Deutschland empört sich über einen Datenschutzmissbrauch: Vermutlich hat ein 20-Jähriger private Informationen wie Telefonnummern und Wohnadressen bekannter Personen und deutscher Politiker gehackt und verbreitet. Manche Stimmen schreien nun nach mehr Überwachung und stärkeren Kontrollen. Sicherheit wird wieder als Mantra gebetet. Doch die Sicherheit gibt es eigentlich schon: die Datenschutz-Grundverordnung.

Eine Verordnung geht um in Europa

Am 24. Mai 2016 wurde die Verordnung 2016/679 der Europäischen Union in Kraft gesetzt. So ein deklarativer Akt passiert häufig und ist eine sehr unauffällige Angelegenheit. Zwei Jahre später: Am 25. Mai 2018 geht das Abendland unter. Die Datenschutz-Grundverordnung ist nun strafbewehrt.

Man hätte mehr Aufklärungsarbeit leisten müssen, gesteht Jan-Philipp Albrecht gegenüber der "Zeit". Der heutige Minister hatte Mitte der 2010er-Jahre sehr aktiv an der DSGVO mitgeschrieben und bis 2016 auch viele Aufklärungskampagnen und Diskussionsrunden um die Datenschutz-Grundverordnung begleitet. Heute bedauert er, dass man nach Inkrafttreten der DSGVO 2016 damit nicht weitergemacht hatte. Doch was steht eigentlich drin in der Datenschutz-Grundverordnung? Das Video der WKO gibt einen guten Überblick:

Die Anforderungen und Pflichten der DSGVO

Die Verordnung gilt nicht nur für europäische Firmen, sondern auch für alle Unternehmen außerhalb Europas, die personenbezogene Daten europäischer Bürger verarbeiten. Die DSGVO regelt, wie mit Informationen über Menschen umgegangen wird. In Artikel 2 wird das so formuliert:

Drei Begriffe sind dabei wichtig: Verarbeitung, personenbezogene Daten und Dateisystem. Eine Verarbeitung meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen oder das Verarbeiten von personenbezogenen Daten. Dazu zählt beispielsweise das Anlegen von Kundenkarteien in einem Unternehmen oder von Mitgliederlisten bei Büchereien genauso wie eine Teilnehmerliste bei einer Abendveranstaltung.

Personenbezogene Daten wiederum sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wichtig sind hier die Bezeichnungen, denn:

• natürliche Person beschreibt nur echte Menschen, im Vergleich zu juristischen Personen wie Unternehmen, Behörden, Parteien oder andere Organisationen. Die DSGVO findet also nur Anwendung wenn echte Menschen betroffen sind
• identifizierte Person meint, dass die Daten dieses Menschen bereits bekannt sind
• identifizierbare Person meint, dass die Daten dieses Menschen bekannt sein könnten, ohne es zwangsläufig zu sein.

Die DSGVO macht hier auch eine sehr breite Definition auf, was alles personenbezogene Daten sind. Ganz konkret sind damit alle Zuordnung zu einer Kennung oder zu einem oder mehreren besonderen Merkmalen gemeint wie:

• Namen
• eine Kennnummer
• Standortdaten
• physische Identität
• physiologische Identität
• genetische Identität
• psychische Identität
• wirtschaftliche Identität
• kulturellen Identität oder
• soziale Identität

Ein Dateisystem ist schließlich jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Dabei ist es unerheblich ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Jede Sammlung von Datenpunkten – und dazu können bereits Notizen und Schmierzettel, aber auch Karteikarten und verschlüsselte Dateien zählen, fallen unter ein Dateisystem. Wichtig: Die DSGVO gilt sowohl online als auch offline für jede Sammlung von Informationen über einen Menschen.

Kuriose Folgen der DSGVO

In der Öffentlichkeit werden vor allem die als negativ empfundenen Folgen der DSGVO wahrgenommen, also erhöhter Verwaltungsaufwand, weniger auswertbare Kundendaten oder die Not zum Datenschutzbeauftragten. Die Änderungen der DSGVO sind zu diesem Zeitpunkt allerdings noch lang nicht absehbar, was auch zu allerlei kuriosen Auswüchsen führt. Seien es Klingelschilder in Wien oder die Diskussion mit deutschen Landesdatenschutzbeauftragten über die Illegalität bei Facebook-Gewinnspielen oder WhatsApp-Nutzung an sich. Nicht alle – keineswegs alle – sind dabei ernst zu nehmen. Vielfach führt die Angst vor Abmahnungen bei der DSGVO auch zu allerlei Unsicherheiten und Überreaktionen Betroffener (oder nicht einmal Betroffener).

Denn durch die geänderte Gesetzeslage sollten öffentliche Stellen wie auch einzelne EU-Bürger eine ganz andere Handhabbarkeit gegen internationale Konzerne wie Google oder Facebook bekommen. Zahlen vom November 2018 zeigen allerdings Google, Facebook und Co als eigentliche Gewinner der DSGVO.

Bis November 2018 wurden über 1000 Beschwerden gemäß DSGVO in Österreich registriert. Bisher wurden jedoch nur drei Strafen verhängt. Die Unternehmen mussten zwischen 300 und 4.800 Euro zahlen. Ein Unternehmen aus Baden-Württemberg hingegen hatte das Pech und musste im November des vergangenen Jahres das erste deutsche Bußgeld gemäß DSGVO in Höhe von 20.000 Euro zahlen. Ein Hack hatte zum Verlust von über 300.000 Kundendaten geführt. Das Unternehmen wandte sich an die Landesdatenschutzbehörde und kooperierte mit dieser. Doch bei den Nachforschungen stellte sich – völlig unabhängig vom eigentlichen Fall – heraus, dass das Unternehmen die Passwörter seiner Kunden in einer einsehbaren Datei speicherte. Daraufhin erließ die Behörde das Bußgeld.

Nur zwölf Prozent sind DSGVO-konform

Leider stehen auch viele Unternehmen noch ganz am Anfang. Eine aktuelle Deloitte-Umfrage ergab, dass nur zwölf Prozent der österreichischen Unternehmen DSGVO-konform sind. Viele gerade kleine und mittelgroße Betriebe sehen den Arbeitsaufwand als unverhältnismäßig hoch an.

Eine positive Folge der DSGVO ist für die deutschen Nachbarn die Schufa. Diese Organisation kümmert sich um Bonitätsauskünfte beispielsweise bei Kreditanfragen – und es Daten bei der Schufa sind infolge der DSGVO jetzt kostenlos. EU-Bürger dürfen auf die Herausgabe ihrer personenbezogenen Daten bestehen, welchem die Schufa folgen muss. Bislang war das nur einmal jährlich als Kulanzleistung möglich.

Darüber hinaus gilt die DSGVO explizit nicht nur für Unternehmen sondern auch öffentliche Behörden in den Mitgliedsländern der EU. Staatliche Stellen sind mit dieser Verordnung also explizit eingeschlossen, wenn es um Datenschutzverstöße geht. Ein Einwohnermeldeamt durfte zwar auch vorher keine Daten seiner gemeldeten Personen verkaufen, aber das ist vorgekommen. Heutzutage hätten betroffene Bürger also wesentlich bessere Möglichkeiten, um gegen staatliche Stellen vorzugehen. Insofern kann die DSGVO sogar ein Hilfsmittel der Bürger gegen Behördenwillkür sein. Allerdings: Manche Behörden schlagen Alarm – ihnen ist die Anfragenlast zum Datenschutz zu viel.

Doch auch international könnte die Grundverordnung positive Strahlkraft haben, denn: Die DSGVO gilt als internationales Vorbild, das auch in den USA viel Lob findet. Bei den Kongress-Anhörungen von Mark Zuckerberg wurde mehrmals lobend auf die DSGVO eingegangen. Auch Japan plant ein ähnliches Datenschutzgesetz und will sich konkret an der DSGVO orientieren.

Fazit: 30 Monate später

Was ist die DSGVO? Obwohl sehr viel durch Medien, Politik und Gesellschaft geisternd, kennt sie kaum jemand so richtig. Zum Teil verspottet oder gefürchtet, hat sie heuer die Rolle der Gurkenkrümmungsverordnung übernommen und gilt vielen als Sinnbild für überbordende Bürokratie und staatlichen Kontrollwahn. Doch was ist ignorante Hetze, was gefährliches Halbwissen und was berechtigte Kritik?

Fakt ist, dass die DSGVO einen schlechten Ruf hat. Datenschutz ist inzwischen fast zum Schimpfwort geworden. Dieser Blogbeitrag soll auch nicht das Problem lösen, aber ruft auf zu Besonnenheit und Einsicht. Hat sich das Leben verschlechtert? Steht im Gesetzestext selbst etwas Schlechtes? Ist die DSGVO zum Nachteil der Bevölkerung? Alle drei Fragen müssen eigentlich verneint werden.

Die DSGVO verkompliziert einige Vorgänge. Die DSGVO macht es für kleine und mittelgroße Unternehmen nicht einfacher. Doch ist die Verordnung im Kern korrumpiert? Datenschützer verneinen das. Die Umsetzung, wie so oft, sei nur schlecht gehandhabt worden. (Christian Allner, 22.01.2019)

• Österreichs Fintechs im Aufwind?
• Human Resources: Der Mensch als Rohstoff?
• Was ist VPN und wozu ist es gut?