||
 
 
Beitrags Sprache: Deutsch
Beitrags Sprache: Deutsch
Unter-Überschrift: Eine Chance gerade für die "Kleinen"
Lesezeit 10 Min.
Beitrags Kategorie: Datenschutz
Beitrags Art: Kommentar
Farbe: Blau

Die DSGVO liefert die Mittel zur Datensouveränität – warum gerade dafür junge Unternehmen gebraucht werden.


 

 

Habemus DSGVO

Seit dem 25. Mai 2018 gilt die DSGVO nach zweijähriger Übergangsphase nun unmittelbar in der EU. Lange fand sie wenig Beachtung. Mittlerweile wird sie von Gegnern und Befürworten gleichermaßen wie eine Art Monstranz vor sich hergetragen. Fluch oder Segen - die DSGVO verkörpert dieser Tage alles und es gibt kaum eine (mögliche) Folge, die ihr noch nicht zugesprochen wurde.

Die DSGVO läutet zweifelsohne ein neues Kapitel des Datenschutzes ein. Neben der Fortgeltung fundamentaler Prinzipien und deren teilweiser Fortschreibung führt sie hin zu ganz neuen Aspekten wie z.B. dem Recht auf Datenportabilität, welches wohl mehr Wettbewerbsförderung statt Datenschutz darstellt[1]. Auf die konkrete Ausgestaltung im Rechtsalltag wird man gespannt sein dürfen.

Während der Fokus bis dato vielfach auf den Umsetzungsbemühungen der Unternehmen lag (9 Milliarden US-Dollar sollen hierzu allein in den USA und UK für Anwälte ausgegeben worden sein[2]; für deutsche Unternehmen liegen die Kosten ebenfalls im Milliarden-Bereich[3], scheint der Blick davon abgerückt zu sein, worum es bei diesem Mammut-Projekt eigentlich geht: die Betroffenen und ihre Rechte[4]. Letztlich ist die DSGVO eine Umsetzung von Art. 8 der EU-Grundrechtecharta.[5]

 

Einseitiger Fokus der „Großen“ auf DSGVO-Pflichten

Während sich die Beratungspraxis auf Verfahrensregister, Accountability Management System und Transparenzanforderungen bei Datenschutzerklärungen gestürzt hat, scheinen die Betroffenen in Bezug auf ihre Datenschutzrechte mehr oder weniger auf sich alleine gestellt. Zwar mag es Musterschreiben zur Ausübung der einzelnen Rechte mittlerweile bei vielen Stellen geben. Allerdings fehlt bisher das breite Konzept, den Betroffenen die Errungenschaft dieser EU-weit gültigen Verordnung im Ganzen und die unmittelbaren Vorteile zu vermitteln. Wie verhalten sich die einzelnen Rechte untereinander? Wie können sie sinnvoll kombiniert werden? Was ist für den Betroffenen im konkreten Fall die beste Vorgehensweise? Wie verhält sich beispielsweise das Recht auf Auskunft nach Art. 15 DSGVO, bei dem der Betroffene auch eine Kopie seiner Daten erhalten kann, zum neuen Recht auf Datenportabilität nach Art. 20 DSGVO, dessen Wesenskern gerade darin besteht, die Daten des Betroffenen verfügbar zu machen? Beide Rechte gewähren jeweils den Erhalt eines Datensatzes über den Betroffenen. Es wird - wenn überhaupt - wohl noch einige Zeit vergehen, bis sich diese Rechte als Teil eines natürlichen Verständnisses in den Köpfen der EU-Bürger festsetzen.   

Abgesehen von dem noch herzustellenden Verständnis über das neue Recht auf Datenportabilität bei den Betroffenen bereitet auch die Wirtschaft diesem Recht nicht gerade den roten Teppich. Unternehmen sind zwar verpflichtet, dem Betroffenen auf Wunsch seine Daten zur Verfügung zu stellen, damit er mit diesen zu einem anderen Unternehmen wechseln kann[6]. Die Unternehmen sind jedoch nicht verpflichtet, die Daten von dritten Unternehmen auch anzunehmen. So erklärte jüngst Apple, dass man bei seinem Dienst iTunes keine Playlist-Daten von Spotify übernehme und auch nicht vorhabe, dies künftig zu tun[7]. In diesem Zusammenhang darf vermutet werden, dass Apple lieber seiner eigenen Datensystematik vertraue. Alleine die Möglichkeit, neue Kunden zu generieren, scheint (insbesondere große) Unternehmen demnach nicht zu motivieren, Nutzerdaten von dritten Unternehmen zu importieren. Die EU ist mit ihrem Ziel - der Förderung des Wettbewerbs - damit zunächst in den Startblöcken hängen geblieben. Dies kann nur schwerlich damit begründet werden, die DSGVO gelte erst seit ein paar Tagen. Schließlich ist nicht nur die Verpflichtung, Daten zur Verfügung zu stellen, sondern damit verbunden auch die Möglichkeit, Daten von Dritten bei sich zu integrieren, spätestens seit zwei Jahren (Verkündung der DSGVO) bekannt.

Dies legt ein weiteres Mal den Verdacht nahe, der Fokus habe zu sehr auf der Umsetzung der Vorgaben der DSGVO gelegen und zu wenig auf der Umsetzung ihrer Möglichkeiten. Wer kann es den Unternehmen, insbesondere den großen, verübeln - wurde der DSGVO doch nachgesagt, jedenfalls auch ein EU-Instrument zur Begrenzung der Marktmacht der Internet-Giganten zu sein. Politiker nutzten jede Gelegenheit, die drakonischen Bußgelder gebetsmühlenartig vor Kameras zu verkünden. Teilweise lieferten sie die tatsächlich möglichen Bußgeldbeträge gleich mit[8]. So stand - und steht - wohl insbesondere bei den großen Unternehmen erst einmal die DSGVO-Compliance auf dem Schirm.


Chance für die „Kleinen“

Die Abwesenheit einer fehlenden Umsetzung der Möglichkeiten unter der DSGVO durch etablierte Unternehmen bietet jedoch auch eine Chance. Insbesondere junge Unternehmen, welche nicht erst umfangreich ihre bestehenden Prozesse DSGVO-konform ausgestalten müssen sowie mangels Größe und Relevanz nicht zu befürchten haben, bereits in der DSGVO-Frühphase im Fokus der Datenschutzbehörden zu stehen, können die DSGVO mehr als Chance denn als Bürde sehen und innovative Geschäftsmodelle entwickeln. Die ersten Modelle positionieren sich bereits am Markt. Das Startup BeGoliath[9] verspricht seinen Nutzern, sich einen umfassenden Datensatz zu erschaffen, indem ihre Auskunftsrechte bei möglichst vielen Unternehmen ausgeübt und die einzelnen Daten zu einem großen Datensatz aggregiert werden. Über diesen neuen Datensatz sollen die Nutzer sodann frei verfügen und diesen sogar nach ihren Wünschen kommerzialisieren können. Dies könnte einen effektiven Beitrag zur praktischen Nutzerkontrolle darstellen und das allgemeine Bewusstsein stärken, dass personenbezogene Daten (1) einen realen Wert haben und (2) tatsächlich unter die Kontrolle des Betroffenen gebracht werden können. Es bleibt zu hoffen, dass möglichst viele Angebote sich der Förderung der vielbeschriebenen Datensouveränität widmen.[10]

Diese neuen Angebote könnten die Vorläufer eines zwingend notwendigen Gegengewichtes zu den gut beratenen Konzernen sein. Auch wenn die Datenschutzrechte für sich genommen bereits einen weiteren Schritt in Richtung besserer Nutzerkontrolle bieten mögen, bedarf es eines aggregierten Ansatzes zu ihrer effektiven Durchsetzung. Die DSGVO hat hierzu jetzt das Handwerkszeug geliefert. Es kommt nun maßgeblich auf die entsprechende Umsetzung an, ob mit diesem Handwerkszeug bloß eine einfache Leine in den kontinuierlich fließenden Datenstrom hineingeworfen wird, der die Betroffenen gerade so vor dem Ertrinken rettet - oder aber ob mit innovativer, skalierbarer Anstrengung ein stabiles Boot gebaut wird, das Betroffene in die Lage versetzt, auf diesem Datenstrom frei und selbstbestimmt zu navigieren.

Nicht nur (junge) Unternehmen sind dazu aufgerufen, derartige Boote zu bauen. Auch NGOs haben sich bereits teilweise positioniert. Allen voran das Projekt Noyb[11] des österreichischen Datenschutzaktivisten Max Schrems. Dort hat man sich zum Ziel gesetzt, als eine Art „Public Watchdog“ die Einhaltung der DSGVO gerade durch die Internet-Giganten zu überprüfen und - wenn nötig - tätig zu werden. So wurden unmittelbar mit Startschuss der DSGVO am 25. Mai einige Beschwerden bei Datenschutzbehörden eingereicht.[12] Noyb finanziert sich (jedenfalls auch) über Crowdfunding und arbeitet ebenfalls an der Stärkung eines breiten Bewusstseins für einen modernen Datenschutz, der zwar die grundsätzliche Teilhabe an datengetriebenen Diensten akzeptiert, gleichzeitig aber auf die Einhaltung datenschutzrechtlicher Vorgaben - gerade bei den großen Unternehmen - achtet.

Die Verbindung aus einer Art „Enabling Technology“ (Stärkung der Nutzerrechte) und diesen „Public Watchdogs“ (Ausübung von Rechtsbehelfen) hat das Potenzial, die DSGVO zukünftig mehr als starker Partner der Betroffenen bzw. Instrument echter Nutzerkontrolle in den Köpfen der EU-Bürger zu etablieren. Dies wird sich freilich erst zeigen. Wichtig ist aber, dass der Fokus nicht einmal mehr auf die möglichst effiziente Bewältigung der Vorgaben aus Unternehmenssicht gelegt wird, sondern dass die Betroffenen echte Unterstützung dabei erhalten, mit der DSGVO den modernen Datenschutz zu erfahren: weg vom reinen Schutz - hin zur Souveränität, zur echten Teilhabe und Bestimmung nach eigenen Wünschen.

 


Ausblick

So wird man sich vorerst womöglich doch nicht der Frage entziehen können, was das „Monster DSGVO“[13] und die Milliarden, die Unternehmen zur Umsetzung der neuen Vorgaben ausgegeben haben, an echtem Mehrwert für die Betroffenen zum Start gebracht haben: Die datenschutzrelevanten Informationen sind jedenfalls deutlich ausführlicher geworden; Datenschutz ist für einen gewissen Zeitraum zum breiten Top-Thema geworden und für Unternehmen wird es allein schon aus Risikoaspekten wohl noch eine gewisse Weile ein solches bleiben.

Darüber hinaus wird sich zeigen, inwiefern die Internet-Giganten, die sich mit einer Heerschar von Anwälten und Beratern auf die DSGVO haben vorbereiten können, tatsächlich von der EU ein stückweit in ihrer Marktmacht begrenzt werden können. Die Datenschutzbehörden stehen insofern vor einem Dilemma: Wählen sie bei ihren Prüfungen einen engen Maßstab (etwa wie das WP260[14] der Art. 29-Datenschutzgruppe in Bezug auf Transparenzanforderungen), um bei den gut gerüsteten Internet-Riesen überhaupt etwas finden zu können, müssten sie genau so strikt mit der Arztpraxis oder dem Handwerksbetrieb um die Ecke umgehen. Denn die DSGVO unterscheidet auf Tatbestandsebene wohl eher nicht (freilich werden mögliche Bußgelder unterschiedlich ausfallen). Wählen die Datenschutzbehörden andersherum einen moderaten Maßstab, um alles, was nicht Internet-Riese ist, bei der auslegungsbedürftigen DSGVO nicht zu überfordern, dürften ebendiese Internet-Riesen derartigen Prüfungen ohne nennenswerte Probleme standhalten. Mit anderen Worten: entweder die DSGVO bekommt ein Akzeptanzproblem in der breiten Bevölkerung und Wirtschaft (Nach dem Motto: „Wer soll diese ganzen Vorgaben einhalten?“) oder sie mausert sich vom „ganz großen Wurf“[15] hin zum zahnlosen (Bürokraten-)Tiger. Egal wie es kommt: Datenschutz ist spannend - und bietet mit der DSGVO eine Menge neuer Möglichkeiten! 

 


[1] Stiftung Datenschutz - Praktische Umsetzung des Rechts auf Datenübertragbarkeit, S. 13, abrufbar unter https://stiftungdatenschutz.org/fileadmin/Redaktion/Datenportabilitaet/studie-datenportabilitaet.pdf
[2] Härting, https://www.cr-online.de/blog/2018/05/04/gdpr-heaven-for-lawyers.
[3] http://www.sueddeutsche.de/digital/geplante-eu-verordnung-auf-unternehmen-koennten-massive-kosten-fuer-datenschutz-zukommen-1.2462195
[4] Das Schutzgut der DSGVO ist im Einzelnen umstritten, vgl. etwa Veil, https://www.cr-online.de/blog/2018/05/02/datenschutzverstoss-schaden/.
[5] Vgl. Erwägungsgrund 1 zur DSGVO.
[6] Leitbild im Gesetzgebungsverfahren war wohl die Möglichkeit, sein Profil in einem sozialen Netzwerk zu erhalten, um sich mit diesem einem neuen Netzwerk anzuschließen und so den sog. „Lock-In-Effekt“ zu vermeiden, etwa https://extrajournal.net/2018/03/15/datenportabilitaet-als-unbekanntes-dsgvo-highlight/.

[7] Vgl. https://www.welt.de/wirtschaft/webwelt/article176720143/Spotify-Hier-versagt-die-DSGVO.html.
[8] Etwa https://www.zeit.de/politik/deutschland/2018-03/datenmissbrauch-facebook-katarina-barley-deutsche-accounts-aufklaerung.
[9] www.begoliath.eu
[10] Es wird jedoch nicht nur die Lust auf die DSGVO, sondern auch die Angst vor ihr bedient. Bei dem britischen Unternehmen GDPR Shield Ltd. ist der Name Programm: Unternehmen können sich insofern schützen lassen, dass sie innerhalb der EU nicht mehr (online) erreicht werden können. Somit hätten diese Unternehmen Ihren Marktort nicht (mehr) in der EU und müssen sich erst gar nicht mit den neuen Datenschutzvorgaben befassen.
[11] Steht für „None of your business“ - noyb.eu.
[12] https://noyb.eu/wp-content/uploads/2018/05/pa_forcedconsent_de.pdf.
[13] Etwa https://www.welt.de/wirtschaft/bilanz/article176492667/DSGVO-Zum-Teufel-mit-dem-Datenschutz.html.
[14] http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025.
[15] Etwa http://ap-verlag.de/die-eu-dsgvo-ist-ein-ganz-grosser-wurf/43078/.

Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.
Ok