Daten­schutz nervt

Der Daten­schutz nervt — dies ist wohl die Kurz­form einer der meist getrof­fe­nen Aus­sa­ge von Verantwortlichen.

Denn der Daten­schutz nervt, ist über­schätzt und eine Innovationsbremse.

Und eigent­li­che hat nie­mand etwas zu verbergen.

So lau­tet zumin­dest ger­ne die Aus­sa­ge der meis­ten nicht wirk­lich inter­es­sier­ten Betroffenen.

Viel­leicht trifft dies auf weni­ge Per­so­nen zu, doch mög­li­cher­wei­se ist es auch nur eine Fehleinschätzung.

Daten­schutz ist doch aber Grund­rechts­schutz (Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung) und schützt die Daten selbst nur indirekt.

Viel­mehr wird die Men­schen­wür­de und Pri­vat­sphä­re der Bür­ger hin­ter den Daten geschützt und ist inso­weit ein Ver­trau­ens­an­ker in Zei­ten der Digitalisierung.

Gut umge­setzt und fest in Pro­zes­se ein­ge­bet­tet agie­ren daten­schutz­recht­li­che Vor­ga­ben weit­ge­hend im Hin­ter­grund und außer­halb der Wahrnehmung.

Im Grun­de wie ein Air­bag, also eine fest imple­men­tier­te Schutz­vor­keh­rung im Daten-Alltag.

Schö­ne digi­ta­le Welt

Ein wich­ti­ges Instru­ment der DSGVO stellt das Betrof­fe­nen­recht der Beschwer­de bei einer Auf­sichts­be­hör­de dar.

Die jähr­lich ver­öf­fent­lich­ten Tätig­keits­be­rich­te der Auf­sichts­be­hör­den geben inso­weit einen guten Ein­blick in das, was im Gro­ßen wie im Klei­nen in der Wirt­schafts- und Arbeits­welt passiert.

Hier ein paar Beispiele:

Über­wa­chung von Mitarbeiter:innen im Home­of­fice durch Softwareanwendungen

Der Ein­satz sol­cher Anwen­dun­gen ist tech­nisch unpro­ble­ma­tisch, in der Regel aber daten­schutz­recht­lich unzu­läs­sig und mög­li­cher­wei­se zwie­lich­tig aus Sicht des Betriebsrats.

Ent­spre­chen­de Beschwer­den von Beschäf­tig­ten erreich­ten die Hes­si­sche Auf­sichts­be­hör­de (HBDI, 50. Tätig­keits­be­richt, 131 ff).

Beschrie­ben wird dort, wie bspw. sys­te­ma­tisch der Mit­ar­bei­ter-Log-In, Tas­ta­tur­an­schlä­ge oder die Dau­er der aktiv benutz­ten Anwen­dun­gen erfasst werden.

Bei Dienst­han­dys rücken ger­ne auch GPS-Posi­tio­nen und Bewe­gungs­da­ten ins Bild.

Fer­ner ermög­li­chen moder­ne SaaS-Anwen­dun­gen Unter­neh­men einen direk­ten Zugriff auf die Leis­tungs- und Ver­hal­tens­da­ten der Beschäftigten.

GPS-Über­wa­chung von Dienst­fahr­zeu­gen (und damit auch der Beschäftigten)

Über die Gren­zen unter­neh­me­ri­scher Frei­heit hin­aus erfolgt häu­fig rechts­wid­ri­ge GPS-Ortung von Beschäftigten.

Als Zweck wer­de dann häu­fig die Tou­ren­pla­nung, prä­ven­ti­ver Dieb­stahl­schutz für die ein­ge­setz­ten Fir­men­fahr­zeu­ge oder der Nach­weis für geleis­te­te Tätig­kei­ten gegen­über Ver­trags­part­nern genannt.

Bei genaue­rer Betrach­tung las­sen sich genann­te Zwe­cke jedoch gar nicht mit der Über­wa­chung erfül­len bzw. sind sogar unge­eig­net (LfD, 27. Tätig­keits­be­richt, S. 151 ff)

Video­über­wa­chung im Fitnessstudio

Immer wie­der kommt es zu Beschwer­den und auf­sichts­be­hörd­li­chen Ver­fah­ren durch den Ein­satz von Video­ka­me­ras in Fitnessstudios.

Sei­tens der Stu­di­os für not­wen­dig erach­tet wur­den bspw. Kame­ras für die gesam­te Trai­nings­flä­che oder auch Umklei­de­be­rei­che (ULD, 40. Tätig­keits­be­richt, S. 66 ff).

Umset­zungs­de­fi­zi­te begüns­ti­gen Datendiebstahl

Hacker­an­grif­fe stel­len kei­ne Aus­nah­me mehr dar.

Dem Schutz von Kun­den- wie auch Beschäf­tig­ten­da­ten die­nen dabei die Vor­ga­ben zu den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men der DSGVO.

All­zu ger­ne wer­den die­se aber nicht ange­mes­sen beachtet.

Dies hat­te Fol­gen für die Daten von 150.000 Kund:innen sowie 1300 Beschäf­tig­ten, wel­che gestoh­len und im Darknet zum Ver­kauf ange­bo­ten wurden.

Die Ermitt­lun­gen der Auf­sichts­be­hör­de offen­bar­ten, dass der erfolg­rei­che Angriff auf eine Viel­zahl von daten­schutz­recht­li­chen Defi­zi­ten zurück­zu­füh­ren war (LFDI, 29. Tätig­keits­be­richt, S. 30 f.)

Doch was nun?

Daten­schutz ist kein Pro­dukt, Daten­schutz ist ein dau­er­haf­ter Prozess.

Schutz­vor­schrif­ten, so etwa auch Brand­schutz oder Arbeits­si­cher­heit, sind lei­der nicht gänz­lich ohne Geld und Auf­wand zu erfüllen.

Am Ende pro­fi­tie­ren davon aber Kund:innen, Arbeitnehmer:innen und natür­lich auch Arbeitgeber:innen.

Viel­leicht könn­te man bestimm­te Vor­ga­ben über­ar­bei­ten und ggf. sogar entschlacken?

Denn zu oft ist der Daten­schutz aber nur ein Sün­den­bock und dient der Ablen­kung bei vor­han­de­nen Defiziten.

Beruf­lich wie pri­vat fällt mir der Daten­schutz meist dann auf und wird als stö­rend wahr­ge­nom­men, wenn er sei­tens der Ver­ant­wort­li­chen falsch oder nicht umge­setzt wurde.

Also las­sen Sie sich gut beraten.

Add Comment