Ja, Ja, Ja, der Datenschutz nervt. Datenschutz ist überholt und eine Innovationsbremse ist er auch. Und zu verbergen habe man doch auch nichts. So lautet zumindest gerne das Narrativ in zahlreichen Medienberichten.
Der Inhalt im Überblick
Mehr als nur Cookie-Banner
Möglicherweise trifft dies zu. Möglichweise ist dies aber auch einer zum Teil falschen Wahrnehmung geschuldet, denn nicht selten werden damit nur lästige Cookie-Banner assoziiert, die es schnellstmöglich wegzuklicken gilt.
Datenschutz ist aber Grundrechtsschutz (Recht auf informationelle Selbstbestimmung) und schützt die Daten selbst nur indirekt. Vielmehr wird die Menschenwürde und Privatsphäre der Bürger hinter den Daten geschützt und ist insoweit der rechtsstaatliche Vertrauensanker in Zeiten der Digitalisierung.
Gut umgesetzt und fest in Prozesse eingebettet agieren datenschutzrechtliche Vorgaben weitgehend im Hintergrund und außerhalb der Wahrnehmung. Im Grunde wie ein Airbag. Eine festimplantierte Schutzvorkehrung im Alltag.
Schöne neue Welt
Ein wichtiges Instrument der DSGVO stellt das Betroffenenrecht der Beschwerde bei einer Aufsichtsbehörde da. Die jährlich veröffentlichten Tätigkeitsberichte der Aufsichtsbehörden geben insoweit einen guten Einblick in dessen, was im Großen wie im Kleinen in der Wirtschafts- und Arbeitswelt passiert. Einige Beispiele:
Überwachung von Mitarbeitern im Homeoffice durch Softwareanwendungen
Der Einsatz solcher Anwendungen ist technisch unproblematisch, in der Regel aber datenschutzrechtlich unzulässig. Entsprechende Beschwerden von Beschäftigten erreichten die Hessische Aufsichtsbehörde (HBDI, 50. Tätigkeitsbericht, 131 ff). Beschrieben wird dort, wie bspw. systematisch der Mitarbeiter Log-In, Tastaturanschläge oder die Dauer der aktiv benutzten Anwendungen erfasst werden. Bei Diensthandys gerne auch GPS-Positionen und Bewegungsdaten. Moderne SaaS-Anwendungen ermöglichen ferner Unternehmen einen direkten Zugriff auf die Leistungs- und Verhaltensdaten der Beschäftigten.
GPS-Überwachung von Dienstfahrzeugen (und damit auch von Beschäftigten)
Über die Grenzen unternehmerischer Freiheit hinaus erfolgt häufig rechtswidrige GPS-Ortung von Beschäftigten. Als Zwecke werde dann häufig die Tourenplanung, präventiver Diebstahlschutz für die eingesetzten Firmenfahrzeuge oder der Nachweis für geleistete Tätigkeiten gegenüber Vertragspartnern genannt. Bei genauerer Betrachtung lassen sich genannte Zwecke jedoch gar nicht mit der Überwachung erfüllen bzw. sogar ungeeignet (LfD, 27. Tätigkeitsbericht, S. 151 ff)
Videoüberwachung im Fitnessstudio
Immer wieder kommt es zu Beschwerden und aufsichtsbehördlichen Verfahren durch den Einsatz von Videokameras in Fitnessstudios. Seitens der Studios für notwendig erachtet wurden bspw. Kameras für die gesamte Trainingsfläche oder auch Umkleidebereiche (ULD, 40. Tätigkeitsbericht, S. 66 ff).
Umsetzungsdefizite begünstigen Datendiebstahl
Hackerangriffe stellen keine Ausnahme mehr dar. Dem Schutz von Kunden- wie auch Beschäftigtendaten dienen dabei die Vorgaben zu den technischen und organisatorischen Maßnahmen der DSGVO. Allzu gerne werden diese aber nicht angemessen beachtet. Dies hatte Folgen für die Daten von 150.000 Kunden sowie 1300 Beschäftigten, welche gestohlen und im Darknet zum Verkauf angeboten wurden. Die Ermittlungen der Aufsichtsbehörde offenbarten, dass der erfolgreiche Angriff auf eine Vielzahl von datenschutzrechtlichen Defiziten zurückzuführen war (LFDI, 29. Tätigkeitsbericht, S. 30 f.)
Und nun?
Datenschutz ist kein Produkt, Datenschutz ist ein Prozess. Schutzvorschriften, so etwa auch Brandschutz oder Arbeitssicherheit, sind leider nicht gänzlich ohne Geld und Aufwand umgesetzt zu bekommen. Am Ende profitieren davon aber Kunden, Arbeitnehmer und natürlich auch Arbeitgeber.
Aber die Cookie-Banner…
Vielleicht hilft es etwas zu verstehen, was es damit im Grunde auf sich hat. Sind manche Cookies technisch erforderlich, um bestimmte Grundfunktion einer Website zur Verfügung zu stellen, werden andere dazu verwendet, Nutzerdaten zu erheben und Nutzerprofile anzulegen. Cross-Domain Tracking und Cross-Device Tracking inklusive.
Es hat sich vereinfacht gesagt die Annahme durchgesetzt, erfolgreiche Werbung ginge nur durch überwachungsbasierte Werbung. Dies aber birgt erhebliche Risiken für das Persönlichkeitsrecht der Nutzer. Und oftmals (nicht selten ohne Kenntnis der Besucher) sollen diese Daten mittels Plug-ins auch noch an andere Unternehmen übermittelt werden.
Und hier kommen die DSGVO und das TTDSG ins Spiel. Denn Webtracking ist nicht neu. Neu ist insoweit aber, dass dies nicht mehr „einfach so im Hintergrund“ erfolgen darf, sondern nur mit Einwilligung der Websitebesucher. Um hierbei aber hohe Zustimmungsraten zu erhalten und weiterhin so viel wie möglich über die Besuchern zu wissen, setzen nicht wenige Webseitenbetreiber bei der Ausgestaltung der Cookie-Banner psychologische Tricks ein. Auch wenn diese Cookie-Banner dann nicht mehr den gesetzlichen Vorgaben entsprechen, Einwilligungen nicht wirksam sind.
Datenschutz nervt
Vielleicht. Könnte man bestimmte Vorgaben überarbeiten und ggf. entschlacken? Mit Sicherheit. Zu oft ist der Datenschutz aber nur ein Sündenbock und dient der Ablenkung bei vorhandenen Defiziten. Beruflich wie privat fällt mir der Datenschutz meist dann auf und wird als störend wahrgenommen, wenn er seitens der Verantwortlichen falsch oder nicht umgesetzt wurde. Wie viele Cookie-Banner.
Schöner Artikel, der den Sachverhalt auf den Punkt bringt!