Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO, Verordnung (EU) 2016/679) geltendes europäisches Recht und somit in Deutschland und Österreich zu erfüllen. Bis 2020 wird vermutlich in der Schweiz ein an die EU-Regelungen angepasstes Gesetz umgesetzt sein.
Die Monate vor dem Endtermin waren in Deutschland in den sozialen Medien der totale Wahnsinn. Von Abmahnungswellen war die Rede, Kindergartenfotografien wurden ausschließlich mit geschwärzten Gesichtern herausgegeben. Blogger, Fotografen und Vereine, die bereits überlegten, wo sie 20 Mio. Euro herbekommen, wenn sie einen Fehler bei der Umsetzung machen und vorsorglich ihre Webseiten oder Blogs geschlossen haben. Beratungsfirmen, die sämtliche Horrorgeschichten aufmalten, die sich zumindest einigermaßen nachvollziehbar aus der DSGVO ableiten ließen oder ausschließlich an den Haaren herbeigezogen wurden, um verängstigte Kunden zu gewinnen. Es soll außerdem Anwälte gegeben haben, die Tagessätze von 8.000 Euro aufgerufen haben, wenn sie Kunden vor dem 25.5.2018 beistehen.
In der Nacht zum 25.5.2018 haben viele Datenschützer und Anwälte ein ähnliches Chaos wie zum Jahrtausendwechsel 1999 – 2000 erwartet. Das Chaos blieb genauso wie damals aus.
Etwa ein dreiviertel Jahr nach dem Inkrafttreten der DSGVO wage ich einen Rückblick.
Einer der sicherlich schlimmsten Auswüchse der DSGVO ist ein Gerichtsurteil aus Österreich, das einer Wiener Wohnungsbaugesellschaft das Anbringen der Namen ihrer Mieter auf den Klingelschildern verbietet, weil ein Mieter geklagt hat (in den sozialen Medien als #Klingelgate ausgelacht).
Völliger Unsinn sagen beinahe sämtliche deutschen Datenschutzaufsichtsbehörden sowie Anwälte, da es sich hier um kein Dateisystem handelt und die DSGVO gar nicht zur Anwendung kommt.
In Arztpraxen wird teilweise noch angeraten, künftig nicht mehr den Namen des Patienten aufzurufen, stattdessen lieber mit einem Nummernsystem zu arbeiten und stattdessen die nächste (Patienten-)Nummer aufzurufen. Genauso hier: völliger Unsinn, erstens weil es nicht sozialadäquat wäre und das Risiko einer Verwechslung und somit drohenden Fehlbehandlung zu groß wäre.
Das sind ausschließlich einige Beispiele, die Liste könnte sicherlich noch einige Seiten in dieser Art weitergehen.
Was ist denn nun der Sinn der Datenschutzgrundverordnung (DSGVO)?
Eigentlich ist die DSGVO eine Umsetzung der EU-Grundrechte-Charta, die jedem europäischen Bürger das Recht auf Intimsphäre zugesteht. Die Verarbeitung seiner personenbezogenen Daten soll nach Treu und Glauben, also Vorhersehbarkeit, lediglich für vordefinierte Zwecke und mit seiner Einwilligung oder auf Grundlage einer erlaubten, gesetzlichen Grundlage, erfolgen.
Leider ist zu beobachten, dass sich nicht sämtliche Unternehmen und Dienstanbieter an diese Grundsätze der Verarbeitung von personenbezogenen Informationen halten. Mit Einführung der Datenschutzgrundverordnung wurden die Rechte der EU-Bürger gestärkt. Eine positive Tendenz der DSGVO ist, dass sich dieser Tage sämtliche Firmen im europäischen Wirtschaftsraum ernsthaft Gedanken machen sollen, warum sie personenbezogene Informationen verarbeiten (oder speichern) und ob es für die Verarbeitung überhaupt Zwecke sowie eine Rechtsgrundlage gibt. Diese müssen im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.
Alle Datenschutzbehörden sind sich einig, dass es besonders um die großen Unternehmen und geht, allerdings gleichwohl auch kleine Unternehmen überprüft werden sollen und hier das Bewusstsein für Datensicherheit geschärft werden soll. Aus diesem Grund ist die Empfehlung des „Ausschuss für Innere Angelegenheiten“ an den Bundesrat zur Anpassung des Datenschutzrechts, der u. a. enthält, dass ein Datenschutzbeauftragter nicht bereits für Firmen ab 10 Mitarbeitern, stattdessen erst ab 50 Mitarbeitern bestellt werden soll, nicht zu unterstützen.
Gerade weil kleine und mittelständische Unternehmen (KMU) jene externe Beratung zum Datenschutz brauchen. Denn Wissen im Datenschutz aktuell zu halten ist mit erheblichem Aufwand verbunden. Wie bei jeder klassischen make or buy-Entscheidung ist der externe Datenschutzbeauftragte günstiger.
Es ist nicht alles schlecht, was in der Datenschutzgrundverordnung gefordert wird, weil die Umsetzung mit Sensibilisierung zu tun hat – und diese wünschen wir uns doch im Umgang mit unseren Informationen.
#DSGVO #GDPR