Datenschutz mit hoher Drehzahl

15.04.2018

Ein "Disclaimer" vorab: Der Autor dieses Beitrags ist bestimmt unverdächtig, ein Gegner von Datenschutz zu sein. Er war vor 40 Jahren einer der Gründer der GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) sowie ebenfalls Mitgründer der Fachgruppe externer Datenschutzbeauftragter in der GDD.

Aber das, was in den letzten Monaten passiert ist, erinnert an den Jahrtausendwechsel, als viele unsolide Geschäftemacher versuchten, Panik zu verbreiten, und weil niemand so ganz genau wusste, was mit der Datumsumstellung und der Software passiert, zumindest Ängste hatte, etwas falsch zu machen, war das Geschäft für viele leicht. Den Vogel schoss damals ein Hersteller von Aufzügen ab: Er bot seinen Kunden an, zusätzlich zum Wartungsvertrag für 2.000 bis 6.000 DM je Aufzugsteuerung, das Teil durch ein Update in der Steuerung jahrtausendfest zu machen.

Damals musste der Autor dieses Beitrags zunächst über die Chuzpe lachen. Tolle Geschäftsidee! Doch als er einmal hochrechnete, in welcher Höhe dadurch betrügerisch erwirtschaftete Umsätze erzielt werden würden, warnte er (damals auch schon Sicherheitsberater) seine Beratungskunden. Eigentlich hätte man Strafanzeige wegen versuchten Betruges stellen sollen. Alle Aufzüge dieser Firma hatten nämlich keine in der Steuerung befindliche Datumsabfrage, die funktional hätte von Bedeutung gewesen sein können. Das Angebot wurde auch für sehr alte Aufzüge, die rein mechanisch gesteuert wurden, unterbreitet …

Die gegenwärtige Situation ist nicht wesentlich anders. Das Vehikel Datenschutz und hier die alles in Aufregung versetzende Datenschutz-Grundverordnung, wird massiv genutzt, um Umsätze zu generieren. In der Werbung wird mit dem Argument der Millionenstrafen (bis zu vier Prozent des weltweiten Konzern-Jahresumsatzes!) gedroht oder dass man mit einem Bein im Strafverfahren stünde, wenn man dieses oder jenes an Investitionen unterließe.

Dieser Tage erreichte den Sicherheits-Berater eine E-Mail folgenden Inhalts:

"Wie verwalten Sie aktuell ihre Besucher (Techniker, TGA etc.) und Gäste in Ihren Rechenzentren und in Ihrem Firmengebäude? Besucherlisten, die auf einem Klemmbrett an einer Rezeption liegen, erfüllen nicht die Ansprüche der DSGVO.

Mit manuellen Prozessen ist es keine leichte Aufgabe sicherzustellen, das Ihr Unternehmen DSGVO-konform ist, aber wir von XY sind, beim Thema Besuchermanagement, der richtige Ansprechpartner für Ihr Unternehmen. Aktuell läuft unser System bei einem der großen Datacenterbetreiber in Deutschland. Wir möchten mit unserem Produkt zur Sicherheit aller Datacenter beitragen."
(Anmerkungen der Redaktion: Die fehlerhafte Interpunktion wurde übernommen, der Firmenname durch "XY" ersetzt).

Nun, die DSGVO ist ein gesetzgeberisches Monstrum. Aber in die Niederungen der Frage "Klemmbrett oder nicht?" ist sie nicht eingestiegen. Sie ändert auch nicht allzuviel gegenüber dem bewährten Bundesdatenschutzgesetz BDSG. Der Artikel 2 der DSGVO über den sachlichen Anwendungsbereich erwähnt das Klemmbrett nicht. Eine so geführte Liste fällt nur dann unter die Verordnung, wenn sie nicht manuell geführt, sondern automatisch gespeichert wird.

Selbst Anwaltskanzleien werben so skurril. So schreibt eine Kanzlei, dass auch ein Zahnarzt zu Millionenstrafen herangezogen werden könne, wenn er den Datenschutz z. B. durch Untätigkeit vernachlässigt. Ärzte, Steuerberater und Anwälte haben ganz andere Probleme, nämlich die strafbewehrte Berufsschweigepflicht. Da ist der Datenschutz nichts Neues.

Leider haben Landesdatenschutzbehörden die Übertreibungslawine losgetreten. Sie propagieren landauf und landab die beachtlichen Bußgeldandrohungen. Das ist unsolide und macht ihre Arbeit unglaubwürdig. Bei gravierenden Verstößen können, wie auch früher schon, Bußgelder verhängt werden. Diese dürfen nach deutschem Recht nicht unangemessen sein. Sie spiegeln ggf. wider, was durch Datenmissbrauch an Mehrgewinn erwirtschaftet wurde und natürlich auch, welcher Schaden entstanden ist. Es ist ähnlich wie im Kartellrecht. Und auch im Datenschutz besteht die Möglichkeit einer gerichtlichen Überprüfung. Deutschland ist ein Rechtsstaat. Es wird keine Behördenwillkür geben.

Leider ist das Datenschutzrecht sehr unübersichtlich. Inzwischen ist das Literaturvolumen fast so umfangreich wie zum Steuerrecht. Die Interpretationen werden immer feiner justiert. Und manchmal wundert man sich, worüber gestritten wird – oft ohne jegliche praktische Relevanz.

Diese Ausgabe des Sicherheits-Berater versucht, Hilfestellung für die Praxis zu geben. Es wird nichts so heiß gegessen, wie es gekocht wurde. RAINER VON ZUR MÜHLEN


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de