Vielleicht erinnert ihr euch noch: am 25.05.2018 trat die europäische Datenschutz-Grundverordnung in Kraft, die DSGVO. Fünf Buchstaben, die damals und heute noch Verwirrung stiften. Nun ist die Verordnung seit zwei Jahren in Kraft – Zeit für einen Rückblick.

Ich darf mich inzwischen auch beruflich mit Datenschutz beschäftigen. Ich bin derzeit betrieblicher Datenschutzbeauftragter und entsprechend nach TÜV-Nord zertifiziert. Im beruflichen Kontext beschäftige ich mich vor allem mit Auftragsdatenverarbeitungen und darf gewissermaßen die Kolleginnen und Kollegen auf einen sensiblen Umgang mit den Daten hinweisen. Doch um diesen Teil geht es heute weniger, viel mehr um den politischen und gesellschaftlichen Teil.

Datenschutz wird leider viel zu oft nur als “Spaßbremse” verstanden. Viele Menschen verbinden ihn vor allem mit dem leidigen Wegklicken irgendwelcher Cookie-Hinweise beim Betreten neuer Webseiten. Damit die Seite irgendwie funktioniert. Leider wird viel zu wenig auch die Chance für langanhaltenden Spaß verstanden. Oftmals wird diesen Regelungen eine aufbürdende Bürokratie nachgesagt – und regelmäßig lese ich Forderungen zur Abschwächung der Datenschutz-Anforderungen. So erst kürzlich wegen der Corona-Krise.

Einen Kritikpunkt, den ich 2018 ungemein teilte: Wir haben eine neue europäische Rechtsgrundlage – und es bestand sowohl in den Firmen als auch in der Bevölkerung enorm viel Unsicherheit, gerade auch vor windingen Anwälten. Und unsere Bundesregierung sah sich damals nicht in der Lage, sich diesen Problemen zu widmen. Andererseits taten viele Akteure so, als müssten sie durch die DSGVO plötzlich Dinge tun (z. B. Einwilligungen einholen) – und übersahen, dass sie dazu auch schon nach dem alten Bundesdatenschutzgesetz verpflichtet waren. Das meiste ist nicht neu gewesen, es wurde nur EU-weit einheitlich.

Die Präambel

Aus Artikel 1 Abs. 1 DSGVO wird der Zweck festgelegt:

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Das Normenwerk zum Schutz der personenbezogenen Daten sieht als einen von zwei Zielen “den freien Verkehr von personenbezogenen Daten” vor. Das gab es im früheren Bundesdatenschutzgesetz noch nicht. Es ist nicht mal falsch, im Gegenteil: ehrlich. Nur dieser Punkt ist in vielen Köpfen bisher nicht angekommen.

Wir haben eine europäische Verordnung – und wir müssen bei Grenzübertritt uns nicht mehr Gedanken machen, ob wir für das Zielland noch etwas zu beachten müssen. Mehr noch: da es nun ein einheitliches europäisches Regelwerk gibt, macht sich nun der Rest der Welt Gedanken, wie sie daran andocken. Und so schlossen sich bisher folgende Staaten an: Andorra, Argentinien, Kanada (eingeschränkt), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und die USA (eingeschränkt). Und es werden künftig noch mehr.

Mitteilungspflichten

Zu den in meinen Augen etwas am Ziel vorbeigehenden Punkten ist für mich die Informationspflicht, wenn ich die Daten beim Betroffenen direkt erhebe – nach Artikel 13 Abs. 1:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (..)

und dann folgt eine Liste mit Dingen, die kund zu machen sind. Der Verantwortliche, der Datenschutzbeauftragte, der Zweck, weitere Empfänger etc. Dazu gibt es nur eine Ausnahme in Artikel 13 Abs. 4:

Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Die Krux dieses Artikels ist die Frage, wann man davon ausgehen kann, dass der Betroffene von der Erhebung all dieser Daten Kenntnis erlangt hat. Bei einem schriftlichen Formular kann ich dies einfach ins Kleingedruckte packen – dann habe ich auch gleich den Nachweis bei der Hand. Doch es gibt viele Fälle, wo das kaum möglich oder praktikabel ist.

Nehmen wir einen Anruf bei einem Arzt mit dem Zweck der Terminabstimmung: die Sprechstundenhilfe erhebt meinen Namen, um diesen in den Terminkalender einzutragen. Der Zweck mag in dem Falle einleuchtend sein. Aber kenne ich bereits den Verantwortlichen? Kenne ich den Datenschutzbeauftragten (auch wenn mich das in diesem Moment gar nicht interessiert, ich habe Aua und will Termin)? Pragmatisch wäre, einfach zu fragen, ob ich diese Informationen schon habe. Gefragt wurde ich noch nie.

Beim Besuch einer Webseite wird, noch ehe ich etwas tun kann, mindestens meine IP-Adresse erhoben, damit ich eine Seite angezeigt bekomme. Zwar blendet man danach gerne diese Datenschutzhinweise ein, doch das erfüllt dann nicht mehr den Wortlaut der Verordnung.

Und um die Realitätsnähe völlig ad absurdum zu führen: ein Verkehrsblitzer. Der Zweck der Verarbeitung ist auch nach der DSGVO völlig legitim (zudem auch nochmal legitimiert über das Bundesdatenschutzgesetz), aber gemäß DSGVO hat die Polizei als verantwortliche Stelle mir diese Erhebung unmittelbar mitzuteilen. Nicht erst zwei Wochen später, wenn der Bescheid schon fertig verarbeitet ist.

Auskunftsrechte

Nach Artikel 15 genießen wir alle Auskunftsrechte, um zu erfahren, welche Daten jemand zu welchem Zweck über uns speichert:

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: [..]

Soweit die Theorie. Praktisch kann man mit diesem Auskunftsrecht eine Firma oder eine Verwaltung auch lahm legen. Zumindest wenn sie dieses Recht ernst nimmt – und das ist zugegebenermaßen auch meine größte Sorge dieser Regelung.

Vom Hamburger Blogger Street Dogg, der diese Regelung einmal kritisch auseinander genommen hat:

Wir haben als IT (und noch viel mehr unsere verantwortlichen Chefs) in vielen Fällen keine Ahnung, welche Daten irgendwo gespeichert sind, oder wofür die sind, ob die aktuell sind, ob die noch jemand braucht, oder z.B. auch wo die Daten herkommen.

Diese Sorge ist verständlich, doch dafür kann die DSGVO nichts. Auch wenn es illusorisch klingen mag, man könnte die DSGVO auch als Chance sehen, auszumisten. Alte Dateiserver und -ablagen auch mal abschalten. Denn jedes System will irgendwo noch gewartet werden.

Wenn alles in Dokumentenmanagementsystemen liegt (am besten auch gleich die E-Mails und externe Kommunikation automatisch dahin synchronisiert wird), würde sich dann ein Auskunftsersuchen auf eine Abfrage reduzieren. In der Theorie. Solange der Name eindeutig ist. Doch der Herr Müller mit einem gebräuchlichen Vornamen würde da schon mehr Probleme bereiten, insbesondere dann wenn im Kunden- oder Mitarbeiterstamm Dubletten existieren. Oder Müller auch mal als Mueller geschrieben wurde. Oder als Mühler. Oder so wie ich, wo es zwei Ortsnamen gibt.

Die wohl größere Krux steckt in Absatz 4:

Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Natürlich darf ich nur die Daten über mich selbst ausgehändigt bekommen – soweit völlig klar. Doch was ist, wenn diese Daten in Kombination bestehen. Beispielsweise ein Dokument, in dem mehrere Namen vorkommen.

Das Auskunftsrecht gilt nur gegenüber dem Verantwortlichen – und der ist in den Begriffsbestimmungen (Artikel 4) erklärt: es ist nur der, der die Daten erhebt. Nicht der, der sie im Auftrag eines anderen (weisungsgebunden) verarbeitet (das ist der Auftrags(daten)verarbeiter).

Im beruflichen Kontext habe ich mit Daten von kommunalen Mandatsträgern zu tun. Irgendeine Kommune erfasst diese Daten also, wir sind der Auftragsdatenverarbeiter. Der Mandatsträger hat nun keinerlei Anspruch gegenüber der Firma, er müsste sich dann an die jeweilige Stadtverwaltung wenden (und die fragen dann im Zweifel uns, wenn sie dabei Hilfe brauchen).

Und damit ist die Idee des Auskunftsrechts auch ein Stück weit ad absurdum geführt worden: Du liest bspw. in der Presse von einer Datenpanne und willst in Erfahrung bringen, ob diese Firma dich überhaupt betrifft. Denn in der Regel weißt du nicht, welche Daten bei welcher Firma auftragsgebunden verarbeitet werden (Du kannst den Verantwortlichen natürlich fragen). Und solche Anfragen muss man dann eben abblocken, wenn man eben nicht der Verantwortliche im Sinne der DSGVO ist.

Natürlich ist es verständlich und richtig, die Last dieses Auskunftsrechts bei der Stelle zu sehen, die eben diese Daten erhebt und verarbeitet. Denn als (Auftragsdaten-)Verarbeiter muss ich nicht zwingend wissen, was der Kunde auf den Servern tut. Mitunter ist das sogar nur eine Blackbox. Und selbst wenn: Ich müsste auch die Rechtsgrundlagen kennen, auf denen diese Daten erhoben werden (In meinem Beispiel kommt hier Landesrecht – und teilweise Kommunalrecht zum Einsatz). In soweit wäre – aus Sicht der Betroffenen – ein Auskunftsrecht sicherlich wünschenswert, dass ein Auftragsdatenverarbeiter zumindest die Frage des Ob zu beantworten hat, gefolgt von der Benennung der verantwortlichen Stelle.

Denn was ist, wenn dieser Verantwortliche gar nicht mehr greifbar ist?

Diese Überlegungen ziehen sich dann durch die weiteren Betroffenenrechte (Recht auf Korrektur, Recht auf Löschung, etc.).

Öffentliche Daten

Das alte Bundesdatenschutzgesetz sprach an einigen Stellen von “offenkundig öffentlich” – und erlaubte dann die Verarbeitung solcher Daten. Die DSGVO sieht zwar in Artikel 6 die Rechtmäßigkeit der Verarbeitung vor, wenn “die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde”. Nun reden wir in meinem beruflichen Kontext oftmals über Daten, die ohnehin schon öffentlich sind: um Personen, die in ein politisches Gremium gewählt worden sind. Sprich: die Namen und einige weitere Angaben (z.B. ausgeübter Beruf, Zuordnung zu einem Wahlvorschlag einer Partei oder Wählervereinigung) standen dazu bereits auf einem Wahlzettel. Die Adressen dieser Personen wurden sogar im Amtsblatt abgedruckt (auch wenn diese Vorgehensweise selbst nicht unumstritten ist).

Mit anderen Worten: es ergibt keinen Sinn, diese Daten noch zu schützen. Die Kommune hat hier für die Erledigung ihrer Aufgaben kein Problem (im Sinne des oben zitierten Abschnittes: sie ist erforderlich). Wohl aber Dritte, die gerne über die politische Zusammensetzung der Kommune berichten will.

Das Konstrukt trifft beispielsweise auch auf Handelsregistereinträge zu. Ich zitiere noch mal Street Dogg

Viele [Dokumente] haben Fußzeilen, mit Firmeninformationen, inkl. den Namen der Vorstände und Aufsichtsräte (was für Geschäftsbriefe aller Art gesetzlich vorgeschrieben ist).

Auch für solche Informationen wäre es sinnvoll, diese gar nicht erst durch die DSGVO zu schützen zu wollen (und sie gleich als Daten juristischer Personen zu verstehen). Das betrifft beispielsweise auch meine Rolle als betrieblicher Datenschutzbeauftragter. Als solcher müsste ich ja jedesmal genannt werden, wenn nach dem oben erwähnten Artikel 13 Daten erhoben werden. Also jedesmal, wenn jemand bei uns in der Firma anruft, bei dem noch nicht gewiss ist, dass er meinen Namen kennt. Und wenn ich dann fleißig trollen will, nehme ich mein Auskunftsrecht nach Artikel 15 wahr.

Conclusio

Ich stehe zu Europäischen Ideen – und auch die Idee einer einheitlichen europäischen Regelung. Nichts desto trotz gibt es einige Punkte, die etwas über das Ziel hinaus schossen. Und die sollte man auch so benennen. Wenig halte ich dagegen vom ständigen Lamentieren zur Lockerung der Regelungen.