Es wird mir zu viel - Ein Thema nimmt in unserer Gesellschaft eine viel zu wichtige Rolle ein. Ich rede vom Datenschutz. Hier mal ein paar Beispiele aus jüngerer Zeit:
- "Die Warn-App scheitert im Grunde an einer sehr hohen Hürde des Datenschutzes." sagte Markus Söder (CSU) am 29.11.2020 bei Anne Will.
- "Es wird in Deutschland oft unterschätzt, was wir für einen guten Datenschutz haben." sagte Angela Merkel (CDU) am 01.12.2020 beim Digital-Gipfel 2020 der Bundesregierung.
Ob EuGH-Urteil "Schrems II", Übermittlung von Daten in Drittstaaten, Bußgeld gegen 1&1, Online-Tracking durch Google und Facebook, Videokonferenzen mit Zoom, Home-Office-Regelungen, Microsoft-Bashing und Kontoauszüge für die SCHUFA - jedes Thema wird zuerst auf Datenschutz reduziert. Datenschutz wird für alles zum No-Go-Kriterium, bevor überhaupt eine inhaltsbezogene Diskussion anfangen kann.
Das Streben nach "absolutem Datenschutz" - der "Absolute-Privacy-Approach" - ist nicht zielführend und führt zwangsläufig dazu, dass wir irgendwann "Bummelletzter" werden. Was können wir dagegen machen, dass Datenschutz omnipräsent ist? Wie können wir Sachdiskussionen fördern und sie nicht am DSGVO-Stoppschild abrupt beenden?
1. Wir (als Betroffene) fordern unser Recht auf informationelle Selbstbestimmung ein!
Irgendwann im Juli 2020 war es soweit - das EuGH hat geurteilt, dass Verantwortliche sich nicht auf das Privacy-Shield als Rechtsgrundlage zur Datenverarbeitung berufen dürfen. Mehr noch, die EU-Standardvertragsklauseln fordern
Ich finde jedoch, dass das EuGH sich nicht genug über die (Grund-)Rechte der Betroffenen Gedanken gemacht hat. Sicherlich hat das EuGH noch nie was vom "Recht auf informationellle Selbstbestimmung" gehört - denn in der EU gilt ja die Grundrechte-Charta und nicht das Grundgesetz. Trotzdem sollte es doch (nicht nur im Einzelfall) die Möglichkeit geben, dass sich Menschen ganz bewußt dafür entscheiden, dass sie Dienste in Drittländern nutzen.
Ganz ehrlich - mir ist es doch lieber wenn das CIA meine Daten liest als der Verfassungsschutz. Denn was der Verfassungsschutz darf - nämlich mitlesen - das kann eine DSGVO ihm nicht verbieten. "Nationale Sicherheit" ist nunmal nicht von der DSGVO erfasst. Wohl aber der "Nationalen Sicherheit der Anderen" setzt die DSGVO ihre Grenzen. Ich finde diese Diskussion um die Zugriffe aus Drittstaaten heuchlerisch, solange es nicht einen Ort auf der Welt, bei der ich vor Ausspähen vollkommen geschützt bin.
2. Wir besinnen uns auf den Begriff "Risiko" in der DSGVO
Der Begriff "Risiko" bzw. "Risk" kommt in der DSGVO über 70 mal vor. Über 70 mal sagt uns die DSGVO, dass eine Datenverarbeitung ohne Risiko nicht möglich ist. Was die Leute mit den "DSGVO-STOP-Schildern" auf Twitter (sorry, ich meine natürlich Mastodon), in Leserbriefen und Blogs leicht vergessen ist, dass auch ein gut gewarteter Linux-Server im Keller keinen 100% Schutz vor Verlust der Verfügbarkeit, Vertraulichkeit und Integrität sicherstellen kann.
Datenschutz hat seine Grenzen und zwar genau dort, wo die Angemessenheit der Sicherheitsmaßnahmen in Bezug auf die Art der verarbeiteten Daten, dem Zweck der Verarbeitung und den betroffenen Personen in Maßlosigkeit übergeht. Absoluter Datenschutz, das ist 2-Faktorauthentifizierung bei Kommentaren zu Blogeinträgen, Newsletterversand ausschließlich mit sendmail von der Linux-Konsole und selbstentwickelte Kundendatenbanken mit PostgreSQL. Das Wort "Risiko" - so oft es in der DSGVO auch steht - wird bei der Forderung nach nach angemessenen Maßnahmen unter dem Tisch gekehrt.
3. Reden wir über Datenschutz oder über verpasste Chancen im Sinne einer "digitalen Souveränität"?
Datenschutz wird gerne als Aufhänger genommen, um die "digitale Souveränität" der EU bzw. Deutschlands mit Gewalt umzusetzen. Haupttenor ist, dass Deutschland nicht digital souverän ist, weil wir zu stark von US-amerikanischen Technologiefirmen abhängig sind. Gepaart mit "Datenschutz" ergibt sich nun die Chance, zwei Fliegen mit einer Klappe zu schlagen und beides zu erreichen.
Wenn dann der Gegenüber aber nichts von digitaler Souveränität im Sinne eines religiösen Weltanschauung wissen will, packen die "Datenschutzaktivisten" das DSGVO-Stop-Schild weg und nehme die DSGVO-Keule aus dem Hut. Nun wird mit Beschwerden und Bußgeld gedroht, wenn sich der Verantwortliche der Datenverarbeitung nicht endlich dem "Absolute Provicy Approach" unterordnet.
Haben Sie Fragen zu Datenschutz? Wollen Sie auch einen praxisnahen Datenschutz implementieren? Dann melden Sie sich!
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
Photo by Daniel Giannone on Unsplash