Eine der wohl am häufigsten verwendeten Floskeln, die einem entgegen schallt, kommt man auf die Einhaltung von Prinzipien für den Datenschutz zu sprechen, lautet „Bei uns ist alles sicher – wir geben keine Daten weiter!“ Fast schon pistolenschussartig wird da der Schutz von Persönlichkeitsrechten mit dem Bewahren von Verschlusssachen assoziiert. Genauso häufig, wie man das hört oder liest, genauso falsch ist es.
Grund dafür ist vermutlich jener gedankliche Missgriff, der auch in der Presse immer wieder zu finden ist: Datenschutz ist gleich Verbot. Dabei geht es „uns Beschützern“ zunächst einmal um die Frage, ob Daten einen Personenbezug aufweisen – nicht mehr und nicht weniger. Denn dann müssen sie sich als unmittelbare Folge an die Rahmenbedingungen der DSGVO halten. Dieser Rahmen soll wiederum dafür sorgen, dass die Informationen sauber und gewissermaßen artgerecht verwendet werden – es ist nicht nötig, sofort alles „wegzusperren“.
Deswegen hält sich auch nach über zwei Jahren praktischer Erfahrung mit den geänderten europäischen Datenschutzregelungen in der Praxis wacker die Mär von den ach so harten „neuen“ Regeln, die einem ja – gerade als kleiner Mittelständler – das Leben so schwer machten. Dazu nur folgendes:
- Punkt 1: So neu sind die Regeln gar nicht. Gerade was Deutschland betrifft, kann man – selbst bei zurückhaltender Betrachtungsweise – seriös konstatieren, dass ungefähr 70-80 % des „Grundgerüsts“ im Datenschutz identisch ist mit dem, was vorher schon herrschte – die letzten knapp 20 Jahre – so viel zum Thema Neuheit.
- Punkt 2: Bereits kurze Zeit nach dem magischen Datum im Mai 2018, das uns allen den Start der DSGVO schenkte, fühlten sich einige der Aufsichtsbehörden in geradezu aufopfernder Weise und (leider) mit Recht dazu bemüßigt, einige der größten Irrtümer aus der Welt zu räumen. Vor allem rund um kleine Vereine, alteingesessene Handwerksbetriebe und junge Startups waren tiefe Sorgenfalten hervorgerufen worden angesichts des überbordenden Umfangs an Vorschriften. Demzufolge wurde – ebenso gebetsmühlenartig wie die digitalen Stammtische ihre Parolen schwangen – von Behörden-Seite konsequent darauf hingewiesen, dass es zahlreiche Ausnahmereglungen und just für eben die betroffenen Personengruppen gibt. Diese Erleichterungen (wie z.B. in Bezug auf die Benennung eines Datenschutzbeauftragten oder die Befreiung vom Erstellen eines Verarbeitungsverzeichnisses) waren aber allzu offensichtlich aus voller Inbrunst an Überzeugung ignoriert worden.
Gerne und immer wieder wird auch die Sau der Einwilligungsbedürftigkeit durchs innereuropäische Dorf getrieben. Ob analog oder digital – der große rauschende Blätterwald ist, war und wird sich immer einig sein: „Für jede Datennutzung [müsse] in der Regel eine Einwilligungserklärung eingeholt werden“ (vgl. hier).
Eigene Meinung oder eigene Realität?
So berichtete jüngst die Tagesschau über einen Handwerksbetrieb, der motiviert von – höchst lobenswerten – eigenen Interessen, seine Geschäftsprozesse datenschutzkonform aufzustellen, offenbar (zu) viel gutes Geld in den Wind schreiben musste. Als Beispiel wird die Fertigung eines Schranks herangezogen: So sei es ihm von Beratern untersagt worden, die Information, dass im Haus des Kunden eine enge Treppe den Transport des Möbelstücks im Ganzen unmöglich mache, an die Werkstatt weiterzureichen. Folglich musste er die Arbeit doppelt erledigen, weil – vor Ort die beengten Platzverhältnisse bemerkend – erst der Schrank wieder huckepack genommen und dann vor erneuter Anlieferung beim Kunden zerlegt werden durfte. Das Geld hätte er sich sparen können.
Oder besser noch: Der gute Handwerker hätte sich bei datenschutz nord melden sollen! Dann wäre ihm nämlich mitgeteilt worden, dass die gewünschte Weitergabe der betreffenden Daten sehr wohl zulässig sein kann. Denn sie ist – soweit eine Beurteilung aus der Ferne dies ermöglicht – gemäß Art. 6 Abs. 1 lit. b DSGVO erforderlich, um den Schrank ordnungsgemäß liefern und damit den zugrundeliegenden Vertrag erfüllen zu können. Man könnte sich gar darüber unterhalten, ob die Information über das Ausmaß der Treppe überhaupt einen Personenbezug enthält (nämlich welchen?); womöglich käme man zum Ergebnis, dass dem nicht so ist, und die DSGVO wäre hier sogar nicht „zuständig“.
Fazit
Zwei Jahre DSGVO – das ist eine Geschichte von schier endloser Jammerei, heillosen Missverständnissen und kalkulierter Desinformation. Dabei sind die Gefahren für den einzelnen Bürger, im digitalen Rausch der Sinne rechtlich unter die Räder zu kommen, größer als jemals zuvor. Es wird daher Zeit, den Datenschutz ernst zu nehmen anstatt ihn immer wieder mit Stammtischparolen zu verteufeln.
Beschäftigtendatenschutz-Woche! – Wochenrückblick KW 45 | Artikel 91
6. November 2020 @ 12:45
[…] »Braucht der Datenschutz einen Imageberater?«, wird in den Datenschutz-Notizen gefragt. Der Autor schreibt sich den Frust über schlechte Beratung, schlechtes Image und ständige Missverständnisse von der Seele. Eine Lösungsstrategie wäre: Gute Datenschutzschulungen statt Pflicht-Webinar aus der Konserve – und eine verständliche und praxisnahe Öffentlichkeitsarbeit von Datenschutzaufsichten. Da können vor allem die kirchlichen noch daran arbeiten. […]
AR
6. November 2020 @ 12:17
Wieder ein schöner, verständlicher Beitrag, der für Klarheit sorgt und mit Denkfehlern aufräumt. Ein Dank dem Autor und ein weiter so!
John Doe
5. November 2020 @ 14:30
Der Unterschied zu Vor-DSGVO-Zeiten liegt im Unterschied des gewünschten politischen Ziel-Bildes:
Vielen ging es wirtschaftlich hierzulande recht passabel, trotz der geringen Freiheiten, die gerne als „Marktwirtschaft“ oder „Kapitalismus“ umdefiniert werden.
Konsens war dann oft: „Ja, wird halt immer bürokratischer.“ Aber irgendwie konnten die Mittelständler das auch noch bewältigen. – DAS hat sich (spätestens seit Corona und dem Green New Deal) geändert.
Praktisch, dass man mit der DSGVO praktisch jedes (miss-)beliebige Unternehmen so in staatliche Obhut bringen kann.
Bardo Nelgen
5. November 2020 @ 12:02
Der Unterschied zu Vor-DSGVO-Zeiten liegt in der Wahrnehmung und Sensibilisierung:
Kaum jemand musste vorher reelle Angst vor Konsequenzen haben, solange er in der Daten-Handhabung glaubhaft „Gute Absichten“ anführen konnte.
Konsens war dann oft: „Ist schon Recht – wir hätten’s doch auch nicht anders gemacht…“ — DAS hat sich geändert.