Die DSGVO und die Realität - Ein Kommentar

Vom

Die DSGVO ist derzeit das wohl am meisten diskutierte Thema in den Medien. Wir haben's nun hautnah miterlebt und sehen einen Haufen Probleme auf uns zukommen. Die korrekte Umsetzung in der Praxis ist nicht ganz so einfach, wie man es sich vorstellen mag. Aber eine kurze Erläuterung, wie alles funktioniert, findet ihr hier

Auftragsdatenverarbeitung - auf Deutsch

Wir sind eine Werbeagentur. Wir brauchen für den Druck von Visitenkarten die Namen und die Telefonnummern der Mitarbeiter, deren Visitenkarten wir produzieren sollen. Hier reden wir über Daten, die unsererseits gespeichert werden und weitergegeben werden müssen, um unsere Dienstleistung zu erfüllen. Allein deshalb, weil wir die Druckdaten an die Druckerei übergeben.

Nun: Alles ist erledigt, die Visitenkarten sind gedruckt. Ein Jahr später kommt der Kunde wiederum auf uns zu, möchte für die selben Mitarbeiter neue Karten bestellen, allerdings hat sich die Adresse geändert - das Unternehmen ist umgezogen. Es wird kurz durch die Grafik nachgebessert, Daten gehen in den Druck, eine Woche später hat der Kunde sie in der Post.

Halt stop! So geht's aber nicht.

Sagt uns nun der Gesetzgeber. Erstens einmal möchten wir bitte dem Kunden mitteilen, bei welcher Druckerei das in den Druck geht. Kann ja wohl nicht sein, dass da einfach der Name und die Telefonnummer der Mitarbeiter an irgendwelche dahergelaufenen Drucker weitergegeben wird, die diese Daten nachher noch veruntreuen. Und denen soll als Auftragnehmer bitte auch genau diktiert werden, wie mit diesen Daten zu verfahren ist. Denen haben wir's gezeigt.

Zweitens: Ein Jahr später haben Sie die Daten noch?! So lang bleibt doch heutzutage kein normaler Mitarbeiter mehr beim selben Unternehmen! Sowas wird aber mal ganz fix gelöscht, sobald es zur Auftragserfüllung nicht mehr gebraucht wird. "Aber wir drucken doch ständig neue Karten nach. Ist doch alles schon gesetzt und fertig!" - sagen wir. "Blödsinn!" sagt der Gesetzgeber, "Das können Sie auch, wenn Sie die Karte anonymisieren!" - also wird's eben "Max Mustermann" - und die Telefonnummer fliegt auch raus. Beim zweiten Anlauf drucken wir also die Karten neu. Ein Zahlendreher hat sich eingeschlichen. Fällt aber erst beim Druck auf. "Ja seid ihr denn dumm?!" fragt uns der Auftraggeber. "Die Daten waren doch auf den alten Karten schon korrekt! Warum fummelt ihr dadran denn noch rum?"

Sie sehen, wo die Reise hin geht. Und es kommt noch besser.

Denn die Druckerei schickt uns eine Rechnung per Mail. Über die Karten, die wir haben drucken lassen. Damit wir die Rechnung auch dem Druckprodukt zuordnen können, ist ein kleines Bildchen vom Druckprodukt abgebildet. "Das kann ja wohl nicht wahr sein!" sagt uns der Gesetzgeber. Laut den Grundsätzen der ordnungsgemäßgen Buchführung (GDOB) mussten wir ein Verfahren einführen, in dem klar geregelt ist, dass E-Mails bei Eingang manipulationssicher gespeichert werden. Da wir uns ohnehin nicht im laufenden Jahr die Vorsteuer zurückholen, ist das für uns recht irrelevant. Da möchten wir gar keine Angriffsfläche bieten und  halten das alles sauber und regeln die Steuererklärung im Folgejahr. Aber: Wir sind zur Löschung verpflichtet. Zumindest, wenn zur Auftragsausführung keine personenbezogenen Daten mehr notwendig sind. "Aber die stehen doch auf der Rechnung auch noch drauf!" sagt der Gesetzgeber "und die ist doch in Ihrer Buchführung dokumentiert!" - "Nun..." sagen wir: "aber wir müssen doch diese Rechnung für's Finanzamt mindestens 10 Jahre verwahren. An welches Gesetz müssen wir uns denn nun halten?! An die DSGVO oder an die GDOB?" - Da sagt dann der Gesetzgeber nichts zu. Das ist dann nicht mehr sein Problem.

Nur ein Beispiel, aber viele weitere werden folgen

Es ist nur ein winziges Beispiel für einen Fall, bei dem es nicht einmal möglich ist, die Vorgaben gesetzeskonform einzuhalten. Entweder ich verstoße gegen das eine oder gegen das andere Gesetz. Das fiel uns bereits nach wenigen Tagen auf. Ich will gar nicht wissen, wie viele solcher schlafenden Deadlocks noch in der Praxis existieren, die einem Unternehmer das Leben schwer machen werden. Mal ganz abgesehen davon, dass die Fehlerquote aufgrund dieser Verfahren völlig durch die Decke gehen wird, weil nichts mehr an personenbezogenen Daten dauerhaft vorgehalten werden darf.

Es werden noch unzählige weitere folgen, die sich über hunderte Branchen erstrecken, die der Gesetzgeber bei seiner tollen DSGVO nicht bedacht hat.

Sind meine Daten denn nun sicherer?!

Das werden sich der eine oder andere Verbraucher fragen - oder auch nicht. Die maßlose Unfähigkeit der Leute, mit ihren eigenen Daten vertraulich umzugehen und ein Verständnis dafür zu entwickeln, wie das Internet funktioniert, scheint nicht zu bremsen - schon gar nicht durch die Gesetzgebung an der falschen Stelle. Menschen stellen sich dumm an. Sie verwenden Facebook, haben "private Alben", sie verwenden Microsoft Produkte und sie klicken sich durch Umfragen und "Persönlichkeitstests" bei sozialen Netzwerken. Zu blöd sind sie, Profiling-Systeme zu erkennen. Zu naiv sind sie, zu sehen, dass die Gesichtserkennungssoftware nur Futter für ihre Maschine braucht - am besten noch mit Namen, unter dem Vorwand, einem mitzuteilen, zu welcher ethnischen Gruppe man denn nun am meisten gehört.

Je mehr Papier ich einem Menschen unter die Nase halte, desto unwahrscheinlicher ist es, dass er es liest.

Das habe ich aus dem Versicherungswesen gelernt. Seit 2008 gibt es das Versicherungsvertragsgesetz. Dort ist unter anderem geregelt, dass der Kunde vor Vertragsabschluss alle vertragsrelevanten Daten, wie z.B. auch die Versicherungsbedingungen, erhalten muss. Das zeichnet er dem Vermittler auch gegen. Nun hat mein Kunde 120 Seiten Vertragswerk. Wer liest's? Richtig. Die Datenschutz- und Nutzungsbestimmungen muss man Leuten auch auf Webseiten im besten Fall direkt unter die Nase halten. Eine umfangreiche Datenschutzerklärung wird da Aufschluss bieten.

Dann mal gut, dass niemand im Internet auf "akzeptieren" klickt, bevor er nicht den gesamten Vertrag gelesen hat

Menschen mögen dumm sein, aber die EU ist noch viel dümmer. Es ist das alte Spielchen in der Politik. Dort sitzen vermehrt Lehrer und Juristen, welche ja bekanntlich die meiste Ahnung davon haben, wie das echte Leben in der Praxis so aussieht und wie man sich vernünftig verhält. Gerade Lehrer, die selbst unter den Beamten kaum Respekt ernten, machen sich Gedanken dazu, wie unsere Gesetze auszusehen haben? Und natürlich die guten Juristen, die nie um eine klare Aussage verlegen sind, nicht wahr?

Wie kann man nur glauben, dass dadurch, dass man Menschen mit Papier erschlägt, sich irgendetwas ändert? Menschen rauchen Zigaretten, auf deren Schachtel im wörtlichen Sinne der nahende Tod prophezeiht wird. Wenn immer noch nicht klar ist, dass Menschen sich nicht durch so etwas lenken lassen, dann muss man an denen zweifeln, die diese Verfahren ins Leben rufen.

"Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten."


- Albert Einstein

Ein Zitat, das selten eine größere Wahrheit inne hatte als in der heutigen Zeit. Unsere Politik versucht immer wieder das gleiche, erreicht dadurch nichts und erschwert uns allen lediglich eine vernünftige, kundenorientierte Arbeitsweise.

Wir verdienen Geld für unsere Kunden durch fortwährende Optimierungen

Wir analysieren viele AdWords Kampagnen und deren Ergebnisse "auf Herz und Nieren". Hier spielen eine Unzahl Faktoren eine Rolle. Wir müssen uns allerdings die Datensätze genau anschauen, um zu sehen, ob unsere Werbung auf die Zielgruppe angemessen ausgerichtet ist. Es sind zum Teil einfach personenbezogene Daten, die wir brauchen und eine Weile speichern müssen, um auch einfach einmal ein Bild von der Zielgruppe zu zeichnen und diese mit der Zielgruppe des Vorjahres zu vergleichen, um eine Entwicklung zu analysieren. Und hier hört's bei den Leuten in der Verwaltung auf.

Diese Menschen verstehen nicht, dass Werbung überlebenswichtig ist. Denen fliegt das Geld auf wundersame Weise auf's Beamtenkonto, und diese Menschen stellen sich vor, dass das beim Unternehmer genauso ist, nur mit ein paar mehr Nullen hinter den Beträgen. So empfinde ich zumindest die Wahrnehmung von uns Unternehmern gegenüber den Behörden. Und Werbung und Zielgruppenanalysen machen wir alle nur, damit wir noch reicher werden. Ausgesorgt haben wir ja ohnehin schon alle.

Und nu?!

Abwarten. Ich sehe bei der DSGVO wieder eine gute Absicht mit einer katastrophalen Ausführung. Nicht ein einziges mal setzt sich die Gesetzgebung mit denjenigen zusammen, die eine Praxistauglichkeit der gesamten Sache einfach einmal auf die Probe stellen. Es wird einfach "entschieden", von Leuten, die es besser wissen wollen als alle anderen. Hier spreche ich natürlich weder von den Lehrern, noch von den Juristen in der Politik. Diesen Berufsgruppen möchte man ja nun wirklich nicht diese Stereotype unterstellen.

Es wird wirklich Zeit, dass der Datenschutz auf eine intelligente Weise forciert wird. Facebook müsste einfach einmal "einen Fehler machen", und von den ganzen 14-17-jährigen Mädels die "privaten Fotoalben" versehentlich öffentlich machen. Dann würden wir schon sehen, wie lange es dauert, bis Menschen lernen (!), wie sie mit ihren Fotos und privaten Daten umgehen sollten.

Menschen lernen auch durch Schmerz. Und beim Thema Datenschutz anscheinend ausschließlich dadurch, weil es sie sonst einfach nicht interessiert. Bei den Instanzen, wo wirklich Schaden entsteht (Schufa, CreditReform, GEZ, etc.) und die Leute darüber fluchen, dass ihre Daten veruntreut werden, gibt es gesetzliche Ausnahmen. An allen anderen Stellen, wo es völlig irrelevant ist, macht man es dem Unternehmer schwer.

Datenschutz schafft man nicht dadurch, dass man die Unternehmer an kundenorientierter Arbeit hindert

Man schafft es dadurch, dass man in der Bevölkerung ein Bewusstsein dafür schafft, wie man mit Daten umzugehen hat. Kein Gesetz dieser Welt wird irgendetwas daran ändern, wie bereitwillig die Leute ihre Daten preisgeben. Im Gegenteil. Menschen gewöhnen sich lediglich daran, ungelesen lange Datenschutzerklärungen zu unterschreiben.

Wir brauchen einfach Menschen in der Politik, die genau das verstanden haben. Aber hier können wir auch direkt aufgeben. Das würde schließlich erfordern, dass wir dort intelligente Menschen mit Weitsicht und Kritikfähigkeit sitzen haben.