+++Werbung+++
Am 25. Mai 2018 tritt die sogenannte „Datenschutzgrundverordnung – DSGVO“ der EU in Kraft. Die Propaganda der EU-Kommission behauptet, dass das neue Regelwerk das Vertrauen der Konsumenten stärken, die Wirtschaft beleben und Milliarden an Einsparungen bringen werde. All diese Segnungen würden sich aus dem Umstand ergeben, dass eine Regelung und nur mehr eine in der gesamten EU in Kraft ist. Tatsächlich schafft diese Verordnung die Grundlage für den Aufbau einer weiteren, gigantischen Bürokratie, die vermeintlich die Bürger schützt, aber in der Praxis alle Unternehmen und Institutionen gemäß den Vorgaben der Verordnung belasten muss. Verletzungen, die im Vorfeld nicht genau bestimmt sind und von den Behörden im eigenen Ermessen definiert werden, können mit Strafen bis zu 20 Millionen (!) Euro oder 4 Prozent des Jahresumsatzes geahndet werden. Staatliche Stellen wie die Justiz, die Polizei, die Finanz und die Geheimdienste genießen eine Sonderstellung.
Darf man ein Email versenden? Oder vielleicht doch nicht!
Zur Illustration ein Beispiel, das allgemein nachvollziehbar ist:
Juristen können sich nicht einigen, ob der Versand einer Email durch eine Firma an eine Person erlaubt ist oder nicht, die nicht vorweg eindeutig ihre Zustimmung zu diesem Versand erteilt hat.
- Die eine Lesart besagt: Unmöglich. Man kann auch keine Email senden und um die Erlaubnis ersuchen. Man kann einen Brief senden und diese Genehmigung erbitten.
- Die andere Lesart: Man kann die Email senden, muss aber eine einfache Möglichkeit vorsehen, weitere abzulehnen. Und nur, wenn man diese Ablehnung nicht prompt berücksichtigt, begeht man eine strafbare Verletzung der Verordnung.
Den Erfindern dieser diffusen Regelung ist offenbar nicht bekannt, dass die Belästigung der Empfänger wenig durch klar erkennbare Absender erfolgt, denen man mit einem „Unsubscribe“ seinen Unwillen deutlich machen kann. Störend bis unerträglich sind die zahllosen Emails dubioser, schwer auffindbarer Anbieter, die die Empfänger erpressen, bestehlen oder in kriminelle Machenschaften treiben wollen.
Diese Übeltäter entziehen sich allen EU-Regeln und dem Zugriffe von Behörden, während reguläre Unternehmen bedroht werden, die eindeutige Absender-Adressen haben.
Der Aufbau einer gigantischen, europaweiten Bürokratie
Nach diesem Muster ist die gesamte Verordnung aufgebaut, sodass die Firmen immer einer Behörde ausgeliefert sein sollen. Im Datenschutz ist allerdings das Aufsichtssystem noch nicht voll entwickelt, wie dies etwa im Finanzbereich der Fall ist. Die nun in Kraft tretende DSGVO sorgt aber für die Grundlage.
Noch besteht keine mächtige EU-Stelle wie beispielsweise EIOPA für die Versicherungen oder EBA für die Banken oder die bei der EZB angesiedelte Aufsicht der Großbanken. Aber der Grundstein ist schon gelegt: Seit 2004 gibt es den „Europäischen Datenschutzbeauftragten – EDSB“.
Bislang bestand seine Aufgabe vor allem in der Kontrolle, ob die EU-Einrichtungen den Schutz der Privatsphäre von Bürgern beachten.
Der zweite Aufgabenbereich rückt aber jetzt in den Vordergrund: „Die Zusammenarbeit mit den nationalen Behörden der EU-Länder zur Gewährleistung einer kohärenten Datenschutzpolitik“, lautet der Originaltext. Somit kündigt sich an, dass aus dem EDSB eine Art EIOPA für den Datenschutz wird.
Mit der EU-Verordnung werden die Mitgliedstaaten verpflichtet, bestehende Datenschutzämter auszubauen oder neue zu schaffen, welche die vorgesehenen Kontrollen durchführen können. Die in Deutschland existierenden Datenschutzbehörden des Bundes und der Länder, die im Rahmen einer Koordination zusammenarbeiten, dürften sich in Kürze als großes Amt mit zahllosen Bereichen und Mitarbeitern neu konstituieren müssen. Das Gleiche gilt wohl für alle Länder, also auch für die „Commission Nationale de l'Informatique et des Libertés (CNIL)“ in Frankreich oder die „Datenschutzbehörde“ in Österreich.
Begleitet wird die Schaffung von Datenschutzämtern auf allen Ebenen von einem Komitee, das den eigenartigen Titel „Article 29 Working Party“ trägt. In dieser Gruppe sind Vertreter aus den Mitgliedstaaten vereinigt, die die Politiker beraten und Leitlinien und Erläuterungen zur Verordnung herausgeben. Dies tut die Kommission selbst auch und hat erst vor kurzem Ergänzungen der Verordnung formuliert.
Somit beginnt am kommenden 25. Mai ein Heer von Aufsehern Unternehmen zu kontrollieren, die in irgendeiner Weise Daten verarbeiten – und das sind alle. Und das ausgestattet mit dem Recht, Strafen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – es gilt der jeweils höhere Betrag – zu verhängen. Dies geschieht angesichts der ungenauen und widersprüchlichen Angaben in der Verordnung und in den Leitlinien, die für einen großen Ermessensspielraum der Aufseher sorgen.
Die Datenschutzverordnung ist keine Verordnung wie jede andere
Für die Datenschutzgrundverordnung gilt die gleiche Regel wie für alle EU-Verordnungen, aber nur bedingt: Sie wirkt EU-weit unmittelbar, also unter Ausschaltung der nationalen Parlamente. Allerdings ist dieser Grundsatz beim Datenschutz in etwa in Frage gestellt, weil die Verordnung auch die Schaffung neuer oder die Novellierung bestehender Gesetze in den Mitgliedstaaten vorsieht. In diesen Gesetzen können in bescheidenem Umfang Spielräume genutzt werden. Somit ähnelt die Verordnung in etwa auch einer EU-Richtlinie.
Allerdings haben erst Deutschland und Österreich ihre nationalen Gesetze adaptiert, wobei sich auch in diesen beiden Fällen gezeigt hat, dass die Juristen in Brüssel, Berlin und Wien denselben Text keineswegs gleich lesen und verstehen. Gegenüber den anderen Mitgliedstaaten wurde in einer Aussendung der Kommission daran erinnert, dass eine Verordnung unmittelbar gilt und dass die EU-Behörde direkt für die Durchsetzung in den Ländern sorgen werde, wenn die Staaten keine entsprechenden Gesetze beschließen und keine effektiven Behörden schaffen. Also ist die DSGVO doch eine Verordnung.
Nun stellt sich die noch nicht umfassend zu beantwortende Frage, welche Maßnahmen die Unternehmen ergreifen müssen und welche Kontrollen die Behörden durchzuführen haben. Die Verordnung wurde 2016 beschlossen und die Initiatoren in der EU gingen davon aus, dass in den zwei Jahren bis zur Umsetzung im kommenden Mai alle Vorbereitungen getroffen werden. Dies ist nur in sehr beschränktem Ausmaß geschehen. Verständlich, wenn immer noch über den Inhalt der Vorschriften gerätselt wird und laufend neue Leitlinien veröffentlicht werden. Jetzt herrscht Aufregung, da die horrenden Strafen ab Mai verhängt werden können.
Daten müssen gelöscht werden. Rasch. Oder doch nicht so rasch.
Man kann drei Grundsätze der Verordnung herausarbeiten:
- Personen bezogene Daten dürfen nur mit Zustimmung der Betroffenen verwendet werden.
- Daten müssen auf jeden Fall „so rasch wie möglich“ gelöscht werden. Daten müssen „prompt“ gelöscht werden, wenn dies Betroffene verlangen.
- Allerdings nur, wenn keine gesetzlichen oder sonstigen Bedingungen anderes vorschreiben oder notwendig machen.
Das eingangs geschilderte Beispiel, das anhand der Emails die Rechtsunsicherheit zeigt, betrifft nur Email-Adressen. Gemeint sind in der Verordnung aber alle Daten, also Name, Vorname, Geburtsdatum, Geschlecht und so weiter. Besonders verwiesen wird auf den Umgang mit Gesundheitsdaten, mit rechtlich relevanten Daten oder auf Daten von Kindern. Prinzipiell sind Unternehmen mit mehr als 250 Mitarbeitern betroffen. Doch wird dieser Grundsatz schon in der Verordnung in Frage gestellt, sodass letztlich alle Betriebe die Verordnung einhalten müssen. Und somit geht es in das Gestrüpp von Fallen, die alle bedrohen.
Daten der Mitarbeiter und der Kunden im Gestrüpp der Fallen
Vor allem müssen alle in einem Unternehmen oder einer Institution verwalteten, personen-bezogenen Daten erfasst und dokumentiert werden. In manchen Firmen wird die Bestellung eines „Datenschutzbeauftragten“ erforderlich sein. Es ist zwar nicht eindeutig geklärt, welche Firmen einen Datenschutzbeauftragten bestellen müssen, wenn aber die Behörde zu der Ansicht kommt, dass eine Bestellung notwendig gewesen wäre, können Strafen bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden.
Jederzeit verfügbar muss neben der Dokumentation eine Erklärung sein, warum diese Daten für welche Zwecke verwaltet werden. Und vor allem, warum diese Daten nicht gelöscht wurden.
Die Daten betreffen naturgemäß die bestehenden und möglichen Mitarbeiter, die bestehenden, ehemaligen und potenziellen Kunden sowie die Lieferanten.
Dass aktive Mitarbeiter die Zustimmung zur Verwendung der Personen-Daten geben, ist naheliegend. Wie ist das allerdings mit ehemaligen Mitarbeitern: Rechtsstreitigkeiten können noch nach Jahren die Verfügbarkeit von Unterlagen erfordern. Wie ist das mit der Aufforderung vereinbar, Daten rasch zu löschen?
Wie ist das mit Bewerbungen, die heute abgelehnt werden, aber vielleicht nach Monaten doch zu einer Anstellung führen können. Wird ein Unternehmen bestraft, das Daten von möglichen Kandidaten nicht löscht? Ein weites Feld für Interpretationen durch die Aufseher.
Bestehende Kunden sollten keine Probleme auslösen. Sollten. Bei Käufen im Internet werden persönliche Daten bekannt gegeben. Handelsrechtliche und konsumentenrechtliche Vorschriften bestimmen, dass die Daten lange aufbewahrt werden, um bei etwaigen Streitigkeiten zur Verfügung zu stehen. Der Datenschutz drängt auf eine rasche Löschung.
Und wieder ein scheinbar banales Thema: Viele Unternehmen, etwa Hotels, sammeln Geburtstagsdaten und gratulieren zu den entsprechenden Tagen, oft noch nach Jahren. Ohne Genehmigung der Betroffenen! Strafbar oder nicht? Führt der Satz einer Mitarbeiterin eines Hotels an der Rezeption „Ich sehe, Sie waren schon bei uns!“ zu eine Datenschutzverfahren?
Wenn auch die Problematik bei Lieferanten nicht unmittelbar gegeben scheint, ist auch bei Personendaten aus diesem Kreis der Grundsatz der „Minimierung“ zu beachten. Es dürfen nur Daten aufbewahrt werden, die unbedingt notwendig sind.
Straft eine Behörde wegen zu kurzer und die andere wegen zu langer Aufbewahrung?
Die besondere Bedeutung der sensiblen Daten, also Gesundheitsdaten, Kinderdaten, wirtschaftliche Gegebenheiten, Rechtsdaten wie etwa strafrechtliche Verurteilungen verpflichtet naturgemäß die Personalbüros der Unternehmungen, Banken und Versicherungen zu besonderer Achtsamkeit und Geheimhaltung. Diese sind allerdings schon vorgeschrieben, in vielen Unternehmen wird aber wohl zusätzlich ein Datenschutzbeauftragter zu installieren sein.
Auch wird das Thema rasch schwierig. Ist ein abgeschlossener Versicherungsvertrag oder ein zurückgezahlter Kredit rasch zu löschen? Es kann noch lange später zu Streitigkeiten kommen. Die entsprechenden Verordnungen der EU erzwingen eine lange Aufbewahrung, die auch im Hinblick auf mögliche Rechtsstreitigkeiten notwendig ist. Finanzaufsicht contra Datenschutzaufsicht? Straft dann die eine Behörde wegen zu kurzer und die andere wegen zu langer Aufbewahrung?
Ein anderes Thema: Ein Versicherter erleidet einen Unfall, zahlt die Kosten und kommt zu seinem Vermittler, er möge die Abgeltung durch das Versicherungsunternehmen erledigen. Dazu muss dieser aber die Gesundheitsdaten erhalten und weiter geben. Juristen meinen, er braucht eine Genehmigung der Weitergabe durch den Versicherten, der ihm gerade die Daten übergeben hat.
Die neue Datenschutzverordnung bringt einen zusätzlichen Verwaltungsaufwand für alle europäischen Unternehmen, der für Wettbewerbsnachteile sorgt.
Die Verordnung ist dort wirkungslos, wo Datenschutz wichtig wäre
Das tatsächliche Interesse der Bürger liegt aber an anderer Stelle und wird durch die Datenschutzverordnung nicht gewahrt: Viele wollen sicher sein, dass in den sozialen Netzen keine unerwünschten Aussagen kursieren – weder Informationen, die man selbst einmal hineingestellt hat oder Mitteilungen, die andere verbreiten. Die geschilderten Schutzwünsche sind nur zu erfüllen, wenn Facebook, Google und andere Anbieter verlässliche Löschvorgänge anbieten und durchführen. Hier ist im Gefolge von Protesten und Prozessen und Interventionen der EU-Kommission durchaus eine Verbesserung der Lage eingetreten, aber keineswegs eine Situation, die die Nutzer umfassend schützt, wobei hier auch der oft geringe Einsatz der betroffenen Personen zu beobachten ist.
Vor allem wird die Datenschutzproblematik in dem entscheidenden Bereich durch die Verordnung nicht berührt: Das zentrale Problem liegt in der Möglichkeit für viele Anbieter die Nutzer auszuspionieren. Dies wird durch den Umstand ermöglicht, dass in zahllosen Programmen viele Zugänge eingebaut sind, die der Nutzer nicht sieht, die aber die Möglichkeit schaffen, Daten abzurufen. Diese Praxis müsste verboten und unter Strafe gestellt werden, dann gäbe es einen tatsächlichen Datenschutz. Das geschieht aber nicht, weder in den USA, wo die großen sozialen Netzwerke ihren Sitz haben, noch in der EU oder anderswo: Programme ohne Lücken würden auch der Justiz, der Polizei und der Finanz sowie den Geheimdiensten den Zugriff versperren. Und so bleiben die Lücken bestehen, die den Firmen, die die Programme verkaufen, und den Hackern die Türen öffnen.
Die Groteske geht sogar noch einen Schritt weiter: Die Datenschutzverordnung berührt die Lücken der Programme nicht, ermöglicht aber das Profiling, das Zeichnen des Konsum- und sonstigen Verhaltens eines Menschen aus den Computer-Daten, sowie das Erheben von Big Data, also von charakteristischen Massendaten. Aber selbstverständlich erfolgt das nur anonym, sonst kommt der EU-Datenaufseher.
***
Ronald Barazon war viele Jahre Chefredakteur der Salzburger Nachrichten. Er ist einer der angesehensten Wirtschaftsjournalisten in Europa und heute Chefredakteur der Zeitschrift „Der Volkswirt“ sowie Moderator beim ORF.
