DS-GVO Fehlkonzept Nr. 8: Bussen werden es richten

Was hat man mit den hohen Bussgeldern gedroht! Natürlich braucht ein Gesetz, welches Durchschlagskraft haben soll, auch einen entsprechenden Strafkatalog. Doch zwischen Vorsatz und einfacher Fahrlässigkeit liegen Welten, wenn es um den Datenschutz geht. Ich behaupte, alle Unternehmen wären heute nach Vorgaben und Inhalten der DS-GVO von Bussgeldern betroffen. Gegenwärtig ist es für Organisationen unmöglich, die Vorgaben der DS-GVO vollständig einzuhalten. Manche Datenschutzbehörden haben dies erkannt, andere sind nach wie vor auf der fundamentalistischen Schiene unterwegs.

Einzelne Gesetzesbestimmungen wurden zum Glück bereits relativiert. So hat die Art. 29 Arbeitsgruppe der EU einige Bestimmungen bereits abgeschwächt. Das ist zumindest ein gutes Zeichen. Grundsätzlich kann man aber argumentieren, das im Strafverfahren die Unschuldsvermutung gilt und der Kläger nachweisen muss, dass der Angeschuldigte eine Datenschutzverletzung begangen hat (zum Teil gilt auch die Beweislastumkehr, was in manchen Fällen Sinn macht, in anderen nicht). In den meisten Fällen wird die Datenschutzverletzung fahrlässig erfolgt sein. Die Einhaltung der Sorgfaltspflicht muss durch den Angeklagten nachgewiesen werden können. Solche Prozesse können lang und teuer werden, nur schon deshalb, weil die Parteien auf teure Gutachter angewiesen sind.

Glücklicherweise wird es wohl nie eine einheitliche Rechtsdurchsetzung geben, denn dazu ist der EU Raum zu gross, die Meinungen zu unterschiedlich und die nationalen Interessen zu heterogen. Hier liegt die Hoffnung darin, dass sich das gesprochene Sorgfaltsniveau etwas näher bei realen Welt bewegt als das Gesetz. Davon reden wir aber vielleicht in zehn Jahren, vorher muss sich zuerst die erwähnte Gerichtspraxis etablieren.

Natürlich gibt es auch Organisationen, die systematisch Datenschutzverletzungen begehen. Und hier ist es dringend und wichtig, dass man sie auch verfolgen und bestrafen kann. Allerdings mache ich mir hier wenig Hoffnung. Denn solche Organisationen ziehen es vor, ihre Daten in Ländern zu halten, in denen weder ein adäquates Datenschutzgesetz besteht, noch die Durchsetzung der Datenschutz Grundversorgung möglich ist.

Ist es bereits grobfahrlässig, als Mitarbeiter sein persönliches Adressbuch mit der Cloud zu synchronisieren?  Soll der Mitarbeiter oder der Vertreter der Organisation bestraft werden?