32 hat gerade mal 4 Absätze, eigentlich nicht mehr als eine Randnotiz). Hier hat man nichts gemacht und nicht einmal die alten Bestimmungen aus den bestehenden Datenschutzgesetzen übernommen. Natürlich spricht man von technischen und organisatorischen Massnahmen und fordert adäquate Sicherheitsmassnahmen. Das reicht nirgends hin. Gibt es dafür einen Grund? Ich kann mindestens einen Erklärungsversuch liefern:

In der Praxis ist der Sicherheitsbeauftragte der natürliche Feind des Datenschützers.

Datenschutz ist blanke Theorie, wenn man die notwendigen Sicherheitsmassnahmen nicht implementiert. Viele Datenschützer sehen aber Sicherheitsmassnahmen primär als Bedrohung für ihre Klientel, nämlich die Arbeitnehmer (dies gilt v.a. für Deutschland, wo der Datenschutz vielfach der verlängerte Arm des Betriebsrats ist). Diese sollen ausspioniert werden, ihre Arbeit wird überwacht, ihre persönlichen Vorlieben sollen durch den Arbeitgeber erfasst werden. Diese Art von Datenschutz dient primär der Selbstbefriedigung der selbsternannten Datenschutz-Missionare.

Aus unternehmerischer Sicht muss man dafür sorgen, dass ALLE Daten (und damit meine ich sowohl die Unternehmensdaten wie auch die Daten von Arbeitnehmern), richtig geschützt sind und die Risiken bekannt sind und eingegrenzt werden können.

Die Bedrohungen, denen Daten ausgesetzt sind, haben aber in einem solchen Mass zugenommen, dass eine lapidare Formulierung, so wie sie heute im Gesetz vorgesehen ist, nicht mehr reicht. Das Gesetz mag die Informationssicherheit nicht bewusst herabsetzen, doch der Anwender gewinnt den Eindruck, es genüge, Datenschutzerklärungen zu erstellen und Einverständniserklärungen zu formulieren.

Datenschutz besteht aus 40% Informationssicherheit, 40% Information Governance und 10% Prozesse und 10% Richtlinien und Verträgen.   Auf Grund einer aktuellen Umfrage des KRM verfügt die Mehrzahl der Schweizer Unternehmen nicht über ein Informationssicherheits-Management. Sie kennen deshalb auch die Risiken nicht, denen sie ausgesetzt sind. In einem sehr aktiven Cybercrime Umfeld ist dies mehr als bedenklich.

DS-GVO Fehlkonzept Nr. 5: Die DS-GVO bestraft den Mittelstand

Liest man die Pressenachrichten rund um echte oder vermeintliche Datenschutzverletzungen, dann bewegt sich die Diskussion immer in Richtung der “Grossne”, d.h. Facebook, Google und Co. Man könnte folgern, dass die DS-GVO denn auch diese Anbieter im Visier hat, das ist aber bei weitem nicht so.

Dem EU-Gesetzgeber schien es offenbar egal zu sein, ob das Datenschutzrecht auf den Bäcker im Dorf angewendet wird oder auf einen multinationalen Konzern. Das kann nicht funktionieren: Es kann keine Gleichheit zwischen Verantwortlichen geben!

Der Datenschutz stösst dann an seine Grenzen, wenn der Unternehmer nicht mehr in der Lage ist, seine Tätigkeit wirtschaftlich zu erbringen. Man kann mit Recht argumentieren, dass der Bäcker ein schlechtes Beispiel sei, denn seine Datenschutzaktivitäten sind doch eher überschaubar. Dem stimme ich zu, doch manchmal hat man leider den Eindruck, dass dies die Datenschutzbehörden nicht verstanden haben. Und zwar geht es hier nicht um die Datenhaltung des Bäckers, sondern vor allem um das Verhältnis zwischen kleinen Softwareanbietern und multinationalen Giganten. Selbstverständlich ist es einfach, den kleinen Anbieter an den Karren zu fahren, wenn er seine Software nicht genau so implementiert hat, wie sich das die Behörde vorstellt. 90% aller Softwareanbieter möchten ihren Kunden sinnvolle Lösungen anbieten. Sie sind nicht daran interessiert, Personendaten kommerziell auszuschlachten. Wenn man davon spricht, dass Google 500 Mannjahre in die DS-GVO Konformität habe, dann sollte einem das nicht beeindrucken. Man müsste das im Verhältnis zum Gewinn darstellen. Was jedoch zu denken gibt: Wenn sich der kleine Softwareanbieter verschulden muss, damit der seine Anwaltshonorare zum Aufbau der DS-GVO Konformität bezahlen kann. Es kommt nicht von ungefähr, dass die amerikanischen Anbieter schon vor über zwei Jahren damit begonnen haben, die DS-GVO punktgenau zu implementieren. De facto verschafft die DS-GVO amerikanischen Anbietern einen Wettbewerbsvorteil.

Die daraus resultierenden Konstrukte und AGBs sind so umfangreich und zum Teil auch unverständlich, weil sie den Grundgedanken der DS-GVO exakt wiedergeben. Grosse US-Unternehmen betrachten den Datenschutz als rein legale, nicht existenzielle Angelegenheit. Die Angst vor möglichen Konsequenzen ist vorherrschend, sie reduziert sich aber immer auf monetäre Betrachtungen (Sammelklagen in den USA). Das ist reines Risk Management und unternehmerisch vertretbar (= Griff in die Portokasse). Grosskonzerne können rechtliche Umstellungen rasch anpassen und durchsetzen. Letzteres ist für den kleinen, innovativen Anbieter fast nicht mehr möglich.

Beispiel: Es ist kein Wunder, das Marketing-Automatisierung auf der Basis von Open Source Werkzeugen massiv zunimmt. Schlussendlich möchten auch die kleinen Anbieter die gleich langen Spiesse haben wie die Grossen. Doch damit öffnen sie eine Pandorabüchse, denn plötzlich befinden wir uns im Sumpf von Profiling und automatisierten Einzelentscheidungen, die einen Rattenschwanz von Folgemassnahmen nach sich ziehen.  Ob sie diese noch bezahlen können, ist mehr als fraglich. Das geltende Datenschutzrecht führt dazu, dass die Spiesse noch ungleicher werden.

Es stellt sich die Frage, ob ein kleiner Anbieter unter der DS-GVO überhaupt noch eine Chance hat. Sein Produkt wird teurer und mittelfristig bedeutet das für ihn einen Wettbewerbsnachteil.  Gleiches gilt allerdings auch für die Informationssicherheit. Sicherheit hat ihren Preis und lokale Lösungen sind noch immer besser kontrollierbar und besser abzusichern. Gerade im Zeitalter neu aufkeimender Wirtschaftskriege müsste der EU daran gelegen sein, ihre IT-Industrie zu stützen. Die DS-GVO hilft dabei nicht. In Tat und Wahrheit sind die grossen Herausforderung in der Informationssicherheit zu suchen. Nur wer hier genügend Mittel investieren kann, hat längerfristig eine Chance, auf dem Markt zu bestehen.

DS-GVO Fehlkonzept Nr. 4: Lückenlose Datentransparenz ist machbar

Der WG Kühlschrank

Man kann über die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realität übereinstimmen. Das grösste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer müssten wir von Informationstransparenz sprechen. Datentransparenz könnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM seit Jahren das Feld der Information Governance und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.

Was bedeutet nun Transparenz im Kontext der Personendaten? Gemäss DS-GVO müssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin müssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zusätzlich müssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.

Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteikästen, denn dafür wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, „on the fly“.

Dies geschieht zum Beispiel immer dann, wenn digitale Adressbücher ausgetauscht werden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur Speicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent synchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem Adressbuch plötzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst für den Experten kaum möglich. Geschweige denn herauszufinden, wo dies überall geschieht.

Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO völlig ignoriert.

Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen  auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren Kühlschränken, siehe Video). Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu geführt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verhältnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60/40 Lösung ist eine grosse Herausforderung, 80/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unmögliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben.

Auch das Informationsmanagement befindet sich gegenwärtig in einer Phase der Veränderung. Einerseits werden die analytischen Werkzeuge (“Data Analytics”) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: lückenlos!) erfassen zu können. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird. D.h., dass eine Unternehmenstaxonomie zwingend auch die Metadaten “DS-GVO relevant” berücksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden können.

Der hilflose Versuch, gemäss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu führen, führt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualitätsmanagements kläglich gescheitert („führe alle Deine Dokumente in einem Verzeichnis“). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und natürlich lückenhaft (eine Abdeckungsquote von 50% würde ich als hoch bezeichnen).

In der DS-GVO hat es diverse Widersprüche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollständige Transparenz der Verarbeitung gewährleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit.  Wie soll man zum Beispiel die Datenlöschung jederzeit nachvollziehbar machen? Wenn ich festhalten möchte, dass ich eine E-Mail-Adresse gelöscht habe, muss ich diese protokollieren, um den Nachweis der Löschung erbringen zu können. Der immer währende Anspruch auf Transparenz bedeutet nämlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!

Um hier nicht missverstanden zu werden: Ich befürworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis für eine gute Information Governance und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information.

Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM.

DS-GVO Fehlkonzept Nr. 3: Einwilligung ist möglich

In den letzten Monaten haben wir zigfach unsere Einwilligung zu Datenschutzerklärungen, Cookie Policies, AGBs, Vertragsergänzungen u.v.a. gegeben. Ich gebe es zu, auch ich lese nicht alle Datenschutzerklärungen, denen ich zustimme. Selbst wenn man weiss, wie solche Erklärungen aufgesetzt sind und was sie beinhalten, bedeuten sie für den Betroffenen primär Ärger (vom volkswirtschaftlichen Schaden, der alleine durch das Lesen entsteht, noch nicht einmal gesprochen).

Denn wir wissen es alle: wir haben praktisch keine Möglichkeit, Dienste zu nutzen, ohne diese Erklärungen zu bestätigen. Sind wir tatsächlich in der Lage, die Tragweite der von uns erteilten Einwilligungen abzuschätzen?

Dabei handelt es sich nicht primär um ein Datenschutzthema. Doch was ist eine Einwilligung? Wenn wir als Kunde ein Online-Angebot nutzen, wird der Anbieter eine Datenschutzerklärung beifügen, die wir als Teil des Vertrags unterzeichnen sollen. Wenn wir das wollen, müssen wir in der Regel einen digitalen Entscheid treffen: Ja oder Nein (und zwar zu Grundvertrag und Datenschutzerklärung). Schwierig wird das Ganze, wenn es sich um ein marktbeherrschendes Unternehmen handelt, bzw. es keine Alternativangebote gibt (typische Monopol- oder Oligopolsituation).

Eine Einwilligung nach Datenschutz bedeutet, dass die betroffene Person mit den Verarbeitungsmethoden, wie sie der Verantwortliche dokumentiert, einverstanden ist. Ist sie dies nicht, dann müsste sie die Möglichkeit haben, einzelne Bearbeitungsformen und -methoden auszuschliessen. Zu diesem Zweck muss der Verantwortliche transparent darüber informieren, wie er mit den Daten arbeitet und welche Verarbeiter (Subunternehmer) er beizieht.

Diese Vorgehensweise setzt voraus, dass volles Wissen über die Datenhaltung herrscht (vgl. FK 4). In heutigen Systemen ist die Vernetzung jedoch so hoch, dass dies Wunschdenken ist. Ich kann als Betroffener höchstens generell eine Meinung äussern. Selbst wenn ich einzelne Opt-in Schalter habe, bedeutet dies noch lange nicht, dass die Verarbeitung dann wirklich meinen Wünschen entspricht.

Erfrischend sind die immer wieder neu auftauchenden, absurden Darstellungen von Opt-in Möglichkeiten auf Webseiten von Anbietern. Da darf man 50 virtuelle Schalter betätigen und entscheidet damit über alle möglichen Formen von Verarbeitungen (vgl. FK 9). Das würde bedeuten, dass man sich über die dazugehörigen Softwareteile genauestens erkundigt und auch noch versteht, was geschieht! Dies kann und will niemand tun (vgl. FK 4). Selbst der Anbieter wird nicht in jedem Fall genau wissen, welche Konsequenzen das Ein-/Ausschalten eines Dienstes tatsächlich hat.

Unter dem Strich bedeutet dies folgendes: Entweder ich lasse mich mit dem Anbieter ein oder ich lasse es bleiben! Zum Glück gibt es in vielen Bereichen Alternativen zu den bekannten Datenkraken. Trotzdem drängt es die Leute aus Bequemlichkeit (und aus Geiz) immer wieder zu Diensten, die den grössten Marktanteil haben.  Diese Anbieter nützen ihre Marktmacht systematisch aus.

Die aktuelle Tendenz, sämtliche Software nur noch als Cloud Version anzubieten, trägt weiter dazu bei, dass der einzelne Nutzer praktisch keine Macht (Kontrolle = Information Governance) mehr über seine Daten besitzt. Es bleibt ihm nur noch die Alternative, entweder nach wie vor alles lokal zu installieren und zu betreiben, oder sich lokale Anbieter zu suchen, die vertrauenswürdig sind und mit denen er einen vernünftigen Vertrag aushandeln kann (Don’t forget: All business is still local).

Doch auch für den kleinen Anbieter wird es jetzt haarig. Meist besteht ein Grundvertrag über eine Leistung, die vom Anbieter (Auftragnehmer) („wir bieten ein CRM in der Cloud an“) angeboten wird. Der Kunde, hier ein Unternehmen, bestellt dieses Angebot auf Basis des Grundvertrags. Gleichzeitig wird er vom Anbieter noch gebeten, einen Auftragsverarbeitungsvertrag zu unterzeichnen, welche den Umgang des Auftragnehmers mit den Personendaten beschreibt (denn Sinn und Zweck des CRM dürfte es u.a. sein, Personendaten zu erfassen).

Hier spielt nun die DS-GVO wieder den grossen Oligopolen in die Hand. Betrachtet man das Ganze aus der Sicht eines kleinen Softwareanbieters, dann sieht man auch die Absurdität, die das Einwilligungsrecht erzeugt. Nach der DS-GVO ist es theoretisch möglich, eine Einwilligung für eine Verarbeitung jederzeit zurückzuziehen. Was heisst dies nun in einem praktischen Kontext? Ein Betroffener (im oben geschilderten Fall ein beliebiger Mitarbeiter eines Kunden, ein potenzieller Kunde etc.) könnte demnach, darauf bestehen, dass seine Daten aus einem bestehenden System entfernt und gelöscht werden.

Tatsächlich sieht die Praxis anders aus. In 80% aller Fälle bestehen gesetzliche Aufbewahrungspflichten, die den Widerruf verhindern (sogar aus dem Datenschutzrecht selbst, vgl. FK 8). Völlig absurd ist die Forderung, dass Subunternehmer nur eingebunden werden dürfen, wenn jeder Betroffene zustimmt. Theoretisch müsste der Kunde jedes Mal im Vornherein zustimmen, wenn ein Anbieter Daten an einen neuen Unterauftragnehmer weitergeben möchte. Es kommt noch schlimmer, der Anbieter müsste u.U. das Einverständnis aller Betroffenen einholen.

Was heisst das für die Praxis? Cloud Anwendungen werden heute aus vielen Online-Komponenten zusammengebaut. Der Anbieter muss dafür sorgen, dass seine Anwendung zuverlässig und verfügbar ist (übrigens auch eine gesetzliche Datenschutz-Anforderung).  Er muss gegebenenfalls Dienste auswechseln können. Angenommen, der Kunde verweigert die Zustimmung, dann muss er sich überlegen, ob er diese Kunden überhaupt noch haben will. Demgegenüber steht aber eine entsprechende Vertragsgrundlage, die er nicht verletzten darf. In der Regel liegt es im Interesse beider Parteien, dass der Dienst möglichst ohne Unterbrechung weitergeführt wird. Die gegenseitige Abhängigkeit der Unternehmen und Kunden von solchen Diensten wird immer mehr zunehmen. Hier geht es nicht um ein Machtspiel: Kunden wie auch Anbieter sitzen im gleichen Boot und werden alles dafür tun, diese quälenden Vorgaben des Datenschutzrechts möglichst elegant zu umgehen.

Hier zeigen sich wieder die Ungerechtigkeiten bei der Marktmacht. Einem grossen Anbieter ist es ohne weiteres möglich, auf denjenigen Teil seiner Kunden zu verzichten, die mit seinen Optionen in den Verträgen nicht einverstanden sind. Für den kleinen Anbieter kann es jedoch existenzbedrohend sein, würde er die exorbitanten Einwilligungsvorgaben der DS-GVO in jedem Fall erfüllen.

Das Problem mit dem Einwilligungsrecht lässt sich nicht einfach lösen. Es handelt sich hier um eine Thematik, die mit Datenschutzrecht nur bedingt zu tun hat. Solange es gesetzlich zulässig ist, dass man fünfzigseitige AGBs mit einem Klick bestätigen kann, bedeutet dies eine totale Entmachtung des Kunden. Die Opt-in Prinzipien des Datenschutzes sind durchaus sinnvoll, doch müssen sie konsequenterweise auf den gesamten Vertrag angewendet werden. Verträge müssten so modular gestaltet werden, dass sie den Ausschluss einzelner Vertragskomponenten zulassen würden. Die heutigen AGB-Monster sind völlig einseitig gestaltet und dienen in der Regel nur den grossen Anbietern. Der Komplexität der Technologie steht damit eine vergleichsweise ähnliche Komplexität der Verträge gegenüber. Ohne technische Hilfsmittel sehe ich hier keine Chance, dass es eine Verbesserung geben wird. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben?

DS-GVO Fehlkonzept Nr. 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Datenschutz ist opportunistisch geworden: Wir setzen auf ihn, wenn wir einen direkten Nutzen von ihm haben, ansonsten interessiert er uns nicht.

Das Prinzip der Informationellen Selbstbestimmung besagt, dass jede Person selbst darüber befinden kann, was mit ihren Daten geschieht (Grundrecht). Betrachtet man den Kontext des damals höchstrichterlichen Entscheids, dann kommt einem das Ganze heute etwas absurd vor. Es ging damals (1983) um die Erfassung von Daten im Rahmen der Volkszählung in Deutschland (also gegenüber dem Staat).  In diesem Jahr war die Datenverarbeitung mittels Lochkartenerfassung, Kernspeichern und waschmaschinengrossen Magnetspeichern die Regel. Die ersten PCs lauerten am Horizont, aber eine Datenverarbeitung im heutigen Stil konnten sich nur echte Utopisten vorstellen. 1984 von George Orwell war omnipräsent, aber der Überwachungsstaat war das zu bekämpfende Übel, nicht marktbeherrschende Internet-Konzerne.

Ein technischer Vergleich mit heutigen Rechnern erübrigt sich. Was viel wesentlicher ist, ist die Tatsache, dass sich die Informationsnutzung umfassend verändert hat. Datenverarbeitung zum Zeitpunkt des Volkszählungsentscheids war Schwerarbeit und wurde von den EDV-Göttern in weiss durchgeführt.  

Die DS-GVO basiert noch immer auf den Überlegungen der Siebzigerjahre. Die betroffene Person, wird als Opfer der Datenhalter („Verantwortlichen“) dargestellt. Dieser Datenhalter ist die anonyme Verwaltung oder eine Datenkrake, ein Unternehmen, welches alles daran setzt, die Persönlichkeitsrechte der Betroffenen zu verletzen.

Doch diese Opferrolle entspricht schon lange nicht mehr dem Durchschnittsnutzer.  Dieser bestimmt heute weitgehend selbst, welche Daten er im täglichen Leben von sich preisgibt und verarbeitet. Dies bedeutet nun nicht, dass er darüber wirklich die Kontrolle hat. 90% der Benutzer verhalten sich aber so, als ob es ihnen entweder egal sei oder sie sich darüber keine Gedanken machen würden.

Informationelle Selbstbestimmung im heutigen Kontext bedeutet eine Umkehrung der Gedanken der Siebzigerjahre. Heute geht es darum, möglichst viele Daten publik zu machen, um mit anderen in Kontakt zu treten. Wer jetzt glaubt, dies sei nur eine Geschichte rund um soziale Medien wie Facebook, der täuscht sich gewaltig.  Es gibt offensichtliche Gründe, wieso Personen persönliche Details auf sozialen Plattformen veröffentlichen. Die Frage ist nicht, WIESO Sie diese Daten bekannt geben, sondern die Frage, WIE intelligent diese Daten veröffentlicht werden. Ich bin überzeugt, dass ein Grossteil der heutigen Nutzer von Facebook durchaus Klarheit darüber hat, dass Ihre Daten weiterverwendet und kommerziell genutzt werden. Mit anderen Worten: Die Informationelle Selbstbestimmung hat dazu geführt, dass die Anwender viel grosszügiger mit ihren Daten umgehen. Diese Tatsache kann man weder negieren noch mit Gesetzen alternative Fakten schaffen. Wenn Personalabteilungen systematisch Daten aus dem Netz auswerten, um Bewerber zu beurteilen, dann führt das automatisch dazu, dass die potentiellen Bewerber gezielt Daten platzieren. Jeder Social Media Nutzer überlegt sich heute, welchen Nutzen seine Aktivitäten auf diesen Kanälen haben.

Das soll auf keinen Fall heissen, dass Datenschutz überflüssig geworden wäre. Der Datenschutz geht jedoch per se und selbstverständlich davon aus, dass Personendaten in jedem Fall vor den Bösen „Verantwortlichen“ und „Verarbeitern“ geschützt werden müssen. Tatsächlich geht das Datenschutzrecht nicht darauf ein, welchen Schutz Personen bedürfen, die ihre gesamte Datenwelt transparent machen! Mittlerweile weiss eine Mehrheit aller Nutzer von Gratisdiensten, dass sie mit ihren Daten bezahlen.

Der Datenschutz muss mit aller Konsequenz greifen, wenn Daten von Dritten (z.B. Bilder) freizügig verteilt oder widerrechtlich publiziert werden. Hier muss es Schutzmöglichkeiten geben. Dies bedeutet, dass es möglich sein muss, solche Inhalte konsequent vom Netz zu nehmen oder zu blockieren. Die aktuellen Diskussionen rund um Facebook zeigen, dass sich hier etwas bewegt. Solange aber die internationale Gemeinschaft Kriminellen Schlupflöcher bietet, hapert es an der Durchsetzung. Soll ein Gesetz Personen schützen, welche von sich die intimsten Details freiwillig publizieren? Was ist der Wert einer Einwilligung! Damit zur nächsten Fehlkonzeption.

DS-GVO Fehlkonzept Nr. 1: Datenschutz ist global

Mit der DS-GVO hat die EU ein Gesetz geschaffen, welches dazu führt, dass Ländern Datenschutz-Regeln aufgezwungen werden, die in keiner Art und Weise ihrem Verständnis von Datenschutz entsprechen.

Die EU will der Welt ihr Datenschutz-Konzept aufdrängen.

Die meisten Bürger von EU-Mitgliedsstaaten sehen sich primär als Bürger ihres Landes und nicht als Teil eines anonymen (EU)-Verbunds. Datenschutz ist historisch, gesellschaftlich und sozial geprägt.  Wenn wir uns darüber aufregen, dass es Staaten gibt, die dazu übergehen, ihre Bürger systematisch zu kategorisieren und einzuteilen, dann vergessen wir leicht, dass wir in einem sozialen Umfeld aufgewachsen sind, in welchem wir Repression, Unterdrückung oder Zwang zur Uniformität nur noch aus Büchern oder aus dem Internet kennen. Vergleichbarkeit und Messbarkeit sind bei uns Unworte, obwohl sie die gesellschaftliche Realität widerspiegeln. Während wir in der Schule Noten bekämpfen und uns nicht messen wollen („es bekommt jeder einen Preis“), wird in den Sozialen Medien knallhart bewertet, was der Mausklick hergibt. In Systemen, in welchen der Einzelne nur dann aus der Menge auftaucht, wenn er ein hohes Rating hat, hat Datenschutz nur eine geringe Bedeutung („geben wir uns doch gegenseitig die Maximalbewertung..“).

Trotz Fichen-Affäre und alltäglichen Big Data Analysen ist unsere Sensibilisierung zum Thema Datenschutz gering. Das hat damit zu tun, dass wir Schweizer traditionell vom Staat wenig zu befürchten haben und hatten („wir sind der Staat“). Studien zeigen, dass dort, wo das Vertrauen in den Staat hoch ist, dem persönlichen Datenschutz geringes Gewicht beigemessen wird. So ist es nicht überraschend, dass gerade in den skandinavischen Ländern Dinge wie das Implantieren von Chips sozial akzeptabel sind (in Schweden lag die Zahl „gechippter“ Personen bei rund 3000, August 18). Für die Mehrheit ist dies heute noch undenkbar. Trotzdem wächst die Gruppe von Personen stetig, welche sich freiwillig der digitalen Transparenz aussetzt. Wie sollen die Gesellschaft damit umgehen, dass ein Grossteil der Bevölkerung ihre Personendaten verschleudert und sich damit den hoch heiligen Prinzipien des Datenschutzes aktiv widersetzt? Wie man diese Frage auch immer beantwortet: die DS-GVO ist nur ein Weg, Personen vor sich selbst zu schützen. Sie ist aber in keinem Fall geeignet, auf globaler Ebene als verbindliche Norm eingesetzt zu werden.

Ist der Bürger eines ehemals kommunistischen Staates sensibler, wenn es um Datenschutz geht?

Die 10 wichtigsten DS-GVO Fehlkonzeptionen – So hat Datenschutz keine Chance

Die DS-GVO hat bis Ende Mai 2018 enorm viel Aufwand generiert. Sie hat dazu geführt, dass Heerscharen mehr oder weniger seriöser Anwälte und Berater haufenweise Verträge, Richtlinien und Vereinbarungen geschrieben haben. Wieso sollte uns das interessieren? Ich behaupte, dass sowohl Softwareanbieter wie auch Dienstleister, welche Personendaten verarbeiten, ihre Produkte in diesem Jahr damit um geschätzte 25% verteuert haben. Spätestens nächstes Jahr werden wir als Kunden diese Rechnung präsentiert bekommen – die Produktpreise werden steigen. Da fragt sich doch der Anwender (oder die „Betroffene Person“ im Jargon der DS-GVO): Was bekomme ich wirklich dafür?

Selbst der Widerhall in der Presse war einmalig. Selten hat ein Gesetz so hohe Wellen geworfen. Die DS-GVO ist ein inhaltliches Monster und wer behauptet, er hätte alles davon verstanden, der hat entweder eine sehr hohe Fehlertoleranz oder gibt sich mit dem Verstehen der wichtigsten Grundprinzipien zufrieden (Zitat aus der Internet Community: „Chuck Norris hat die DS-GVO schon zweimal umgesetzt – vollständig!“). Statt sich mit den Inhalten auseinander zu setzen und sich um reale Risiken zu kümmern, wurden isolierte Aktionen losgetreten. Ein gutes Beispiel dafür ist die Aufforderung zum Erneuern der Newsletter-Anmeldung, welche in 90% aller Fälle überflüssig ist. Solche, meist aus dem Nichts auftauchende Aktionen haben teilweise sinnlose und überflüssige Eigendynamiken entwickelt.

Schaut man etwas über den Tellerrand hinaus, dann muss man sich auf jeden Fall die Frage stellen, ob das heutige Datenschutzkonzept, so wie es durch die Europäische Union vorgelebt werden will, wirklich zukunftsgerecht ist. Ich meine: Nein. Um dies zu begründen, habe ich die wichtigsten Fehlkonzepte der DS-GVO hier aufgelistet:

Fehlkonzeption 1: Datenschutz ist global

Fehlkonzeption 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Fehlkonzeption 3: Einwilligung ist möglich

Fehlkonzeption 4: Datentransparenz ist machbar

Fehlkonzeption 5: Die DS-GVO bestraft den Mittelstand

Fehlkonzeption 6: Informationssicherheit ist unwichtig

Fehlkonzeption 7: Meldepflicht von Datenschutz-Verletzungen

Fehlkonzeption 8: Bussen werden es richten

Fehlkonzeption 9: Alles ist Verarbeitung

Fehlkonzeption 10: Datenschutz hat Einfluss auf die Technologiegestaltung

Im Laufe dieses Jahres werde ich regelmässig auf die einzelnen Fehlkonzeptionen eingehen und sie ausführlich kommentieren.

DSGVO – Panik?! Was Sie wirklich tun müssen.

Neu: Videos zur Kurzinformation:  Englisch  / Deutsch

Mein Kollegen von Mission 100, Michael Erner und ich* haben schon vor einer Weile beschlossen, der Panikmache rund um die DSGVO den Kampf anzusagen. Was seit rund anderthalb Jahren durch viele Berater, Anwälte und Revisionsfirmen kommuniziert und verteilt wird, schlägt jedem Fass den Boden aus. Da wird hemmungslos mit dem FUD (Fear, Uncertainty, Doubt) Prinzip argumentiert, ohne die offenen Fragen rund um die DSGVO-Umsetzung  zu kennen, geschweige denn zu adressieren.

Was auf dem Papier steht, muss noch lange nicht so umgesetzt werden!  Schon die Tatsache, dass wir es mit einem Geflecht von verschiedenen Rechtssystemen zu tun haben, die in sich weder abgestimmt noch widerspruchsfrei sind, müsste dem Praktiker sagen, dass es mit der Umsetzung ziemlich haarig werden wird. Noch viel schwieriger wird es, wenn man die Umsetzung im Hinblick auf die Konformitätsbeurteilungen betrachtet. Während heute jedes Land, Bundesland, Kanton, … eine eigene Aufsichtsbehörde hatte und diese auch autonom Prüfungen nach eigenem Ermessen durchführen, sollte nun vom Mai 2018 EU weit plötzlich alles klar und einheitlich sein! Dem ist natürlich nicht so. Die Aufsichtsbehörden versuchen derzeit, sich im Hinblick auf die Harmonisierung der Umsetzung abzustimmen, das wird mehr oder weniger erfolgreich sein. Zu einer einheitlichen Praxisauslegung der DSGVO Bestimmungen wird es kaum führen.Es ist zu erwarten, dass es wie bei anderen Regulierungen ein aktives “Forum Shopping” (Forum shopping bezeichnet die Möglichkeit, unter mehreren zur Verfügung stehenden Gerichtsständen auszuwählen.) einsetzen wird.

*Bruno Wildhaber und Michael Erner sind akkreditierte Datenschutz Sachverständige beim Unabhängigen Landeszentrum für Datenschutz, Schleswig-Holstein (ULD) und international tätige Datenschutz Experten (Europa, Südafrika).

Was bedeutet das für uns Anwender und Anbieter von IT-Lösungen?  Das haben wir in einem  Whitepaper zusammengefasst (Download) –> Link auf der KRM Website

 


Weitere Informationen zur DSGVO:

Vergleich CH DSG neu – DSGVO

DSGVO Kurz Assessment

Umfassende Informationen rund um unsere Datenschutz-Dienstleistungen finden Sie hier.