DSGVO - Das war's noch nicht!

DSGVO – Das war’s noch nicht!

Inzwischen dürften fast alle Unternehmen von der neuen Datenschutzgrundverordnung (kurz DSGVO) gehört haben. Und auch den Nutzer, dessen Daten geschützt werden sollen, hat das Thema des neuen Datenschutzgesetzes erreicht.

Wer hat in den letzten Wochen keine eMail erhalten, in der man durch einen Klick auf einen Link noch einmal bestätigen sollte, dass man diesen Newsletter weiterhin empfangen möchte. Der Satz „Deine Daten sind uns wichtig…“ ist dem ein oder anderem auch wiederholt begegnet.

Und auch wenn viele Punkte der neuen Verordnung sicher gut gemeint waren, sollte man aus meiner Sicht, einige Dinge in Frage stellen.

Die Überforderung der Unternehmen

Beruflich wie auch Privat wurde ich mit der DSGVO in den letzten Wochen und Monaten immer wieder konfrontiert. Spricht man mit den Privatleuten heißt es oft:

„Wieso dieses Theater? Die Firmen sind ja selbst schuld! Sie hatten ja zwei Jahre Zeit für die Umsetzung!“

Tatsächlich ist es so, dass es zwei Jahre Zeit für die konforme Umsetzung der Vorgaben der DSGVO gab. Ich möchte jedoch darauf hinweisen, dass es hier keinen Rundbrief mit detaillierter Anleitung gab in dem stand „Sehr geehrter Herr Mueller, Sie müssen in den nächsten zwei Jahren folgende Dinge umsetzen,…“.

Eher im Gegenteil. Es gibt eine neue Verordnung die so viel Interpretationen zulässt, dass keiner genau weiß ob das was er zum Schutz der Daten umgesetzt hat, richtig und ausreichend ist.

Und hier fängt für mich das Problem schon an.

Die DSGVO-Skandal Meldungen

Erst heute habe ich gelesen das nun das Geschäftsmodell der SCHUFA in Frage gestellt wird. Eine neue tolle Headline die bei einigen Zeitungen sicher für viele „Klicks“ gesorgt hat.

Und so geht es schon die ganze Zeit. Schlagzeilen über Interviews bei Radiosendern und die Frage ob diese noch Gesetzeskonform sind, große Firmen verbieten Ihren Mitarbeitern WhatsApp und ähnliche Applikationen und der lokale Metzger hat ein großes DSGVO-Schild aufgestellt.

Fotografen hatten in den letzten Wochen Angst um Ihre Existenz. Blogger und kleine Webseitenbetreiber haben ihre Webseiten lieber komplett abgeschaltet, als eine Abmahnung wegen der neuen DSGVO zu riskieren.

Die Interpretationen aus dieser schwammig formulierten Rechtsvorgabe nehmen Ausmaße an, die so nicht gewollt gewesen sein können. Wenn diese Verordnung zum Schutz personenbezogener Daten weiterhin so strikt ausgelegt und interpretiert wird, geht die digitale Welt den Bach runter!

Dass einige Mitwirkende der Regierung auf die Idee kommen eine „eventuelle“ Abmahnwelle gesetzlich zu unterbinden finde ich gut. Lieber eine späte Einsicht, als gar keine.

Mit der DSGVO lässt sich alles in Frage stellen

Um Aufzuzeigen wie weitreichend die Folgen des neuen Datenschutz-Gesetzes noch werden können, konzentrieren wir uns nun nur einmal auf den Schutz der Daten und der expliziten Einwilligung des Nutzers.

Die nachfolgenden Beispiele über die ich nachgedacht habe mögen im ersten Moment total abwegig erscheinen, wenn jedoch der Friseur und der Metzger sich über schützenswerte Daten Gedanken machen müssen, erscheinen die Ansätze plötzlich gar nicht mehr so weit hergeholt.

Die smarten Lautsprecher

Die Entwicklung der smarten Assistenten war in den letzten Jahren wirklich beachtlich. Die Entwicklung können wir aber jetzt eigentlich Einstampfen oder nicht?

Nehmen wir einen beliebten Sprach-Assistenten wie beispielsweise „Amazon Alexa“. Sollte die Entwicklung bei Projekten wie „Alexa for Business“ weitergehen, müssen wir auch hier zukünftig erst einmal die Einwilligung der Nutzer haben, bevor die Funktionen genutzt werden können. Das ist vielleicht noch Regelbar, man muss jedoch nur erstmal einen für den Kunden annehmbaren Prozess finden.

Und wie ist das Eigentlich mit dem Datenschutz bei mir Zuhause. Ich habe die AGB und die Datenschutzerklärung von amazon akzeptiert, wenn mich jetzt aber jemand besucht – muss ich ihn darauf hinweisen, dass ich einen smarten Lautsprecher in der Wohnung habe? Bin ich jetzt für seine Daten verantwortlich?

Die Firmenhandys sind die größten Datenschleudern

Ein Firmenhandy ist etwas Tolles. Der Mitarbeiter und die Firma profitieren davon. Auf der einen Seite ist der Mitarbeiter erreichbar und flexibel und auf der anderen Seite spart der Mitarbeiter seine Handykosten.

Dank der Flatrates der Provider ist die private Nutzung von Firmenhandys für viele Mitarbeiter erlaubt – Entschuldigung, WAR erlaubt. Die private Nutzung von Diensthandys ist mit der DSGVO doch eigentlich Geschichte?

Rufe ich einen Freund mit einem Dienst-Telefon an, ist seine Nummer auf einem Gerät meiner Firma gespeichert. Eventuell noch mit Namen und eMail-Adresse – ein NoGO, es handelt sich um personenbezogene Daten!

Des Weiteren muss auch hier noch weiter Gedacht werden. Jedes Smartphone ist in der Regel mit einem Konto verknüpft. Dieses Konto verwaltet und beherbergt eine ganze Menge personenbezogener Daten.

Sucherverläufe, App-Käufe, Kontakte, eMails, GPS-Daten, die „Find my Phone“-Funktion und vieles mehr. Ohne iTunes oder Google-Play Konto ist es nicht einmal möglich Apps zu kaufen soweit ich weiß.

Daher gibt es hier für mich nur zwei Möglichkeiten. Entweder gibt es zukünftig eine angepasste Software für Business-Handys. Oder eine private Nutzung eines Dienst-handys ist nicht mehr möglich.

Man darf nicht vergessen das unsere Smartphones kleine Computer sind. Und selbst wenn der Mitarbeiter mit seinem Smartphone nur etwas im Internet kauft – und ich das durch den Verlauf nachvollziehen könnte – habe ich personenbezogene Daten eines Mitarbeiters auf einem Firmengerät.

Die kleinsten Dinge

Ich möchte darauf hinaus, dass selbst selbstverständliche Dinge und auch ganz kleine Dinge von der DSGVO betroffen sein können, wenn man die Aussagen der Verordnung ernsthaft annehmen und umsetzen möchte.

Als Beispiel nehme ich jetzt einmal die Firmenkantine. Die Mitarbeiter haben in vielen Unternehmen die Möglichkeit ein Mittagessen zu bestellen. Und auch hier werden in den meisten Fällen Daten gespeichert – sei es nur für die Abrechnung des Mittagessens.

Aus meiner Sicht – schützenswerte personenbezogene Daten. Neben dem Namen des Mitarbeiters könnte man hier sogar unbewusst unnötige oder sensible Daten erheben.

Unternehmen könnten mit dieser Datensammlung sogar auswerten wie sich der Mitarbeiter ernährt. Es sind Rückschlüsse darauf möglich ob er Vegetarier ist oder vielleicht sogar ob er Allergien hat (medizinische und somit besonders schützenswerte Daten oder nicht?).

Für Interpretationen ist in der DSGVO viel Raum gelassen.


Worauf will ich hinaus?

Die DSGVO lässt zu viel Interpretationsspielraum und niemand kann sich bisher wirklich sicher ob er oder sein Unternehmen die Anforderungen richtig und ausreichend umgesetzt hat. Man weiß noch nicht genau welche anderen Dinge von der Datenschutzgrundverordnung betroffen sein könnten und wie diese dann zu handhaben sind.

Ich denke die DSGVO war gut gemeint, aber nicht gut genug durchdacht.

Meine personenbezogenen Daten

Mein Name ist David Engemann. Hauptberuflich arbeite ich in der IT einer 170 Mitarbeiter großen Firma und muss mich neben technischen Problemen und Herausforderungen auch mit Dingen wie der DSGVO auseinandersetzen.

Nebenberuflich bin ich Webdesigner und Entwickler und habe auch einige eigene Web-Projekte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.