4 Jahre: DSGVO hat immer noch ein Verständnisproblem

Die EU-DSGVO trat 2018 an, um den Umgang mit personenbezogenen Daten in der gesamten europäischen Union einheitlich zu regeln. Ziel war und ist für mehr Verantwortungsbewusstsein in Unternehmen zu sorgen. Während sich seitdem Firmen blockiert fühlen, sind Nutzer genervt.

Zum Vierjährigen werden anstelle von Glückwünschen, Rufe nach einem Update laut. Oft basieren vermeintliche Probleme aber auf mangelnden Verständnis. Vieles ließe sich mit einer besseren Kommunikation lösen. Mit Anmerkung der Redaktion.

Anzeige
 Während sich Firmen von der DSGVO blockiert fühlen, sind Nutzer genervt. Zum 4jährigen wird daher ein Update gefordert. Oft würde aber einfach eine bessere Kommunikation helfen (Bild: via Canva Pro).

Auch nach vier Jahren erschließt sich für viele der Sinn der DSGVO nicht. Die Datenschutz-Grundverordnung sollte Privatpersonen die Hoheit über ihre Daten zurückgeben. Vereinfacht gesagt, sollte es Unternehmen verboten werden, Schindluder mit personenbezogenen Daten zu treiben. Das heißt, keine unerlaubte Verarbeitung bzw. gewinnbringende Geschäfte damit zu machen.

Im Alltag finden viele Betroffenen aber nicht, dass ihre Daten nun besser geschützt sind. Vielmehr sind sie genervt von ständigen Cookie-Abfragen. Dies ist unter anderem das Ergebnis einer YouGov-Umfrage im Auftrag von GMX und WEB.DE. Für Jan Oetjen, Geschäftsführer von web.de und GMX ist es im Datenzeitalter durchaus ein wichtiger Grundsatz den Nutzern die Hoheit über ihre Daten zu geben: »Die DSGVO hat jedoch im Alltag der Verbraucher zu einer hohen Verbreitung von Datenschutz-Hinweisen und Einverständnis-Formularen geführt. Dies fördert die Klick- und Ankreuzmüdigkeit und senkt die Aufmerksamkeit für den Schutz wirklich wichtiger, persönlicher Daten. Daher ist es nach vier Jahren Zeit zu entbürokratisieren.«

So finden 48 Prozent der Befragten, dass in Standardfällen, wie der Aufnahme von Namens- und Adressdaten beim Arzt, nicht jedes Mal eine Einwilligung gefordert werden sollte. »Man sollte darüber nachdenken, unterschiedliche Datenklassen zu schaffen«, fordert Oetjen. »Für Namens- und Adressdaten zum Beispiel, die überall verarbeitet werden müssen, wäre es deutlich einfacher, klare Standards zu definieren, denen man widersprechen kann. Dann müsste man nicht überall die gleichen Fragen beantworten.«

Cookie-Banner nerven

Im Internet sorgt die DSGVO besonders häufig für Frust: 53 Prozent der Befragten sind von den immer wiederkehrenden Cookie-Bannern genervt. Nur zwölf Prozent gewinnen durch die Erläuterungen und Auswahlmöglichkeiten ein Gefühl von Selbstbestimmung über ihre Daten. Trotz der umfangreichen Cookie-Hinweise, wünschen sich 39 Prozent der Internet-Nutzerinnen und -Nutzer mehr Transparenz darüber, welche Daten erhoben werden. 38 Prozent wollen nicht nach einem Einverständnis für Cookies gefragt werden, die ohnehin für die Internet-Nutzung technisch erforderlich sind, beispielsweise für die richtige Darstellung einer Webseite oder das Funktionieren von Warenkörben.

Datenschutz: Entbürokratisierung eine Überlegung wert

Nun würde es durchaus Sinn machen, den Datenschutz, wie von GMX-Chef Oetjen angeregt, zu entbürokratisieren. Allerdings benötigen Standard-Cookies keine Einwilligung. Werden keine Daten erhoben, ist keine Einwilligung erforderlich. Die nervigen Cookie-Consent-Einblendungen sind notwendig, weil die Webseiten noch zusätzliche Daten abfragen möchten, und dafür wird eine Zustimmung benötigt. Zudem ist es so, dass die USA aus Sicht des EU-Datenschutzes ein unsicheres Drittland ist. Dies führt dann zu Kapriolen, dass eine Webseite nicht ohne weiteres Google-Fonts nutzen kann und YouTube-Videos auch nur mit Einwilligung eingeblendet werden dürfen. Aufsichtsbehörden sehen hier eine Gefahr. Den Nutzern ist es in diesem Fall meist egal, dass ihre IP-Adresse auf einem US-Server verarbeitet wird.

Achim Berg, BitkomAchim Berg, Bitkom In einer zunehmend digitalen Welt sind wir laut Bitkom-Präsident Achim Berg gut beraten, den Datenschutz entsprechend wertzuschätzen. Das war auch das Ziel der DSGVO, die am 25. Mai seit nunmehr vier Jahren europaweit gilt. Doch den Anspruch, die europäische Datenschutzgesetzgebung und Datenschutzpraxis zu vereinheitlichen, hätte die Verordnung bislang allenfalls in Teilen erreicht. Deswegen benötigt die deutsche Lesart der DSGVO vier Jahre nach Geltungsbeginn der Verordnung ein Update: »In einer aktuellen Bitkom-Studie geben zwar 37 Prozent der Unternehmen ab 20 Beschäftigten in Deutschland an, dass die DSGVO ein internationaler Wettbewerbsvorteil sei, aber 40 Prozent sehen in ihr keinen Vorteil – und 18 Prozent sogar einen Nachteil.« Zwei Drittel (64 Prozent) berichten, dass der Datenschutz ganz konkret die Umsetzung datengetriebener Geschäftsmodelle in ihrem Unternehmen hemme.

Bitkom möchte DSGVO nachjustieren

Der Digitalverband Bitkom fordert, zur Auflösung der bestehenden Zielkonflikte an drei Stellen nach zu justieren: »Erstens müssen wir den Datenschutz an realen Gefahren orientieren, nicht an theoretischen Risiken«, argumentiert Berg. »Wenn zum Beispiel Lehrerinnen und Lehrern der Einsatz von funktionierenden und bewährten Videokonferenzsystemen an Schulen allein deshalb verboten wird, weil die Anbieter in den USA sitzen, dann jagen wir einem Phantom hinterher. Keine US-Behörde wird sich für den Mathematikunterricht einer Berliner Grundschule interessieren. Datenschutzbehörden sollten sich auf reale Risiken konzentrieren. Und wo das geltende Recht die Datenschutzbehörden zwingt, Entscheidungen zu treffen, die nicht den realen Risiken entsprechen, muss der gesetzliche Rahmen vor diesem Hintergrund neu diskutiert und angepasst werden. Zweitens und damit zusammenhängend, muss der Datenschutz stärker mit anderen Grundrechten abgeglichen werden, etwa dem Recht auf Bildung oder auf dem Recht auf körperliche Unversehrtheit. Und drittens brauchen wir einen einheitlichen, gemeinsamen Rechtsrahmen und eine einheitliche Interpretation des Datenschutzes auf europäischer Ebene, aber mindestens in ganz Deutschland.«

Damit spricht Berg eine generelle Grundproblematik der deutschen DSGVO-Umsetzung an: Wir leisten uns nicht nur eine Bundesbehörde, sondern 16 weitere in jedem Bundesland, die oftmals eine eigene Meinung vertreten und die Verordnung nicht einheitlich auslegen. »In zentralen Fragen sorgen solche unterschiedlichen Auslegungen für eine zusätzliche Verunsicherung von Unternehmen sowie Verbraucherinnen und Verbrauchern und schaden letztlich auch dem Datenschutz und seiner Akzeptanz«, sagt Berg.

Zudem fordert der Bitkom, dass die Aufsichtsbehörden nicht nur Verbote aussprechen und Strafen verhängen, sondern auch konkrete Umsetzungshilfen liefern sollten. Hier sollte die Politik die Aufsichtsbehörden stärker in die Pflicht nehmen. »Deutsche Unternehmen gehen davon aus, dass ihr Geschäftserfolg immer stärker auf Daten basiert«, erklärt Berg. »So sagen aktuell sieben Prozent, dass ihr Business ausschließlich oder sehr stark von datengetriebenen Geschäftsmodellen abhängt. Mit 14 Prozent erwarten sogar doppelt so viele Unternehmen, dass dies in zwei Jahren der Fall sein wird. Damit würde schon in naher Zukunft jedes siebte deutsche Unternehmen sein Kerngeschäft auf Daten aufbauen. Wir müssen Datenschutz und Datenökonomie zusammen denken, nur so können wir die deutsche Wirtschaft zukunftsfest machen – und damit die Grundlage für Arbeitsplätze und Wohlstand legen.«

Datenschutz krankt oft an der mangelnden Kommunikation

Für Datenschützer ist der Ruf, alles sei zu streng und realitätsfern nicht neu. In der Praxis gibt es jedoch kaum Verbote. Das oft angeführte Argument, der Datenschutz würde Projekte und Prozesse verhindern, lässt sich in der Praxis kaum belegen. Meist liegt es an einzelnen Verantwortlichen und Datenschutzbeauftragten (DSB), die eine ablehnende Ansicht vertreten bzw. etwas blockieren. Mit einer besseren Aus- und Fortbildung der DSBs wäre schon viel geholfen.

Stephan Hansen-Oest, Fachanwalt für IT-Recht und Datenschutz-GuruStephan Hansen-Oest, Fachanwalt für IT-Recht Hinzukommt auch ein Kommunikationsproblem: »Datenschutzbeauftragte werden gerne auch einmal nicht oder nicht hinreichende Informationen zu einem Projekt gegeben«, erklärt Stephan Hansen-Oest, Rechtsanwalt mit Spezialisierung auf Datenschutz und IT-Recht. »Wenn hier besser kommuniziert werden würde, wäre in vielen Fällen auch die oder der Datenschutzbeauftragte zu dem Ergebnis gekommen, dass die gewünschte Verarbeitung zulässig ist bzw. mit kleineren Anpassungen zulässig gemacht werden kann.«

Auch Laurent Strauss, Chief Cybersecurity Strategist bei Micro Focus, sieht nicht, dass der Datenschutz den geschäftlichen Erfolg mindere: »Der Datenschutz schützt Daten, die sich auf echte Menschen beziehen und von echten Menschen stammen. Der Schutz von digitalen Daten dient dem Schutz der eigenen, ganz persönlichen Privatsphäre. Besonders in Krisenzeiten und Ausnahmesituationen darf der Datenschutz also nicht zu kurz kommen – er dient als essenzieller Regulator und Schutzschirm der Bevölkerung, zu der jeder einzelne Mensch zählt. Denn Vertrauen in sichere Lösungen ist die wichtigste Basis in unserem Jahrhundert des digitalen Lebens – Vertrauen in den sicheren Umgang mit den Daten.«

Moderne Technologie: Nicht Problem, sondern Lösung

Mit der umfassenderen Einführung von Remote-Work in den letzten zwei Jahren, einer wachsenden Anzahl von IoT-Geräten und damit immer komplexeren IT-Landschaften steigt auch die Anzahl möglicher Bedrohungsszenarien an. Security-Operations-Center (SOCs) haben laut Strauss alle Hände voll zu tun und holen sich immer mehr Hilfe von KI-Technologien, die im Idealfall bereits praxiserprobt sind. Dazu gehören unter anderem statistisches Lernen, Anomalie-Erkennung und Natural Language Processing (NLP). Aktuelle und neu entstehende Vorschriften verschiedener Staaten in Bezug auf ethische und verantwortungsvolle KI (z. B. China, EU, Kanada) sollen sich auch auf Cybersicherheitssysteme auswirken und Anbieter zu mehr Transparenz zwingen. Strauss rechnet hier mit einer Zertifizierungsdiskussion in der Cybersicherheits-Branche, um auch unterschiedliche regionale Vorschriften einzuhalten.

Datenschutzbedenken treiben Wandel voran

»Datenschutzbestimmungen, die lediglich ein staatliches Instrument sind, um zu kontrollieren, wie Unternehmen mit personenbezogenen Daten umgehen, reichen nicht mehr aus«, meint Micro-Focus-Manager Strauss. »Verärgerte Social-Media-Nutzer, die mehr Sensibilität fordern, könnten letztendlich Dreh- und Angelpunkt für eine positive Veränderung sein. Fragen im Zusammenhang mit dem Schutz der Privatsphäre und dem Vertrauen werden in den Vordergrund rücken und Unternehmen dazu ermutigen, sich auf den Datenschutz zu konzentrieren, anstatt weiterhin personenbezogene Daten zu nutzen und darauf zu warten, dass Regierungen handeln.« Die EU-DSGVO sei lediglich ein gesetzlicher Rahmen, den es immer wieder zu aktualisieren gelte. Um das Vertrauen ihrer Nutzer zu stärken, sollten Anbieter selbst aktiv werden und die Regularien voll ausschöpfen, um ein maximales Maß an Sicherheit zu bieten.

DSGVO: Die Grenzen sind fließend

Generell hilft miteinander zu sprechen. Kritik kommt meist von Firmen, die keinen aktiven Datenschutz betreiben. Unternehmen, die ihren Datenschutzbeauftragten von Anfang an in Projekte mit einbeziehen, haben es in der Regel leichter. Auch die vielbeschworenen Strafen, sind eigentlich wenig bedrohlich, wenn man sich an die Regeln hält. Das heißt, gründlich alle Prozesse, Überlegungen und Vorgehensweisen schriftlich dokumentieren. Sollte tatsächlich ein Datenleck auftreten, gilt es, schnell zu reagieren. Sollten Behörden einen Grund für Nachbesserungen sehen, erhalten Unternehmen genug Zeit sich zu erklären und um eventuell nachzubessern. Erst wenn man dann nicht tätig wird oder tatsächlich grob fahrlässig gehandelt hat, drohen Bußgelder. Unternehmen können die DSGVO als Fahrbahn verstehen, auf der sie sich frei bewegen können. Die Grenzen sind wie im realen Leben fließend und irgendwann ist auch der breiteste Standstreifen zu Ende. Darüber hinaus kann eine Weiterfahrt denkbar, problematisch bis hin zu unmöglich werden. Geschäftsleiter sollten sich im Zweifel lieber einmal mehr als zu wenig beraten lassen.

Anmerkung der Redaktion

Karl Fröhlich, Chefredakteur speicherguide.de und DatenschutzbeauftragterKarl FröhlichVier Jahre DSGVO. Ehrlich gesagt, mir kommt es schon viel länger vor. Einerseits hat sich viel getan, andererseits tritt der Datenschutz auf der Stelle. Vorträge, Pressestellen und Medien heben gerne den Zeigefinger und Mahnen angesichts möglicher Strafen und bereits verhängter Bußgelder. Als Redakteur habe ich Verständnis, dass Bußgelder eine Vorlage und ein Ankerpunkt für einen Artikel sind.

Als Datenschutzbeauftragter sage ich, die Strafen kassieren vor allem Unternehmen, die fahrlässig gehandelt haben oder diese bewusst in Kauf nehmen. So dürfte es Twitter klar gewesen sein, dass es nicht erlaubt ist, Telefonnummern und E-Mail-Adressen zu Werbezwecken zu verkaufen, die eigentlich nur zur Absicherung der Accounts erhoben wurden. Gleichzeitig dürfte die Strafzahlung von 150 Millionen US-Dollar den Gewinn, den Twitter mit dem Adresshandel erwirtschaftet hat, kaum schmälern.

Für Unternehmen bedeutet dies letztendlich, kenne das Risiko und wäge eine mögliche Strafzahlung gegen den zu erwartenden Gewinn ab. Zumal, und dies ist meine eigentliche Kritik, Unternehmen bei einem Datenschutzverstoß in der öffentlichen Wahrnehmung kaum Schaden erleiden. Aufgrund dieser Praktiken müssten wir Nutzer nun eigentlich Twitter in Scharen verlassen. Tun wir aber nicht, mich eingeschlossen.

Den meisten Internetnutzern ist es schlicht egal, was mit ihren Daten geschieht. Cookie-Einblendungen werden schnell weggeklickt. Aktuelle Umfragen decken dies zwar nicht ab, aber gefühlt behaupte ich, dass der generelle Tenor der Betroffenen nach vier Jahren lautet, »die DSGVO nervt«. Anstelle von, »cool, ich habe Rechte, ich kann mich wehren, meine Daten dürfen nicht einfach ungefragt verarbeitet werden…«, heißt es: »blöde Cookie-Banner, sch**ß Zettelwirtschaft«.

Das hätte sich mit einer durchdachten Aufklärungskampagne verhindern lassen. In der Pflicht sehe ich hier die Politik und die Aufsichtsbehörden. Die einen haben das Gesetz auf den Weg gebracht, die anderen sorgen für die korrekte Umsetzung. Vor allem die Bevölkerung hätte von Anfang verstehen sollen, dass der Datenschutz für sie etwas Positives ist. So blieb in erster Linie das Gemaule von Firmenvertretern hängen, die natürlich nur den Mehraufwand und zusätzliche Kosten gesehen haben. Dass sich in der Umsetzung vieles erst entwickeln musste, hat auch nicht geholfen.

Es gibt jedoch auch Lichtblicke. Mittlerweile darf ich drei kleine Unternehmen betreuen, die den Datenschutz direkt in neue Projekte integrieren und mitdenken. Und dies sogar freiwillig, ohne dass ich mich vorher mahnend einbringen muss. Vielleicht sollten wir hier mehr über erfolgreiche Projekte als Umsetzungshilfen berichten und weniger über Bußgelder und Fehlerverhalten. Die hier veröffentlichten Anwenderberichte zeigen ja auch auf, wie es gehen könnte und warum IT-Verantwortliche sich für die ein oder andere Lösung entschieden haben.

Wie läuft es in Ihrem Unternehmen mit dem Datenschutz? Wird die DSGVO eher als lästiges Übel gesehen oder bereits als sinnvolle Maßnahme gelebt? Ich freue mich auf Ihre Kommentare.

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.