Aktuelle rechtliche Grundlage des Datenschutzes ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Sie gilt seit 2018 und wurde mit dem Zweck beschlossen zu verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Das klingt vage und ist auch so vage gemeint. Warum?

Die meisten Gesetze, mit denen man in Berührung kommt, sind normativ: sie geben genau vor, was zu tun oder zu lassen ist. Ein Beispiel aus dem Alltag:

Zum Parken ist der rechte Seitenstreifen, dazu gehören auch entlang der Fahrbahn angelegte Parkstreifen, zu benutzen, wenn er dazu ausreichend befestigt ist, sonst ist an den rechten Fahrbahnrand heranzufahren.

§ 12 Abs. 4 Satz 1 STVO

Wer diese Vorschrift kennt, muss sich bei der Anwendung in der Regel keine Gedanken machen, warum das Parken nur an den genannten Stellen erlaubt ist. Es ist in normativen Gesetzen einfach so festgelegt.

Im Gegensatz dazu ist die Datenschutz-Grundverordnung in weiteen Teilen prinzipienorientiert: sie enthält viele Grundsätze, die beachtet werden müssen, ohne im Text selbst genau festzulegen, wie sie im Detail umgesetzt werden müssen. Diese Details muss derjenige, der personenbezogene Daten verarbeiten will, auf Basis seines Verständnisses der Grundsätze selbst erarbeiten und entwickeln.

Was die DSGVO nicht enthältWas die DSGVO stattdessen vorgibt
vorgegebene Muster für eine Datenschutzbelehrungbetroffene Personen müssen über die Datenverarbeitung und ihre Rechte belehrt werden (Art. 13 und 14 DSGVO)
Entscheidungsschema und Whitelist für die Interessenabwägungdie Interessenabwägung muss die berechtigten Interessen des Unternehmens mit denen der betroffenen Personen abwägen (Art. 6 DSGVO)
Formulierungsvorgabe für EinwilligungenEinwilligungen müssen eindeutig und transparent formuliert werden (Art. 4 und 7 DSGVO)
Vorgaben für komplexe Passwörter, SSL-Verschlüsselung, Rechtemanagementzum Schutz der Daten müssen technische Maßnahmen auf dem Stand der Technik ergriffen werden (Art. 24 und 25 DSGVO)

Wäre das Parken in der Straßenverkehrsordnung ähnlich prinzipienorientiert formuliert, würde es dem Autofahrer wohl nur die Pflicht übertragen, beim längerfristigen Abstellen das Fahrzeug so abzustellen, dass der restliche Verkehr nicht behindert wird. Es wäre dann am Fahrer zu entscheiden, was das im konkreten Einzelfall bedeutet.

Diese prinzipienorientierten Vorschriften des Datenschutzes sollen transformatorischen, also verändernden Charakter haben. Sie sollen dazu führen, dass Unternehmen sich grundsätzlich auf eine bestimmte Art und Weise verhalten, wenn es um personenbezogene Daten geht. Da die Verarbeitung personenbezogener Daten heutzutage nicht mehr wegzudenken ist und alle Beziehungen mit Stakeholdern (d.h. Kunden, Lieferanten, Mitarbeiter, Gesellschafter, Behörden etc.) davon betroffen sind, führt die konsequente Umsetzung des Datenschutzes zwangsläufig zu Anpassungen in fast allen Kern- und Nebentätigkeiten eines Unternehmens.

Warum wurden die Bestimmungen vage gehalten? Damit die Datenschutzregeln für alle Branchen und alle Situationen, in denen Daten verarbeitet werden, gleichermßanen funktionieren können. Die EU-Gremien haben sich dazu entschlossen, ein einzelnes Regelwerk zu schaffen, das in allen EU-Mitgliedsstaaten (mit wenigen Ausnahmen) gleich funktioniert. Von den Grundregeln her soll für Apotheke und für Bäcker, für Hedge Fonds und für Kaninchenzüchtervereine, für Automobilkonzerne und für Tech Startups dasselbe gelten.

Die unbestimmten Regelungen dürfen aber nicht darüber hinwegtäuschen: ihre Nichtbeachtung kann existenzbedrohende Folgen haben. Den Datenschutzbehörden steht ein umfangreicher Katalog an Sanktionsmöglichkeiten zur Verfügung, der neben erheblichen Bußgeldern auch Handlungs-, Löschungs- und Untersagungsverfügungen, Widerruf von Zertifizierungen und Verbot der Übermittlung von Daten an Dritte enthält. Zusätzlich darf auch jede einzelne Person, deren Daten entgegen der Datenschutzregeln verarbeitet werden, zivilrechtlich dagegen vorgehen und Schadensersatz sowie Schmerzensgeld einklagen.

Die Kombination aus Regeln, die primär Grundsätze festlegen und vor Details zurückschrecken, verbunden mit empfindlichen Sanktionierungsmöglichjeiten hat zwei wichtige Folgen:

  • Wer sich nachweislich nachhaltig und im zumutbaren Umfang bemüht, die Prinzipien der Datenschutz-Grundverordnung zu beachten, kann dafür nicht bestraft werden, selbst wenn es einmal zu einem Datenleck kommt.
  • Wer nur das Mindeste tut, nur Checklisten abarbeitet und Datenschutz nur als einmalig zu erledigende Aufgabe versteht, wird es im Konfliktfall mit den Aufsichtsbehörden oder mit betroffenen Personen schwer haben, nicht in finanzielle und ggf. auch wirtschaftliche Notlage zu geraten.

Ein laufendes Datenschutzmanagement, dass kontinuierlich Auswirkungen auf die Geschäftstätigkeit hat und getroffene Entscheidungen und Abwägungen umfassend dokumentiert, ist daher für jedes Unternehmen unersetzlich. Denn nur so kann der oben genannte Nachweis gegenüber den Behörden und den betroffenen Personen erbracht werden.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.