Die Gelddruckmaschine "Datenschutz"

Achtung! Der heutige Newsletter kann Ähnlichkeiten mit Polemik und Sarkasmus aufweisen. Das ist weder unbeabsichtigt noch ungewollt sondern der Sache geschuldet.

Datenschutz ist wichtig. Daran besteht kein Zweifel. Dennoch hat sich rund um den Datenschutz eine "Industrie" entwickelt, die mir manchmal wie die Lizenz zum Gelddrucken erscheint. Jeder Verantwortliche muss die Datenschutzgesetze einhalten, sonst drohen ihm Geldbußen, Abmahnungen, Schadenersatzklagen, im schlimmsten Fall sogar die persönliche Haftung des Geschäftsführers oder der Geschäftsführerin. Die Drohkulisse wird immer gerne ausgerollt, wenn es darum geht, Datenschutzleistungen zu verkaufen. Selten geht es dabei um eine materielle Verbesserung des Datenschutzes oder eine effektivere Nutzung von Daten im rechtlich zulässigen Rahmen. Meist geht es um die Erfüllung von Formalismen und das Abfassen schöner Verträge, die danach gerne in der Schreibtischschublade vor sich hingammeln dürfen. Dafür haben sie ordentliches Geld gekostet und sind deshalb besonders wirksam.

In Unternehmen dürfen Datenschutzbeauftragte ihren Dienst verrichten, die in mehrtägigen Schulungen zu wahren IT-Profis, Datenschutzrechtlern und Organisationsentwicklern herangereift sind. Eine ganze Industrie lebt davon, diese Druckbetankung für den Einwurf kleiner oder auch größerer Münzen vorzunehmen und die so gestressten Leute mit entsprechenden Zertifikaten zu entlassen. Anschließend dürfen diese Menschen als benannte Bedenkenträger in ihren Unternehmen wirken. Natürlich reicht die initiale Ausbildung nicht, um den Job wirklich ausfüllen zu können und so reiht sich ein Fortbildungsseminar an das andere. Zu sündhaften Preisen werden die immerwährend gleichen Inhalte an den Mann oder die Frau gebracht, damit am Ende in den Unternehmen die Webseiten immer noch Google Analytics, Cloudflare und sonstigen Kram verwenden und in Datenschutzerklärungen das seit Ewigkeiten beerdigte Privacy-Shield ein Leben nach dem Tode führt.

Besonders mag ich allerdings die teuren Fortbildungen, die sich mit zukünftigen rechtlichen Entwicklungen beschäftigen, bei denen die Tinte noch nicht mal aufs Papier aufgebracht wurde, um zu trocknen. Am Ende weiß man dann für viel Geld, dass man im Grunde doch noch nichts genaues sagen kann und dass es auf die Gerichte ankommt, wie die das dann in einigen Jahren sehen werden. Seit dem Inkrafttreten der DSGVO hat es ja auch nur fast 4 Jahre gedauert, bis wesentliche rechtliche Fragestellungen dem EuGH zur Beantwortung vorgelegt wurden. Dafür gab es aber in vielen Seminaren einen Haufen Spekulationen dazu. Ja, ja. Ich weiß. Das ist schon sehr überspitzt. Aber wozu gibt es eigentlich Gesetzeskommentare?

Am anderen Ende der Fahnenstange sind die Dumping-Angebote von automatisierten Datenschutzlösungen, bei denen künstliche Intelligenz übernehmen soll, was die biologische Intelligenz des Verantwortlichen nicht mehr zustande bringt. Das Drama um die Erstellung der formalen Datenschutzdokumentationen wie z.B. ein Verzeichnis der Verarbeitungstätigkeiten zeigt, dass die meisten Unternehmen keinen Plan haben, welche Daten eigentlich wo verarbeitet werden. Da helfen Datenschutzportale mit vielen vorgefertigten Vorschlägen auch dem letzten Verantwortlichen auf die Sprünge. Ach ja, die Daten haben wir ja auch noch. Schön sind auch die Datenschutzsysteme mit Erfolgsgarantie, die die Erlösung von allen Datenschutzpflichten versprechen für 45€ im Monat. Ein Stückweit gleicht das alles einem irren Ablaßhandel, der mit dem wahren Sinn von Datenschutz eigentlich nichts mehr zu tun hat. Für 45€ im Monat spreche ich Euch von allen Datenschutzsünden frei und ansonsten habt ihr einfach nicht genug gebetet.

Die DSGVO ist als ein Datengrundgesetz konzipiert worden, das nicht nur toxische Datenverarbeitung verhindern, Menschen schützen sondern eben auch notwendige - auch im wirtschaftlichen Sinne notwendige - Datenverarbeitung ermöglichen soll. Damit das Ganze aber funktionieren kann, muss mehr Augenmerk auf die praktische rechtskonforme Umsetzung der Datenverarbeitungen im Sinne der Geschäftsmodelle gelegt werden. Es fehlt nicht an Datenschutzbeauftragten, es fehlt an Datenschutzberatern! Mit dem notwendigen Fachwissen ausgestattet, gilt es die Geschäftsmodelle der Unternehmen zu verstehen und zusammen mit den IT-Verantwortlichen und Fachbereichen datenschutzkonforme Prozesse und Anwendungen zu konzipieren. Dazu gehört das Verständnis von Privacy by Design auf technischer und organisatorischer Ebene. Es braucht mehr Software-Entwickler, die Ahnung von datenschutzgerechten Architekturen und datensparsamen Vorgehensweisen haben und dies auch Umsetzen können. Es braucht Internet-Agenturen, die nicht immer wieder den gleichen datenschutzwidrigen Mist umsetzen und sich hinterher aus der Haftung stehlen.

Datenschutz darf keine Gelddruckmaschine für einen kleinen Kreis von Experten sein, die ihr Fachwissen versilbern. Wir müssen die Lücke zur praktischen IT-Gestaltung schließen und das operative Know-How im Umgang mit Daten im Allgemeinen und mit personenbezogenen Daten im Besonderen in den Unternehmen jeder Größe steigern. Dabei geht es nicht darum, die Datenverarbeitung zu verhindern sondern um das genaue Gegenteil. Das beste aus den Daten zu machen und dabei die Rechte der Betroffenen bestmöglich zu schützen. Letztlich hat das auch etwas mit Ethos zu tun.