Idee 1+, Umsetzung 6: Zwischenfazit zur EU-DSGVO (what we have learned)

  • Besonders in der digitalen Welt bedarf es einer Datenschutz-Verfassung. Deshalb ist ein solches Manifest unabdingbar. Der erste Schritt mit der DSGVO geht in die richtige Richtung. Doch die DSGVO ist kein Sprint, sondern vielmehr ein Marathon. Nur wenn die DSGVO Zeit bekommt, kann ein Datenschutz-Gedanke in den Köpfen verankert werden.
  • In Brüssel besteht noch einiges an Nachholbedarf. Denn derzeit profitieren nur die großen Technologiekonzerne von der DSGVO, da technische Themen so gut wie nicht behandelt werden.    
  • Ein weiteres zentrales Problem bleibt weiterhin die Verantwortlichkeit für die Umsetzung, Überwachung und Weiterführung der DSGVO-Konformität.
  • Derzeit ist die Verwirrung um die DSGVO groß. Panikmache, Abmahnwellen und vor allem Unsicherheit bei den Unternehmen überschatten derzeit noch die eigentliche Idee des besseren Datenschutzes für alle beteiligten Akteure

Ein Plädoyer für den Datenschutz

Wer gedacht hat, dass mit dem Wirksamwerden der EU-DSGVO jeder Mensch seinen Datenschutz in vollen Zügen genießen kann, lag falsch - denn ein solcher Prozess dauert, bis er tatsächlich umgesetzt werden kann. Jedoch ist der Grundgedanke der 88 Seiten (deutsche Fassung) langen Verordnung, die sich ein Stück weit aus dem Bundesdatenschutzgesetz bedient, mit dem Recht auf informationelle Selbstbestimmung, dem Recht auf Vergessenwerden & Co. und vor allem dem Einwilligungs- und  Transparenzprinzip, ein wichtiger Schritt in die richtige Richtung. Die Macher der EU-DSGVO haben an vielen Stellen gute Arbeit verrichtet und deutlich gezeigt, wie wichtig Datenschutz ist, in einer Dekade in der sich so ziemlich alles um Daten dreht. In der Daten als Machtinstrument gelten und Datenschutz den technologischen Neuerungen hinterherrennt. Denn Datenschutz ist nicht weniger wichtig als eine Verfassung, die die rechtliche und politische Grundordnung herstellt und als Abwehrrecht jedes einzelnen Bürgers gilt. Gerade deshalb ist es umso wichtiger, dass Datenschutz mit seinen Facetten Einzug und Schwere erhält und nicht ein Überwachungsgesetz nach dem anderen eingeführt wird oder unzählige Debatten zur Vorratsdatenspeicherung geführt werden. Die Würde des Menschen ist unantastbar und das auch in einer digitalen Welt! Daher ist es umso bedauerlicher, dass die federführenden Autoren an einigen Stellen deutlich versagt haben.

“Shame on you” an jeden, der die DSGVO ausnutzt - Panikmache führte zur enormen Verunsicherung

Denn leider haben in den Tagen vor dem Wirksamwerden vor allem Double-Opt-In Mails und Zustimmungs-Nachrichten sämtliche Inboxes überfüllt. Die Häme im Netz war riesig, jeder hat sich über die EU-DSGVO echauffiert. Auch konnte man beobachten, wie zweifelhafte Anwaltskanzleien das eigene Unternehmen abmahnsicher machten und aus der EU-DSGVO eine Geschäftemacherei geschneidert haben, indem sie sonst mit Abmahnung drohen. Auch haben Phishing-Hacker die Mail-Flutwelle für sich genutzt um Cyberattacken zu platzieren. Zudem haben die großen Anbieter wie Facebook, Twitter & Co. mit Zustimmungsnachrichten regelrecht gedroht. Denn nur durch Einwilligung konnte man sämtliche Dienste der Social-Media-Riesen weiter nutzen. Hier haben die Großen ihre ganze Marktmacht ausgespielt. Doch wenn ich dem Ganzen zustimme, weiß ich auch zu 100 Prozent, dass meine Daten ausgewertet werden.

Doch Umrüsten auf die Verordnung, um DSGVO-ready zu sein, müssen neben großen Unternehmen auch jegliche Betreiber von nicht privaten Webseiten - also vom Kleingartenverein bis zum 1-Mann Fotostudio und genau das ist ein zentrales Problem. Vereine, Journalisten, und sämtliche klein- und mittelständische Betriebe können gar nicht die benötigten Ressourcen aufbringen um “DSGVO-ready” zu sein bzw. zu werden und werden teilweise hingehalten auf erste Urteile zu warten. Doch das kann nicht des Rätsels Lösung sein. Aus lauter Angst den Datenschutz nicht garantieren zu können, ist es wohl ein probates Mittel geworden Webseiten & Co. lieber offline zu schalten. An dieser Misere sind maßgeblich Kammern, Behörden und die Presse schuld, die es versäumt haben Unternehmen einen Leitfaden an die Hand zu geben bzw. mit zahlreichen Artikeln Angst geschürt haben.

Dennoch gibt es Hersteller wie Microsoft , AWS und Profitbricks, die Hilfestellung zur DSGVO leisten und ihre eigenen Prozesse und Infrastrukturen DSGVO-konform gestaltet haben und ihren Kunden somit als Sparringspartner dienen.

Nur die Global Player profitieren von der DSGVO

Jedoch profitieren gerade die großen Technologiekonzerne von der DSGVO. Das ist schon grotesk. Auf der einen Seite wurde genau aus diesem Kontext die DSGVO ins Leben gerufen, um den Nutzern mehr Schutz, Transparenz und Rechte einzuräumen. Ohne Schlupflöcher, am Verbraucher orientiert, um nicht den Lobbyisten in die Karten zu spielen. Doch im Endeffekt schlägt es in die andere Richtung um, da die DSGVO nicht präzise ausformuliert wurde. Denn die Regeln gelten für alle, für große Konzerne, sowie für Blogger, Feuerwehr oder jedes andere erdenkliche Unternehmen.

Dennoch gehen die großen Technologieunternehmen gelassen an die DSGVO. Denn die zentralen Herausforderungen hat das europäische Parlament nicht definiert, geschweige denn berücksichtigt und aufbereitet. Wie funktionieren Algorithmen? Nach welchen Kriterien werden Nachrichten von Social-Media-Anbietern ausgewählt und gefiltert? Was passiert mit Sprachbefehlen an Alexa oder Google Home? Und was darf Künstliche Intelligenz und was nicht?

Somit ist es wieder möglich, dass zum Beispiel WhatsApp Daten an den Mutterkonzern weiterleiten kann und Facebook eifrig an Gesichtserkennungs-Tools tüftelt. Jedoch werden Marketing- und Werbeaktivitäten klein- und mittelständischer Unternehmen  blockiert. Fakt ist, es bedarf klarer, fairer und spezifischer Regeln für alle bezüglich der Verwendung von Daten, auch vor dem Hintergrund technischer Neuerungen.

Aber was ist schief gelaufen?

Ein zentrales Problem hinsichtlich der Umsetzung der DSGVO war und ist vor allem die Verantwortlichkeit innerhalb der Unternehmen. Zwar war den Unternehmen aus compliance-technischer Sicht klar, dass die DSGVO relevant sein würde, dennoch wurde die Ernsthaftigkeit unterschätzt und auch die Verantwortlichkeit nicht eindeutig geregelt. Hier hat es vor allem an Leitfäden gemangelt, die eindeutig aufzeigen wann, wo und wie die DSGVO umzusetzen ist. Zudem fehlt es Herstellerseitig an einigen Stellen noch an Guidelines, Preparing-Material und vor allem noch an neuen ADV-Verträgen (Auftragsdatenverarbeitungsverträge) hinsichtlich Data Portability.

Neben der mangelhaft ausformulierten Verordnung, die viel Spielraum für die großen Anbieter lässt, wurde es bei zentralen Fragen vor allem vernachlässigt, um die Ecke zu denken. Was ist wenn Verbraucher das “Recht auf Vergessenwerden” nicht in Kauf nehmen?

Dadurch, dass Daten nicht gelöscht werden können, wenn Verbraucher dies nicht veranlassen, entwickelt sich ein riesiger Datenpool. Unternehmen müssen alle Aufzeichnungen aufbewahren, so dass ein Verbraucher drei Jahre nach der Einwilligung seine Einwilligung widerrufen kann, dass kein Datenhandel nachgewiesen werden kann und dass der Datensatz gelöscht werden kann. Ein gefundenes Fressen für Hacker. Angriffe auf diese Datenpools werden um ein Vielfaches steigen.

Auch die Autorität und Aufgabenteilung des europäischen Datenschutzamtes ist noch nicht genau ausgearbeitet. Die Anforderungen an die Datenspeicherung, die Einwilligung zur Nachverfolgung und die Beweisführung gemäß der DSGVO sind so umfassend, dass wenn überhaupt nur wenige Unternehmen in der Lage sind, sich selbst als konform zu betrachten.

Und das bedeutet, dass Unternehmen in einer zunehmend vernetzten Welt wirklich in Gefahr sind, wenn das Datenschutzamt darüber willkürlich entscheidet, was falsch oder richtig ist. Das bedeutet wiederum, dass die Zahl der illegalen Datensammler und -verkäufer in die Höhe schießen wird und das ist für die Verbraucher ein absoluter Nachteil.

Aber wohl das größte Problem ist, dass die DSGVO gerade den Unternehmen hilft, die die DSGVO ausnutzen wollen. So sollten Firmen wie Facebook, Google, Apple und dergleichen bestraft oder zumindest beschränkt werden. Jedoch sind es diese riesigen, technisch ausgereiften Unternehmen, die die DSGVO-Hürden überwinden, ohne große Mühe aufzuwenden. Diesen Firmen steht eine Armada an Anwälten und Ingenieuren zur Seite, denen es möglich ist Konformität zu garantieren, die mit dieser Verordnung einhergehen und somit leichtfertig “DSGVO-konform” sind. Aber was ist mit den Firmen, denen unmittelbar Schaden droht, da sie die Anforderungen nicht erfüllen können? Möglicherweise werden sich diese Firmen in einem Hamsterrad drehen und jahrelang versuchen Lösungswege für alle Anforderungen der DSGVO zu entwickeln, die wiederum dazu führen, dass andere kritische Teile ihres Unternehmens ignoriert werden. Und schließlich, aus mangelnder Erkenntnis, die gleichen Lösungswege nutzen wie Facebook & Co.

Nun ist aber auch eine Flut an Abmahnungen zu erwarten. An dieser Stelle bedarf es ebenso eine Reform, sodass nicht willkürlich Abmahnschreiben von Anwälten die Unternehmen fluten.

Doch das werden nicht die einzigen Probleme sein. Ganz im Gegenteil. Wie werden sich der Cloud-Act, die E-Privacy Verordnung und alle anderen Verordnungen, die mit der DSGVO kollidieren, auswirken?

Jede Änderung braucht Zeit, um in den Köpfen anzukommen

Fest steht, dass es eines Datenschutz-Grundgesetzes bedarf, welches alle Facetten der Datenerhebung, -verarbeitung und -speicherung auch mit technologischem Hintergrund manifestiert und uns die Zeit gibt daran zu gewöhnen. Die DSGVO war ein erster wichtiger Schritt und hat auf jeden Fall Potential zu dem Anker in einer datengetrieben Welt zu werden. Es ist gut, dass Datenschutzerklärungen von Unternehmen in einfachen Texten erklärt werden. Es ist wichtig, dass Plattformanbieter Verbraucher um Zustimmung bitten müssen, um Daten maschinell auswerten zu können. Die verschiedenen Rechte, die dem Verbraucher eingeräumt werden, sind ebenfalls ein entscheidender Schritt vorwärts. Aber es bedarf auch Zeit, bis eine solche Verordnung in den Köpfen angekommen ist. Noch ist es nicht zu spät, denn die DSGVO ist kein Sprint, sondern vielmehr ein Marathon! Die Gesetzesmacher sind nun gefragt an den richtigen Stellen nochmal anzusetzen, um auch die zentralen Probleme aufzulösen, damit die großen Unternehmen nicht die Macht der Daten erlangen und den eigentlichen Gewinner der DSGVO darstellen.

Mehr zu den Themen Cybersecurity DAta Privacy Data Protection Datenschutz DSGVO EU-DSGVO Hacker IT Security

Share on:


Über den Autor:

Analyst

Jan MentelJan Mentel ist als Analyst des IT-Research- und Beratungsunternehmens Crisp Research tätig. Inhaltliche Schwerpunkte sind Cloud-Computing, Mobility Solutions und Internet of Things mit besonderem Fokus auf Datenschutz, Compliance und Implikation der EU-Datenschutzgrundverordnung. Weiterhin unterstützt er im Rahmen des Researchs sowie individueller Kundenprojekte bei der Recherche und Beratungsarbeit. Jan Mentel studierte Wirtschaftsrecht an der Universität Kassel.