Datenschutz, jetzt aber ernst – und bald wirds ein Jahr

„Die Hälfte der Menschheit nutzt dieses Ding nun. Man muss einmal Abstand nehmen, sich das anschauen – und um Netzneutralität, Privatsphäre, die Kontrolle über die eigenen Daten und freie Meinungsäußerung kämpfen.“ Tim Berners-Lee anlässlich des 30. Geburtstags des World Wide Web in Genf (Salzburger Nachrichten, 13.032019).

Und da soll noch einer sagen, die EU sei schuld. Wenn der Begründer des WWW (die begriffliche Abgrenzung zu „Internet“ lassen wir mal außen vor) das zum Jubiläum seiner eigenen Entwicklung zu betonen nötig findet, steht es gerade angesichts einer etwaigen Missstimmung über durch in der letzten Zeit erfolgte Regelungen ausgelösten bürokratischen Aufwand gut an, ebenfalls ein paar Gedanken darauf zu verwenden. Weil die Behörden seit Inkrafttreten einer gemeinsamen EU-weiten Gesetzgebung eben jetzt tatsächlich ernst machen mit Datenschutz. Und folglich den Konsequenzen bei falschem Umgang damit. Aber nicht nur.

 

DSGVO: Grundrechte, nicht Schikane

Datenschutz ist Grundrecht

Datenschutz ist Grundrecht – ermöglicht mit DSGVO

Es gibt wohl kaum jemanden, der mit dieser Buchstabenkombination nichts anfangen kann und bei dem sie keine auch emotionalen Reaktionen auslöst: Seit 25. Mai 2018 ist die Datenschutzgrundverordnung der EU in Kraft, also seit mittlerweile knapp zehn Monaten. Datenschutztechnisch gar keine so kurze Zeit – Daten von BewerberInnen, die zu diesem Zeitpunkt nicht zum Zug kamen, sollten Sie etwa inzwischen wieder gelöscht haben, haben sie mit den betreffenden Personen nichts explizit anderes vereinbart. Noch immer herrscht viel Unsicherheit, was die korrekte Umsetzung betrifft: Wem muss ich jetzt tatsächlich eine Einwilligungserklärung abverlangen, um ihm oder ihr einen Newsletter schicken zu dürfen (und wie viele EmpfängerInnen riskiere ich dabei zu verlieren?)? Darf ich als Verein ein Spiel meiner Mannschaft filmen (Die Presse, 10.12.2018), darf ich in der Klasse die Noten der SchülerInnen laut vorlesen (Kleine Zeitung, 07.02.2019), darf ich WhatsApp in der Firma verwenden? Ist mein Geschäftsmodell überhaupt noch legal? Deshalb erfüllten Anfang des heurigen Jahres auch erst 25% der heimischen Unternehmen vollständig die entsprechenden Anforderungen (futurezone.at, 08.01.2019).

All diese Fragen in diesem Blogbeitrag zu beantworten, bei diesem Versuch verlöre ich Sie wohl, schon einmal aufgrund der Länge. Jene grundsätzliche, die hier stattdessen aufgeworfen werden soll: Warum sind diese Überlegungen überhaupt wichtig – und richtig?

Weil es eben nicht darum geht, Firmen, bzw. eben deren Verantwortliche und MitarbeiterInnen, mit neuen Gesetzen neue bürokratische Arbeit aufzubürden, weil es nicht bereits genug davon gäbe. Sondern um Grundsätzliches, um einen Umgang mit den Entwicklungen und Möglichkeiten im digitalen Bereich, der den davon Betroffenen, den Menschen, gerecht wird. „Die Wirtschaft“, „die Unternehmen“, „der Markt“ – alles Schlagworte, hinter denen, in abstrakten Begriffen und juristischen Einheiten subsummiert, im Endeffekt natürlich Menschen stehen, auf allen Stakeholder-Seiten. Also jene „natürlichen Personen“, auf welche diese Datenschutzregelungen abstellen.

 

Erwägen wir, Daten und dadurch Menschen zu schützen

Es geht tatsächlich um eine Übertragung der über Jahrzehnte, Jahrhunderte im nicht-digitalen Bereich, im „echten“ Leben, erworbenen, nein, hart erkämpften BürgerInnenrechte in den digitalen Teil unserer Welt. Rechte, die uns inzwischen so selbstverständlich sind, dass wir vergessen, sie zu haben. Und was es gekostet hat, sie zu erhalten, im doppelten Wortsinn. Gleichheit, Hausrecht, Recht auf Eigentum, zu dem auch unsere persönlichen Daten zählen: „Paradox, dass Rechte, die vor hundertfünfzig Jahren im Analogen durchgesetzt wurden und jetzt auch im Digitalen zur Geltung gebracht werden, statt Begeisterung oft nur Widerwillen und Murren auslösen“ (Salzburger Nachrichten, 26.05.2018), ein ausgesprochen kluger Kommentar zu diesem Thema).

Datenschutz

DSGVO ist Vorhängeschloss für Daten

Diese Zielsetzung steht auch explizit am Anfang der DSGVO, sowohl der Überlegungen, die zu ihrer Entstehung führten, als auch des Verordnungstextes selbst (Verordnung (EU) 2016/679):

  • Erwägungsgrund 1: „Gemäß […] der Charta der Grundrechte der Europäischen Union […] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
  • EWG 2: „Die Grundsätze und Vorschriften zum Schutz natürlicher Personen […] sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten […] gewahrt bleiben.“
  • EWG 4: „Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen.“
  • Und so weiter, „Vollendung eines Raums der Freiheit, der Sicherheit und Rechts“ (EWG 2), „im Einklang mit allen Grundrechten“, „im Hinblick auf seine gesellschaftliche Funktion“, „gegen andere Grundrechte abgewogen“ (EWG 4), „verpflichtet die Verwaltungen der Mitgliedsstaaten, zusammenzuarbeiten“ (EWG 5) und noch vieles mehr (insgesamt 173 EWG).

Dass bei allem guten Willen, bei allen sinnvollen Gründen die Anforderungen an die Unternehmen bezüglich zusätzlichen Bürokratieaufwands, sagen wir mal, suboptimal gestaltet wurden, soll hier nicht unerwähnt bleiben. Auch für KundInnen geriet die Umsetzung in allerlei Hinsicht nicht praktikabel. Bei der wievielten Datenschutzinformation, die nicht von ihrem eigenen Unternehmen stammte, haben Sie aufgehört zu lesen?

 

DSG, TKG, und die ganze Vogelschar

Datenschutzrechtliche Regelungen gibt es übrigens nicht erst auf Betreiben der EU und damit seit Einführung der DSGVO. Damit auch zu einer Berichtigung einer „sprachlichen Ungenauigkeit“ im dritten Absatz dieses Texts (sowie generell im allgemeinen Sprachgebrauch): Diese trat nicht im Mai vorigen Jahres in Kraft, sondern tatsächlich bereits am 25. Mai 2016. Zwei Jahre danach wurde sie aber erst „scharf geschalten“, sprich in Gültigkeit gesetzt. Um eben nicht abrupt zu kommen, sondern genügend Vorlaufzeit zu gewähren. Dieser Umstand ist in der öffentlichen Wahrnehmung nur leider etwas untergegangen – was allerdings der menschlichen Natur entsprechen dürfte.

Auch dann wurde nicht alles völlig neu geregelt, sondern das österreichische Datenschutzgesetz (DSG) wurde im Jahr 2000 eingeführt und mit dem Datenschutzanpassungsgesetz 2018 entsprechend der DSGVO novelliert. Tatsächlich waren die allermeisten der in der EU-Verordnung enthaltenen Bestimmungen schon bisher im österreichischen Recht verankert, und das seit mehr als eineinhalb Jahrzehnten. Mitunter betraf die letztjährige Änderung dann auch nur Begrifflichkeiten oder Details der Umsetzung; so wurden z.B. aus „Auftraggebern“ „Verantwortliche“, aus „sensiblen“ Daten „besondere Kategorien“, ohne dass sich an den dahinterliegenden Konzepten etwas änderte. Wirklich neu dazu kamen nur wenige Punkte, für den alltäglichen Umgang am entscheidendsten vielleicht der Wechsel vom Datenverarbeitungsregister zum Verzeichnis der Verarbeitungstätigkeiten. Weil diese Umstellung den Übergang der Verantwortung  für die Einhaltung der Vorschriften von der Datenschutzbehörde (durch vorherige Genehmigung) auf die Unternehmen selbst bedeutet und für diese die meiste Arbeit in der Umsetzung mit sich bringt.

DSGVO 2018

DSGVO 2018

Die Grundsätze des DSG gehen auch bereits auf das Jahr 1978 zurück. Und daneben galten und gelten weitere einschlägige Gesetze wie etwa das Telekommunikationsgesetz (TKG) 2003, in dem unter anderem die Zulässigkeit elektronischer Werbesendungen, also zum Beispiel von Newslettern, geregelt wurde. Dazu diverse datenschutzrechtliche Regularien für spezifische Berufsgruppen (Ärzte/-innen, Anwälte/-innen,…) oder Bereiche (z.B. Schulen, auch vor Mai 2018 war etwa das Verlesen von Noten für schriftlich erbrachte Leistungen schon grundsätzlich nicht erlaubt).

Viele Regelungen zum Schutz personenbezogener Daten auch ohne DSGVO also. Die wesentlichste Änderung im Zuge der Einführung letzterer war daher wohl, dass die datenschutzrechtlichen Bestimmungen jetzt auch ernsthaft, nämlich in umfassender Weise, exekutiert werden. Was zu einem neuen Bewusstsein deren Existenz und Bedeutung sowohl auf Seiten der Firmen als auch der KonsumentInnen führte. Ebenfalls ein von den gesetzgebenden Institutionen als wichtig erachteter und somit gewünschter Effekt.

 

Der Spaß ist noch lang nicht vorbei

Und wir sind noch lange nicht am Ende der diesbezüglichen Gesetzgebungsprozesse. Die Neuregelung der Bestimmungen für Urheberrecht im Internet etwa und deren Harmonisierung auf EU-Ebene, Stichworte geistiges Eigentum, Leistungsschutzrecht oder Uploadfilter, sorgt seit geraumer Zeit für erhebliches Aufsehen (Letztstand). Und die ePrivacy-Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (Vorschlag für Verordnung (EU) 2017/0003), relevant insbesondere auch für Betreiber von Webshops und werbefinanzierten Webseiten, scharrt in den Startlöchern. Wobei sich die Einigung darauf eher nicht vor 2020 bewerkstelligen lassen wird. Max Schrems, österreichischer Datenschutzaktivist mit internationaler Bekanntheit, spricht auch schon von der Notwendigkeit einer „DSGVO 2.0“, um eben die Konstruktionsfehler, die eine tatsächliche vollumfängliche Umsetzung der ersten Version für Unternehmen erschweren bis teilweise verunmöglichen, zu beheben (Der Standard, 13.02.2019). Es bleibt also spannend – und die einzige Konstante, dass sich alles ändert.

Das soll keine Schreckgespenster an die Wand malen oder gar Panik auslösen. Jede neue Digitalisierungswelle bringt einfach neue Möglichkeiten und damit einhergehend Herausforderungen, weil sie die Rahmenbedingungen aufs Neue ändert. Worauf die Gesetzgebung mit einer Anpassung der Regelwerke reagieren muss, zum Wohl des und der Einzelnen und der Gesellschaft als Ganzer, einschließlich der Unternehmen. Um nicht im schlimmsten Fall hart erkämpften existentiellen Rechten verlustig zu gehen, was im Endeffekt zum Schaden aller gereichte.

Die Basis für das positive Funktionieren dieser Entwicklungen ist mit den Gesetzen rund um die DSGVO gelegt. Bei allen Schwachpunkten und Verbesserungsnotwendigkeiten – Versuch und Irrtum beim Betreten von Neuland ist ebenso den damit befassten Menschen, denn auch hier stehen solche und nichts anderes dahinter, mit naturgemäß zum Teil widerstrebenden Interessen konfrontiert, zuzugestehen. Wichtig für Unternehmen, für UnternehmerInnen und MitarbeiterInnen, ist nun, die Hausaufgaben zu machen, die diese Regularien vorgeben. Danach müssen bei weiteren Änderungen nur noch die entsprechenden Anpassungen vorgenommen werden. Die umso weniger Arbeit verursachen, je gewissenhafter das Vorherige erledigt wurde.

 

Datenschutzkonformität lohnt sich

Datenschutz - Giefing web | media

Datenschutz lohnt sich – DSGVO-Beratungen

Nicht vergessen angesichts des nicht selbst gewünschten Aufwands darf man nämlich, dass gerade in der jetzt notwendigen Befassung mit dem Umgang mit Daten erhebliches(!) Potential für das eigene Unternehmen steckt. Ganz abgesehen davon, einer etwaigen behördlichen Strafe zu entgehen: In der grundsätzlichen Analyse der verarbeiteten Daten liegt die Chance, in diesem elementaren Bereich reinen Tisch zu machen, sich von nicht Benötigtem, von aus der alltäglichen Arbeit gewachsenem, aber Zeit und Energie raubendem Ballast zu trennen, Prozesse zu konsolidieren, eine Neuausrichtung des Geschäftsmodells, des Unternehmens durchzuführen und als Konsequenz im besten Fall den eigenen Ressourceneinsatz effektiver und effizienter zu gestalten. Wollte man doch eh schon längst machen, oder?

Wir helfen Ihnen übrigens gerne dabei: https://giefing.net/leistungen/datenschutz-dsgvo/

By | 2019-03-18T15:29:54+02:00 März 18th, 2019|Datenschutz|

About the Author:

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?