» Zum Kriegsbeil DSGVO – der neuen Datenschutzgrundverordnung
Ich habe hier sehr lange nichts geschrieben, muss jedoch kurz einmal eine Bitte äußern:
„Bitte sehen Sie von Last-Minute-Anfragen zur Prüfung und Überarbeitung Ihrer Datenschutzerklärung ab. Ich habe außerhalb der regelmäßig zu betreuenden Projekte schlicht keine Zeit, auf DSGVO-Anfragen diesbezüglich bis dato unbetreuter Projekte zeitnah zu antworten oder gar jede Menge Aufsätze dieser Art zu lesen, technisch abzugleichen und zu kommentieren.
Vielen Dank für Ihr Verständnis.“
Wie die meisten von Ihnen wissen, beschäftige ich mich seit über 20 Jahren (oftmals kopfschüttelnd) mit Digitalisierungsthemen, strategisch und auch an der Basis, mit dem Blick für tückische Details. Ich bin quasi einer von denen, die das Internet in Teilen mit aufgebaut und stabilisiert haben – zunächst mit Infrastruktur-Planung und -Bereitstellung auf Seiten führender (US-) Telekommunikationsdienstleister (Glasfaser, Einwahlplattformen, Gateway-Dienste/Server-Housing, Firmennetzwerke, VPNs, …), mit Portalentwicklung und -Bereitstellung in den Anfangsjahren der Internetnutzung in Deutschland, mit „an die Hand nehmen“ von kleinen und großen, jungen und alten Unternehmen, zur Bewerkstelligung, Abstimmung und Verbesserung der nächsten Schritte – strategisch, inhaltlich, aufbereitungs-, abstimmungs- und absicherungstechnisch – vor dem Hintergrund eines immer schneller stattfindenden digitalen Wandels.
Als Marketing-Berater, IT-Berater und Entwickler ist man von Natur aus eine Art „interneterfahrener Dauerstudent“. Während andere in der Sonne liegen oder Partys feiern, studiert man regelmäßig juristische, gesellschaftliche, politische und technologische Themen und Entwicklungen verschiedenster Art, um Projekte in einer globalen und stärker denn je bedrohten Welt nach bestem Wissen und Gewissen begleiten, vorantreiben und absichern zu können.
Schon immer haben wir es in Deutschland mit besonderen juristischen Internet-Herausforderungen zu tun gehabt, welche den Weg der Digitalisierung nicht unbedingt zu fördern und zu erleichtern scheinen. Leicht verwandelt sich ein gut gemeinter Ansatz auf politischer Ebene in eine ernsthafte und wenig einschätzbare „scheinbare Bedrohung für die Allgemeinheit“.
In der komplexen EU-Datenschutz-Grundverordung (DSGVO) sehe ich momentan ein gut gemeintes Interesse und zugleich das bislang mit Abstand größte Bedrohungspotenzial für z.B. Blogger, Startups, kleine und mittelständische Unternehmen und für bestimmte, einzelne Berufsgruppen (z.B. Fotografen), die sich nicht etwa über den Kapitalmarkt absichern und refinanzieren können, um Risiken, Aufwendungen und Kosten einer nun umfassenden Entwicklungs- UND Berichtspflicht abzufedern. Die Zukunft wird zeigen, inwiefern der Markt sich mit bestehenden Auflagen konkret überfordert sieht, zum Teil verkleinert, vielleicht in Teilen kollabiert. Wachsende Rechtsunsicherheit in Verbindung mit hohen Strafandrohungen sind sicherlich Gift für einen aufstrebenden Markt mit vielen gerade erst aufgewachten oder noch aufwachenden Marktteilnehmern, die etwas Neues versuchen möchten. Scheinbar unterschiedliche Auslegungen der DSGVO in europäischen Ländern wie Schweden oder Österreich führen schon jetzt zu öffentlich vorgetragenen Forderungen nach Erleichterung im Rahmen einer Petition. Ein für jedermann als zumutbar und akzeptierbar erscheinender Kompromiss ist in Fragen des Datenschutzes, bei dem die unterschiedlichsten Wünsche, Vorstellungen, Kenntnisse, Interessen, Möglichkeiten und Erfahrungen aufeinanderprallen, sicherlich sehr schwer zu finden.
DSGVO – Anfragen
Als Nicht-Jurist werde ich seit einigen Wochen mit Anfragen nach einer rechtssicheren Datenschutzerklärung erschlagen. Ich bitte dringend, von solchen Anfragen abzusehen, weil ich mit verschiedensten Herausforderungen ausgelastet bin und in DSGVO-Fragen auch nicht der richtige Ansprechpartner für Sie sein kann.
In diesem Zusammenhang weise ich u.a. regelmäßig auf den Umstand hin,
- dass ich kein Jurist bin(!) und keine juristische Beratung geben kann.
- dass Informationspflichten allein dem Benutzer keinerlei (zusätzliche) Sicherheit geben.
- dass eine korrekte Datenschutzerklärung ein tiefes Verständnis für die eingesetzte Technik, Partner und bei Ihnen vorhandene Verfahrensabläufe voraussetzt.
- dass die eingesetzte Technik im Sinne des Datenschutzes zu überprüfen und an kritischen Stellen evtl. zu verändern ist.
- dass ein Benutzer sich bei der Nutzung eines unsicheren Mediums wie dem Internet im Prinzip nur selber schützen kann, durch sein persönliches Verhalten, die eingesetzte Software, Geräte, Dienste und nach eigener Auffassung geeignete Sicherheitsmaßnahmen.
- dass überzogener Datenschutz zu einer technischen Gefährdung und stark eingeschränkter Internetnutzung führen kann.
Begünstigt durch den langjährigen, regierungsseitigen Wunsch nach einer „Vorratsdatenspeicherung“, die in Verbindung mit dem viel beschriebenen „Staatstrojaner“ vielerorts als Beginn einer „Totalüberwachung“ betrachtet wird, begünstigt durch ähnliche Entwicklungen z.B. in China und den USA, ebenfalls begünstigt durch mancherorts bekannt gewordene Hacker-, Leak- und Datenschutz-Skandale, zudem beflügelt durch das amerikanische Gesetz zur „Massenvorratsdatenspeicherung“ im Sinne des „USA PATRIOT Act“, … angetrieben von Chancen und Risiken beim Einsatz zuverlässig arbeitender oder auch fehlerhaft eingesetzter künstlicher Intelligenz (KI) und sonstiger Automatisierungs- und Robotertechnik – aber auch durch den verbreiteten Einsatz nahezu unverstandener und/oder ungesicherter Geräte- und Softwaretechnik, … durch Spielerei, Ausschaltung des gesunden Menschenverstandes, Kopfkino bei einigen Marktakteuren und veränderte technologische Möglichkeiten auch im kriminellen, im ethisch oder moralisch bedenklichen Bereich, ist eine Unsicherheit entstanden, die derzeit nicht nur in der Bevölkerung, sondern nun auch in den einschlägigen Bestimmungen der Datenschutz-Gesetze Ausdruck findet.
Bekanntes trifft auf Unbekanntes, Juristerei versucht Technologie zu beherrschen, Menschen streben zugleich nach Freiheit, nach Kontrolle und nach Schutz, was auch in der globalen Perspektive immer schwieriger gleichzeitig möglich zu sein scheint. Daneben registrieren wir Meldungen über Pleiten, Pech und Pannen – gravierende Sicherheitslücken bei verbreitet im Einsatz befindlicher Hardware, Software, Betriebssystemen, Mobilgeräten, IoT-Geräten und ersten Gehversuchen mit (vermeintlich) künstlicher „Intelligenz“.
Meinen Stammkunden möchte ich nunmehr sagen, dass ich Sie nach all den Jahren nicht mehr wie gewohnt, „quasi unbemerkt und umfassend automatisch im Hintergrund unterstützen“ kann. Wir stehen zeitgleich vor großen technologischen und neuen juristischen Herausforderungen.
Die neuen juristischen „Dokumentationspflichten“ treffen und bremsen uns in einer Zeit aus, in der wir ohnehin einem starken Wandel entgegensehen,
- von der Entwicklung und Optimierung „massentauglicher Standard-Systeme“ hin zu individuellen Seiten, Inhalten und Kanälen für bestimmte Zielgruppen, Interessen und Benutzervorlieben.
- von einem vorherrschend technisch orientierten Ansatz zu einem vorherrschend design- und usabilityorientierten Ansatz.
- von Spielereien, Massencontent und Massenoptimierung zur Konzentration auf das Wesentliche.
- von einer „Massenansprache“ (zurück) zur Individualansprache – mit oder ohne assistierende (KI-) Technologie.
- von einer diskriminierenden Entwicklung zu einer auch geräteübergreifend uneingeschränkt nutzbaren Technologie, die auch für „Keyboard-Junkies“, „Voice-Systeme“ und Benutzer von Geräten für z.B. sehbehinderte Menschen gleichermaßen barrierefrei und uneingeschränkt nutzbar ist, wie von bisher verwendeten (lokalen und mobilen) Zugangsgeräten.
- von einer „alles für alle gleich – Einstellung“ zu einer „designtechnischen Abweichungstoleranz“ zu Gunsten neuer Möglichkeiten moderner Geräte und Internet-Browser.
- von der Unterstützung veralteter Systeme und Browser-Technologien zum klaren Ausschluss mittlerweile als unsicher geltender Technologien.
- von einer „One fits all -Lösung“ zu möglichst minimalistischen und für konkrete Zwecke ausgerüsteten Systemen
- … usw. usw. usf… Anforderungen, Programmiersprachen, Programmierumgebungen und vernetzte Technologien (Module) sind einem stark beschleunigten Wandel unterworfen.
In den vergangenen Jahren haben wir uns bereits verschiedenen, sich wandelnden und erweiternden Herausforderungen gestellt, geeignete Entwicklungszeiträume (Startphasen) und Prioritäten abgewogen, z.B. in Bezug auf Hosting, Firewalls, Hard- und Software-Updates, eingesetzte Tools, Microdaten und Programmiersprachen, Technologie-Standards, Performance-, Design-, Usability-, Accessability-, Contentaufbereitung, zahlreichen Facetten der Suchmaschinenoptmierung, Strategie, Verschlüsselung, flankierende Werbemaßnahmen, flankierende Plattform-Optimierungen, Fehleranalyse und -Beseitigung, Verteidigung gegen immer stärker werdende Angriffe aus dem Netz, Empfehlungen zum Selbstschutz usw. … – in Zukunft müssen bestehende und künftige Entwicklungen (und Aktualisierungen) vor allem juristisch überprüft, dokumentiert und für den Laien möglichst plausibel erläutert werden, was Aufwand, Abstimmungsaufwand und Kosten zukünftiger Entwicklungen zusätzlich deutlich in die Höhe treiben dürfte. Ein „Flat-Preis-Projekt“ wird im Zuge des beschleunigten Wandels immer schwieriger zu kalkulieren und umzusetzen sein, was insbesondere für Internet-Neueinsteiger zu einer noch größeren Einstiegshürde werden dürfte, welche – angesichts der Komplexität – erfahrungsgemäß und verständlicherweise bereits von ersten einführenden (vereinfachten) Erläuterungen zur professionellen Internetnutzung sehr schnell erschlagen werden.
Ich hoffe, dass sich ein übermäßiger Eingriff in den „tatsächlichen Schutz“ „unserer“ (Ihrer und meiner) Websites und Website-Besucher trotz DSGVO noch eine Zeit lang vermeiden lässt. Auch Schutzeinrichtungen für das Internet sind schließlich nicht unbedingt eine Erfindung deutschen oder europäischen Ursprungs und die Verbindung von Geräten über das Internet erfolgt in der Regel nun einmal über die Herstellung von IP-Verbindungen mit Hilfe des „Internet-Protokolls“.
In Zukunft wird jeder selbst entscheiden müssen, welche Art von Verbindungen er über den 24.05.2018 hinaus noch zulässt, welche Software-Updates und -Einstellungen konkret vorzunehmen sind. Ich möchte nebenbei erwähnen, dass wir (auf Kundenseite) das erste Internet-Angebot bereits (vorübergehend?) abgeschaltet haben, wegen entstandener Unsicherheit, bedingt durch ungeklärte Rechtsfragen, nach Abwägung von möglichen Projekt-Chancen (Umsatzeinbußen) und -Risiken.
Das DSGVO-Kriegsbeil (wie es von vielen leider Gottes verstanden wird) ist ausgegraben und verlangt leider schon jetzt die ersten Opfer – zumeist wahrscheinlich dort, wo man ethisch und moralisch eigentlich „auf der richtigen Seite“ steht, als „Web-Amateur“ im Grunde am wenigsten „gefährdet“, geschweige denn überhaupt in der Lage wäre, Datenanalysesoftware und Methoden der Profilentwicklung überhaupt sachgemäß zu verstehen, zu bedienen und zu verwenden.
Die Stadt Hamburg hat bei mir vor einiger Zeit angefragt, ob ich mich als ehrenamtlicher Richter (Schöffe) zur Verfügung stellen würde. In dieser Rolle wäre es für mich u.U. möglicherweise einfacher, Ihnen bei zweifelhaften Erklärungen und Internet-Vorwürfen ggf. mit meiner eigenen Erfahrung, Einschätzung und dem dazu gehörigen Sachverstand zu helfen. Bezüglich der einschlägigen Bestimmungen (Gesetze, Verordnungen, Rechtsprechungen und Dokumentationspflichten) muss ich Sie jedoch leider auf die einschlägigen Dokumentationen im Internet und ggf. an einen Rechtsanwalt Ihres Vertrauens verweisen. Im Rahmen laufender Projekte kann ich auf technischer Seite natürlich auch weiterhin flankierend bei konkreten Analysen und Entscheidungsfindungen unterstützen, Entscheidungen treffen Sie letztendlich aber selbst, den eigenen Erfordernissen entsprechend.