Die DSGVO und der Checklisten- und Dokumentations-Wahn

Das Problem des jetzigen Datenschutzes ist nicht, dass es zu wenig Gesetze gibt. Es ist die Rechtlosigkeit des Individuums, weil es sich gegen die Konzerne im aktuellen Rechtssystem faktisch nicht durchsetzen kann. Wer das mit Sammelklagen und festen Schadensersatzsummen ändert, stellt den Datenschutz wieder vom Kopf auf die Füße. Dafür müsste man aber marktwirtschaftlich und unbürokratisch denken.

Wenn man sich zu einem Thema im öffentlichen Raum äußert, muss man sich erst einmal positionieren, weil sonst sowieso nach nur 2 Zeilen „Schublade auf – Schublade zu“ gemacht wird. Betreutes Denken ist ja auch viel einfacher.

Datenschutz ist eminent wichtig

Ich bin von der ursprünglichen, akademischen Ausbildung her Informatiker und solange ich denken kann, Verfechter eines starken Datenschutzes – auch weil mir klar ist, was mit Daten gemacht werden kann und dass die Steuerung von Menschenmassen sehr wohl möglich ist. Hätte Gustave Le Bon auch nur ansatzweise geahnt, was heute technologisch möglich ist, hätte er sein berühmtes Werk „Die Psychologie der Massen“ wohl noch einmal verschärft.

Deshalb hatte ich nie einen Account bei Facebook und lehne persönlich Zuckerbergs Geschäftsmodell als manipulativ, aus tiefstem Herzen ab. Warum Menschen sich freiwillig, nur für die Verheißung des „Kostenlosen“, selber zum Produkt machen lassen, entzieht sich meinem Horizont. Und wenn ich Berichte wie diesen über die totale Kontrolle in China lese, läuft es mir kalt den Rücken herunter.

Und nicht zuletzt bin ich mit meinem Blog ja auch „Kleinunternehmer“ und ärgere mich fast täglich über den Müll, mit dem meine Mailbox via offensichtlich missbrauchter und geklauter Mail-Adressen zugeschüttet wird – oft auch von durchaus namhaften Unternehmen, die einen „Opt-In“ behaupten der nie stattgefunden hat und beim „Opt-Out“ meinerseits nicht reagieren oder – noch schlimmer – den gar nicht anbieten. Ich habe mir schon ernsthaft überlegt, ob ich mir nicht selber einen „Abmahnanwalt“ zulegen soll, mit denen ich diesen „Blutegeln“ in einer Form von Notwehr Paroli bieten kann.

Insofern braucht mich niemand vom Sinn des Datenschutzes überzeugen und eigentlich müsste ich mich auf die neue DSGVO dann freuen.

Regulierung mit Dokumentations- und Checklisten-Wahn ist ein bürokratischer Irrweg

Aber weit gefehlt, nicht den Wunsch den Datenschutz zu verschärfen, sondern die Methodik wie dabei wieder mit Checklisten, Betriebs-Beauftragten, Dokumentationslisten und Einwilligungshäkchen operiert wird, halte ich persönlich für verfehlt, von zutiefst bürokratischem Geiste und schon jetzt gescheitert!

Der ganze Ansatz erinnert mich stark an den Ansatz bei der Regulierung der Finanzindustrie, der unter Überschriften wie „Mifid“ nach meinem Eindruck ebenso von endlosen Papiermengen und bürokratischem Dokumentationsaufwand geprägt ist, von dem beim schützenswerten Endkunden wenig bzw. Nachteile und Papiermengen ankommen, die man nur genervt wegklickt.

Aber noch schlimmer, nicht jeder ist Informatiker wie ich und kann mit den Anforderungen umgehen. Der Artikel Datenschutzregeln versetzen Mittelständler in Panik beschreibt sehr schön, was da gerade abgeht, auch wenn ein Teil davon nun selber schuld ist, weil man viel zu lange gewartet hat. Trotzdem bleibt es doch Faktum, dass ein massiver bürokratischer Aufwand über Firmen ausgekippt wird, der in einer Reihe von Fällen für die Kunden ohne Relevanz ist und nur Frust und Kosten verursacht.

Um Amazon und Facebook zu treffen, erschlägt man als Kollateralschaden Millionen Betriebe

Man kann es auch verkürzt sagen, um Amazon und Facebook zu treffen, „erschlägt“ man als Kollateralschaden der DSGVO, tausende Betriebe.

Stellen wir uns doch den erfolgreichen Handwerksbetrieb vor, dessen knorriger aber fachlich hochkompetenter Inhaber seine Website hat von Dienstleistern programmieren lassen und ansonsten selber von Computern keine Ahnung hat bzw. bei der Frage eines IT-Technikers im Support, was denn auf seinem Bildschirm sei, mit „eine Vase“ antworten würde. Dieser Betrieb ist mit den Anforderungen der DSGVO völlig überfordert, selbst wenn diese objektiv von ihm gar nicht viel abverlangt. Aber um das zu erkennen, muss man sich ja erst einmal einarbeiten und das alles verstehen. Und all der Aufwand, den dieser Handwerker nun zeit- und kostenintensiv betreiben muss, ist für die Kunden des Betriebs völlig nutzlos und ohne Belang, weil ohne jede Auswirkung auf sie.

Ein Förderprogramm ist es dagegen mal wieder für Rechtsanwälte. Einerseits für die, die die Firmen im Dschungel der DSGVO beraten, anderseits für die Abmahnindustrie, die wieder neue Lücken zur Verfügung hat, um sich erneut einen goldenen Hintern zu verdienen.

Nun ist die neue DSGVO keineswegs nur schlecht, es ist ein riesiges Werk, das auch für mich sinnvolle Ansätze beinhaltet und wenn man sich bisher strikt an das BDSG gehalten hat, ist das Delta gar nicht so riesig. Trotzdem sind die sinnvollen Teile wie deutlich erhöhte Strafen bei Verstoß, nach meinem Eindruck von einem bürokratischen, papierproduzierenden Ansatz verkleistert, der so typisch für bürokratisches Denken ist.

Wie es auch anders geht, zeigen uns andere Rechtsbereiche

Dass dieser von Checklisten und Dokumentationen überfrachtete Regulierungs-Ansatz keineswegs alternativlos ist, zeigen uns andere Rechtsbereiche. Denn die Problematik ist in anderen Rechtsbereichen durchaus vergleichbar zum Datenschutz, auch dort passiert in den Unternehmen viel, an dem der Staat ein Interesse hat, dass es rechtskonform abgewickelt wird.

In vielen Rechtsbereichen gibt es aber keine Einwilligungshäkchen an jeder Ecke, es gibt keine „Beauftragte“ in den Unternehmen – obwohl Vorsicht, vielleicht wecke ich hier schlafende Hunde und das Thema „Compliance“ geht ja auch schon in diese Richtung – und es müssen auch keine Berge an Dokumentationspapier erzeugt werden.

Im Kern ist es in vielen Bereichen recht einfach, es gibt Gesetze die zu beachten sind und bei Verstoß gibt es auf der strafrechtlichen Seite eine Geldbuße oder den kostenlosen Zwangs-Aufenthalt in einem staatlichen „Hotel“. Oder eben alternativ auf der zivilrechtlichen Seite, Schadensersatzzahlungen.

Ein Vorschlag, unbürokratisch heran zu gehen

Was spräche eigentlich mal gegen folgenden, pragmatischen Ansatz:
Erstens, es werden fokussiert auf den Datenschutz endlich richtige Sammelklagen von Verbrauchern gegen Unternehmen erlaubt, man muss sich also nicht mehr alleine mit Facebook und Co. auseinander setzen.

Zweitens, wenn uns ein Unternehmen etwas sendet oder wir bemerken, dass unsere Daten gebraucht werden, ist das Unternehmen in der Nachweispflicht, dass es diese rechtmäßig und zweckgebunden verarbeitet – „Opt-In“ Zwang also, auch was den konkreten Verarbeitungszweck angeht.

Drittens, werden die Schadensersatzsummen an Kunden für einen einzelnen, einfachen Verstoß gesetzlich normiert, Größenordnung beispielsweise 100€ pro Einzelfall. Der Schaden muss dabei vom Kunden nicht mehr nachgewiesen werden, sondern gilt pauschal als abgegolten, falls das Unternehmen den Nachweis nicht führen kann, dass es die Kundendaten rechtmäßig verarbeitet hat.

Das sind die drei Grundpfeiler. Keine Papierberge, keine vorgegebenen Beauftragten, keine Checklisten, keine endlose juristische Fummelei um Formulierungen. Die Macht der Verbraucher wird durch Sammelklagen in diesem Sektor gestärkt, die Nachweispflicht des zweckgebundenen Umgangs liegt auf Seiten der Unternehmen und der Schadensersatz ergibt sich automatisch, wenn der Nachweis der rechtmäßigen Nutzung vor Gericht vom Unternehmen nicht erbracht werden kann. In schweren Fällen mit Vorsatz, dann kann sich wie bisher auch, die Staatsanwaltschaft strafrechtlich einschalten.

Wohin das führen könnte …

Facebook und Google hätten aus reinem Selbstschutz und aus Eigenentscheidung immer noch eigene Datenschutzbeauftragte und spezialisierte Abteilungen und Prozesse, weil das wirtschaftliche Risiko für sie viel zu groß wäre.

Der genannte knorrige Handwerker aber, würde sich gar nicht darum kümmern und das wäre auch genau richtig so, im übrigen ist es seine Entscheidung, ob er das rechtliche Restrisiko gehen will. Die Mehrzahl der Kleinunternehmen, die sowie sauber arbeiten und mit Kundendaten kein Geschäft machen, sondern damit nur Rechnungen schreiben und eigene Kunden anschreiben, wären nicht betroffen.
Facebook, die einen Cambridge Analytica Skandal zulässt, hätte aber ein ernstes Problem, denn 87 Millionen mal 100€ sind potentiell 8,7 Milliarden € Bußgeld, das lässt auch Zuckerberg erschreckt zucken. Und die Abmahnindustrie hätte nichts Neues abzumahnen. Wie schade.

Nun kann man an dem Grundansatz des obigen Konzepts im Detail feilen, es geht auch nicht um das Detail, sondern um das Prinzip, anders an die Problematik heran zu gehen. Nicht kompliziert und dirigistisch von hinten durch die Brust ins Auge sondern einfach sicherzustellen, dass ein Vergehen im Bereich Datenschutz für die Täter wirtschaftlich zu riskant ist. Genau das ist es nämlich heute nicht.
Der Unterschied im Ansatz – Bürokratie versus Marktwirtschaft

Erkennen Sie den Unterschied im Ansatz?

Das Eine ist ein bürokratischer, dirigistischer Ansatz. Durch Vorgaben, Beauftragte, Checklisten und Dokumentationspflichten, versucht man schon im Vorfeld die Gefahr eines Verstoßes gegen den Datenschutz zu verhindern.
Im Ergebnis leiden darunter die kleinen Unternehmen, die sich beim Thema in der Regel sowieso nichts zuschulden kommen lassen. Die großen Googles und Facebooks und spezialisierten Datenhändler aber, machen mit ihren riesigen Rechtsabteilungen weiter wie bisher, im Zweifel wird allerlei angepasst oder der Firmensitz gewechselt.

Das Andere ist ein marktwirtschaftlicher Ansatz, in dem das wirtschaftliche Risiko mit Daten Schindluder zu betreiben, deutlich erhöht wird. All die gängelnden gesetzlichen Vorgaben im bürokratischen Geiste, wie man Datenschutz intern zu organisieren hat, braucht es dafür überhaupt nicht. Diese sind schlicht nutzlos und für den Shredder.

Im Ergebnis können sich die kleinen Unternehmen, die schon immer sauber mit den Daten ihrer Kunden arbeiten, beruhigt zurück lehnen. Und die großen Googles und Facebooks, bei denen der Kunde zum Produkt gemacht wird, müssen ihre Geschäftsmodelle überdenken, weil das wirtschaftliche Risiko zu groß wird.
Was glauben Sie wohl, welcher Ansatz mehr Erfolgschancen hat, nachhaltig den Datenschutz zu verbessern?

Fazit

Ich kann es auch anders sagen. Das Problem des jetzigen Datenschutz ist nicht, dass es zu wenig Gesetze gibt. Es ist die Rechtlosigkeit des Individuums, weil es sich gegen die großen Konzerne im aktuellen Rechtssystem faktisch nicht durchsetzen kann.

Wer das mit Sammelklagen und festen Schadensersatzsummen ändert, stellt den Datenschutz wieder vom Kopf auf die Füße. Dafür müsste man aber marktwirtschaftlich und unbürokratisch denken.

Ihr Michael Schulte (Hari)

Unterstützung
oder

Kommentare ( 24 )

Liebe Leser!

Wir sind dankbar für Ihre Kommentare und schätzen Ihre aktive Beteiligung sehr. Ihre Zuschriften können auch als eigene Beiträge auf der Site erscheinen oder in unserer Monatszeitschrift „Tichys Einblick“.
Bitte entwerten Sie Ihre Argumente nicht durch Unterstellungen, Verunglimpfungen oder inakzeptable Worte und Links. Solche Texte schalten wir nicht frei. Andere bringen wir ungekürzt.
Ihre Kommentare werden moderiert, da die juristische Verantwortung bei TE liegt. Bitte verstehen Sie, dass die Moderation zwischen Mitternacht und morgens Pause macht und es, je nach Aufkommen, zu zeitlichen Verzögerungen kommen kann. Vielen Dank für Ihr Verständnis. Hinweis

----

Sortiert nach:   neuste | älteste | beste Bewertung

Vielen Dank für Ihren Artikel. Tatsächlich bin ich zur Zeit kurz vor dem Verzweifeln, da ich mit der Datenschutzüberarbeitung für meine kleine Website total überfordert bin. Genau genommen hätte ich von dem ganzen Murks gar nichts mitbekommen, wenn nicht jetzt die Presse so ausdrücklich überall darauf hinweisen würde. Mein Schwiegersohn hat mich darauf aufmerksam gemacht und hilft mir, mich vor Abmahnanwälten zu schützen bzw. den „neuen“ Datenschutzvorschriften Rechnung zu tragen.
Meine erste Handlung bestand darin, mein Gästebuch zu löschen, es erschien mir als die leichteste Konsequenz, finanziellen Schaden abzuwenden. Traurig.

Die erste undeinfachste (wenn auch vielleicht nicht perfekte) Maßnahme ist die Aufnahme einer Datenschutzerklärung nach folgendem Muster:

https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Es gibt ähnliche Muster natürlich auch von anderen Anbietern.

Passen Sie diese so genau wie möglich an die Verhältnisse Ihrer Website an – habe ich auch so gemacht. Für die Abmahner sind Sie dann schon nicht mehr interessant. Die werden sich ihre Opfer eher dort aussuchen, wo ein ganz offensichtlicher Mangel besteht und wo es potentiell etwas zu verdienen gibt.

Ansonsten meine Devise: Wer immer nur Angst hat, wird irgendwann auch zum Opfer…

Vielen Dank für den Hinweis!

Die grösste Unverschämtheit leisten sich die Landes- und Bundesdatenschutzbeauftragten als zuständige Behörden, indem sie vorab direkt die Ausnahme für Betriebe mit <250 Mitarbeitern selbst für Kleinstbetriebe ohne Mitarbeiter in Deutschland für völlig unanwendbar erklärten und sich auch sonst ständig verschärfte bis schikanöse neue Auslegungen ausdenken. So wird jedem Gründer als 1-Mann-Betrieb die volle Bürokratie für Grossunternehmen übergebraten, selbst wenn der alle Rechnungen noch auf Papier verschickt und auch sonst alles auf Papier erledigt. Unverschämter geht es doch langsam nicht mehr. Die gleichen Zeitgenossen drohten jüngst Kleinunternehmen mit 400.000 EUR Bussgeldern, wenn diese ein Byte in den USA speichern. Das war… Mehr

Das ist aber alles gar nicht mehr so neu . Genau aus diesen gruenden hab ich 2004 meinen betrieb geschlossen ,vier mitarbeiter der obhut des arbeitsamtes uebergeben und hab in Dænemark noch mal von vorn angefangen.Unter paradiesischen umstænden ,verglichen mit den deutschen. Und ich kontakt mit vielen ,die es genauso gemacht haben.Man beisst die leute regelrecht raus.

Ich denke man muss noch einen Schritt früher anfangen, nämlich bei der Aufklärung. Das müsste schon in der Schule beginnen, denn heute haben die Menschen kein Datenbewusstsein und wissen nicht wie dieser permanente Missbrauch ihr Leben beeinflussen kann. Informatik muss zum Pflichtfach werden. Dafür kann man auf Frühsexualisierung und Gender Mainstreaming verzichten. Zum Pflichtfach auch deshalb, weil die Informatik in Zukunft in kaum einem Beruf weg zu denken ist. Neben google, Facebook und Amazon, macht mir noch ein ganz anderes Problem bei der Datensicherheit Sorge. Unsere IT wird in einem nicht unerheblichen Maß im Ausland entwickelt und betrieben. Die Menschen… Mehr
Der knorrige Handwerker… Nun ja, es gibt auch sehr viele Handwerker, die diesem Stereotyp absolut nicht entsprechen, aber darum geht es ja nicht. Während der Kleinunternehmer – sollte er ernsthaft gewillt sein, die DSGVO umzusetzen – zu nichts anderem mehr kommen wird, als sich damit zu beschäftigen, wird Google während dieser Zeit auch nach dem 25. Mai weiterhin dokumentieren, bei welchen Veranstaltungen unser Unternehmer zu dem Thema war, welche Berater er kontaktiert hat und auf welchen Internetseiten er sich informiert hat. Ein merkwürdiges Ansinnen, den Schutz der personenbezogenen Daten in Griff zu bekommen. Ich habe eine Datenschutzvereinbarung auf meiner Website… Mehr

Leider das Grundprinzip unserer heutigen Gesellschaft nicht berücksichtigt: das Primat des Sekundären.

Wenn der Literaturkritiker wichtiger als der Schriftsteller, der TV Experte wichtiger als der Fußballer, der Moderator wichtiger als die Diskutierenden ist besteht wenig Interesse an Steuererklarungen auf Bierdeckeln oder Datenschutzregeln die nicht eine riesige parasitär-intermediäre Kaste zwischen den eigentlich Betroffenen alimentieren.

Wenn es im Interesse des Staats, ganz besonders im Interesse der Finanzämter, liegt, dann ist der Datenschutz plötzlich nicht mehr so wichtig. Seit Jahren darf von Amts wegen auf die Konten von Steuerzahlern zugegriffen werden, mit der Zusage (des Staats!), dies nur unter bestimmten Voraussetzungen zu tun.

Hier hat aber der Bürger keine Kontrolle. Wollte man den Bürger fair behandeln hätte man die Banken verpflichtet, solche Anfragen vom Steuerzahler einsehbar zu dokumentieren. Man sieht das Machtgefälle.

Mit PSD 2, welches geräuschlos Anfang des Jahres durch die EU eingeführt wurde, können künftig auch Unternehmen auf Ihre Kontodaten schauen. Voraussetzung ist Ihre Zustimmung. Das Verfahren hat durchaus Vorteile für den Verbraucher, schwächt aber enorm die Banken. Welche Auswirkungen dies dann gerade auf Volks-und Genossenschaftsbanken oder kleinere regionale Banken hat, ist noch nicht absehbar. Gibt es erst einmal ein solches Verfahren, dann gibt es auch die potentielle Möglichkeit des Missbrauchs, denn muss erst einmal ein solcher Zugang zur Verfügung gestellt werden, dann werden sich auch Hacker dieses Zugangs bedienen. Inwieweit Kunden, welche ihre Zustimmung verweigert haben verschont bleiben, hängt… Mehr

Zitat: „Dafür müsste man aber marktwirtschaftlich und unbürokratisch denken.“ Sehr gehrter Herr Schulte, das wird leider ein frommer Wunsch bleiben. Die absolute Mehrheit der Entscheidungsträger in der EU und in Deutschland haben inzwischen einen bürokratischen Hintergrund oder werden als Behördenvertreter beratend zu Entscheidungsfindungen hinzugezogen, siehe verpatzte Grenzschließung 2015. Diese Leute sind nicht in der Lage, anders als vom bürokratischen Ansatz her zu denken, was unseren Staat und die EU zugrunde richten wird.

Das Thema ist zu groß und zu komplex, um es hier komplett zu beleuchten. Grundsätzlich fällt auf, dass es offensichtlich von Verwaltungsleuten und Parteikadern geschrieben wurde, z.T. in der Absicht, Bürger und deren Unternehmen maximal zu kriminalisieren und sie von politischer Tätigkeit abzuhalten, sie sollen sich abstrampeln und ständig vor Kontrollen fürchten. Auch die ganzen Vorschriften, wie etwas intern zu organisieren sind, zeigen deutlich auf, wessen (Un-)Geistes Kind diese Befehle sind. Die Strafen sind maßlos überhöht, hier wären eskalierende Strafen deutlich angemessener, d.h., das Strafmaß steigt an, wenn man nach der 1. Strafe immer noch nichts verbessert hat. In der… Mehr

So abwegig die Verordnung auch ist, sollte man den gesunden Menschenverstand nicht ausschalten. Wer soll denn in der Praxis prüfen wollen, ob in Ihren physischen oder von mir aus auch digitalen Ordnern irgendwelche alten Kundendaten gespeichert sind, die im normalen Geschäft anfallen? Selbst wenn jemand gezielt danach fragen sollte (und dazu berechtigt sein sollte), kann man sich überlegen, wie man damit umgeht. Hauptsache, man gibt den Abmahnern nicht bereits auf der Website Anlass für ihre widerliche Spitzelaktivität…Wenn der Kunde selbst Auskunft will, ist das ja kein Problem, ihm die gewünschte und ihm zustehende Transparenz zu geben.