DSGVO, GDPR & Co.
15. Oktober 2018 09:13 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Die DSGVO ist seit einigen Monaten in Kraft. Die öffentliche Aufregung hat sich etwas gelegt. Allerdings merken immer mehr kleinere Unternehmen, dass sie kaum in der Lage sind, wortwörtlich die DSGVO zu erfüllen. Bei großen Unternehmen mit viel Aktivitäten im Netz und per E-Mail-Marketing stapeln sich inzwischen die Anfragen. Während die kleineren Betroffenen zu wenig Ressourcen investieren können, ist das Problem bei den großen Unternehmen eher die heterogene Landschaft mit nahezu unzähligen Speicherorten. Eine Reihe von Anbietern setzen daher inzwischen auf Werkzeuge, die alle Speicher- und Anwendungsablagen durchsuchen, um teilautomatisiert Informationslandkarten zu produzieren. Die Klassifikation der Informationen, das Nachhalten und effektive Verwalten ist eine große Herausforderung, die allerdings das Thema Informationsmanagement (also in der Vergangenheit ECM und ähnliche Lösungen) wieder zu einem neuen Auftritt verhilft. Auch Forschungsprojekte wie an der Universität Konstanz versuchen inzwischen technische Lösungen für den Mittelstand zu schaffen, um die Identifizierung und Nachhaltung DSGVO-relevanter Informationen zu ermöglichen. Das Thema möglicher Abmahnungen wurde inzwischen durch erste Urteile eingedämmt. Die Datenschutzbehörden kommen auch kaum zum Abarbeiten und Prüfen von Anträgen, da die personelle Ausstattung dem nicht gewachsen ist.
Interessant ist, dass in anderen europäischen Staaten das Thema GDPR offenbar deutlich gelassener angegangen wird.
Aber noch interessanter sind die internationalen Auswirkungen der GDPR. In Kalifornien, „The California Consumer Privacy Act, 2018, schlägt eine ähnliche Richtung ein wie die GDPR (so die IAPP).
In Europa selbst sind einige Umsetzungen noch im Schwange. Wie wird Grossbritannien nach dem Brexit mit den GDPR umgehen? Wie tun dies assozierte EU-Mitglieder wie z.B. Norwegen und die Schweiz?
Die nächsten Jahre werden noch reichlich Stoff zum Thema Datenschutz liefern – angesichts zahlreiche Leaks und ergänzender Gesetze z.B. zum Schutz von Betriebsgeheimnissen, Vertraulichkeit usw. Und dies wird nicht nur die großen Suchmaschinen-, Shop- und Social-Media-Giganten im Web betreffen.
DSGVO & Informationssicherheit: eine Sicht aus der Schweiz
Ein Gastkommentar in der NZZ (9.10.18) von Dr. iur. Bruno Wildhaber weist darauf hin, dass die Informationssicherheit im Verhältnis zum Compliance-Anspruch total vernachlässigt wird, dies ist ein grober Fauxpas. Das EU-Datenschutzgesetz spiegelt so eine Scheinsicherheit vor. Wo bleibt da die informationelle Selbstbestimmung?
BW:
„Die Informationelle Selbstbestimmung hat dazu geführt, dass die Anwender heutzutage viel grosszügiger mit ihren Daten umgehen.
Der heutige Datenschutz fusst auf dem Persönlichkeitsrecht, genauer gesagt auf dem Prinzip der «Informationellen Selbstbestimmung»: Jede Person soll selbst darüber befinden können, was mit ihren Daten geschieht. Es ging in diesem höchstrichterlichen Entscheid aus dem Jahre 1983 um die Erfassung von Daten im Rahmen der Volkszählung in Deutschland. In jenem Jahr war die Datenverarbeitung mittels Lochkartenerfassung, Kernspeichern und waschmaschinengrossen Magnetspeichern die Regel. Die ersten Personalcomputer (PC) lauerten am Horizont, aber eine Datenverarbeitung im heutigen Stil konnten sich damals nur echte Utopisten vorstellen.
Ein technischer Vergleich mit den heutigen Rechnern erübrigt sich.Was viel wesentlicher ist, ist die Tatsache, dass sich seither die Informationsnutzung umfassend verändert hat. Zum Zeitpunkt des Volkszählungsentscheids bedeutete Datenverarbeitung Schwerstarbeit und wurde von den «EDV-Göttern in Weiss» durchgeführt .Die DSGVO basiert in ihrem Kern auf dem Stand der damaligen Technologie. Die betroffene Person wird zudem als Opfer der Datenhalter (Staat oder Grossunternehmen) dargestellt, die alles daransetzen, seine Persönlichkeitsrechte zu verletzen: der Staat als Täter, die Privatperson als Opfer.
Doch diese Opferrolle würden die meisten Nutzer von heute heftig bestreiten. Informationelle Selbstbestimmung im heutigen Kontext bedeutet eine Umkehrung der Gedanken der siebziger Jahre. Heute geht es darum, möglichst viele Daten publik zu machen, um einen möglichst hohen Nutzen zu erzielen. Es gibt offensichtliche Gründe, weshalb Personen persönliche Details auf sozialen Plattformen veröffentlichen oder ihre Profile auf Kaufportalen erfassen. Es geht um persönliche Vorteile, Profilierung, Gier und andere Nutzen. Das Rabattbüchlein ist heute elektronisch -es lebe die Digitalisierung!
Mit anderen Worten: Die Informationelle Selbstbestimmung hat dazugeführt, dass die Anwender heutzutage viel grosszügiger mit ihren Daten umgehen. Diese Tatsache kann man per Gesetz nicht ins Gegenteil verkehren. Sie stimmt aber genau mit dem Wesen und den Zielen der Informationsgesellschaft überein: Informationen müssen möglichst frei fliessen, damit ihr wirtschaftliches Potenzial freigesetzt wird. Ohne diesen Grundsatz wäre die Digitalisierung toter Buchstabe.
Tatsächlich geht das Datemchutzrecht nicht darauf ein, welchen Schutzes Personen bedürfen. die ihre gesamte Datenwelt freiwillig transparent machen. Das soll auf keinen Fall heissen dass Datenschutz überflüssig geworden wäre.. Die DSGVO geht jedoch von einem völlig einseitigen Kräfteverhältnis aus, und sie gewichtet die Bedrohungen falsch.
Deshalb ist Konsequenz gefragt
Der Datenschutz muss dann mit aller Konsequenz greifen, wenn Daten durch Unberechtigte (auch Private) freizügig verteilt oder widerrechtlich publiziert oder genutzt werden. Dies bedeutet, dass es möglich sein muss, solche Inhalte konsequent vom Netz zu nehmen oder sie zu blockieren. Da genügen Gesetze hingegen nicht, es braucht grundlegende Änderungen der Internetprotokolle zum Beispiel, die jederzeitige Nachvollziehbarkeit von Verlinkungen und die technische Umsetzung des Dateneigentums.
Die heute im Gesetz enthaltenen Mittel zur Kontrolle sind statisch, langsam, unkontrollierbar und spiegeln eine Scheinsicherheit vor. Wir haben es heute mit komplexen Systemen zu tun, denen man nur mit ähnlichen Methoden beikommen kann, wie sie die Anbieter selbst nutzen. Die Vernachlässigung der lnformationssicherheit in der DSGVO ist ein Fauxpas, der nicht hätte passieren dürfen.“
(…)
vgl. auch den NZZ-Art. vom 25.5.18: https://informationgovernance.ch/nzz-beitrag-zur-dsgvo-mit-beitrag-krm/
Übersicht GDPR-Status in den Ländern der EU
Bei d.velop gibt eine kleine Übersicht, wie es um die Umsetzung der GDPR/DSGVO in den anderen Ländern der EU steht: http://bit.ly/EUstatusGDPR
Kleines Update zur DSGVO / GDPR
> Erste Verurteilung wegen DSGVO gegen „Knuddels“ http://bit.ly/DSGVO-Knuddels
>> Entwurf zum zweiten Gesetz zur Anpassung des Datenschutzes an die EU Datenschutzgrundverordnung DSAnpUG http://bit.ly/DSAnpUG2
>>> Landgericht Wiesbaden: DSGVO-Verstöße sind nicht von Wettbewerbern nach UWG abmahnbar http://bit.ly/DSGVO-Urteil
>>>> Alle deutschen Gesetze jetzt vollständig im Internet verfügbar http://bit.ly/OffeneGesetze
Informationen, welche das Informationsmanagement betreffende Gesetze in 2018 hinzukamen und in 2019 zu erwarten sind in unserem Update Information Management 2019 http://bit.ly/UpdateIM19web
#DSGVO #DSAnpUG #GDPR
Zweites Datenschutz-Anpassungsgesetz
Die DSGVO erlebt in Gestalt des Zweiten Datenschutz-Anpassungsgesetz eine erneute Überarbeitung (http://bit.ly/BDSGneu2). Die DSGVO soll praxisnäher und weniger aufwändig, gerade für den Mittelstand und Kleinunternehmer werden. Den vom Bundesrat verabschiedeten Entwurf gibt es hier: http://bit.ly/DSanpG2.
Ein Ziel ist auch, ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen. Das bisherige Bundesdatenschutzgesetz (BDSG a. F.) war bereits durch ein neues Bundesdatenschutzgesetz (BDSG) abgelöst worden (Artikel 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30. Juni 2017, BGBl. I S. 2097). Nun erfolgt ein neuer Anlauf.
Eine der wesentlichen Änderungen ist, dass kleinere Unternehmen jetzt erst ab 20 Mitarbeitern einen Datenschutzbeauftragten brauchen. Bisher galten 10. Auch andere bürokratische Hürden wurden angepasst. Allerdings bleibt offen, wie man zukünftig mit Abmahnungen auf Basis der DSGVO umgehen will. Auch muss die DSGVO erst noch in weit über 100 Gesetzen verankert werden. Für alle Beteiligten bleibt also noch viel zu tun.