Kommentar zur DSVGO

Wie die meisten gewerblich tätigen Menschen ganz Europas habe ich in den letzten Tagen jede sinnvolle Arbeit liegen und stehen gelassen und stattdessen eine Datenschutzerlärung verfasst. Ich weiß, keiner wird sie lesen, so wie keiner die durch und durch sinnlosen Cookie-Warnungen wahrnimmt und blind auf ‚Ich bin einverstanden‘ klickt.

Die Intention des DSVGO ist ohne Zweifel gut. Jeder hat ein Recht auf seine Privatsphäre — selbst im Internet. Die DSVGO soll helfen, dass wir diese Privatsphäre ein ganz klein wenig zurückbekommen. Vielleicht …

Leider leben die Leute, die dieses Gesetz formuliert haben, auf einem anderen Stern. Zwei Dinge stören mich:

Alle sind gleich. Aber die Großen sind im Vorteil.

Für Facebook und Amazon gelten (nahezu) die gleichen Regeln wie für den Betreiber einer winzigen Website. Aber während Facebook oder Google genug juristisches Personal haben, um die DSVGO tatsächlich zu lesen, zu verstehen und vielleicht sogar zu befolgen (Google spricht von einem Aufwand von 500 Mannjahren/Fraujahren), folgen Klein- und Kleinstunternehmer den Ratschlägen irgendwelcher Computer-Zeitschriften, Websites etc. WordPress bietet in der neuesten Version fertige Textbausteine an, um die Datenschutzerklärung zusammenzuschustern. (Mit der Datenschutzerklärung ist es nicht getan, ich weiß; aber aktuell geht es einmal darum, dass bis zum 25.5. die nach außen sichtbare Fassade hübsch aussieht.)

Die DSVGO ignoriert, dass die unternehmerischen Voraussetzungen bei Kleinbetrieben anders aussehen als bei großen Konzernen. Statt gewisse Forderungen von Umsatzgrößen, Datenmengen oder anderen Parameter abhängig zu machen, werden alle über einen Kamm geschert.

Wer profitiert davon?

  • Die Großen. (Ähnliche Gedanken habe ich vor ein paar Jahren in einem ganz anderen Zusammenhang schon einmal formuliert, siehe Alle Macht den Großen.)
  • Juristen, Rechtsanwälte etc.

Viele Regeln sind praxisfern

Allein die Länge des DSVGO (hier nachzulesen) macht klar, dass es sich um ein Werk von Juristen für Juristen handelt. (OK, das haben Gesetzestexte so an sich …)

Mit der IT-Praxis ist dieser Text oft schwer vereinbar. Um ein Beispiel zu nennen: Gemäß $17 DSVGO gibt es das Recht auf Löschung personenbezogener Daten. Das ist je nach Kontext nachvollziehbar und auch durchführbar.

Aber anscheinend umfasst dieses Recht auch Backups (Quelle). Und hier endet die Durchführbarkeit. Es ist sicher möglich, aus einem Aktivsystem gewisse Datensätze zu löschen. Aber angenommen, es gibt tägliche Datenbank-Backups, wöchentliche Snapshots der virtuellen Maschine, auf dem der Datenbank-Server läuft etc. (Die DSVGO verlangt ja auch, dass alles technisch und menschlich Mögliche getan wird, um die Daten zu schützen …) Wie sollen personenbezogene Daten aus Backups entfernt werden? Das ist in der Praxis ganz einfach undenkbar.

Oder, um ein zweites Beispiel zu nennen: Newsletter und Werbe-Mails dürfen nur mit ausdrücklicher Einwilligung des Empfängers versendet werden (§6 DSVGO). An sich auch vernünftig, auch wenn der Einwilligungsformalismus und die Nachweispflichten viel zu weit gehen. Sicher nicht an diese Regeln halten werden sich die, die das E-Mail-System schon jetzt missbrauchen und unsere Postfächer mit Spam für Viagra, kostenlosen Bitcoins und anderem Unfug zumüllen. Die Angst vor Spam wird dazu führen, dass die meisten Anwender die freundliche Anfrage, ob weiterhin ein wöchentlicher Newsletter versendet werden darf, ganz einfach ignorieren (wenn die Mail nicht sowieso im Junk-Ordner landet). Oder, hart formuliert: Wer sich an die Regeln hält, hat beim E-Mail-Marketing von vorne herein verloren.

Regulierungswut

Ich bin von den Ideen der EU, von den Grundwerten Europas zutiefst überzeugt. Aber ist es wirklich unmöglich, an sich sinnvolle Ziele (den Datenschutz) in praxisnahen, kompakten, verständlichen Gesetzen zu formulieren?

Der unmittelbare »Nutzen«, den die DSVGO aktuell bringt, besteht darin, dass Millionen von Websites durch eine Datenschutzerklärung ergänzt werden. Keiner wird sich dafür interessieren, keiner wird sie lesen, und es ist befürchten, dass selbst die meisten Betreiber von Websites nicht verstehen, was nun eigentlich in ihrer Datenschutzerklärung steht. Wird das Internet dadurch sicherer?

9 Gedanken zu „Kommentar zur DSVGO“

  1. In deiner eigenen Quelle wird doch ausgeführt, wie DSGVO konforme Backupsysteme erstellt werden können. Auch wären für die Zukunft auch andere Lösungen wie inkrementelle Backups auf Dateiebene und die automatische Löschung dieser einzelnen Dateien mit Löschung der aktiven Nutzerdaten (womöglich nach einer Frist) denkbar.

    Auch die anderen Schlussfolgerungen, dass dies nur den Großen nutzt, finde ich nicht schlüssig. Entweder man betreibt Datenschutz oder nicht. Wenn manche Betriebe weniger Datenschutz als andere betreiben müssen, kann man es auch gleich lassen.

    Was eher zu bemängeln ist, ist dass kaum einer nach der Verabschiedung der Verordnung darauf hingewiesen hat. Die Übergangszeit war ja lang genug. Nur scheint kein Schwein etwas davon gehört zu haben bis 6 Monate vor dem Inkrafttreten.

    Nach einer mittelfristig langen Umstellungszeit werden alle damit klar kommen und die DSGVO ist Alltag. Ich glaube, aus Dir spricht gerade der Frust. Deshalb ist auch gerade alles scheisse. ;-)

    1. sgo, hast Du von allen gespeicherten Kontakten, egal wo und wie, die Einwilligung? Alle Daten, die einen Menschen identifizieren oder identifizierbar machen fallen unter die DSGVO. Ja, es sollten die Großen getroffen werden, bloß die können sich auch teure Spezialisten leisten, viele andere eben nicht.
      Das Schlimmste, z.T. haben die Datenschützer der Länder unterschiedliche Auffassungen zu bestimmten Sachverhalten. In Hessen ist Wartung Auftragsverarbeitung, im Land Brandenburg nicht. Die DSK hat mit ihrem letzten Positionspapier den Abmahnern Tür und Tor geöffnet usw.
      Außerdem wird allgemein in Deutschland die irrige Auffassung vertreten – Datenschutz schützt Daten – NEIN! Datenschutz soll Menschen schützen. Da ich eine Masse Datenübermittlungsverordnungen kenne, der Staat liest durch unzählige Ausnahmevorschriften überall mit. Die DSGVO hat heute bereits ein großes Loch durch den Cloud Act.

      1. Von allen privaten Kontakten, meinst du? Dann lies die DSGVO nochmal ;-) Und selbst wenn, in dem Moment, in welchem mir jemand seine E-Mail Adresse oder Telefonnummer gibt, willigt er ja ein, dass ich diese speichere. Gut, er könnte annehmen, dass ich mir das alles merke… Aber wegen sowas würde man kaum verklagt (zumal der Geltungsbereich hier mehr als fraglich ist, siehe oben).

        Die DSGVO gibt den Bürgern erstmals EU und teilweise Weltweit einen einheitlichen Anspruch auf ihre Daten. Diese dürfen eingesehen, geändert und gelöscht werden und nur mit deren Zustimmung erfasst, verarbeitet und weitergegeben werden. Das könnte man schon fast als ein (digitales) Grundrecht bezeichnen, was damit durchgesetzt wurde. Dass das jetzt Anfangs Probleme für den ein oder anderen verursacht ist mir bewusst. Vor allem, da vom Staat und den Medien so spät darauf hingewiesen und aufgeklärt wurde. Obwohl das Teil schon vor 2 Jahren verabschiedet wurde.

        Kleinere Unternehmen können sich doch zB. hier informieren: https://www.lda.bayern.de/de/kleine-unternehmen.html und Positionspapiere sind genau das – sie zeigen eine Einschätzung eines Landes. Wenn ein Land die DSGVO „Großzügig“ auslegt, kann das vor Gericht angefochten werden. Leider – und das wäre wirklich ein Kritikpunkt – kann jedes EU Land selbst festlegen, wie die Strafen bei Vergehen der öffentlichen Ämter ausfallen sollen. Im schlimmste Fall passiert da nämlich nichts.

        Was willst Du im Übrigen jetzt bitte mit dem Cloud Act? Der Betrifft nur US Bürger, genauso, wie die DSGVO/GDPR nur EU Bürger betrifft… So gut scheinst Du die Verordnungen nicht zu kennen. Gerade durch die DSGVO wird es sich eine US Firma 3 mal überlegen, einen Datensatz ungeprüft weiter zu geben. Könnte leicht teuer werden, auch wenn der Empfänger die US Regierung ist.

        Übrigens: Indem der Datenschutz Daten schützt, schützt er Menschen. Wie bitte soll Datenschutz Menschen schützen, ohne deren Daten zu schützen? amKopfkratz

        1. Nur mal nebenbei, ich bin Datenschutzbeauftragter in einer IT_Firma und befasse mich schon seit Anfang 2017 mit der Umsetzung der DSGVO. Damals noch bei einem anderen Arbeitgeber.

          „… in dem Moment, in welchem mir jemand seine E-Mail Adresse oder Telefonnummer gibt, willigt er ja ein, dass ich diese speichere. …“ Wenn es denn so einfach wäre. Du musst demjenigen erklären, was Du mit den Daten anstellst – speichern ist bereits eine Verarbeitungstätigkeit.
          Věra Jourová (zuständige EU-Kommissarin): „Ich kenne mich auch nicht mit Technik aus, meine Kinder lachen mich deswegen sogar aus. Ich versichere Ihnen aber, dass selbst ich die Regeln der DSGVO umsetzen kann. “ und weiter „Wenn Ihnen jemand eine E-Mail schreibt und Ihnen zugesteht, dass Sie seine Daten verwenden dürfen, dann ist doch klar, dass er Ihnen eine Einwilligung erteilt.“
          Einfach dahingeredet, – und Ihnen zugesteht… – die Willenserklärung muss klar sein.

          Ich habe nichts gegen den Datenschutz und die Panikmache der vergangenen Woche hat viel Unruhe gestiftet und Unwahrheiten verbreitet. Das Leben wird uns Antworten geben.

          „In Brüssel wird es erdacht, in Deutschland gemacht und anderswo gelacht.“ (Eric Schweitzer, Präsident des DIHK)

        2. Hallo sgo, ich betreue einige kleine Webseiten und gebe Kurse zum Erstellen von Webseiten für Vereine und kleine Betriebe mit einem Baukastensystem. Nachdem ich nun heute stundenlang versucht habe, einige halbwegs umsetzbare Tipps für meine Schüler und mich zusammenzustellen, damit die neue DSGVO halbwegs wirtschaftlich umgesetzt werden kann, bin ich nur noch entsetzt und erbost.

          Über Ihren oben aufgeführten Link https://www.lda.bayern.de/de/kleine-unternehmen.html habe ich mir Hilfe versprochen. Aber rufen Sie dies doch selber mal auf. Sie gelangen in verschiedenen Schritten zu unzähligen Dokumenten, die Sie lesen, teils ausfüllen und befolgen müssen. Wer kommt für die Stunden auf, die man damit verbringen muss? Haben Sie das selbst schon mal machen müssen? Und hier wird ja nur der „vereinfachten Regelfall“ angenommen. Eine Anleitung für eine rechtssichere Datenschutzerklärung für eine Website finde ich dort gar nicht.
          Meiner Ansicht nach ist die DSGVO für eine kleine Webseite ohne Anwalt nicht rechtssicher umsetzbar. Können Sie sich vorstellen, was das kostet? Für viele kleine Firmen rechnet sich der Aufwand einfach nicht!

          Was soll ich den Leuten denn nun sagen. Lasst es bleiben, damit Euch niemand abmahnt? Macht lieber auf Arbeitslos, dann habt Ihr es ruhig und sicher? Wählt die AFD? Keine Ahnung. Es ist unfassbar. Kürzlich habe ich mal gelesen, dass ein Staat verschiedene Stadien durchlebt. Das vorletzte Stadium vor dem Untergang ist überbordende Bürokratie …
          Meine letzte Sätze können Sie sicherlich als unsachlich angreifen. Aber ich möchte, dass Sie meinen Ärger annähernd erahnen können. Ich will auch Datenschutz – für mich und für andere – aber dies ist nur noch monströs. Das muss anders und praktikabel geregelt werden.

          Wenn Sie mich eines Besseren belehren möchten, dann gebe ich Ihnen gerne die Adresse einer Website, die ich betreue. Dann zeigen Sie mir, wie ich die Datenschutzregeln hier schnell und korrekt umsetzen kann.
          Hierfür wäre ich Ihnen wirklich von Herzen dankbar.

  2. Kann die Ausführungen von Michael Kofler gut nachvollziehen und sehe es genau so. Aber eins sollte noch ergänzt werden. Die DSGVO konsequent umgesetzt bedeutet das aus von Windows. Denn wer kann für die auf einem Windows-Rechner verarbeitete Daten garantieren, dass sie nur für die vorgesehenen Zwecke verwendet werden. Jeder der sich für die DSGVO verantwortlich zeichnet sollte sich darüber mal Gedanken machen!

    1. Interessante Sichtweise. Da würde mir die DSVGO gleich sympathischer werden, aber ich bezweifle natürlich, dass es soweit kommt :-)

    2. Ehm… Muss man nicht verstehen, oder?

      Solange alle Geräte auf dem neuesten technischen Stand sind (das beinhaltet Software und Betriebssysteme) und man als Firma alles in seiner Macht mögliche getan hat die Userdaten zu schützen sowie binnen 48h (könnten auch 24h gewesen sein) einen erkannten Verstoß gegen die DSGVO (also auch Datenleaks, Hacks, …) meldet, kann nicht verlangt werden. Die DSGVO rechnet also auch ein, dass wir alle nur Menschen sind und Fehler machen können. Dann sollen wir diese aber auch allen Betroffenen mitteilen und den Fehler schnellstmöglich beheben. Damit kann man eben nicht mehr erst nach Monaten kommen mit: „hust vor ca. einem halben Jahr wurden unsere Server gehacked und Userdaten mitsamt Passwörtern entwendet hust.

      Ehrlich, bitte nicht nur in den Kommentarspalten und allen reißerischen Blog- und Zeitungsartikeln über die DSGVO informieren! Das hilft ungemein, der ganzen Hysterie vorzubeugen… ;-)

  3. Wenn Daten das neue Öl sind,
    dann ist Datenschutz,
    der neue Umweltschutz.

    Zitat aus: Im Rausch der Daten; ARD

    Es war lange, sehr lange überfällig! Nun ist es passiert.
    Vielleicht ist die Aufregung über zu viel Gestzestext und dem daraus resultierenden Aufwand im Moment berechtigt und sicher gibt es auch gute Einwände gegen die DSVGO. Aber aus meiner Sicht ist es wichtiger das Nutzer- bzw. Verbraucher, jetzt endlich zum ersten Mal die echte Chance haben, sich zu verweigern und wenn notwendig auch sich wehren zu können, gegen den Missbrauch ihrer Daten. Schon allein aus diesen Grund begrüße ich das neue Gesetz. Sicher wird es in den nächsten Jahren optimiert werden müssen und damit auch näher an die Praxis geführt, aber der Anfang ist gemacht und ich hoffe das, dass Gesetz mit seinen gut gemeinten Ideen und Idealen zu seiner Bestimmung findet und uns endlich vor all diesen Datensammlern schützt. Egal ob „groß oder klein“, Missbrauch macht da keinen Unterschied!

Kommentare sind geschlossen.