top of page

Störfaktor Datenschutz?

Datenschutz ist eine Innovationsbremse, ist überholt, nicht praxisnah und nervt. Außerdem hat man auch nichts zu verbergen, oder? Zumindest wird es oftmals so empfunden - aber was regelt der Datenschutz?


Datenschutz ist viel umfangreicher als nur die nervigen Cookie-Banner auf allen Internetseiten. Natürlich trifft dies teilweise zu, möglicherweise ist dies aber auch einer zum Teil falschen Wahrnehmung geschuldet, denn nicht selten werden damit nur lästige Cookie-Banner assoziiert, die es schnellstmöglich wegzuklicken gilt.


Datenschutz ist aber Grundrechtsschutz (Recht auf informationelle Selbstbestimmung) und schützt die Daten selbst nur indirekt. Vielmehr wird die Menschenwürde und Privatsphäre der Bürger hinter den Daten geschützt und ist insoweit der rechtsstaatliche Vertrauensanker in Zeiten der Digitalisierung.


Gut umgesetzt und fest in Prozesse eingebettet, agieren datenschutzrechtliche Vorgaben weitgehend im Hintergrund und außerhalb der Wahrnehmung. Es ist eine festimplantierte Schutzvorkehrung im Alltag, ähnlich wie ein Airbag.


Wichtiges Instrument – Beschwerde bei einer Aufsichtsbehörde

Das Betroffenenrecht der Beschwerde bei einer Aufsichtsbehörde stellt seit der Einführung der DSGVO ein wichtiges Instrument dar. Auch die jährlich veröffentlichten Tätigkeitsberichte der Aufsichtsbehörden geben einen guten Einblick in dessen, was im Großen wie im Kleinen in der Wirtschafts- und Arbeitswelt passiert. Wir geben einige Beispiele:


Überwachung von Mitarbeitern im Homeoffice durch Softwareanwendungen

Der Einsatz solcher Anwendungen ist zwar technisch unproblematisch. Jedoch aus Sicht des Datenschutzes in der Regel unzulässig. Entsprechende Beschwerden von Beschäftigten haben beispielsweise die Hessische Aufsichtsbehörde erreicht. Dort wird beschrieben, wie z. B. systematisch bei den Mitarbeitern Log-In, Tastaturanschläge oder die Dauer der aktiv benutzten Anwendungen erfasst werden. Auch bei Diensthandys werden gerne GPS-Positionen und Bewegungsdaten erfasst und ausgewertet. Somit können sich anhand dieser modernen Anwendungen Unternehmen einen direkten Überblick über die Leistungs- und Verhaltensdaten der Beschäftigten verschaffen, ohne dass diese sich tatsächlich innerhalb der Geschäftsräume befinden.


GPS-Überwachung von Dienstfahrzeugen (und somit auch von Beschäftigten)

Auch werden immer mehr Dienstfahrzeuge und somit Beschäftigte rechtswidrig mit GPS-Ortung überwacht und dies meist über die Grenzen der unternehmerischen Freiheit hinaus. Teilweise auch ganz ohne Wissen der Beschäftigten. Als Zwecke der Überwachung werden häufig die Tourenplanung, präventiver Diebstahlschutz für die eingesetzten Dienstfahrzeuge oder der Nachweis für geleistete Tätigkeiten gegenüber Vertragspartnern genannt oder vorgeschoben. Bei genauerer Betrachtung lassen sich genannte Zwecke jedoch gar nicht mit der Überwachung erfüllen bzw. sind dafür sogar teilweise ungeeignet.


Videoüberwachung im Fitnessstudio

Immer wieder kommt es zu Beschwerden durch den Einsatz von Videokameras in Fitnessstudios und dadurch zu Verfahren bei den Aufsichtsbehörden. Eine Überwachung wird von den Studios als notwendig empfunden, jedoch überwachen die Videokameras häufig die gesamte Trainingsfläche oder gar die Umkleidebereiche. Teilweise erfolgt dies auch ohne Kennzeichnung der Überwachungsbereiche.


Zu schwache technisch-organisatorische Maßnahmen begünstigen Datendiebstahl

Leider stellen auch Hackerangriffe keine Ausnahme mehr dar. Den Schutz der Kunden- wie auch Beschäftigtendaten zu gewährleisten, regeln dabei die Vorgaben zu den technischen und organisatorischen Maßnahmen der DSGVO. Diese sollten für die jeweilige Verarbeitung angemessen und dem Stand der Technik entsprechen, oftmals wird dies aber nicht als notwendig beachtet. Diese Unachtsamkeit kann weitreichende Folgen für Unternehmen haben. Bei einer Behörde wurden zuerst eine Vielzahl von Kunden- und Beschäftigtendaten gestohlen und anschließend wurde versucht das Unternehmen mit diesen Daten zu erpressen. Als dies nicht mit Erfolg gekürt war, erhielten die betroffenen Kunden und Mitarbeiter Schriftstücke, dass das Unternehmen nicht kooperativ ist und die Hacker viele Daten abgreifen konnten, darunter z. B. auch Bankdaten. Als dies auch nicht den gewünschten Erfolg brachte, wurden die Daten im Darknet zum Verkauf angeboten. Die Ermittlungen der Aufsichtsbehörde offenbarten, dass der erfolgreiche Angriff bereits vor Monaten erfolgte und auf eine Vielzahl von datenschutzrechtlichen Defiziten, somit auf kein angemessenes Schutzniveau, zurückzuführen war.


Im Tagesgeschäft verdient man mit Datenschutz kein Geld – aber eigentlich spart man es sogar noch ein

Um den umfänglichen datenschutzrechtlichen Anforderungen gerecht zu werden, benötigt man natürlich zuerst Ressourcen, diese müssen entweder intern geschaffen oder durch externe Dienstleister hinzugezogen werden. Ein direkter positiver und wirtschaftlicher Effekt springt zwar allein durch den Datenschutz zuerst einmal nicht für das Unternehmen dabei heraus und auch eine genaue bezifferbare Einsparung ist auch nur schwer möglich, aber mögliche Bußgelder von Aufsichtsbehörden werden eingespart. Auch durch zu nachlässiger Handhabung des Datenschutzes könnten Imageschäden eintreten, welche sich nicht mehr mit Geld aufwiegen lassen. Daraus könnten sogar existenzielle wirtschaftliche Schäden resultieren.


Datenschutz ändert sich dauernd

Natürlich wurden die Datenschutzgesetze innerhalb der vergangenen Jahre häufig angepasst und auch mit jeder Gesetzesnovelle erheblich verschärft und verkompliziert. Vor allem traf dies die Unternehmen in den Bereichen der Werbung, des Arbeitnehmerdatenschutz, der Meldung von Datenschutzpannen und ihrer Bußgelder, somit sind eine Vielzahl von Verarbeitungen im täglichen Arbeitsalltag betroffen. Dabei muss man jedoch auch beachten, dass z. B. die ursprüngliche Fassung des Bundesdatenschutzgesetzes von 1977 in Kraft getreten ist. Was wären hier für Maßstäbe gesetzt, wenn sich das Gesetz zwischenzeitlich nicht angepasst hätte? Sonst hätte in den vergangenen Jahren der technische Fortschritt nicht mit einbezogen werden können. Je aktueller und präziser die Gesetzeslage ist, desto leichter ist die Handhabung durch die Beteiligten, da so weniger Raum für Interpretationen bleibt.


Datenschutz ist sperrig und unverständlich

Es ist ein offenes Geheimnis und wohl die Größte Lüge des Internets: „Ja, ich habe die AGB gelesen und bin einverstanden.“ Auch AGB enthalten in der Regel einige datenschutzrechtliche Bestandteile, aber diese Dokumente sind oftmals lang und unverständlich formuliert, so dass sie eigentlich niemand liest. Ein sehr passendes Beispiel sind die AGBs von Paypal, diese umfassen etwa 33.500 Worte. Das ist somit länger als das Werk „Hamlet“ von Shakespeare. Laut einer Studie bräuchte man 76 Tage pro Jahr, um alle AGB zu lesen, die uns im Alltag begegnen ...

In den seltensten Fällen wird der normale Bürger die Gesetze, wie z. B. BGB, StGB oder die Straßenverkehrsordnung mal vollständig gelesen haben, ohne dass dies wirklich schädlich ist. Sollten überraschende Klauseln in AGBs enthalten sein, die für den Verbraucher schädlich sind, gelten diese Abschnitte schlicht nicht. Dem Betroffenen soll aber wenigstens die Möglichkeit gegeben werden, sich zu informieren und wenn nun mal umfassende Datenerhebungen stattfinden, hat das Informationsschreiben hierzu nun mal auch eine gewisse Länge.


Datenschutz nervt

Vielleicht. Sicherlich könnte man bestimmte Vorgaben überarbeiten und ggf. entschlacken. Oftmals wird der Datenschutz aber nur als Sündenbock genannt und dient der Ablenkung von vorhandenen Defiziten. Vielmehr sollte Datenschutz nicht nur als Produkt, sondern als Prozess gesehen werden. Auch die weiteren Schutzvorschriften, wie beispielsweise Brandschutz oder Arbeitssicherheit, können nicht gänzlich ohne Geld und Aufwand umgesetzt werden. Am Ende jedoch profitieren davon aber Kunden, Arbeitnehmer und natürlich auch Arbeitgeber.

Beruflich wie privat fällt der Datenschutz doch meist nur dann auf und wird als störend wahrgenommen, wenn er seitens der Verantwortlichen falsch oder gar nicht umgesetzt wurde - eben wie auch viele Cookie- Banner.


Zunahme Digitalisierung

Das Problem wird eher die Digitalisierung sowohl im beruflichen als auch im privaten Lebenskreis sein. Die digitalen Überwachungsmöglichkeiten mit den Videokameras mit Gesichtserkennungssoftware, Drohnen, GPS-Ortung, Online-Tracking, personalisierter Werbung, Smart TVs und Spracherkennung, nehmen immer weiter zu. Hier sollte ein vernünftiger Regelungsrahmen getroffen werden, daher werden uns wohl auch zukünftig Gesetzesanpassungen erwarten.


Sind aber Gesetze die Lösung?

Vieles lässt sich nicht einfach anhand von Gesetzen abbilden, aber auch Modelle mit Selbstregulierung würden in diesem Bereich auch nicht so einfach funktionieren. Schließlich verdienen die Großkonzerne Millionen mit den Daten. Sie werden dann wohl keine Regelungen treffen, mit denen sie dann weniger Gewinn machen. Vorstellbar könnten aber statt drohenden Bußgeldern Modelle mit wirtschaftlichen Anreizen wie z. B. steuerlichen Entlastungen sein, damit könnte mehr Akzeptanz für den Datenschutz erzeugt werden. Es stellt sich hierbei dann nur die Frage, was letztlich überwiegt: datenschutzkonformes Handeln des Unternehmens mit wirtschaftlichen Anreizen oder datenschutz-unfreundliches Handeln mit mehr Gewinn?

Denkbar könnten auch die vielfach diskutierten Maßnahmen, von kostenlosen und kostenpflichtigen Modellen sein, wobei letztere höheren Datenschutzanforderungen gerecht werden. Dabei ist dann aber das Problem, ob der Schutz der eigenen Daten und so gewisser Weise auch das Persönlichkeitsrecht der Betroffenen an die wirtschaftliche Leistungsfähigkeit des Einzelnen gekoppelt werden sollte.


Aber die Cookie-Banner...

Vielleicht hilft es etwas zu verstehen, was es damit im Grunde auf sich hat. Manche Cookies sind technisch erforderlich, um bestimmte Grundfunktion einer Website zur Verfügung zu stellen. Andere werden jedoch dazu verwendet, Nutzerdaten zu erheben und damit Nutzerprofile anzulegen und oftmals (nicht selten ohne Kenntnis der Besucher) sollen diese Daten mittels Plug-ins auch noch an andere Unternehmen übermittelt werden. Dies aber birgt erhebliche Risiken für das Persönlichkeitsrecht der Nutzer.

Und hier kommen die DSGVO und das TTDSG ins Spiel. Denn Webtracking ist nicht neu. Neu ist insoweit aber, dass dies nicht mehr „einfach so im Hintergrund“ erfolgen darf, sondern nur mit Einwilligung der Websitebesucher. Um hierbei aber hohe Zustimmungsraten zu erhalten und weiterhin so viel wie möglich über die Besucher zu wissen, setzen nicht wenige Webseitenbetreiber bei der Ausgestaltung der Cookie- Banner psychologische Tricks ein, wie z. B. grüne Felder mit „allen Cookies zustimmen“.


Und nun?

Die Liste lässt sich sicherlich noch fortführen. Auch die datenschutzrechtlichen Vorschriften sind nicht immer einfach im Umgang und selbstverständlich kann sich auch nicht jeder für den Datenschutz begeistern bzw. dessen Notwendigkeit erkennen. Vielleicht ist auch dies eine Generationsfrage., warum sind damals die Menschen im Zusammenhang mit der Volkszählung sonst auf die Straße gegangen und haben lautstark protestiert und sich für ihre Rechte stark gemacht? Heute Hingegen lösen Enthüllungen von Whistleblowern kaum Reaktionen aus.

Denn die damalige Angst vor der Datensammelwut des Staates, steht der heutigen Bereitschaft der Menschen die eigenen Daten den Großkonzernen dieser Welt freiwillig zu übergeben, gegenüber. Die Sensibilität scheint verloren gegangen zu sein. Datenschutz ist eher nur ein wichtiger Begriff als tatsächliche eine wichtige Angelegenheit für die meisten.

Irgendeine Form der Regulierung muss und wird es wohl immer geben, wobei sich eine perfekte und praktikable Lösung für so ein komplexes System mit Sicherheit nicht finden lässt. Und das ist vielleicht das Einzige, was wirklich nervig ist.

Sollten Sie demnächst Ihren Sommerurlaub antreten, wünschen wir Ihnen eine schöne Zeit, erholen Sie sich gut.


Bei Fragen stehen wir Ihnen selbstverständlich weiterhin zur Verfügung.



Aktuelle Beiträge

Alle ansehen

Comments


bottom of page