Ist der Datenschutz zu streng?
Strenge Regeln
Das Datenschutzrecht enthält teilt strenge Regelungen. Ob für ein lang bestehendes Unternehmen, ein Start-up-Unternehmen oder auch einer Behörde oder einer Schule, nicht immer lässt sich der Arbeitsalltag mit den Datenschutzvorschriften in Einklang bringen. So ist es beispielsweise nach der EuGH-Entscheidung Schrems II nur eingeschränkt möglich, US-Dienstleister bei der Datenverarbeitung zu nutzen (aufsichtsbehördlich empfohlene Vorgehensweise, siehe hier). Das betrifft fast alle Unternehmen, da viele Cloud-Services von Dienstleistern in den USA in Anspruch nehmen.
Umsetzungsprobleme
Einem jungen Unternehmen wird es häufig schwerfallen, allein die Dokumentationsvorschriften des Datenschutzes schnell zu erfüllen. Doch auch Unternehmen, die länger dabei sind, tun sich nicht immer leicht, all ihre Datenverarbeitungen auf Datenschutzkonformität auszurichten. Selbst Behörden und Schulen fällt es schwer, beispielsweise den Anforderungen an eine sichere Datenübertragung bei den praktischen Wünschen der Bürger und Schulen nachzukommen. In der Corona-Zeit wurde das noch einmal besonders deutlich, als man “Hals über Kopf” den sonst verbotenen Fernunterricht für schulpflichtige Kinder mit datenschutzbedenklichen Videokonferenztools (gern Homeschooling genannt) umzusetzen suchte.
Fazit vorab: Vorgeschriebene Datenschutzmaßnahmen stehen teilweise quer zu praktischen Wünschen der Unternehmen, Behörden und Schulen. Selbst Betroffene mit ihren eigenen Wünschen machen teilweise den Eindruck, den Datenschutz nicht zu wollen, nämlich dann, wenn er ihr beabsichtigtes Vorgehen beeinträchtigt. Natürlich wollen die Betroffenen damit nicht auf ihren Datenschutz verzichten. Doch sie hätten gern leichtgängigere und vor allem eindeutigere Regelungen.
Wunsch nach leichtgängigen Regeln
Dieser Wunsch nach leichtgängigen Regeln ist völlig normal. Schutzvorschriften sind gut, doch sollen sie die Freiheit möglichst wenig einschränken. Damit taucht im Datenschutz und in der Datensicherheit ein Widerspruch immer wieder auf, nämlich zwischen dem Wunsch nach Schutzregeln einerseits und andererseits der Freiheit vor Beeinträchtigung durch gerade diese Regeln.
- Nehmen wir nur den Besuch eines Angehörigen im Krankenhaus. Jeder will als Patient Sicherheit haben, dass seine Gesundheitsdaten keinem anderen mitgeteilt werden. Kommt man dann einmal ins Krankenhaus, will man häufig, dass bestimmte Familienmitglieder über den Gesundheitszustand informiert werden. Doch wenn sich das Krankenhaus strikt verhält, werden die Mitarbeiter ihre Verschwiegenheitspflicht beachten. Kann ich mich als Patient dann nicht selbst erklären, weil ich so krank bin, habe ich auch keine Vorsorgevollmacht dabei und kann das Familienmitglied auch sonst keine Verschwiegenheitsentbindungserklärung vorweisen, ist die Weitergabe der Daten über meinen Gesundheitszustand vom Arzt an das Familienmitglied nur ausnahmsweise zulässig, wenn der Arzt annehmen muss, dass der Patient vom Familienmitglied vertreten werden soll.
- Auch Regeln, also Einstellungen der Technik zur Datensicherheit können sich zugunsten als auch gegen Betroffene wenden. Nehmen wir nur die Regeln für Autoalarmanlagen. Jeder möchte ein System haben, das den Diebstahl des Autos unmöglich macht. Spätestens dann allerdings, wenn die Batterie des (elektronischen) Fahrzeugschlüssels leer ist, möchte man einen Weg haben, mit dem man die elektronische Wegfahrsperre und damit das verschlüsselte Gespräch zwischen Schlüssel und Auto überlisten kann.
- Mit der Verschlüsselung ist ein jahrzehntealtes Problem angesprochen. Muss jeder Verschlüsselungshersteller dafür Sorge tragen, dass bestimmt staatliche Stellen Zugang zum Schlüssel und damit zur Entschlüsselung haben? Es geht darum, ob Behörden bei Vermutung rechtswidriger Aktivitäten Zugriff auf die verschlüsselte Messenger-Kommunikation (z. B. WhatsApp, Signal) oder auf Daten in Clouds haben sollen. Der Rat der EU hat sich am 14.12.2020 für eine Entschlüsselungsbefugnis staatlicher Behörden entschieden. Klar ist, dass der Staat illegales Handeln verfolgen muss, im Draußen oder im Netz. Das Durchbrechen der Verschlüsselung (z. B. durch Generalschlüssel, Hintertüren, Filter) erlaubt diese Verfolgung. Sie führt andererseits jedoch dazu, dass die Sicherheit der Verschlüsselung auch in den legalen Bereichen faktisch eingeschränkt wird. Denn Cybercrime und Geheimdienstaktivitäten werden mittelfristig solche bewussten Verschlüsselungslücken nutzen und damit die Datensicherheit für alle gefährden.
- Auch halbprivate Fotos, die beispielsweise bei Betriebsfeiern oder in Schulen gemacht und online gestellt werden, haben datenschutzrechtlich zwei Seiten. Viele freuen sich, wenn sie Fotos von vergangenen Ereignissen beispielsweise in einem Cloudspeicher abrufen können. Stellt man jedoch fest, dass man sich auf einem Foto unvorteilhaft abgebildet findet oder nicht möchte, dass private Umstände damit transportiert werden, ist man häufig gegen die Verfügbarkeit des Fotos.
Umgang mit strengen Regeln
Der Datenschutz ist also nicht zu streng, doch teilweise zu hölzern an die Prozesse der Praxis und die Wünsche der Betroffenen angepasst. Eine Erleichterung führt zwar zu Vereinfachungen. Doch bedeutet sie auch häufig eine Absenkung des Schutzniveaus.
Der einzige Weg, diese Widersprüche zu klären, ist die verbindliche Einigung über Maßstäbe. Doch das braucht Zeit für das Schaffen neuer gesetzlicher Regeln und das Entstehen von Mehrheitsmeinungen unter den Fachleuten. Dazu kommt, dass Wünsche in unserer Gesellschaft manches Mal weit auseinanderliegen. Zudem sehen sich Rechtsprechung und die Aufsichtsbehörden in der Pflicht, die Gesetzesbefolgung einzufordern, auch wenn die Realität teilweise weiter davon entfernt ist. Schon- oder Übergangsfristen werden selten vorgesehen.