Europaweit sorgt die neue Datenschutz-Grundverordnung für helle Aufregung. Niemand weiß genau, was erlaubt ist und was verboten, wer welche Maßnahmen zu ergreifen hat, aber es drohen Strafen bis zu 20 Millionen (!) Euro oder 4 Prozent des Jahresumsatzes, wenn man bei der Verwendung von personenbezogenen Daten eine Verletzung der unklaren Regeln begeht. Erstmals sorgt eine EU-Verordnung für die Bedrohung ausnahmslos aller Unternehmen und somit könnte diese Regelung der Tropfen sein, der das Fass der öffentlichen Geduld zum Überlaufen bringt. Bislang waren derartige Aktionen stets gegen einzelne Branchen wie etwa die Banken gerichtet, die sich eher kleinlaut den oft schwer verständlichen Auflagen unterworfen haben. Diese Unterwürfigkeit kam zustande, weil viele Großbanken in der Krise 2008 beträchtliche Fehler begangen haben und man sich daher nicht so leicht wehren konnte. Doch warum sollen sich alle Betriebe dem Datenschutz beugen?
Darf man einem Kunden nicht zum Geburtstag gratulieren?
Die größte Absurdität besteht in der Auflage, dass man nur eine E-Mail an Personen versenden darf, die dafür im Vorhinein ausdrücklich ihre Zustimmung erklärt haben. Man darf diesen Personen auch keine entsprechende E-Mail senden oder sie telefonisch um die Genehmigung bitten. Erlaubt ist ein Brief mit dem Ersuchen um die Erlaubnis eine E-Mail zu übermitteln. Kein Wunder, dass fassungsloses Entsetzen herrscht. Dies wird auch nicht durch Juristen entschärft, die in die vagen Formulierungen Ausnahmen hineininterpretieren. Alle wollen, alle brauchen Klarheit und diese gibt es nicht.
- Im modernen Marketing spielt eine E-Mail eine entscheidende Rolle für alle Firmen. Das reicht vom Angebot eines neuen Produkts, einer allgemeinen Information bis hin zum Geburtstagswunsch eines Hotels an einen Stammkunden. Schließlich ist der Geburtstag ein personenbezogenes Datum.
- Üblich und einfach zu handhaben wäre die Möglichkeit des „Unsubscribe“, also der Mitteilung, dass keine weiteren Zusendungen erwünscht sind.
- Wenn die EU-Instanzen strafen wollen, so kann man sich an der seit langem in den USA praktizierten Regelung orientieren: Wer ein „Unsubscribe“ nicht innerhalb einer vorgegebenen Frist berücksichtigt, wird bestraft.
- Wenn schon eine E-Mail als Belästigung eingestuft wird, wieso ist dann ein entsprechendes Schreiben nicht als Störung der Privatsphäre anzusehen?
- Wieso ist eine E-Mail ein Thema, aber ein Plakat, ein Inserat in einer Zeitung, die ungebetene Werbung im Radio, im Fernsehen, auf dem Handy problemlos?
- Die tatsächlich lästigen E-Mails von unbekannten und nicht auffindbaren Absendern wird keine Datenschutzbehörde erfassen: Man wird weiterhin dubiose Angebote, Einladungen zu kriminellen Aktivitäten und sonstige unseriöse E-Mails bekommen.
- Aber die regulären Unternehmen, die an ihren Adressen jederzeit erreichbar sind, werden die Behörden bestrafen.
Die nur scheinbar harmlos-demokratische Praxis der EU-Kommission
Wie kommt es zu einer derartigen Groteske? Um das zu verstehen, muss man die immer wieder geübte Praxis der EU-Kommission begreifen und hoffen, dass diese endlich abgestellt wird.
Das Entstehen einer EU-Regelung am Beispiel der Datenschutzverordnung:
- Die EU-Kommission nimmt sich eines Themas an. Die Befassung mit dem Datenschutz geht zurück in die achtziger und neunziger Jahre.
- Es kommt zu einer ersten noch harmlosen Regelung: Im Jahr 1995 wird eine Richtlinie beschlossen.
- In der Folge wird eifrig diskutiert. Die Kommission erklärt, dass sie alle Betroffenen einbinden möchte. Tatsächlich kümmern sich aber die tatsächlich Betroffenen nicht um das Thema.
- 2009 tritt der Lissabonner Vertrag in Kraft, in dem die EU-Stellen die Zuständigkeit für den Datenschutz erhalten. Niemand reagiert.
- Die Diskussionen gehen weiter. Und nach einigen Jahren sind alle Politiker mürbe und „plötzlich“ wird im Mai 2016 eine EU-weit geltende Verordnung beschlossen: Kommission, Parlament und der Rat der Regierungen der Mitgliedsländer sind sich einig und das Paket wird Gesetz. Immer noch finden die neuen Regeln keine Beachtung.
- Jetzt, zwei Jahre später, am 25. Mai 2018, tritt die Verordnung in Kraft. Jetzt wird sie gelesen. Jetzt herrscht allgemeines Entsetzen.
Von Seiten der EU-Kommission kommt, wie bei allen anderen derartigen Abläufen zuvor, die immer gleiche Rechtfertigung: Man habe das Projekt über Jahre vorbereitet, vom Beschluss bis zum Inkrafttreten waren zwei Jahre Zeit, um sich auf die neuen Bestimmungen einzustellen. Es könne also niemand sagen, die EU-Stellen hätten die Betroffenen überrumpelt.
Sind die Lobbyisten unfähig oder machtlos?
Diese Argumentation ist schwer zu entkräften. Dennoch ist immer wieder das Phänomen zu beobachten, dass Mitteilungen über die geplanten Korrekturen nicht geglaubt werden. Die Praktiker in allen Branchen reagieren auf die meist sehr abstrakten Überlegungen mit Kopfschütteln und erklären, dass eine derartige Bestimmung unmöglich Realität werden könne. Wenn sie dann doch beschlossen ist, wird sie erst zur Kenntnis genommen, wenn eine Behörde droht, die entsprechenden Maßnahmen zu ergreifen. Wie dies jetzt bei der Daten-Verordnung der Fall ist.
Zu fragen ist auch, was die zahllosen Interessenvertretungen tun, die in ganz Europa tätig sind und auch Lobbyisten in Brüssel beschäftigen?
- Haben diese zu wenig Kontakt mit den Unternehmern und Managern, die in der Folge die Bestimmungen umsetzen müssen?
- Oder lassen sie sich durch die meist Jahre, manchmal Jahrzehnte dauernden Prozesse müde machen? Ein Vorschlag folgt dem anderen, dann gibt es wieder Monate keine Bewegung, wieder eine Variante und so weiter.
- Sind die Lobbyisten hilflos, wenn die Angelegenheit auf die Ebene der Staats- und Regierungschefs oder der Minister gehoben wird? In diesem Kreis werden kaum die Details besprochen und dann wird der letzte Vorschlag der Kommission beschlossen. „Weil man die Angelegenheit nicht noch länger hinausschieben kann!“
Die Unternehmen werden stöhnen und die Daten sind weiter ungeschützt
Jetzt müssen alle Unternehmungen ihre Daten aufgrund von Regeln verwalten, die nicht klar formuliert sind und somit verschieden interpretiert werden.
- Eine besondere Groteske bildet der Umstand, dass nicht einmal eindeutig feststeht, welches Unternehmen und welche Institution einen so genannten Datenschutzbeauftragten bestellen muss.
- Grundsätzlich gilt, dass alle Daten so kurz wie möglich aufbewahrt werden sollen. Allerdings gibt es eine Reihe von EU-Regeln, die besonders lange Aufbewahrungsfristen enthalten. Somit könnte der Fall eintreten, dass die Datenschutzbehörde straft, weil personenbezogene Daten zu lange aufbewahrt werden, aber eine Finanzbehörde straft, weil die Daten zu früh gelöscht wurden.
- Die Verordnung betrifft alle Daten, also die der aktiven, der früheren und der möglichen, künftigen Kunden, der aktiven, der früheren Mitarbeiter und von Personen, die sich um einen Posten bewerben, so wie der Lieferanten und anderer Personen, mit denen das Unternehmen in Kontakt ist. Über all diese müssen aktuelle und umfassende Listen geführt werden.
- Parat haben muss jedes Unternehmen Erläuterungen, warum Daten wie lange und aus welchen Gründen aufbewahrt werden.
Die Datenschutz-Grundverordnung wirkt nicht, wo tatsächlich ein Eindringen in die Privatsphäre erfolgt:
- Die in vielen EDV-Programmen enthaltenen Zugänge, die der durchschnittliche Kunde nicht kennt, wird es auch in Zukunft geben. Diese Lücken ermöglichen vielen ungebetenen Gästen den Zugang in jeden Computer.
- Das gilt für die Ersteller der Programme, die auf diese Weise Material über die Nutzer bekommen, das teuer verwertet werden kann.
- Diese Techniken werden nicht nur von den Programm-Firmen genützt, sondern erleichtern das Hacken.
- Die öffentlichen Stellen – Polizei, Justiz, Finanz – wie auch die Geheimdienste nützen diese Zugänge. Um hier keine rechtlichen Probleme entstehen zu lassen, beschließt seit kurzem ein Land nach dem anderen Gesetze, die das Einschleusen von Staatstrojanern in die Computer legalisieren.
Man wird also in Zukunft wie bisher ausspioniert werden, man wird lästige Mails bekommen, aber die Unternehmen sind gezwungen ein aufwändiges Daten-Management aufzubauen. Die Staaten sind verpflichtet, ihre Datenschutzbehörden zu umfangreichen Aufsichtseinrichtungen auszubauen, um zu kontrollieren, ob die Verwaltung der personenbezogenen Daten regelkonform erfolgt. Enorme Kosten für einen nicht funktionierenden Datenschutz.
***
Ronald Barazon war viele Jahre Chefredakteur der Salzburger Nachrichten. Er ist einer der angesehensten Wirtschaftsjournalisten in Europa und heute Chefredakteur der Zeitschrift „Der Volkswirt“ sowie Moderator beim ORF.
