Gartner

Das Team der deutschen Gartner Analysten bloggt für Sie über alles was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch, Hanns Köhler-Krüner und Meike Escherich.

Big DataEnterpriseRecht

Datenschutz – das Spiel kann beginnen

Sie haben gedacht, in den letzten Monaten und Jahren wäre viel über Datenschutz geredet worden? So kann man sich täuschen. Wir stehen gerade erst am Anfang, meint silicon.de-Blogger Carsten Casper.

Zum europäischen – und insbesondere zum deutschen – Datenschutz gibt es viele Kritikpunkte, diverse Unmutsäußerungen, und vor allem Fragezeichen. “Zu unternehmensfreundlich” sagen die einen, “betriebsbehindernd” sagen die anderen, und viele gut gemeinte Ratschläge kommen, wie man denn alles besser machen könnte. Seit letzter Woche liegt der Vorschlag der EU-Kommission auf dem Tisch, und er enthält genügend Zündstoff, um die Diskussion auf Jahre zu befeuern.

Um mal eine persönliche Note voranzustellen: meiner Meinung nach ist der Vorschlag genial. Okay, er wird so nicht durchkommen, aber er hat alles was der Datenschutz verdient: Weitblick, Unabhängigkeit, Konsistenz, Führungscharakter, Flexibilität. Aber der Reihe nach…

  • Es ist eine Verordnung, keine Richtlinie wie bisher. Eine Verordnung gilt unmittelbar, muss nicht erst in nationales Recht umgesetzt werden. Vielen Mitgliedsländern wird das nicht schmecken.

  • Die Verordnung baut in weiten Teilen auf der alten Richtlinie 1995/46/EC auf. Auch bei internationalen Datentransfers greift die neue Verordnung auf Bewährtes zurück, macht aus bisherigen Leitlinien nun Gesetzestext. Kritiker werden das als Ballast bezeichnen.

  • Sie führt mit Leichtigkeit (d.h. mit wenigen Worten) innovative Datenschutzkonzepte ein, zum Beispiel Minimierung der Datenhaltung, Rechenschaftspflicht, gemeinsame Halterverantwortung, und vieles mehr. Man wird dem Entwurf vorwerfen, bei einigen dieser neuen Themen nicht präzise genug zu sein.

  • Die Pflicht zur Bestellung eines Datenschutzverantwortlichen wird europaweit vereinheitlicht. Die Deutschen werden bemängeln, dass die Pflicht meist erst ab 250 Mitarbeitern gilt, die bisherige Regelung also aufgeweicht wird.

  • Datenschutzverletzungen müssen mitgeteilt werden, sowohl an Aufsichtsbehörden, als auch an Betroffene, unter Umständen bereits innerhalb von 24 Stunden. Dass Unternehmen dagegen Sturm laufen werden, ist absehbar.

  • Binding Corporate Rules (BCRs) werden gestärkt. Viviane Reding, die verantwortliche EU Kommissarin, hat das auf dem IAPP Datenschutz-Kongress im November sehr ausführlich dargelegt. Hier steckt der Teufel im Detail, da die bisherigen Erfahrungen mit BCRs mäßig sind, andererseits die Erwartungen an eine Neufassung zu hoch gesteckt werden könnten, zum Beispiel was die Ausdehnung auf Auftragsdatenverarbeiter anbelangt.

  • Die neue Verordnung legt sich ziemlich deutlich mit den USA an, indem sie Datentransfers an ausländische Behörden explizit verbietet (Stichwort: Patriot Act). Damit provoziert der Entwurf nicht nur Widerstand der EU Mitgliedstaaten und der Industrie, sondern auch den Unmut des transatlantischen Partners.

  • Die Verordnung führt das European Data Protection Board ein, vereinfacht gesagt eigentlich nur eine Umbenennung der Artikel 29 Arbeitsgruppe der europäischen Datenschützer. Es ließe sich aber auch darstellen, dass die Kommission weitere Kompetenzen auf EU-Ebene zusammenzieht.

  • Natürlich führt das neue Gesetz auch drakonische Strafen ein. Die Liste möglicher Verstöße ist lang, und bietet guten Nährboden für Spekulationen. Wer möchte schon dafür, dass er personenbezogene Daten ohne Rechtsgrundlage verarbeitet hat, 100.000 Euro Strafe zahlen? Wir reden hier über die Minimalstrafe, nicht die Maximalstrafe. Am oberen Ende der Skala befindet sich die erschreckende Strafe von “5 Prozent des weltweiten jährlichen Umsatzes”. Da werden auch Internet-Größen hellhörig, die sämtliche bisherigen Strafen aus der Portokasse bezahlt haben.

  • Dazu kommen dann noch eine Reihe politischer und administrativer Neuerungen, deren detaillierte Diskussion hier zu weit führen würde: bessere internationale Zusammenarbeit der europäischen Datenschutzbehörden; Möglichkeit für die Mitgliedsländer, in einigen Bereichen zusätzliche Gesetze zu erlassen (zum Beispiel bei Gesundheitsdaten und im Arbeitnehmerdatenschutz); Verankerung des Datenschutzes im Vertrag von Lissabon.

Das Ganze ist kein Flickenteppich, es liest sich flüssig, und ist nicht nur in sich selbst konsistent, sondern auch verzahnt mit anderen gesetzlichen Regelungen und Standards. Trotzdem wird es in der gegenwärtigen Form den Gesetzgebungsprozess nicht überstehen, und das ist schade, vor allem für Unternehmen. Sie wünschen sich eine verlässliche, international akzeptierte Gesetzesgrundlage, die auch neue Technologien berücksichtigt, ohne dabei technische Details vorzuschreiben. Abgesehen von den exorbitanten Strafen hält die geplante Verordnung eine Menge Gutes für den privaten Sektor bereit. Natürlich, je nach Land, Industriesektor und Größe findet jedes Unternehmen einen Grund, auf die Barrikaden zu gehen. Sie sollten es besser nicht tun, sondern stattdessen dem Entwurf nach Möglichkeit den Rücken stärken. Die politische Diskussion wird dem Vorschlag ohnehin stark zusetzen. Sollte es nicht gelingen, diese EU-Verordnung ohne massive Einschränkungen bald umzusetzen, so bleibt uns die gegenwärtige, unbefriedigende Regelung noch viel zu lange erhalten. Im schlimmsten Fall aber werden wir eine neue, Regelung erhalten, die einfach nur anders unbefriedigend ist.

Unternehmen, die an gutem Datenschutz ernsthaft interessiert sind, weil sie loyale Mitarbeiter und Kunden zu schätzen wissen, sollten sich mit der neuen Verordnung umgehend auseinandersetzen und dabei eine positive Grundhaltung einnehmen. Für alle anderen heißt es: nehmen Sie Platz, am besten nicht in der ersten Reihe, holen Sie sich eine Tüte Popcorn, lehnen Sie sich gemütlich zurück und lassen Sie das Spektakel beginnen.