Wenn man sich zu einem Thema im öffentlichen Raum äußert, muss man sich erst einmal positionieren, weil sonst sowieso nach nur 2 Zeilen „Schublade auf – Schublade zu“ gemacht wird. Betreutes Denken ist ja auch viel einfacher.
Datenschutz ist eminent wichtig
Ich bin von der ursprünglichen, akademischen Ausbildung her Informatiker und solange ich denken kann, Verfechter eines starken Datenschutzes – auch weil mir klar ist, was mit Daten gemacht werden kann und dass die Steuerung von Menschenmassen sehr wohl möglich ist. Hätte Gustave Le Bon auch nur ansatzweise geahnt, was heute technologisch möglich ist, hätte er sein berühmtes Werk „Die Psychologie der Massen“ wohl noch einmal verschärft.
Deshalb hatte ich nie einen Account bei Facebook und lehne persönlich Zuckerbergs Geschäftsmodell als manipulativ, aus tiefstem Herzen ab. Warum Menschen sich freiwillig, nur für die Verheißung des „Kostenlosen“, selber zum Produkt machen lassen, entzieht sich meinem Horizont. Und wenn ich Berichte wie diesen über die totale Kontrolle in China lese, läuft es mir kalt den Rücken herunter.
Und nicht zuletzt bin ich mit meinem Blog ja auch „Kleinunternehmer“ und ärgere mich fast täglich über den Müll, mit dem meine Mailbox via offensichtlich missbrauchter und geklauter Mail-Adressen zugeschüttet wird – oft auch von durchaus namhaften Unternehmen, die einen „Opt-In“ behaupten der nie stattgefunden hat und beim „Opt-Out“ meinerseits nicht reagieren oder – noch schlimmer – den gar nicht anbieten. Ich habe mir schon ernsthaft überlegt, ob ich mir nicht selber einen „Abmahnanwalt“ zulegen soll, mit denen ich diesen „Blutegeln“ in einer Form von Notwehr Paroli bieten kann.
Insofern braucht mich niemand vom Sinn des Datenschutzes überzeugen und eigentlich müsste ich mich auf die neue DSGVO dann freuen.
Regulierung mit Dokumentations- und Checklisten-Wahn ist ein bürokratischer Irrweg
Aber weit gefehlt, nicht den Wunsch den Datenschutz zu verschärfen, sondern die Methodik wie dabei wieder mit Checklisten, Betriebs-Beauftragten, Dokumentationslisten und Einwilligungshäkchen operiert wird, halte ich persönlich für verfehlt, von zutiefst bürokratischem Geiste und schon jetzt gescheitert!
Der ganze Ansatz erinnert mich stark an den Ansatz bei der Regulierung der Finanzindustrie, der unter Überschriften wie „Mifid“ nach meinem Eindruck ebenso von endlosen Papiermengen und bürokratischem Dokumentationsaufwand geprägt ist, von dem beim schützenswerten Endkunden wenig bzw. Nachteile und Papiermengen ankommen, die man nur genervt wegklickt.
Aber noch schlimmer, nicht jeder ist Informatiker wie ich und kann mit den Anforderungen umgehen. Der Artikel Datenschutzregeln versetzen Mittelständler in Panik beschreibt sehr schön, was da gerade abgeht, auch wenn ein Teil davon nun selber schuld ist, weil man viel zu lange gewartet hat. Trotzdem bleibt es doch Faktum, dass ein massiver bürokratischer Aufwand über Firmen ausgekippt wird, der in einer Reihe von Fällen für die Kunden ohne Relevanz ist und nur Frust und Kosten verursacht.
Um Amazon und Facebook zu treffen, erschlägt man als Kollateralschaden Millionen Betriebe
Man kann es auch verkürzt sagen, um Amazon und Facebook zu treffen, „erschlägt“ man als Kollateralschaden der DSGVO, tausende Betriebe.
Stellen wir uns doch den erfolgreichen Handwerksbetrieb vor, dessen knorriger aber fachlich hochkompetenter Inhaber seine Website hat von Dienstleistern programmieren lassen und ansonsten selber von Computern keine Ahnung hat bzw. bei der Frage eines IT-Technikers im Support, was denn auf seinem Bildschirm sei, mit „eine Vase“ antworten würde. Dieser Betrieb ist mit den Anforderungen der DSGVO völlig überfordert, selbst wenn diese objektiv von ihm gar nicht viel abverlangt. Aber um das zu erkennen, muss man sich ja erst einmal einarbeiten und das alles verstehen. Und all der Aufwand, den dieser Handwerker nun zeit- und kostenintensiv betreiben muss, ist für die Kunden des Betriebs völlig nutzlos und ohne Belang, weil ohne jede Auswirkung auf sie.
Ein Förderprogramm ist es dagegen mal wieder für Rechtsanwälte. Einerseits für die, die die Firmen im Dschungel der DSGVO beraten, anderseits für die Abmahnindustrie, die wieder neue Lücken zur Verfügung hat, um sich erneut einen goldenen Hintern zu verdienen.
Nun ist die neue DSGVO keineswegs nur schlecht, es ist ein riesiges Werk, das auch für mich sinnvolle Ansätze beinhaltet und wenn man sich bisher strikt an das BDSG gehalten hat, ist das Delta gar nicht so riesig. Trotzdem sind die sinnvollen Teile wie deutlich erhöhte Strafen bei Verstoß, nach meinem Eindruck von einem bürokratischen, papierproduzierenden Ansatz verkleistert, der so typisch für bürokratisches Denken ist.
Wie es auch anders geht, zeigen uns andere Rechtsbereiche
Dass dieser von Checklisten und Dokumentationen überfrachtete Regulierungs-Ansatz keineswegs alternativlos ist, zeigen uns andere Rechtsbereiche. Denn die Problematik ist in anderen Rechtsbereichen durchaus vergleichbar zum Datenschutz, auch dort passiert in den Unternehmen viel, an dem der Staat ein Interesse hat, dass es rechtskonform abgewickelt wird.
In vielen Rechtsbereichen gibt es aber keine Einwilligungshäkchen an jeder Ecke, es gibt keine „Beauftragte“ in den Unternehmen – obwohl Vorsicht, vielleicht wecke ich hier schlafende Hunde und das Thema „Compliance“ geht ja auch schon in diese Richtung – und es müssen auch keine Berge an Dokumentationspapier erzeugt werden.
Im Kern ist es in vielen Bereichen recht einfach, es gibt Gesetze die zu beachten sind und bei Verstoß gibt es auf der strafrechtlichen Seite eine Geldbuße oder den kostenlosen Zwangs-Aufenthalt in einem staatlichen „Hotel“. Oder eben alternativ auf der zivilrechtlichen Seite, Schadensersatzzahlungen.
Ein Vorschlag, unbürokratisch heran zu gehen
Was spräche eigentlich mal gegen folgenden, pragmatischen Ansatz:
Erstens, es werden fokussiert auf den Datenschutz endlich richtige Sammelklagen von Verbrauchern gegen Unternehmen erlaubt, man muss sich also nicht mehr alleine mit Facebook und Co. auseinander setzen.
Zweitens, wenn uns ein Unternehmen etwas sendet oder wir bemerken, dass unsere Daten gebraucht werden, ist das Unternehmen in der Nachweispflicht, dass es diese rechtmäßig und zweckgebunden verarbeitet – „Opt-In“ Zwang also, auch was den konkreten Verarbeitungszweck angeht.
Drittens, werden die Schadensersatzsummen an Kunden für einen einzelnen, einfachen Verstoß gesetzlich normiert, Größenordnung beispielsweise 100€ pro Einzelfall. Der Schaden muss dabei vom Kunden nicht mehr nachgewiesen werden, sondern gilt pauschal als abgegolten, falls das Unternehmen den Nachweis nicht führen kann, dass es die Kundendaten rechtmäßig verarbeitet hat.
Das sind die drei Grundpfeiler. Keine Papierberge, keine vorgegebenen Beauftragten, keine Checklisten, keine endlose juristische Fummelei um Formulierungen. Die Macht der Verbraucher wird durch Sammelklagen in diesem Sektor gestärkt, die Nachweispflicht des zweckgebundenen Umgangs liegt auf Seiten der Unternehmen und der Schadensersatz ergibt sich automatisch, wenn der Nachweis der rechtmäßigen Nutzung vor Gericht vom Unternehmen nicht erbracht werden kann. In schweren Fällen mit Vorsatz, dann kann sich wie bisher auch, die Staatsanwaltschaft strafrechtlich einschalten.
Wohin das führen könnte …
Facebook und Google hätten aus reinem Selbstschutz und aus Eigenentscheidung immer noch eigene Datenschutzbeauftragte und spezialisierte Abteilungen und Prozesse, weil das wirtschaftliche Risiko für sie viel zu groß wäre.
Der genannte knorrige Handwerker aber, würde sich gar nicht darum kümmern und das wäre auch genau richtig so, im übrigen ist es seine Entscheidung, ob er das rechtliche Restrisiko gehen will. Die Mehrzahl der Kleinunternehmen, die sowie sauber arbeiten und mit Kundendaten kein Geschäft machen, sondern damit nur Rechnungen schreiben und eigene Kunden anschreiben, wären nicht betroffen.
Facebook, die einen Cambridge Analytica Skandal zulässt, hätte aber ein ernstes Problem, denn 87 Millionen mal 100€ sind potentiell 8,7 Milliarden € Bußgeld, das lässt auch Zuckerberg erschreckt zucken. Und die Abmahnindustrie hätte nichts Neues abzumahnen. Wie schade.
Nun kann man an dem Grundansatz des obigen Konzepts im Detail feilen, es geht auch nicht um das Detail, sondern um das Prinzip, anders an die Problematik heran zu gehen. Nicht kompliziert und dirigistisch von hinten durch die Brust ins Auge sondern einfach sicherzustellen, dass ein Vergehen im Bereich Datenschutz für die Täter wirtschaftlich zu riskant ist. Genau das ist es nämlich heute nicht.
Der Unterschied im Ansatz – Bürokratie versus Marktwirtschaft
Erkennen Sie den Unterschied im Ansatz?
Das Eine ist ein bürokratischer, dirigistischer Ansatz. Durch Vorgaben, Beauftragte, Checklisten und Dokumentationspflichten, versucht man schon im Vorfeld die Gefahr eines Verstoßes gegen den Datenschutz zu verhindern.
Im Ergebnis leiden darunter die kleinen Unternehmen, die sich beim Thema in der Regel sowieso nichts zuschulden kommen lassen. Die großen Googles und Facebooks und spezialisierten Datenhändler aber, machen mit ihren riesigen Rechtsabteilungen weiter wie bisher, im Zweifel wird allerlei angepasst oder der Firmensitz gewechselt.
Das Andere ist ein marktwirtschaftlicher Ansatz, in dem das wirtschaftliche Risiko mit Daten Schindluder zu betreiben, deutlich erhöht wird. All die gängelnden gesetzlichen Vorgaben im bürokratischen Geiste, wie man Datenschutz intern zu organisieren hat, braucht es dafür überhaupt nicht. Diese sind schlicht nutzlos und für den Shredder.
Im Ergebnis können sich die kleinen Unternehmen, die schon immer sauber mit den Daten ihrer Kunden arbeiten, beruhigt zurück lehnen. Und die großen Googles und Facebooks, bei denen der Kunde zum Produkt gemacht wird, müssen ihre Geschäftsmodelle überdenken, weil das wirtschaftliche Risiko zu groß wird.
Was glauben Sie wohl, welcher Ansatz mehr Erfolgschancen hat, nachhaltig den Datenschutz zu verbessern?
Fazit
Ich kann es auch anders sagen. Das Problem des jetzigen Datenschutz ist nicht, dass es zu wenig Gesetze gibt. Es ist die Rechtlosigkeit des Individuums, weil es sich gegen die großen Konzerne im aktuellen Rechtssystem faktisch nicht durchsetzen kann.
Wer das mit Sammelklagen und festen Schadensersatzsummen ändert, stellt den Datenschutz wieder vom Kopf auf die Füße. Dafür müsste man aber marktwirtschaftlich und unbürokratisch denken.
Ihr Michael Schulte (Hari)