AUS SICHT DER STIFTUNG DATENSCHUTZ: „DSGVOh, mein Gott!“
Nach der Verschnaufpause des Jahreswechsels lassen sich derlei schräge Überschriften, manch überdrehte Berichte und schiefe Meldungen aus 2018 zur größten Datenschutzreform der vergangenen Jahrzehntebereits mit etwas mehr Nüchternheit ertragen. Zeit also für eine kurze Rückschau in die aufgeregten Monate der zweiten Hälfte des alten Jahres. So manches Mal lag dem geneigten Beobachter der Szenerie die Abwandlung eines bajuwarischen Stoßgebets auf der Zunge: „Herr, schmeiß’ Datenschutzwissen herab!“ Anders schien es kaum erträglich, welch unrichtige Aussagen oft durch die Medienlandschaft geisterten, wenn es um das neue europäische Datenschutzrecht ging. Da wurde selbst in Qualitätsmedien davon schwadroniert, dass man von nun an für fast alles, was man mit Daten macht eine Einwilligung bräuchte. Oder, dass man von nun an doch tatsächlich jedes Unternehmen nach Auskunft über die Verwendung der eigenen Daten fragen könnte.
Lesen Sie hier den gesamten Artikel als PDF.
Alles neu machte der Mai?
Da gar oft von solchen Sensationen zu lesen war, kamen manchem in der Datenschutzgemeinde schon Zweifel: Sollten wir uns geirrt haben, und ist vielleicht doch alles neu im Datenschutz? Ein Blick in die DSGVO beruhigte: Da gibt es nicht nur die Einwilligung, sondern tatsächlich noch fünf andere – gleichrangige – Grundlagen für eine rechtmäßige Verarbeitung personenbezogener Daten. Und ein Blick in die Vergangenheit zeigte, dass das meiste, jedenfalls für uns Deutsche, nicht so richtig neu ist im Datenschutz: Fällt einem zufällig das Bundesgesetzblatt vom 27. Januar 1977 in den Schoß, dann springen einem z. B. von der Seite 208 so aktuelle Bekannte entgegen wie die Verarbeitung auf Basis berechtigter Interessen, der Auskunftsanspruch und eine Informationspflicht über den Beginn der Verarbeitung.
Recherche vor Schlagzeile, bitte.
„Hat denn dieser Sender keine Rechtsabteilung? Hätte dieser Redakteur nicht einmal bei offizieller Stelle nachfragen können, bevor er zu dem Thema etwas schreibt?“ werde nicht nur ich mich bei manch panischer Schlagzeile zu einem etwaigen „DSGVO-Wahnsinn“ gefragt haben. Das Problem ist: In manchen Fällen hätte noch nicht einmal eine behördliche Anfrage etwas genützt. Denken Sie an die schlimmste aller Verunsicherungskampagnen der letzten Monate, das „Klingelgate“.
In dieser unsäglichen Geschichte war es der Falschauskunft eines Beamten des Magistrats der herrlichen Stadt Wien zu verdanken, dass alle Vermieterinnen und Vermieter auch in Deutschland erwogen, die Schraubendreher in die Hand zu nehmen, um Klingelschilder der Mieterschaft abzumontieren. Der Beamte riet der Wohnungsgesellschaft Wiener Wohnen ernsthaft zur Entfernung, nachdem er zu dem Schluss gekommen war, dass ein Belassen von Namensschildchen neben den Klingelknöpfender Mieterinnen und Mieter nicht mit der DSGVO zu vereinbaren sei. Diesen Rat griff der seinerzeit anscheinend ebenso wenig im Datenschutzrecht beratene deutsche Verband Haus und Grund auf und sprach darüber mit der BILD-Zeitung, was wiederum andere Postillen aufgriffen, so dass die unnötige Verunsicherung in verlässlicher Breite erst einmal da war. Was hätte sich hier angeboten? Vielleicht eine schnelle Klarstellung durch die Datenschutzaufsicht? Eine umgehende Pressemitteilung der Konferenz der dafür zuständigen Landesbeauftragten?
Vielleicht. Aber so etwas hat natürlich nur Sinn bei einer auch einheitlichen Sicht auf die Dinge – welche es tatsächlich nicht gab. Während einer der Landesbeauftragten bei Twitter zunächst nur ein wenig mit der Einwilligung liebäugelte, sah ein anderer öffentlich eine „Zustimmung“ als notwendig an. Die für den privaten Bereich nicht zuständige Bundesbeauftragte musste dann klarstellen, dass es natürlich kein echtes Problem gab. Denn entweder ist bereits der Anwendungsbereich des Datenschutzrechts nicht eröffnet, weil die Schildchen nur das Ergebnis eines Datenverarbeitungsprozesses sind, nicht aber selbst eine Verarbeitung oder ein Dateisystem. Oder man löst die Fragestellung einfach und sozialadäquat auf Basis der Rechtsgrundlage berechtigter Interessen, inklusive Widerspruchsmöglichkeit für die (eher wenigen) Mietenden, die eben gerade nicht auf dem Klingeltableau gefunden werden wollen.
Als die DSGVO im Alltag ankam
Zu solchen großen Aufregern hinzu kamen seit dem Frühjahr 2018 natürlich die vielen kleinen Irrtümer und Ärgernisse: All die Konstellationen des Alltagslebens, in denen Datenschutzvorschriften zwar schon früher nicht zu vernachlässigen waren, aber dennoch kaum Beachtung fanden – sei es, weil es den verantwortlichen Stellen nicht bewusst war; sei es, weil betroffene Personen nie danach fragten. Das vormalige Bundesdatenschutzgesetz war oft nur ein „Papierrecht“. Es tauchte in Formularen und Allgemeinen Geschäftsbedingungen auf, doch es lebte nicht. Die Lebhaftigkeit kam erst mit der DSGVO ins Spiel. Mittlerweile hat fast jeder beim Gedanken an die eigene Datenschutzkonformität die Zahl „20 Millionen“ dräuend im Kopf – freilich meist verkennend, dass dieser extreme Wert nicht etwa ein Regelbußgeld benennt, sondern allein das oberste Ende der Sanktionsfahnenstange (mit welchem sich gleichwohl trefflich Angst schüren lässt). Nun wird plötzlich genau auf die Rechtsgrundlagen für etliche Datenverarbeitungsvorgänge auch des Alltags geschaut, ob in Kleingartenverwaltungen oder Kindergärten – ganz so, als wäre das nicht auch schon nach altem Recht nötig gewesen. Dabei waren wir Deutsche es, die das Verbotsprinzip vor Jahrzehnten als unser datenschutzrechtliches Leitbild festlegten…
Risikobasierter Ansatz, where are you?
Gerade im ehrenamtlichen oder anderweitig nicht-gewerblichen Bereich machte sich in den vergangenen Monaten viel Empörung über das breit, was die neuen Brüsseler Datenschutzregeln denn alles so verhindern oder erschweren. Soweit solcher Unmut auf Fehlvorstellungen zum neuen Recht basiert, so muss intensiv durch Aufklärung entgegengewirkt werden. Oft richtet sich der Unmut kleiner Organisationen jedoch gegen die Normen und den Umsetzungsaufwand der DSGVO an sich. Um bei jenen um Akzeptanz des Datenschutzrechts zu werben, reicht es nicht aus, einfach auf Versäumnisse bei der Rechtseinhaltung in der BDSG-Vergangenheit zu verweisen. Den Vorstand eines kleinen Turnvereins oder den Betreiber eines blogs wird es nicht zufriedenstellen, wenn er zu hören bekommt, dass er wohl bereits die alten Regeln nicht so genau genommen habe, dass er sich auf gewohnheitsrechtliche Übungen eben nicht verlassen könne und sich deswegen nun über die DSGVO nicht beschweren dürfe.
Der Bürokratieangst solcher Mini-Datenverarbeiter könnte sicherlich gut begegnet werden, wenn der risikobasierte Ansatz der DSGVO stärker betont würde: Nur wo tatsächlich hohe Risiken für Persönlichkeitsrechte drohen, sollte besonderer Schutzaufwand zu betreiben sein. Zwar blickt die Orientierung am konkreten Risiko aus einzelnen Normen hervor (z. B. Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO). Gerade aber eine stärkere Orientierung des Gesamtwerkes am – hohen oder eben geringen – Risiko könnte das neue strenge Datenschutzrecht für alle gangbarer machen.
Der Artikel stammt aus der Ausgabe 01/2019 des Fachmagazins PinG.