DSGVO, GDPR & Co.

15.10.2018

Die DSGVO ist seit einigen Monaten in Kraft. Die öffentliche Aufregung hat sich etwas gelegt. Allerdings merken immer mehr kleinere Unternehmen, dass sie kaum in der Lage sind, wortwörtlich die DSGVO zu erfüllen. Bei großen Unternehmen mit viel Aktivitäten im Netz und per E-Mail-Marketing stapeln sich inzwischen die Anfragen. Während die kleineren Betroffenen zu wenig Ressourcen investieren können, ist das Problem bei den großen Unternehmen eher die heterogene Landschaft mit nahezu unzähligen Speicherorten. Eine Reihe von Anbietern setzen daher inzwischen auf Werkzeuge, die alle Speicher- und Anwendungsablagen durchsuchen, um teilautomatisiert Informationslandkarten zu produzieren. Die Klassifikation der Informationen, das Nachhalten und effektive Verwalten ist eine große Herausforderung, die allerdings das Thema Informationsmanagement (also in der Vergangenheit ECM und ähnliche Lösungen) wieder zu einem neuen Auftritt verhilft. Auch Forschungsprojekte wie an der Universität Konstanz versuchen inzwischen technische Lösungen für den Mittelstand zu schaffen, um die Identifizierung und Nachhaltung DSGVO-relevanter Informationen zu ermöglichen. Das Thema möglicher Abmahnungen wurde inzwischen durch erste Urteile eingedämmt. Die Datenschutzbehörden kommen auch kaum zum Abarbeiten und Prüfen von Anträgen, da die personelle Ausstattung dem nicht gewachsen ist.

Interessant ist, dass in anderen europäischen Staaten das Thema GDPR offenbar deutlich gelassener angegangen wird.

Aber noch interessanter sind die internationalen Auswirkungen der GDPR. In Kalifornien, "The California Consumer Privacy Act, 2018, schlägt eine ähnliche Richtung ein wie die GDPR (so die IAPP).

In Europa selbst sind einige Umsetzungen noch im Schwange. Wie wird Grossbritannien nach dem Brexit mit den GDPR umgehen? Wie tun dies assozierte EU-Mitglieder wie z.B. Norwegen und die Schweiz?

Die nächsten Jahre werden noch reichlich Stoff zum Thema Datenschutz liefern - angesichts zahlreiche Leaks und ergänzender Gesetze z.B. zum Schutz von Betriebsgeheimnissen, Vertraulichkeit usw. Und dies wird nicht nur die großen Suchmaschinen-, Shop- und Social-Media-Giganten im Web betreffen.

Zuletzt aktualisiert am 15.10.2018 , Autorenrechte, Persistente URL: https://www.project-consult.de/in_der_diskussion/dsgvo-gdpr-co

Kommentare

Ein Gastkommentar in der NZZ (9.10.18) von Dr. iur. Bruno Wildhaber weist darauf hin, dass die Informationssicherheit im Verhältnis zum Compliance-Anspruch total vernachlässigt wird, dies ist ein grober Fauxpas. Das EU-Datenschutzgesetz spiegelt so eine Scheinsicherheit vor. Wo bleibt da die informationelle Selbstbestimmung?

BW:
"Die Informationelle Selbstbestimmung hat dazu geführt, dass die Anwender heutzutage viel grosszügiger mit ihren Daten umgehen.
Der heutige Datenschutz fusst auf dem Persönlichkeitsrecht, genauer gesagt auf dem Prinzip der «Informationellen Selbstbestimmung»: Jede Person soll selbst darüber befinden können, was mit ihren Daten geschieht. Es ging in diesem höchstrichterlichen Entscheid aus dem Jahre 1983 um die Erfassung von Daten im Rahmen der Volkszählung in Deutschland. In jenem Jahr war die Datenverarbeitung mittels Lochkartenerfassung, Kernspeichern und waschmaschinengrossen Magnetspeichern die Regel. Die ersten Personalcomputer (PC) lauerten am Horizont, aber eine Datenverarbeitung im heutigen Stil konnten sich damals nur echte Utopisten vorstellen.
Ein technischer Vergleich mit den heutigen Rechnern erübrigt sich.Was viel wesentlicher ist, ist die Tatsache, dass sich seither die Informationsnutzung umfassend verändert hat. Zum Zeitpunkt des Volkszählungsentscheids bedeutete Datenverarbeitung Schwerstarbeit und wurde von den «EDV-Göttern in Weiss» durchgeführt .Die DSGVO basiert in ihrem Kern auf dem Stand der damaligen Technologie. Die betroffene Person wird zudem als Opfer der Datenhalter (Staat oder Grossunternehmen) dargestellt, die alles daransetzen, seine Persönlichkeitsrechte zu verletzen: der Staat als Täter, die Privatperson als Opfer.
Doch diese Opferrolle würden die meisten Nutzer von heute heftig bestreiten. Informationelle Selbstbestimmung im heutigen Kontext bedeutet eine Umkehrung der Gedanken der siebziger Jahre. Heute geht es darum, möglichst viele Daten publik zu machen, um einen möglichst hohen Nutzen zu erzielen. Es gibt offensichtliche Gründe, weshalb Personen persönliche Details auf sozialen Plattformen veröffentlichen oder ihre Profile auf Kaufportalen erfassen. Es geht um persönliche Vorteile, Profilierung, Gier und andere Nutzen. Das Rabattbüchlein ist heute elektronisch -es lebe die Digitalisierung!
Mit anderen Worten: Die Informationelle Selbstbestimmung hat dazugeführt, dass die Anwender heutzutage viel grosszügiger mit ihren Daten umgehen. Diese Tatsache kann man per Gesetz nicht ins Gegenteil verkehren. Sie stimmt aber genau mit dem Wesen und den Zielen der Informationsgesellschaft überein: Informationen müssen möglichst frei fliessen, damit ihr wirtschaftliches Potenzial freigesetzt wird. Ohne diesen Grundsatz wäre die Digitalisierung toter Buchstabe.
Tatsächlich geht das Datemchutzrecht nicht darauf ein, welchen Schutzes Personen bedürfen. die ihre gesamte Datenwelt freiwillig transparent machen. Das soll auf keinen Fall heissen dass Datenschutz überflüssig geworden wäre.. Die DSGVO geht jedoch von einem völlig einseitigen Kräfteverhältnis aus, und sie gewichtet die Bedrohungen falsch.
Deshalb ist Konsequenz gefragt
Der Datenschutz muss dann mit aller Konsequenz greifen, wenn Daten durch Unberechtigte (auch Private) freizügig verteilt oder widerrechtlich publiziert oder genutzt werden. Dies bedeutet, dass es möglich sein muss, solche Inhalte konsequent vom Netz zu nehmen oder sie zu blockieren. Da genügen Gesetze hingegen nicht, es braucht grundlegende Änderungen der Internetprotokolle zum Beispiel, die jederzeitige Nachvollziehbarkeit von Verlinkungen und die technische Umsetzung des Dateneigentums.
Die heute im Gesetz enthaltenen Mittel zur Kontrolle sind statisch, langsam, unkontrollierbar und spiegeln eine Scheinsicherheit vor. Wir haben es heute mit komplexen Systemen zu tun, denen man nur mit ähnlichen Methoden beikommen kann, wie sie die Anbieter selbst nutzen. Die Vernachlässigung der lnformationssicherheit in der DSGVO ist ein Fauxpas, der nicht hätte passieren dürfen."
(...)

vgl. auch den NZZ-Art. vom 25.5.18: https://informationgovernance.ch/nzz-beitrag-zur-dsgvo-mit-beitrag-krm/

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO

Neuen Kommentar schreiben

*
Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.