Datenschutz für Jedermann: Die Mär von der Innovationsbremse (ein Erfahrungsbericht)
Wie den Lesern meines Blogs bekannt sein dürfte, ist Datenschutz der absolute Schwerpunkt meiner beruflichen Tätigkeit. Seit mehr als 5 Jahren berate ich in diesem Bereich verschiedenste Unternehmensarten, von Industrie über Versicherungen bis hin zu Finanzdienstleistern und IT-Unternehmen, worauf derzeit (auch aufgrund meiner Betriebszugehörigkeit) mein Fokus liegt. In der Zeit habe ich nicht nur die Umsetzung der DSGVO in Unternehmen begleitet, sondern auch immer wieder verschiedene Klischees und Fehlvorstellungen gehört, die das Thema Datenschutz betreffen. Eine der beliebtesten Fehlvorstellungen habe ich in meinem kleinen Blog schon als den größten Irrtum bezeichnet, aber im Laufe der Zeit scheint sich doch herauszustellen, dass eine andere Fehlvorstellung, die auch immer wieder von den Medien befeuert wird, ein viel größeres Problem darstellt: die beliebte Mär vom Datenschutz als Innovationsbremse.
IT-Branche: Datenschutz als Wettbewerbsnachteil
In den Medien werden immer wieder Nachrichten verbreitet, wie schlimm doch das Thema Datenschutz für die Wirtschaft, die Digitalisierung, die Gesellschaft und vermutlich alles andere auch ist. So hat sich unter anderem die Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, erst in diesem Jahr darüber beklagt, dass die DSGVO laut Ansicht ihrer Mitglieder kaum Wettbewerbsvorteile, dafür aber viele Nachteile liefere. Zu diesen Nachteilen gehören die uneinheitliche Auslegung der DSGVO, eine kaum mögliche vollständige Umsetzung der DSGVO aufgrund immer neuerer Guidelines, rechtliche Unsicherheiten und die fehlende Unterstützung seitens der Aufsichtsbehörden.
Auch müssten Innovationsprojekte aufgrund von DSGVO-Vorgaben immer wieder gestoppt werden, und überhaupt seien internationale Datentransfers, die durch Regelungen oder Urteile im Datenschutzrecht (z.B. Schrems I und II) immer wieder beschränkt werden, obwohl diese für die Wirtschaft absolut unumgänglich seien. Die Unternehmen wollen schließlich Kosten sparen und deswegen immer mehr in die Cloud verlagern. Da kann es halt nicht sein, dass man nicht einfach den billigsten Anbieter in irgendeiner Autokratie wählen darf, sondern bestimmte Vorgaben zur Rechtmäßigkeit und Sicherheit der Datenverarbeitung einhalten muss. Selbiges gilt natürlich auch für Supportdienste oder ähnliche Dienstleistungen, für die auch gerne Dienstleister aus Nicht-EU-Staaten eingebunden werden. Auf jeden Fall ist der Datenschutz für die Bitkom vor allem eins: eine Innovationsbremse.
Datenschutz als Gesundheitsrisiko
Aber auch die Mediziner sind unzufrieden mit dem Datenschutz. Das ist eigentlich ironisch, wenn man bedenkt, dass der hippokratische Eid eigentlich auch nur eine Form des Patientendatenschutzes ist. Aber wir wollen uns an dieser Stelle nicht mit widersprüchlichem Verhalten auseinandersetzen. Die Ärzteschaft behauptet allerdings, dass es an datenschutzrechtlichen Regelungen läge, dass Daten nicht zwischen Klinikabteilungen ausgetauscht oder zu Forschungszwecken verwertet werden dürfen. Noch schlimmer wird es in einem späteren Satz: Dort bemängeln die Mediziner, dass Notärzte aus Datenschutzgründen keine Behandlungsinformationen von Fachärzten einsehen könnten. Der Datenschutz dient also nicht nur als Innovationsbremse, sondern gefährdet Menschenleben!
Einen ähnlichen Ruf als Innovationsbremse erhält der Datenschutz auch bei der Diskussion um das so genannte E-Rezept. Nachdem der von der Gematik geplante Weg von Datenschützern und dem Chaos Computer Club als nicht sicher bezeichnet wurde, wurde seitens der Gematik und der Kassenärzte Kritik laut. Doch auch die Reaktion des Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) auf diese Kritik dürfte erwartungsgemäß wenig dazu beitragen, die Mär von der Innovationsbremse zu beenden.
Meine Erfahrungen vom Verständnis des Datenschutzes
Ich möchte noch einmal betonen: Was ich hier schildere, entspricht meinen Erfahrungen, die ich als externer Datenschutzbeauftragter gemacht habe. Dadurch sind meine Aussagen definitiv sehr subjektiv geprägt. Aber ich bin mir sicher, dass viele andere DSBs diese Eindrücke bestätigen können.
Projekte, die eine datenschutzrechtliche Bewertung benötigen, sind in vielen Unternehmen gar nicht so selten. Gerade in Konzernen oder verbandsähnlichen Strukturen werden im Rahmen der Optimierung und Standardisierung immer wieder neue Prozesse oder Produkte eingeführt. Und auch wenn alles durch Dritte geprüft wurde, kann ich mich als DSB nicht zurücklehnen und auf die Prüfung anderer verweisen. Allein schon aufgrund eigener Sorgfaltspflichten prüfe ich auch in solchen Fällen noch einmal selbst. Um sicherzustellen, dass ich genug Zeit zur Prüfung habe, ist eigentlich mit den Mandanten vereinbart, dass ich frühzeitig in solche Verfahren involviert werden soll. Natürlich ist das nur ein frommer Wunsch. In der Realität gestaltet sich das häufig so:
„Hallo Herr Mauel,
anbei übersenden wir Ihnen einen Vorstandsbeschluss zu (Thema XY) und bitten um datenschutzrechtliche Bewertung. Da (XY) nach Möglichkeit schon zu (Tag X, evtl. sogar nächste Woche) eingesetzt werden soll, bitten wir um Ihre Stellungnahme bis (Tag Y, meistens näher am Absendetag als am Einsatztag).
Herzliche Grüße
(Mandant Z)“
Ernsthaft?
Uff, bei solchen Mails muss ich erstmal schlucken. Natürlich berücksichtigt der Mandant dabei nicht nur, dass ich eventuell noch andere Anfragen habe, die abgearbeitet werden wollen. Oder dass vielleicht auch mal der ein oder andere Besprechungstermin ansteht. Das spielt aber alles keine Rolle, der Mandant wartet, und er will Ergebnisse sehen. Blöd nur, dass er keine Vertragsunterlagen, datenschutzrechtliche Bewertungen Dritter oder technische Dokumentationen mitgeliefert hat. So kann ich die Bewertung natürlich nicht vornehmen. Also beginnt ein längerer Austausch mit der Ansprechperson beim Mandanten, um die erforderlichen Dokumente zu erhalten.
Allerdings klappt auch das nicht immer auf Anhieb. Oftmals sind in denen mehrere Nachfragen notwendig, ehe ich etwas (virtuell) in den Händen halte, mit dem ich eine Bewertung vornehmen kann. Das führt dann oft genug zu Ad hoc-„Krisengesprächen“, in denen ich dann genau erläutern muss, womit ich arbeiten kann (z.B. Verträge) und womit nicht (z.B. Werbebroschüren). Bis ich aber alles zusammen habe und die Bewertung fertiggestellt habe (oftmals kommt so eine Krise nicht allein!), ist die Einsatzfrist verstrichen, und beide Seiten sind aufeinander sauer. Oder das ganze Projekt muss gestoppt werden. Dann ist der Datenschutz mal wieder der Geschäftsverhinderer, oder anders ausgedrückt: die Innovationsbremse.
Woran hat’s gelegen?
Im Nachhinein fragt man sich immer, woran es gelegen hat. Ich schätze, es hängt oft auch mit einem alten Werteverständnis vom Datenschutz zusammen. Datenschutz existiert ja nicht erst seit der DSGVO. Aber erst mit der DSGVO wurden die Sanktionen erstmals so festgelegt, dass die Unternehmen erkannt haben, dass sie agieren müssen. So führt die steigende Nachfrage nach Datenschutz zu einem erhöhten Personalbedarf, was auch Weiterbildungsträger wie der TÜV erkannt haben. Es bringt jedoch nichts, Datenschützer auf den Markt zu werfen und diese in Unternehmen zu platzieren, wenn sie nicht ordentlich eingebunden sind. Denn Datenschutz bleibt eine offene Flanke, wenn trotz Sensibilisierung der Beschäftigten der Datenschutz nicht ordnungsgemäß eingebunden wird. Das führt dazu, dass die Fachfragen nicht frühzeitig beim Datenschützer landen und beantwortet werden können. Stattdessen kommen diese Fragen erst im Prozess der Einsatzfreigabe auf, wenn die Zeit zu knapp wird, um eine ordentliche Prüfung durchführen zu können.
Sind die Probleme also alle hausgemacht?
Auch wenn es sicherlich bequem wäre, den Unternehmen den alleinigen schwarzen Peter zuzuschieben, ist das jedoch nicht gerechtfertigt. Es gibt verschiedene Faktoren, die an dieser Stelle zusammenkommen.
1) Schlechte Beratung:
Wie bereits erwähnt, hat der Fachkräftemangel im Bereich Datenschutz zu einer richtigen Weiterbildungsindustrie geführt. Für knapp 1.900 EUR netto wird suggeriert, dass eine interessierte Person innerhalb von 4 Tagen (inkl. Prüfung) zum ausgebildeten und zertifizierten Datenschutzbeauftragten wird. Das mag sicher reichen, um Interessenten kurz und knapp die Basics des Datenschutzes zu erläutern.
Datenschutz ist jedoch ein sehr spezifisches Gebiet, das nicht nur interdisziplinäre Kenntnisse in den Bereichen Recht, Technik und Prozessen erfordert, sondern auch ein gewisses Gefühl für den Einzelfall, das aber letztlich nur Erfahrung vermitteln kann. Erfahrung ist jedoch etwas, das man nicht für 1.900 EUR netto erhalten kann. Wenn jetzt aber ein frischgebackener interner DSB oder ein frischer Einzelkämpfer in der externen Beratung mit schwierigen Sachverhalten konfrontiert wird, neigt dieser eher zu einer vorsichtigen Herangehensweise. Die Angst vor Bußgeldern und Repressalien ist entsprechend groß. Aber eine Beratung, die auf einer solchen Angst basiert, kann niemals eine gute Beratung sein!
2) Fachfremde Beratung:
Neben der Beratung durch unerfahrene Datenschützer kann es auch eine große Rolle spielen, wenn man die Beratung durch Experten in den falschen Bereichen durchführen lässt. Anders lässt sich z.B. auch nicht die Farce um die Klingelschilder in Wien erklären, die 2018 durch die Medien ging. In dem Fall wurde eine datenschutzrechtliche Bewertung vermutlich von einem Beschäftigten der Wiener Stadtverwaltung getroffen. Vermutlich hat diese Person darauf verzichtet, sich vorher eine juristische Einschätzung zu diesem Thema geben zu lassen. Und auch hier gilt: Jurist ist nicht Jurist! Der Datenschützer gilt selbst in der Welt der Juristen als Kuriosum, was mit Blick auf den Facettenreichtum der Arbeit nicht überraschend ist.
Dennoch habe ich selbst auch mehrfach Gutachten in den Händen halten dürfen, die zwar von einer Großkanzlei verfasst wurden, obwohl die Kanzlei in ihrer Eigenbeschreibung keine Tätigkeitsschwerpunkte im IT- oder Datenschutzrecht hat. In solchen Fällen kann ich nur unterstellen, dass der Auftrag aufgrund persönlicher Seilschaften vergeben wurde, oder dass die datenschutzrechtliche Betrachtung nicht im Fokus des Gutachtens stand und daher nicht mit der erforderlichen Präzision durchgeführt wurde.
3) Das schlechte Bild des Datenschutzes in der Öffentlichkeit:
Neben den genannten Faktoren spielt auch die Wahrnehmung des Datenschutzes eine wichtige Rolle. Sowohl Medien als auch Politiker prägen das Bild des Datenschutzes als Innovationsbremse. Ohne diese strengen Regelungen wäre die Digitalisierung längst erledigt und wir könnten alle viel schneller und unbürokratischer arbeiten. Man könnte fast meinen, dass der Datenschutz ein Anti-Messias sei! Dabei verkennen diese Personen immer wieder, dass der Datenschutz lediglich der Wahrung eines Menschenrechts dient. Schließlich gibt es nur einen Ort, an dem persönliche Informationen über jemanden noch schlechter aufgehoben sind als in der Hand Dritter (Unternehmen), nämlich in der Hand des Staates. Denn alles, was dem vermeintlichen Bürokratieabbau dient, kann genauso gut auch für einen wahren Überwachungsalbtraum genutzt werden. Dennoch, oder vielleicht gerade deswegen, erzählen auch Politiker immer wieder die Mär von der Innovationsbremse. Und die Presse unterstreicht das Bild gerne mit reißerischen Meldungen über Vorfälle, bei denen der Datenschutz für Probleme gesorgt haben soll.
Ist Datenschutz wirklich eine Innovationsbremse?
Auf das Gröbste heruntergebrochen ist Datenschutz eigentlich relativ einfach. Ich brauche einen Zweck, zu dem ich personenbezogene Daten verarbeite, und ich brauche eine Rechtsgrundlage für die Verarbeitung. Gleichzeitig sorge ich als Verantwortlicher dafür, dass die Daten sicher vor Verlust und Fremdzugriffen sind. Einen Zweck zu finden ist relativ einfach, das kann letztlich jede rechtlich zulässige Intention sein. Eine Rechtsgrundlage zu finden, ist da schon schwieriger. Zwar sind diese in den Art. 6 und Art. 9 (für die sog. besonderen Kategorien personenbezogener Daten) DSGVO geregelt (und ggf. auch in weiteren Gesetzen), aber ich muss darauf achten, dass die Rechtsgrundlage auch zu meinem Zweck passt. Dies gilt umso mehr, weil nicht jede Datenverarbeitung bspw. auf einem berechtigten Interesse beruhen kann. Aber schon da scheitert oft das Verständnis in den Unternehmen, wie man auch den Pressemitteilungen über Bußgelder entnehmen kann.
Ein genauso problematischer Faktor stellt aber die Sicherheit der Datenverarbeitung dar. Nach Art. 32 DSGVO ist jeder Verantwortliche verpflichtet, Maßnahmen zu treffen, die sicherstellen, dass Risiken für die Rechte und Freiheiten Betroffener möglichst gering gehalten werden sollen. Diese Maßnahmen müssen in angemessen sein; man muss also nicht über das Ziel hinausschießen, aber man darf es eben auch nicht ignorieren. Wichtig ist aber, dass bei steigender Sensitivität der Daten auch strengere Maßnahmen zu treffen sind. Das ist auch eins der großen Probleme, die sich im Rahmen des E-Rezepts abgezeichnet haben. Eine Lösung sah vor, dass das Token zum Abruf des E-Rezepts per ungeschlüsselter E-Mail übermittelt wird. Dadurch konnte Informationen jedoch durch Apps aus dem Apothekenumfeld ausgelesen werden, so dass kein geschlossener Personenkreis Zugriff auf die Daten hatte. Eine Sicherheit vor Fremdzugriffen war daher nicht gegeben.
Was ist Datenschutz, wenn er keine Innovationsbremse ist?
Dabei kann Datenschutz, richtig umgesetzt, keine Innovationsbremse, sondern ein Innovationstreiber sein. Werden Produkte oder Prozesse datenschutzrechtlich sauber geplant und durchgeführt, können sie das Vertrauen der Kunden verbessern. Nicht umsonst werben auch große Technologiekonzerne wie Meta oder Apple mit Datenschutz. Es mag zwar jedem Kunden klar sein, dass Datenschutz in solchen Unternehmen bestenfalls eine Absichtserklärung darstellt. Dennoch weiß man auch dort um die vertrauensbildende Wirkung. Dazu trägt natürlich auch bei, dass andere Anbieter wie Signal oder Threema, um zwei Konkurrenten im Messengerbereich zu nennen, immer wieder Empfehlungen erhalten, wenn es um das Thema sichere Kommunikation geht.
Es ist kein einfacher Weg, Produkte datenschutzkonform anzubieten. Aber insbesondere in Branchen, in denen Vertraulichkeit eine große Rolle spielt (Gesundheitswesen, Finanzwesen, Telekommunikation usw.), sollte Datenschutz eine wesentlich größere Bedeutung einnehmen als bisher. Aus meiner eigenen Erfahrung heraus kann ich auch nicht behaupten, dass das Erreichen von bestmöglicher Datenschutzkonformität einen erheblichen Mehraufwand bedeutet. Dieser Mehraufwand kann gut kompensiert werden, wenn alle Beteiligten am selben Strang ziehen, miteinander kommunizieren und auch frühzeitig die Sicherheitsthemen wie Datenschutz und IT-Sicherheit mit in ihre Überlegungen einbeziehen.
Fazit
Aus meiner Sicht ist die Mär des Datenschutz als Innovationsbremse komplett überzogen. Für dieses Bild ist, neben der schlechten Presse, die der Datenschutz sowieso hat, vor allem der Umstand verantwortlich, dass Datenschützer erst spät eingebunden werden. Bei richtiger Beratung und frühzeitiger Berücksichtigung kann Datenschutz als vertrauensbildende Maßnahme einen Mehrwert für das Unternehmen bieten. Ohne die Bereitschaft der Unternehmen, sich auch auf diese Chancen einzulassen, wird dies jedoch nicht möglich sein. Umso wichtiger ist es, dieses überkommene Klischee vom Datenschutz als Fortschrittsverhinderer endgültig ad acta zu legen.