Datenschutz besser richtig
Friday, May 25th, 2018Es wirkt auf den ersten Blick beeindruckend, dass sich die EU dazu durchringen konnte eine teilweise sehr strenge Datenschutzgrundverordnung zu erlassen. Doch das Ergebnis erscheint mir aus mehreren Gründen höchst fragwürdig.
Überblick
Die DSGVO schafft keine klaren Regeln. Die rechtlich nötigen Abwägungen sind ebenso komplex wie ihre Effektivität ungewiss ist. Die technischen und administrativen Anforderungen überfordern kleine Datenverarbeiter_innen und stellen sie dadurch unter Druck ihre Datenverarbeitung großen Konzernen zu überlassen. Das weiterhin völlig ignorierte Problem der proprietären Software konterkariert die sonst strengen Auflagen. Zusätzlich lässt das SHIELD-Abkommen weiterhin Praktiken zu, die klar dem Zweck des Datenschutzes widersprechen. Die Zentralisierung der Sammlung von personenbezogenen Daten wird mit der DSGVO unterm Strich sogar noch verstärkt und so das Problem einer unterschiedlichen Behandlung von Einzelpersonen gemäß beliebiger Selektoren vergrößert.
Erschwerend kommt noch hinzu, dass die Besonderheiten einer Arbeit mit Ehrenamtlichen offenbar nicht bedacht wurden. Ehrenamtliche sind weder Kunden, noch Angestellte. Sie sind nicht weisungsgebunden, arbeiten aber trotzdem mit. Welche Rechte und Pflichten sollen für sie gelten?
Wir tauschen mit der DSGVO den vielleicht unerwünschten Bettelbrief eines kleinen lokalen Vereins gegen eine vollständige Analyse unserer täglichen Aktivitäten und den Weiterverkauf der Erkenntnisse an all jene, die für diese Daten bezahlen wollen. Wir können jedenfalls nicht erwarten, dass die DSGVO uns davor schützt Aufgrund unserer protokollierten Aktivitäten unfreiwillig unterschiedlich behandelt zu werden. Leider führt das nicht nur dazu, dass uns je nach Wohlstand und Lebensstil unterschiedliche Produkte und Preise gezeigt werden. Auch Regierungen behandeln auf diesem Weg ihre Bürger_innen gezielt unterschiedlich. Das ist kein kein abschreckendes Schauermärchen, sondern auch in Österreich längst gelebter Alltag. Es ist beispielsweise längst normal, dass Parteien Facebook dafür bezahlen Menschen unterschiedliche Botschaften anzuzeigen – je nachdem welche frei wählbaren Attribute auf sie zutreffen. Und Facebook darf laut DSGVO als Unternehmen im SHIELD-Abkommen weitermachen, wie bisher.
Sowohl die Datenschutzanforderungen als auch die Rechtsunsicherheit und das Ausmaß der möglichen Strafen können praktisch nur von riesigen Konzernen bewältigt werden. Deswegen kann die neue Datenschutzgrundverordnung nur den Effekt haben, dass immer mehr personenbezogene Daten vernetzt ausgewertet werden und wir als Einzelpersonen immer weniger Chancen haben uns dieser systematischen Durchleuchtung und automatisierten Klassifizierung zu entziehen.
Eine theoretisch starke Grundlage
Laut DSGVO ist die Verarbeitung personenbezogener Daten (Namen, Adressen, Telefonnummern, Nutzungsprofile, etc.) grundsätzlich verboten. Das ist ein wesentlicher Fortschritt weil Datenschutz damit zur Grundvoraussetzung wird. Es macht jede Verarbeitung persönlicher Daten zu einer Ausnahme, die gut begründet sein muss. Personenbezogene Daten dürfen demnach nur unter bestimmten Voraussetzungen verarbeitet werden. Alle müssen dokumentieren wie sie welche Daten erheben, verwalten, absichern und verwenden und sie müssen auch darlegen aufgrund welcher Ausnahmen sie der Meinung sind das tun zu dürfen. Zusätzlich muss das den betroffenen Personen rechtzeitig, unübersehbar und gut verständlich kommuniziert werden.
Rechtsunsicherheit
Die Stärke der Konzeption von Datenschutz als Grundvoraussetzung ist leider auch gleichzeitig eine beachtliche Schwäche: Erst Gerichte entscheiden im Streitfall ob eine argumentierte Begründung für die Ausnahme vom Verbot personenbezogene Daten zu verarbeiten akzeptiert wird. Das schafft Rechtsunsicherheit für all jene, die auf die Verarbeitung personenbezogener Daten angewiesen sind. Es gibt nämlich dadurch keine klaren Vorgaben, deren Einhaltung sicherstellen könnte nicht bestraft zu werden. Datenverarbeiter_innen müssen ihre Aktivitäten erklären und darlegen aufgrund welcher Rechtsbasis sie meinen das alles tun zu dürfen. Das bevorzugt natürlich große Konzerne, die eigene Technik- und Rechtsabteilungen einrichten können, um ihr Risiko zu minimieren. Kleinere Unternehmen oder Vereine können diesen Zusatzaufwand nicht leisten. Es gibt mittlerweile viele tausende Seiten zur DSGVO, die eigentlich alle kennen und verstehen müssten, die persönliche Daten verarbeiten. Zusätzlich äußern Expert_innen zur DSGVO widersprüchliche Auffassungen darüber welche Maßnahmen notwendig sind.
Technische Anforderungen
Egal ob eine engagierte Bürgerin Unterschriften für eine Petition sammelt oder ob ein Konzern eine neue App herausgibt, die Gesprächsdaten weltweit auswertet. Die Datenschutzanforderungen sind für alle gleich. Ist es sinnvoll oder realistisch zu erwarten, dass eine Person, die sich zivilgesellschaftlich engagiert, zuerst mit Lösch- und Informationsvorschriften befasst, technisch entsprechende Routinen umsetzt und juristisch haltbar argumentiert wieso sie die gesammelten Unterschriften auf die detailliert durchgeplante Weise verwenden darf? Kann sie realistisch eine technische Zuverlässigkeit ihrer Datenverarbeitungslösung im Qualitätsausmaß von Google gewährleisten? Können wir von ihr erwarten jederzeit innerhalb kürzester Zeit auf Anfrage eine Komplettaufstellung aller Daten über eine einzelne Person ausfolgen zu können?
Wir alle haben Unmengen von E-Mails und es ist auch im Prinzip möglich eine Liste mit allen einzelnen Nachrichten zu erstellen. Doch wenn die Kommunikation mehr als nur wenige Nachrichten umfasst und eventuell andere Kommunikationskanäle wie Telefon oder Messenger-Dienste im Einsatz waren, ist es uns nur unter großem Aufwand – und vermutlich nicht lückenlos – möglich diese Daten zusammenzustellen. Das wäre nur über eine völlige Zentralisierung all dieser Kommunikationskanäle mit vertretbarem Aufwand realisierbar. Eine Datenbestandsabfrage kann schnell zum Alptraum werden wenn wir sie ernst nehmen und nicht nur lapidar antworten, dass wir natürlich irgendwo in irgendeiner Form alle Nachrichten haben, die sie uns über verschiedene Kanäle geschickt hat. Ähnlich unrealistisch erscheint mir die Anforderung all diese Daten zuverlässig löschen zu können.
Wenn die Datenschutzauflagen tatsächlich ernst genommen werden, dann sind sie unvereinbar mit der gängigen Praxis. Bei großen Konzernen ist es noch irgendwie vorstellbar, dass es ihnen gelingt mit großen Teams Prozesse zu entwickeln, die DSGVO-konform sind. Die meisten Vereine können noch nicht mal eine Systemadministration finanzieren. Kleine Datenverarbeiter_innen haben meiner Einschätzung nach zum Beispiel keine Chance die Verfügbarkeitsanforderungen der Infrastruktur oder Informations- und Löschpflichten technisch umzusetzen, da in vielen Hinsichten keine Software mit den dafür nötigen Funktionen existiert. Datenschutzberater_innen empfehlen daher jetzt tatsächlich die Nutzung zentralisierter Datensammler wie Google. Unabhängige Lösungen erscheinen ihnen als zu gefährlich weil sie erkennen, dass die Datenschutzanforderungen klein strukturiert nicht praktikabel erfüllbar sind.
Privatverfahren
Der Umstand, dass laut DSGVO Privatpersonen wegen Datenschutzverletzungen selbst dann Schadenersatzforderungen einklagen können wenn ihnen kein messbarer Schaden aus der Verletzung ihrer Datenschutzrechte entstanden ist, lässt befürchten, dass dies eine Flut von Privatklagen aus beliebigen Gründen verärgerter Personen provoziert. Wer einem Unternehmen schaden will, kann zu diesem Zweck absichtlich Kontakt herstellen und dann seine Auskunftspflicht in Anspruch nehmen und die Löschung beantragen. Das allein wäre in vielen Fällen sicher schon eine erhebliche administrative Belastung. Wenn dann auch noch eine Klage hinzukommt weil die Person eine Lücke finden konnte, ist auch die Verwicklung in einen Prozess möglich, der durch die potenzielle Strafhöhe leicht einem Vernichtungsschlag gleichkommen kann.
Strafhöhenbemessung
Großkonzerne wie Google können nur Strafen von bis zu maximal 4 Prozent ihres Jahresumsatzes bekommen während selbst kleine Vereine mit einer Maximalstrafe von bis zu 20 Millionen Euro bedroht sind, die meist über das Zehntausendfache ihres Jahresumsatzes bedeuten. Das ist eine extreme Bevorzugung multinationaler Konzerne und behindert kleine Strukturen. Kleine Vereine werden mit dem Ruin und einer lebenslangen persönlichen Verschuldung des Vorstandes bedroht während große Konzerne schlimmstenfalls reduzierte Profite machen.
SHIELD-Abkommen
Laut DSGVO dürfen weiterhin Dienste von amerikanischen Unternehmen genutzt werden, die das SHIELD-Abkommen unterzeichnet haben. Darunter sind die ganz großen Unternehmen wie Facebook und Google, von denen bekannt ist, dass ihr Geschäft auf dem Handel mit personalisierten Daten basiert. Wie glaubwürdig ist eine Datenschutzmaßnahme, die nicht nur weiterhin den Betrieb genau jener Infrastrukturen erlaubt, die vermutlich der Anlass für den Wunsch waren ernsthafte Datenschutzgesetze zu erlassen, sondern die dazu führt, dass Datenschutzbeauftragte jetzt sogar von Alternativen zu globalisierten Diensten abraten müssen wenn sie ihre Klient_innen nicht der Gefahr aussetzen wollen Geldstrafen in vernichtenden Höhen zu bekommen? Wie kann gerechtfertigt werden, dass trotz DSGVO andere Leute weiterhin meine Kontaktdaten an Facebook übermitteln dürfen obwohl ich noch nicht mal auf Facebook bin? Ist es nicht genau diese Art unerwünschter Datenverarbeitung, die verhindert werden soll? Eine kleine NGO, die mir eventuell einen unerwünschten Newsletter schickt, ist aus meiner Sicht ein wesentlich kleineres Problem als ein weltumspannendes Verarbeitungssystem, das meine online-Aktivitäten praktisch lückenlos dokumentiert und die daraus gewinnbaren Rückschlüsse vermarktet.
Das SHIELD-Abkommen kann die unerwünschte Vermarktung von personenbezogenen Daten nicht behindern weil es sonst unmöglich wäre, dass genau jene Unternehmen im SHIELD-Abkommen sind, deren Haupteinnahmequelle die Vermarktung ebendieser Daten ist. Wer sich eine Rechtsabteilung leisten kann, die entsprechende Verträge aushandelt, kann offensichtlich weiter tun, was die DSGVO vermeintlich verhindern soll. Anders ist auch nicht erklärbar, dass zwar Facebook und Windows als kompatibel gelten aber ein Verschlüsselungsservice wie Signal nicht. Eine eigene Anwendung, deren Daseinsberechtigung verschlüsselte Kommunikation ist, entspricht nicht der DSGVO während ein System, das für den Handel mit personenbezogenen Daten bekannt ist, unproblematisch sein soll. Dabei tun beide nominell das Selbe: Sie verarbeiten personenbezogene Daten auf Servern außerhalb der EU. Freilich in wesentlich unterschiedlichem Umfang. Doch erstaunlicherweise gilt die beliebige Nutzung von vielfältigen Daten als weniger problematisch als die nur sehr gezielte Nutzung von wenigen Daten.
Riesige blinde Flecken
Wenn die DSGVO tatsächlich zum Ziel hat uns allen die Möglichkeit einzuräumen mehr Kontrolle über die Verarbeitung personenbezogener Daten zu auszuüben, dann ist es völlig absurd die großen Probleme zu ignorieren, die von proprietärer Software ausgehen. Nur Freie Software ermöglicht eine zuverlässige unabhängige Kontrolle der Abläufe in den eingesetzten Programmen. Uns weiterhin blind auf den bloß versprochenen Datenschutz in proprietärer Software zu verlassen, ist angesichts immer wieder aufgedeckter Skandale absurd. Wenn wir Datenschutz ernst nehmen wollen, können wir keine Software akzeptieren, die geheim hält, was in ihr passiert. Weder Geräte mit Windows, OSX, iOS noch Android erlauben uns eine echte unabhängige Kontrolle. Nur wenn wir eine lückenlos freie GNU/Linux-Distribution wie Trisquel einsetzen, haben wir wenigstens die Chance ausschließlich Werkzeuge zu nutzen, von deren Vertrauenswürdigkeit wir uns überzeugen konnten. Freilich setzt das voraus, dass wir nicht irgendeine Hardware kaufen und schon im Vorfeld Komponenten wählen, für die freie Treiber verfügbar sind.
Unterm Strich habe ich den Eindruck, dass gutgemeint nicht gutgemacht ist. Es zeichnet sich ab, dass die DSGVO in der Praxis zu mehr zentralisierter Datenverarbeitung (hauptsächlich in den USA) führt und kleine Unternehmen und Vereine gefährdet bzw. schwer belastet.
Dass die österreichischen Regierung plant die Datenschutzbehörde ohnehin nur Warnungen aussprechen zu lassen und niemanden bestrafen zu dürfen, verstößt höchstwahrscheinlich gegen EU-Recht.