Wir werden uns im Jahresrückblick alle an ein Datum erinnern können: Stichtag 25. Mai 2018 – die Datenschutzgrundverordnung (DSGVO) hat uns alle sehr beschäftigt. Über die Herausforderungen bei der Umsetzung der DSGVO und über die Ethik von Unternehmen in Bezug auf personenbezogene Daten habe ich mit Tobias Mauß, Geschäftsführer der Mauß Datenschutz GmbH, gesprochen.
Diese Themen findest du in diesem Blogartikel
Was machst Du und was ist Dir wichtig?
Ich berate Unternehmen und Unternehmer zum Datenschutz und helfe ihnen, sich mit angemessenem Aufwand und viel Augenmaß möglichst datenschutzkonform im Dschungel der Gesetze zu bewegen. Datenschutz ist erst einmal ein trockenes Thema, weil es ein Gesetz ist. Es liest sich sperrig, es ist mit gesundem Menschenverstand nicht zu 100 Prozent erschließbar, und es gibt darum herum viele weitere Gesetze, auch nationale Gesetze, so dass man nicht einfach sagen kann, ich gehe die Grundverordnung durch und weiß Bescheid.
Deshalb lege ich Wert darauf, das Thema einem „normalen“ Geschäftsführer, der ja in der Regel kein Jurist ist, so verständlich zu machen, dass er sich einigermaßen zurechtfindet. Er soll wissen, was wichtig ist und was vielleicht erst im zweiten Schritt betrachtet werden muss. Mir kommt es auf das Augenmaß an.
Wird alles so heiß gegessen wie es gekocht wird?
Es wird definitiv nicht so heiß gegessen wie es gekocht wird. Und es wurde m. E. auch viel zu heiß gekocht – gar nicht vom Gesetzgeber oder den Aufsichtsbehörden, sondern von den Medien und, noch viel schlimmer, von schlecht informierten Personen in den Medien. Es gab z. B. diese Diskussion, ob ich überhaupt noch Visitenkarten annehmen kann ohne Datenschutzbelehrung. Jetzt ist gerade die Diskussion aktuell, ob die Namen von den Klingelschildern entfernt werden müssen. Solche Themen werden unreflektiert in den Medien gestreut oder diskutiert.
Die Aufsichtsbehörden für den Datenschutz, EU-weit und Deutschland-weit, haben ein angemessenes und vernünftiges Verhalten an den Tag gelegt, denn sie warten erst einmal ab und versuchen eher die Unternehmen zu unterstützen als gleich Bußgelder zu verhängen. Das halte ich für sehr fair.
Was bedeutet Datenschutz tatsächlich in der Praxis, aus moralischer Sicht, was sollte eine Selbstverständlichkeit sein, wenn man ethisch arbeitet – was empfiehlst Du den Menschen praktisch in der Umsetzung der DSGVO?
Datenschutz resultiert aus einem im deutschen Grundgesetz nicht explizit niedergeschriebenen Grundrecht, das aber heute hineininterpretiert wird, nämlich dem Recht auf informationelle Selbstbestimmung. In der EU-Grundrechte-Charta ist es deutlicher formuliert. Für mich bedeutet Datenschutz, dass ich mit Daten anderer so umgehe, wie ich mir auch den Umgang mit meinen Daten wünsche. Das kann für jeden Einzelnen etwas anderes bedeuten. Viele Leute stehen ja auf dem Standpunkt: „Ich habe nichts zu verbergen“ – das sehe ich etwas anders.
Ich finde, man sollte mit den Daten von anderen sehr sparsam umgehen. Jeder muss sich genau überlegen, welche personenbezogenen Daten er überhaupt braucht und was er man mit diesen Daten macht – auch unter ethischen Gesichtspunkten überhaupt machen darf.
Will ich wirklich im Internet beliebige Daten zusammenführen und aus dem Surfverhalten ganze Profile bilden, vielleicht sogar Prognosen über Eigenschaften einzelner Personen daraus ziehen oder Kaufverhalten prognostizieren? Das eine ist, dass ich als Shop-Betreiber natürlich möglichst passende Werbung platzieren möchte, damit ich meinen Umsatz positiv entwickeln kann. Das andere ist, dass Unternehmen wie Facebook allein aus dem Surfverhalten – welche Seiten gucke ich mir an und wahrscheinlich auch, welche Bilder schaue ich mir länger an als andere Bilder –, durchaus Prognosen über die Person treffen.
Facebook ordnet Personen rund 30.000 einzelne Eigenschaften zu, die von einfachen Interessen wie „Interessiert sich für Fußball“ bis „Könnte pädophil sein“ gehen. Dementsprechend werden der Person von diesem Netzwerk bestimmte Dinge angezeigt und andere nicht. Letztlich sind es aber nur Vermutungen, man hat keinen Beweis, es hat nie jemand selbst über sich gesagt. Und vor allem weiß der einzelne Nutzer das gar nicht, es wird nirgends angezeigt, sondern nur intern genutzt. Das finde ich ethisch nicht mehr zu vertreten.
Wenn man bei Facebook und ähnlichen Unternehmen in die Datenschutzbestimmungen schaut, gehen die über zig Bildschirmseiten, diese Informationsflut ist nicht zu bewältigen. Gleichzeitig ist aber die Information so schwammig und vage formuliert, dass man als Nutzer gar nicht viel damit anfangen kann. In meinen Augen ist das eher Desinformation als Information, nur sehr gut verpackt, was ich ethisch auch grenzwertig finde.
Was empfiehlst du den Menschen ganz praktisch in der Umsetzung?
Jedem Unternehmen empfehle ich: Es gibt Informationspflichten, denen man nachkommen muss, und das kann man auf unterschiedliche Art und Weise tun. Ich kann sie mit juristischen Texten einfach erfüllen, und ob der Benutzer das versteht, ist mir egal. Lieber sollten Unternehmen versuchen, dieses Gesetz so zu erfüllen, dass der Benutzer auch etwas damit anfangen kann. Also ihn nicht mit der schieren Menge an Informationen erschlagen, sondern lieber etwas allgemeiner bleiben und dann Möglichkeiten anbieten, sich bei Interesse zu bestimmten Themen Details anzeigen zu lassen. Verständlichkeit finde ich wichtig. Mit juristischen Texten ist dem normalen Nutzer, für den ja diese Texte gedacht sind, überhaupt nicht geholfen. Also, so ausführlich und detailliert wie nötig, aber eben auch so knapp wie möglich.
Wirkt die DSGVO sich positiv oder negativ auf die Ethik, auf die Moralvorstellung, auf die Werte von Unternehmen aus?
Ich denke, die DSGVO wird sich positiv auswirken. Einfach weil jetzt ein Prozess angestoßen ist, wo viele Unternehmen sich intensiver mit ihren Daten beschäftigen. Vielleicht ist der Prozess schmerzhaft. Unternehmen erkennen jetzt, was sie alles machen wollen, aber nicht mehr dürfen. Über kurz oder lang werden sie aber feststellen, dass sie vieles eigentlich gar nicht brauchen. Ich habe das häufig zum Beispiel mit Marketingabteilungen erlebt, die unbedingt Profildaten aus dem Internet wollten, um zu sehen, wie sich ein Mensch verhalten wird. Auf einmal geht das nicht mehr so einfach. Dann hat man das mal abgeschaltet und geschaut, was passiert, um dann festzustellen, es geht eigentlich auch ohne die Daten. Oder mit weniger Daten, oder mit anderen Daten.
Ich glaube, dass jetzt häufiger einmal mehr nachgedacht wird, was man wirklich braucht und in welcher Art man es braucht, wogegen früher häufig einfach gemacht wurde. Das sehe ich durchaus als positive Entwicklung. Es wird dazu führen, dass Dinge viel bedarfsgerechter und mit mehr Augenmaß umgesetzt werden.
Möchtest du abschließend noch etwas zu dem Thema sagen?
Ja, zurück auf die Frage, wird es wirklich so heiß gegessen wie es gekocht wird. Ich hatte das Gefühl, im Zeitraum von Februar bis Juli 2018 waren alle hysterisch. Jetzt hat sich gezeigt, die Hysterie war vielleicht etwas übertrieben, in Sachen Bußgelder ist z. B. wenig passiert. Ich hoffe, dass das nicht umschlägt in ein „Wir müssen ja eigentlich doch nichts tun!“, was durchaus passieren könnte. Sondern dass trotzdem weiter an dem Thema gearbeitet wird.
Vielen Dank!
Tobias Mauß ist Geschäftsführer der Mauß Datenschutz GmbH. Er berät Unternehmen aus dem Mittelstand und nimmt dort häufig auch die Position des Datenschutzbeauftragten wahr. In den vergangenen Jahren hat Herr Mauß gemeinsam mit seinem Team zahlreiche Unternehmen bei der Einführung der DSGVO begleitet. Als studierter Informatiker ist er neben dem Datenschutz auch Sparringspartner für technische Datensicherheit. Herr Mauß ist zertifiziert durch TÜV, DEKRA, GDDCert.EU, sowie verpflichtet durch den BvD. Mehr über ihn auf seiner Website.