Reflexartig gegen Videoüberwachung

01.06.2018

Es ist überstanden! Oder doch noch nicht? Auf jeden Fall ist der 25. Mai vorüber und es sind an diesem gefürchteten Tag nicht Tausende von Kontrolleuren über Menschen und Unternehmen hergefallen und haben ihnen schwerste Verstöße gegen den Datenschutz nachgewiesen.

In den Tagen vor dem 25. Mai 2018 konnte man die Stimmung so beschreiben: Die EU hat eine riesige Kanone aufgebaut und die Spatzen sitzen davor und zittern.  Schießt die große Kanone namens DSGVO wirklich nur auf Facebook und Konsorten oder gibt es gewaltige Kollateralschäden im deutschen Mittelstand? Und droht dem zu allem Überfluss auch noch das Schreiben eines Abmahnanwalts, einer Spezies, deren Beliebtheit irgendwo zwischen Zecke und Ebola-Erreger anzusiedeln ist?

Ursache für diese Befindlichkeit in den letzten Wochen war vor allem, dass die Einführung der DSGVO dem politischen Vorgehen folgte, das sich schon in der Flüchtlingskrise bewährt hatte. Zuerst wird ein großes Ziel gesteckt: damals "wir müssen den Menschen helfen", heute: "wir müssen die Informationsgesellschaft im Griff behalten". Anschließend lässt die Regierung die Menschen, die das umsetzen sollen und die Menschen, die es ausleben, alleine im Regen stehen. Wo im Fall A der Stadtkämmerer mal eben 5.000 Flüchtlinge beherbergen und versorgen soll, da soll im Fall B der Maschinenbauer mal eben erforschen, was die DSGVO denn eigentlich für sein Unternehmen bedeutet. Und der Ehrenamtliche im Sportverein darf sich überlegen, ob die Excel-Liste, in der er notiert, wer von den Zugezogenen noch ein wenig Deutschunterricht bräuchte, ein schwerer Verstoß gegen irgendetwas aus der DSGVO ist.

Sehr clever war auch der unauffällige deutsche Schachzug, Datenschutz als Ländersache zu belassen. Wenn man die Bundesdatenschutzbeauftragte zu einer Art "Datenschutz-BSI" ausgebaut hätte und nur "Außenstellen" in den Ländern belassen hätte, die sich dort mit dem behördlichen Datenschutz befassen, dann hätte es vielleicht eine leistungsfähige Beratungs- und Meldestelle für die DSGVO gegeben. Diese hätte mit ein wenig Rückgrat zum Beispiel rechtzeitig verkünden können, dass Vereine, Ehrenamtliche und Kleingewerbetreibende frühestens bei Nichtbefolgung von Weisungen Bußgelder zu erwarten haben. Das hätte eine Menge Ruhe im Land gestiftet.

Hat man aber alles nicht und so lauten die erste Befunde: Wir sind immer noch ratlos und was sollte das alles nun? Abertausende von Datenschutzerklärungen gedichtet, die niemand außer Abmahnanwälten liest und noch mehr Zeug zum Wegklicken online gestellt. Dazu intern riesiger Aufwand,  um die Verarbeitungen formvollendet zu dokumentieren. Ein gewaltige Verschwendung von Geld und Lebenszeit. Schön, dass wenigstens Max Schrems mit seiner Organisation noyb.eu gegen Google und Co. antritt.

Der Sicherheits-Berater zeigt bekanntlich nicht nur Probleme auf, er bemüht sich auch stets um Lösungen. Beim Datenschutz besteht eine Lösung zur Vermeidung übermäßigen Aufwands nach Überzeugung des Verfassers darin, zwischen personenbezogenen Daten erster und zweiter Klasse zu unterscheiden. Daten erster Klasse sind die "echten". Das, was der Hausarzt über uns weiß und speichert, was wir nach Feierabend leider meistens bei Google und nicht bei Startpage suchen oder was die Personalabteilung des Unternehmens bearbeitet. Mit falschem Umgang mit diesen Daten könnten tatsächlich "Interessen oder Grundrechte und Grundfreiheiten" (Art. 6 DSGVO) verletzt werden.

Daten zweiter Klasse sind all das, was unter dem üblichen beruflichen Pseudonym passiert. ich@firma.de mit einer dienstlichen Telefonnummer und einer Firmenadresse kann als berufliches Pseudonym der Privatperson ich@allerweltsprovider.de angesehen werden.

Wenn man diese Sicht einnimmt, dann sind in vielen Unternehmen 90 Prozent der Verarbeitungen völlig unkritisch. Kein Eingriff ins Persönlichkeitsrecht ist denkbar. Was hier noch zu regeln und ggf. zu verhandeln ist, betrifft Arbeitsrecht und Mitbestimmung, nicht aber den Datenschutz. Dementsprechend kann der Aufwand zur Dokumentation dieser Verarbeitungen recht überschaubar bleiben. Man ist zum Beispiel weitab von der immer noch unklaren Verpflichtung zu einer Datenschutz-Folgenabschätzung. Garantiert nicht nötig, weil solche "halb-pseudonymen" Daten kein "hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringen werden.

Auch der Aufwand bei der Nachweispflicht kann sehr in Grenzen gehalten werden. Wenn in einem  ERP-System nur die dienstlich vergebenen Anmeldedaten und berufliche Kontaktdaten von Kunden und Lieferanten (-Mitarbeitern) verarbeitet werden, dann ist das Urteil des Wirtschaftsprüfers genug auch für den Datenschutz. Er prüft die Umsetzung des "need to know" und wenn das ordentlich umgesetzt ist, dann sollte auch der Datenschützer zufrieden sein.

Und nun beruhigen wir uns alle wieder. Den Rest zur DSGVO werden wir erfahren, wenn Richter Recht gesprochen haben und Urteile uns den Weg weisen. Das wird dauern. WERNER METTERHAUSEN




Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de