This post is also available in: English (Englisch)
Liest man die Pressenachrichten rund um echte oder vermeintliche Datenschutzverletzungen, dann bewegt sich die Diskussion immer in Richtung der „Grossne“, d.h. Facebook, Google und Co. Man könnte folgern, dass die DS-GVO denn auch diese Anbieter im Visier hat, das ist aber bei weitem nicht so.
Dem EU-Gesetzgeber schien es offenbar egal zu sein, ob das Datenschutzrecht auf den Bäcker im Dorf angewendet wird oder auf einen multinationalen Konzern. Das kann nicht funktionieren: Es kann keine Gleichheit zwischen Verantwortlichen geben!
Der Datenschutz stösst dann an seine Grenzen, wenn der Unternehmer nicht mehr in der Lage ist, seine Tätigkeit wirtschaftlich zu erbringen. Man kann mit Recht argumentieren, dass der Bäcker ein schlechtes Beispiel sei, denn seine Datenschutzaktivitäten sind doch eher überschaubar. Dem stimme ich zu, doch manch mal hat man leider den Eindruck, dass dies die Datenschutzbehörden nicht verstanden haben. Und zwar geht es hier nicht um die Datenhaltung des Bäckers, sondern vor allem um das Verhältnis zwischen kleinen Softwareanbietern und multinationalen Giganten. Selbstverständlich ist es einfach, den kleinen Anbieter an den Karren zu fahren, wenn er seine Software nicht genau so implementiert hat, wie sich das die Behörde vorstellt. 90% aller Softwareanbieter möchten ihren Kunden sinnvolle Lösungen anbieten. Sie sind nicht daran interessiert, Personendaten kommerziell auszuschlachten. Wenn man davon spricht, dass Google 500 Mannjahre in die DS-GVO Konformität habe, dann sollte einem das nicht beeindrucken. Man müsste das imVerhältnis zum Gewinn darstellen. Was jedoch zu denken gibt: Wenn sich der kleine Softwareanbieter verschulden muss, damit der seine Anwaltshonorare zum Aufbau der DS-GVO Konformität bezahlen kann. Es kommt nicht von ungefähr, dass die amerikanischen Anbieter schon vor über zwei Jahren damit begonnen haben,die DS-GVO punktgenau zu implementieren.De facto verschafft die DS-GVO amerikanischen Anbietern einen Wettbewerbsvorteil.
Die daraus resultierenden Konstrukte und AGBs sind so umfangreich und zum Teil auch unverständlich, weil sie den Grundgedanken der DS-GVO exakt wiedergeben. Grosse US-Unternehmen betrachten den Datenschutz als rein legale, nicht existenzielle Angelegenheit. Die Angst vor möglichen Konsequenzen ist vorherrschend, sie reduziert sich aber immer auf monetäre Betrachtungen (Sammelklagen in den USA). Das ist reines Risk Management und unternehmerisch vertretbar (= Griff in die Portokasse). Grosskonzerne können rechtliche Umstellungen rasch anpassen und durchsetzen. Letzteres ist für den kleinen, innovativen Anbieter fast nicht mehr möglich.
Beispiel:Es ist kein Wunder, das Marketing-Automatisierung auf der Basis von Open Source Werkzeugen massiv zunimmt. Schlussendlich möchten auch die kleinen Anbieter die gleich langen Spiesse haben wie die Grossen. Doch damit öffnen sie eine Pandorabüchse, denn plötzlich befinden wir uns im Sumpf von Profiling und automatisierten Einzelentscheidungen, die einen Rattenschwanz von Folgemassnahmen nach sich ziehen. Ob sie diese noch bezahlen können, ist mehr als fraglich. Das geltende Datenschutzrecht führt dazu, dass die Spiesse noch ungleicher werden.
Es stellt sich die Frage, ob ein kleiner Anbieter unter der DS-GVO überhaupt noch eine Chance hat. Sein Produkt wird teurer und mittelfristig bedeutet das fürihn einen Wettbewerbsnachteil. Gleiches gilt allerdings auch für die Informationssicherheit. Sicherheit hat ihren Preis und lokale Lösungen sind noch immer besser kontrollierbar und besser abzusichern.Gerade im Zeitalter neu aufkeimender Wirtschaftskriege müsste der EU daran gelegen sein, ihre IT-Industrie zu stützen. Die DS-GVO hilft dabei nicht. In Tat und Wahrheit sind die grossen Herausforderung in der Informationssicherheit zu suchen. Nur wer hier genügend Mittel investieren kann, hat längerfristig eine Chance, auf dem Markt zu bestehen.