Worum es beim Datenschutz eigentlich geht
Aktuelle rechtliche Grundlage des Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie gilt seit 2018 und wurde mit dem Zweck beschlossen zu verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Das klingt vage und ist auch so vage gemeint. Warum?
Die meisten Gesetze, mit denen man in Berührung kommt, sind normativ: sie geben genau vor, was zu tun oder zu lassen ist. Ein Beispiel aus dem Alltag:
Zum Parken ist der rechte Seitenstreifen, dazu gehören auch entlang der Fahrbahn angelegte Parkstreifen, zu benutzen, wenn er dazu ausreichend befestigt ist, sonst ist an den rechten Fahrbahnrand heranzufahren.
§ 12 Abs. 4 Satz 1 STVO
Wer diese Vorschrift kennt, muss sich bei der Anwendung in der Regel keine Gedanken machen, warum das Parken nur an den genannten Stellen erlaubt ist. Es ist in normativen Gesetzen einfach so festgelegt.
Im Gegensatz dazu ist die Datenschutz-Grundverordnung in weiteen Teilen prinzipienorientiert: sie enthält viele Grundsätze, die beachtet werden müssen, ohne im Text selbst genau festzulegen, wie sie im Detail umgesetzt werden müssen. Diese Details muss derjenige, der personenbezogene Daten verarbeiten will, auf Basis seines Verständnisses der Grundsätze selbst erarbeiten und entwickeln.
| Was die DSGVO nicht enthält | Was die DSGVO stattdessen vorgibt |
|---|---|
| vorgegebene Muster für eine Datenschutzbelehrung | betroffene Personen müssen über die Datenverarbeitung und ihre Rechte belehrt werden (Art. 13 und 14 DSGVO) |
| Entscheidungsschema und Whitelist für die Interessenabwägung | die Interessenabwägung muss die berechtigten Interessen des Unternehmens mit denen der betroffenen Personen abwägen (Art. 6 DSGVO) |
| Formulierungsvorgabe für Einwilligungen | Einwilligungen müssen eindeutig und transparent formuliert werden (Art. 4 und 7 DSGVO) |
| Vorgaben für komplexe Passwörter, SSL-Verschlüsselung, Rechtemanagement | zum Schutz der Daten müssen technische Maßnahmen auf dem Stand der Technik ergriffen werden (Art. 24 und 25 DSGVO) |
Wäre das Parken in der Straßenverkehrsordnung ähnlich prinzipienorientiert formuliert, würde es dem Autofahrer wohl nur die Pflicht übertragen, beim längerfristigen Abstellen das Fahrzeug so abzustellen, dass der restliche Verkehr nicht behindert wird. Es wäre dann am Fahrer zu entscheiden, was das im konkreten Einzelfall bedeutet.
Diese prinzipienorientierten Vorschriften des Datenschutzes sollen transformatorischen, also verändernden Charakter haben. Sie sollen dazu führen, dass Unternehmen sich grundsätzlich auf eine bestimmte Art und Weise verhalten, wenn es um personenbezogene Daten geht. Da die Verarbeitung personenbezogener Daten heutzutage nicht mehr wegzudenken ist und alle Beziehungen mit Stakeholdern (d.h. Kunden, Lieferanten, Mitarbeiter, Gesellschafter, Behörden etc.) davon betroffen sind, führt die konsequente Umsetzung des Datenschutzes zwangsläufig zu Anpassungen in fast allen Kern- und Nebentätigkeiten eines Unternehmens.
Warum wurden die Bestimmungen vage gehalten? Damit die Datenschutzregeln für alle Branchen und alle Situationen, in denen Daten verarbeitet werden, gleichermßanen funktionieren können. Die EU-Gremien haben sich dazu entschlossen, ein einzelnes Regelwerk zu schaffen, das in allen EU-Mitgliedsstaaten (mit wenigen Ausnahmen) gleich funktioniert. Von den Grundregeln her soll für Apotheke und für Bäcker, für Hedge Fonds und für Kaninchenzüchtervereine, für Automobilkonzerne und für Tech Startups dasselbe gelten.
Die unbestimmten Regelungen dürfen aber nicht darüber hinwegtäuschen: ihre Nichtbeachtung kann existenzbedrohende Folgen haben. Den Datenschutzbehörden steht ein umfangreicher Katalog an Sanktionsmöglichkeiten zur Verfügung, der neben erheblichen Bußgeldern auch Handlungs-, Löschungs- und Untersagungsverfügungen, Widerruf von Zertifizierungen und Verbot der Übermittlung von Daten an Dritte enthält. Zusätzlich darf auch jede einzelne Person, deren Daten entgegen der Datenschutzregeln verarbeitet werden, zivilrechtlich dagegen vorgehen und Schadensersatz sowie Schmerzensgeld einklagen.
Die Kombination aus Regeln, die primär Grundsätze festlegen und vor Details zurückschrecken, verbunden mit empfindlichen Sanktionierungsmöglichjeiten hat zwei wichtige Folgen:
- Wer sich nachweislich nachhaltig und im zumutbaren Umfang bemüht, die Prinzipien der Datenschutz-Grundverordnung zu beachten, kann dafür nicht bestraft werden, selbst wenn es einmal zu einem Datenleck kommt.
- Wer nur das Mindeste tut, nur Checklisten abarbeitet und Datenschutz nur als einmalig zu erledigende Aufgabe versteht, wird es im Konfliktfall mit den Aufsichtsbehörden oder mit betroffenen Personen schwer haben, nicht in finanzielle und ggf. auch wirtschaftliche Notlage zu geraten.
Ein laufendes Datenschutzmanagement, dass kontinuierlich Auswirkungen auf die Geschäftstätigkeit hat und getroffene Entscheidungen und Abwägungen umfassend dokumentiert, ist daher für jedes Unternehmen unersetzlich. Denn nur so kann der oben genannte Nachweis gegenüber den Behörden und den betroffenen Personen erbracht werden.
Trackbacks & Pingbacks
[…] Wie wir hier ausgeführt haben, soll der Datenschutz verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Grundgedanke des Datenschutzes ist daher: Jeder soll wissen, was mit seinen Daten passiert, und Daten sollen im Regelfall nicht entgegen der Interessen der jeweiligen Person verarbeitet werden. Bei Cookies besteht die Herausforderung, dass sie regelmäßig ohne das Wissen des Website-Besuchers gespeichert oder ausgelesen werden. Die meisten Menschen wissen nicht einmal, dass es Cookies gibt, geschweige denn was sie bedeuten. […]
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!