DS-GVO – Das Ende ist nah!

01.04.2018

Am 25.5.2018 tritt ein Gesetzeswerk in Kraft, dem man bereits heute ohne jeden Zweifel enorme Wirkung zusprechen kann. Leider besteht diese Wirkung zu einem guten Teil darin, mehr oder weniger begründete Angst vor dem kommenden Gesetz geschürt zu haben und noch mehr darin, dass sagenhaft viel Text produziert wurde, dem das Prädikat "Schwachsinn" gebührt.

Die zum Ende Mai kommende Gesetzeslage ist nun seit annähernd zwei Jahren bekannt: Der Text der europäischen Datenschutz-Grundverordnung wurde am 24.4.2016 veröffentlicht und wurde seit diesem Tage von vielen Menschen ausgelegt. Von kundigen und begabten Menschen und noch von viel mehr anderen.

Zu den kundigen und begabten gehört gewiss der Münsteraner Prof. Thomas Hoeren. Er hat bereits zum Termin der Veröffentlichung im Jahr 2016 die neue europäische Datenschutzverordnung zu "einem der schlechtesten Gesetze des 21. Jahrhunderts" gekürt. Das überbordende Werk sei "hirnlos" und die "größte Katastrophe des 21. Jahrhunderts".

Im zweiten Punkt widerspricht der Sicherheits-Berater – das noch junge Jahrhundert hat bereits weitaus größere Katastrophen vorzuweisen. Das Prädikat "hirnlos" kann der Verfasser aber auch als Nichtjurist an mancher Stelle nachvollziehen. Allein der Versuch der Beschäftigung mit dem Thema Informationspflichten, die die DS-GVO den adressierten Unternehmen auferlegt, lässt nach einiger Zeit den Verstand stillstehen. Auch das Nachdenken über die mögliche Wirkungsbreite des Zwanges zur Datenportabilität führt nicht unmittelbar zurück zum Pfad der geistigen Gesundung.

Nicht ganz das korrekte Wort ist "hirnlos" an der Stelle Informationspflichten. Wenn da im Artikel 12 DS-GVO zu lesen ist: "Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;" dann ist das nicht hirnlos, sondern eher dreist. Wenn der zum Datenschutz Verpflichtete so etwas liest, ist er (oder sie) ratlos. Präzise und transparent und klar und einfach? Wie geht das? Für den geneigten Abmahnanwalt dagegen dürfte das die Einladung zu einer ganz großen Runde "Im-Trüben-fischen" sein.

Kommen wir dann bei der Auslegung der DS-GVO zu den Beiträgen der weniger Begabten: Man darf es keinem Gewerbetreibenden verdenken, dass er viel Phantasie aufwendet, um zu versuchen, aus einer kommenden neuen Lage neues Geschäft zu entwickeln. Wenn aber ein Beratungsunternehmen, das angeblich seit Jahren auch bei Thema Datenschutz seine Kunden unterstützt und berät, in seiner Werbung feststellt:

  • "Wir halten es für ungünstig den Datenschutzbeauftragten durch einen internen Mitarbeiter zu besetzen.
  • Der für die Pflege der Daten Verantwortliche sollte nicht für die Meldung von Vorfällen verantwortlich sein.
  • Die persönliche Haftung des Datenschutzbeauftragten wird zu Konflikten zwischen den persönlichen Interessen und den Interessen des Unternehmens führen."

Dann mag man sich fragen, ob der Verfasser dieser steilen Thesen nicht hätte einen Korrekturleser einschalten sollen. Eventuell stand ein solcher aber tatsächlich nicht zur Verfügung. Da dieser Anbieter die Stellung des Datenschutzbeauftragten ab 62,50 im Monat auszufüllen gedenkt, dürfte eine recht knappe Decke an fachkundigem Personal in der Kalkulation enthalten sein.

Zwischenfazit: Es ist gewiss nötig, das Thema Datenschutz gesetzlich zu regulieren. Es ist nötig, staatlichen und privaten Institutionen rechtliche Vorgabe zum Umgang mit personenbezogenen Daten zu machen. Es ist vielleicht ebenso nötig, durch Geldbußen "von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs" die nötige "Management-Attention" herzustellen. Leider ist aber das ursprüngliche Ziel: "Schutz des Individuums" in einem schlecht gemachten Regelungswust untergegangen.

Was aus den viel zitierten Bußgeldern wird, muss die Zukunft zeigen. Selbst ohne juristischen Fachverstand könnte man beim Nachdenken über diese sagenhaft hohen Bußgelder, die die DS-GVO den Sündern verspricht, das Wort "Verhältnismäßigkeit" in den Sinn bekommen. Muss man tatsächlich glauben, dass ein Unternehmen für das Einleiten von Mineralöl in das Grundwasser maximal 50.000 Euro, für einen Verstoß gegen den Datenschutz angeblich aber 20 Millionen bezahlen muss und bezahlen wird? Man wird sehen.

Fazit:

Wer Gesetze achtet und Wurst mag, sollte bei der Zubereitung nicht zugegen sein. Die Wahrheit dieses Bonmots ist der DS-GVO anzumerken. Bei der Zubereitung gab es vermutlich sehr viel Geschacher und irgendwann auch Zeitdruck.

Es ist schade, dass es gelungen ist, Regelungen zu formulieren und zu verabschieden, die in vielen Fällen nur reichlich Arbeit ohne Mehrwert und sinnlos bedrucktes Papier zum Ergebnis haben werden. Dafür gibt es einige Kandidaten: zumindest in der deutschen, also der möglichst komplizierten und ängstlichen Auslegung von Gesetzestexten sind zum Beispiel die Datenschutz-Folgenabschätzung, die Datenportabilität und die Transparenzpflichten erlesene Kandidaten zum Motto "viel Lärm um nichts".

Zu einigen der schwierigen Themen gibt der Sicherheits-Berater im Weiteren Kommentar und Ratschlag.

Dennoch macht der Sicherheits-Berater der DS-GVO zum Schluss ein kleines Kompliment. In Artikel 32 hat der Gesetzgeber zur Sicherheit der Verarbeitung keine eigene Konstruktion erschaffen, sondern die Brücke zum Informationssicherheitsmanagement (ISMS) geschlagen. Das ist einfach nur vernünftig. WERNER METTERHAUSEN




Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de