Schon beim Lesen der Überschrift werden sich manche von Ihnen fragen, wie ein „Plädoyer für den Datenschutz“ in die heutige Zeit passen soll. Eine Zeit, in der die Zahl der Unternehmensinsolvenzen deutlich höher ist, als in den vergangenen Jahren. Unternehmen ächzen seit Jahren unter der fast jährlich mehr werdenden Bürokratie. Kommt dazu noch eine schwächelnde Konjunktur hinzu, fragt man sich zu Recht, warum wir uns Gedanken dazu machen sollten, ob wir nicht evtl. mehr Datenschutz benötigen. Datenschutz wird sonst doch gerne in einem Zug mit der immer mehr werdenden Bürokratie genannt. Doch ist es tatsächlich so, wie viele von uns glauben, dass Datenschutz neue Technologien bremst und daher in vielen Kreisen ein angestaubtes Image hat? Die Lage, in der sich die Welt momentan befindet, zeigt, dass Datenschutz so wichtig ist, wie schon lange nicht mehr.
In den letzten Jahren haben sich – gefühlt in rasender Geschwindigkeit – neue technische Errungenschaften ergeben, die unser tägliches Leben in vielen Bereichen einfacher und komfortabler machen. Dazu gehört auch die immer weitere Verbreitung von intelligenten Systemen, wie SmartHome, oftmals kombiniert mit Sprachassistenzsystemen wie Alexa, Siri und Co. Auch die Entwicklung von Large Language Modellen, auch KI-Systeme genannt, hat unser Leben in vielen Bereichen bereits jetzt revolutioniert. Was bei aller Begeisterung für die entsprechenden Systeme häufig vernachlässigt wird, ist die Frage, wie es um den Datenschutz der entsprechenden Systeme steht.
Haben Sie sich schon einmal Gedanken dazu gemacht, welche Daten der von Ihnen heiß geliebte Saugroboter verarbeitet und was mit diesen Daten geschieht?
Erstaunlich schnell war das vor einigen Monaten bekannt gewordene Datenleck bei Volkswagen wieder vergessen. Dabei war bekannt geworden, dass detaillierte Bewegungsdaten (also wer sich wann wie lange und wo aufgehalten hat) über einen längeren Zeitraum von Volkswagen verarbeitet wurden und dummerweise unbeabsichtigt im Internet gelandet sind, wo sie durch Dritte abrufbar waren.
Auch die weltpolitische Lage hat mehr Einfluss auf den Datenschutz, als wir zunächst annehmen würden. War der Virenscanner des Herstellers Kaspersky jahrzehntelang eine geschätzte und häufig bei Unternehmen eingesetzte Antivirensoftware, hat sich diese Bewertung mit dem Einmarsch von russischen Truppen in der Ukraine ganz wesentlich verändert. Plötzlich hat das Bundesamt für Sicherheit in der Informationstechnik davor gewarnt, Virenscanner aus dem Hause Kaspersky einzusetzen. Zu groß scheint die Gefahr, dass sich die russische Regierung über Kaspersky Einfluss auf die eigentlich zu schützende IT-Infrastruktur der Kunden von Kaspersky verschaffen könnte.
Wird China aufgrund der umfassenden Überwachung der Bevölkerung bereits seit Jahren kritisch beäugt, ist dies bei Russland spätestens seit dem Krieg in der Ukraine und der damit verbundenen Sanktionen gegen Russland ebenfalls der Fall.
Einen Punkt haben wir dabei aber etwas aus dem Blick verloren, nämlich den Blick in die USA, Heimat der meisten der uns bekannten Software-Anbieter.
Seit 2023 besteht zwischen Europa und den USA das Trans-Atlantic Data Privacy Framework. Dieses macht die USA für europäische Anwender zu einem aus datenschutzrechtlicher Sicht sicheren Drittstaat. Nach der Umsetzung des Trans-Atlantic Data Privacy Frameworks im Jahr 2023 waren sich die Europäische Kommission und die USA einig, dass damit eine sichere Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA geschaffen wurde.
In den letzten Wochen hat sich durch die Politik des neuen amerikanischen Präsidenten Donald Trump gezeigt, dass man sich nicht darauf verlassen sollte, dass über die Jahrzehnte gepflegte Konventionen und Regelungen auch in Zukunft weiterhin gültig sind.
Im Rahmen der sog. „Entbürokratisierung“ wurden in den USA in den letzten Wochen umfangreiche Änderungen vorgenommen, weitere Änderungen werden fast schon täglich neu angekündigt.
Man fragt sich daher zu Recht, ob die USA auch weiterhin ein sicherer Hafen für unsere Daten sind, oder ob ggfs. durch die geänderte Politik eine Neubewertung der Lage notwendig ist.
Schaut man sich den Alltag in deutschen Büros einmal genauer an, wird das Dilemma deutlich: Als Betriebssystem verwenden wir häufig entweder Windows oder – in weniger Fällen – MacOS. Also Betriebssysteme, die in den USA entwickelt und gepflegt werden. Alternativen: Quasi keine.
Für die Bürokommunikation verwenden wir fast ausnahmslos Produkte aus dem Hause Microsoft, Apple oder Google. Alternativen: Wiederum (fast) keine.
Social Media ist in vielen privaten Bereichen nicht mehr wegzudenken. Auch viele Unternehmen setzen (z.B. für die Bewerbersuche) verstärkt auf Social Media. Anbieter sind auch hier Meta, Microsoft und Co. Alternativen: Fast keine.
Doch warum ist das so?
Die oben genannten Unternehmen haben es in den vergangenen Jahren geschafft, zu Marktführern in den entsprechenden Bereichen zu werden. Eine bemerkenswerte Leistung. Häufig war hierbei das immer gleiche Vorgehen von Erfolg gekrönt: Man bietet Nutzern zunächst die Möglichkeit an, die Produkte des Unternehmens kostenlos zu nutzen. Haben sich die Nutzer an die Produkte gewöhnt, werden diese kostenpflichtig gemacht. Oder – und hier sind wir wieder beim Datenschutz – bleiben die Produkte kostenlos, wenn wir den Unternehmen die Auswertung und werbliche Nutzung der über die Software verarbeiteten Daten ermöglichen.
Die Verwendung von Google Fonts, also die Einbindung von Schriftarten auf Webseiten, sei hier lediglich als eines von vielen Beispielen genannt. Google Fonts können gekauft werden – woran Google weniger interessiert ist und was deshalb recht teuer ist. Alternativ können die Schriftarten auch so auf einer Webseite eingebunden werden, dass diese beim Aufruf einer Webseite direkt von einem Google Server geladen werden. Für die Betreiber einer Webseite ist dies kostenlos, im Gegenzug erfährt Google allerdings, wer Interesse an den Produkten auf der aufgerufenen Webseite hat. Und kann demjenigen dann passende Werbung anzeigen.
Oder Google Analytics: Ein beliebtes Analysetool, das Betreiber von Webseiten einsetzen können, um festzustellen, wer sich für die Produkte des Unternehmens interessiert. Die Nutzung von Google Analytics ist kostenlos. Warum? Weil neben dem Unternehmen auch Google erfährt, wer Interesse an den Produkten hat. Und kann demjenigen wieder passende Werbung anzeigen.
Perfekt ist das Geschäftsmodell dann, wenn für die Werbung Geld verlangt werden kann, wie dies z.B. bei Google Ads der Fall ist.
Auch wenn die Datenschutzaufsicht diesen Satz nicht gerne hören wird:
Die wenigsten Unternehmen in Europa können ihren gesetzlichen Pflichten, sicherzustellen, dass die personenbezogenen Daten im Unternehmen gemäß den Vorgaben der DSGVO verarbeitet werden, vollständig nachkommen.
Dies scheitert häufig schon daran, dass die Anbieter der Dienste häufig kein Interesse daran haben, einen tieferen Einblick in die Verarbeitung der Daten zu ermöglichen.
Unternehmen, die einen Social Media-Account von Facebook, Instagram etc. nutzen, sind gesetzlich „gemeinsam Verantwortliche“ für die Datenverarbeitung. Gemeinsam verantwortlich mit Meta, Microsoft und Co. Wer bereits einmal versucht hat, von den Anbietern genauere Auskünfte zu Art und Weise bzw. Umfang der Datenverarbeitung zu erhalten, weis um die Schwierigkeiten. Nicht selten wird eine Anfrage entweder überhaupt nicht oder nur oberflächlich unter Hinweis auf „Geschäftsgeheimnisse“ beantwortet.
Die gesetzlichen Regelungen in Europa sehen vor, dass die Unternehmen sicherstellen müssen, dass die Datenverarbeitung im Unternehmen rechtskonform geschieht. Überträgt man diesen Grundsatz auf andere Bereiche, so wäre dies, wie wenn ein Hersteller von Automobilen die Verantwortlichkeit dafür, dass die Autos auch auf deutschen Straßen genutzt werden dürfen, auf den Fahrer überträgt.
Wäre es nicht einfacher, wenn die Datenschutzaufsicht nicht die Fahrer, sondern die Hersteller / Anbieter in die Pflicht nimmt? Meistens ein Dilemma, weil die Verantwortlichkeit hier nicht bei den nationalen Aufsichtsbehörden, sondern bei der Aufsicht im Sitzland der Anbieter (meistens Irland) liegt. Und angesichts der Gewerbesteuereinnahmen hatte die dortige Aufsicht in der Vergangenheit meist kein gesteigertes Interesse daran, die Rechte der Nutzer durchzusetzen.
Die Datenschutzaufsicht macht es sich hier häufig einfach: Kann ein Unternehmen nicht sicherstellen, dass der Anbieter der Software die europäischen Regelungen für den Datenschutz einhält, muss eine Nutzung der Software unterbleiben. Dies gilt jedenfalls dann, wenn eine europäische Alternative zur Software aus den USA existiert. Doch hier liegt häufig der Knackpunkt: Wir Europäer haben es in den letzten Jahren in vielen Bereichen versäumt, passende und qualitativ vergleichbare Alternativen zu entwickeln, um Abhängigkeiten zu vermeiden bzw. zu vermindern.
Zeigt sich – wie aktuell – dass Abhängigkeiten – egal in welche Richtungen – gefährlich werden können, sollte im eigenen Interesse nach Alternativen geschaut werden:
In Zeiten, in denen mehr und mehr Geschäftsprozesse – und damit wertvolles Know-how der Unternehmen – in die Cloud verlagert werden, sollten Unternehmen darauf achten, welcher Anbieter genutzt wird, wo die Daten liegen und – ganz wichtig – wer letztlich auf die Daten zugreifen kann. Auch wenn es auf den ersten Blick vernünftig erscheint, Anbieter zu wählen, die kostenlos oder kostengünstig sind, lohnt sich häufig ein Blick auf das „Kleingedruckte“:
Dürfen die Anbieter die Inhalte für eigene oder Zwecke Dritter nutzen? Oder darf vielleicht sogar eine staatliche Einrichtung, weil sich der Staat bedroht fühlt, „zum Schutz des Staates“ auf diese Daten zugreifen?
Wieder übertragen auf andere Bereiche:
Würden Sie jemandem, den Sie nicht kennen, den Schlüssel für Ihre Wohnung anvertrauen? Wahrscheinlich nicht. Auch nicht, wenn diese Person Ihnen anbietet, kostenlos die Blumen zu gießen.
Warum soll dies für die Daten unseres Unternehmens anders sein? Haben wir wirklich „nichts zu verbergen“, wie viele meiner Mandanten spontan zum Thema äußern.
Vor Kurzem habe ich einen Werbeslogan eines deutschen Cloud-Anbieters gesehen. Dort war zu lesen „Wann ist es Ihnen eigentlich egal geworden, was mit Ihren Daten geschieht?“. Passender kann man es wohl nicht ausdrücken.
Ich denke, dass es wichtiger ist, denn je, uns Gedanken darüber zu machen, wen wir als vertrauenswürdigen und verlässlichen Geschäftspartner ansehen. Auch wenn wir Europäer einige technische Entwicklungen in den letzten Jahren verpasst haben, ist es noch nicht zu spät.
Gerade in den letzten Monaten haben sich einige europäische Unternehmen daran gemacht, europäische Cloud-Dienste als Alternative zu Amazon und Co. zu entwickeln. Auch im Bereich „KI“ gibt es zunehmend Alternativen, die sich an die europäischen gesetzlichen Vorgaben halten.
Auch wenn in einigen Bereichen sicherlich Optimierungsbedarf besteht, sind die europäischen Gesetze gut und – anders als viele Unternehmen auf den ersten Blick denken – nicht dazu da, Fortschritt zu verhindern, sondern verlässliche Rahmenbedingungen bereitzustellen, die gewährleisten, dass wir auch in Zukunft entscheiden können, wer welche Daten von uns verarbeiten darf.
Das Bundesverfassungsgericht hat 1983 – also vor mehr als 40 Jahren – im sog. „Volkszählungsurteil“ entschieden, dass derjenige, der nicht weiß, wer welche Daten über seine Person hat, evtl. davon absehen wird, von seinen Rechten Gebrauch zu machen, wenn er dadurch Nachteile befürchten muss. Darin liegt eine Gefahr für die Demokratie. Dass es heute wichtiger denn je ist, unsere Demokratie gegen Einflüsse zu verteidigen, die uns im Rahmen des „Bürokratieabbaus“ einen Umbau des Staates nebst Abschaffung der Gewaltenteilung schmackhaft machen wollen, wissen wir nicht erst seit dem Ergebnis der letzten Wahlen.
Den Datenschutz am Besten ganz abzuschaffen, wie viele es derzeit fordern, sollte daher gut überlegt werden.