DSGVO: »Die vielen Schwachstellen sind eine Gefahr«

Die EU-Datenschutz-Grundverordnung ist gut gemeint, bringt aber auch zu viele Ungereimtheiten mit sich. Kleine Firmen fühlen sich allein gelassen und stehen zum Teil vor unlösbaren Aufgaben. Die großen Techunternehmen gehen dagegen gelassen an die DSGVO heran. Jan Mentel bezeichnet dies als geradezu grotesk. Wir sprachen mit dem Analysten des Beratungsunternehmens Crisp Research, über die Nachteile der DSGVO.

  In Ihrem Zwischenfazit zur EU-DSGVO üben Sie einige Kritik. Während sich die großen Firmen über fast alles hinwegsetzen, leiden die Kleinen unter der Umsetzung.

Jan Mentel, Crisp Research Mentel: Das ist schon grotesk. Auf der einen Seite wurde genau aus diesem Kontext die DSGVO ins Leben gerufen, um den Nutzern mehr Schutz, Transparenz und Rechte einzuräumen. Ohne Schlupflöcher, am Verbraucher orientiert, um nicht den Lobbyisten in die Karten zu spielen. Doch im Endeffekt schlägt es in die andere Richtung um, da die DSGVO nicht präzise ausformuliert wurde.

Daher gehen die großen Technologieunternehmen gelassen an die DSGVO heran. Die zentralen Herausforderungen hat das europäische Parlament nicht definiert, geschweige denn berücksichtigt und aufbereitet.

Somit ist es wieder möglich, dass zum Beispiel WhatsApp Daten an den Mutterkonzern weiterleiten kann und Facebook eifrig an Gesichtserkennungs-Tools tüftelt. Jedoch werden Marketing- und Werbeaktivitäten klein- und mittelständischer Unternehmen blockiert.

  Was muss aus Ihrer Sicht passieren?

Mentel: Fakt ist, es bedarf klarer, fairer und spezifischer Regeln für alle bezüglich der Verwendung von Daten, auch vor dem Hintergrund technischer Neuerungen. Neben der mangelhaft ausformulierten Verordnung, die viel Spielraum für die großen Anbieter lässt, wurde es bei zentralen Fragen vor allem vernachlässigt, um die Ecke zu denken. Was ist, wenn Verbraucher das »Recht auf Vergessenwerden« nicht in Kauf nehmen?

Dadurch, dass Daten nicht gelöscht werden können, wenn Verbraucher dies nicht veranlassen, entwickelt sich ein riesiger Datenpool. Unternehmen müssen alle Aufzeichnungen aufbewahren, so dass ein Verbraucher drei Jahre nach der Einwilligung seine Einwilligung widerrufen kann, dass kein Datenhandel nachgewiesen werden kann und dass der Datensatz gelöscht werden kann. Ein gefundenes Fressen für Hacker. Angriffe auf diese Datenpools werden um ein Vielfaches steigen.

  Das heißt, die DSGVO ist noch zu unausgegoren und birgt zu viele Nachteile?

Mentel: Die Autorität und Aufgabenteilung des europäischen Datenschutzamtes ist noch nicht genau ausgearbeitet. Die Anforderungen an die Datenspeicherung, die Einwilligung zur Nachverfolgung und die Beweisführung gemäß der DSGVO sind so umfassend, dass wenn überhaupt nur wenige Unternehmen in der Lage sind, sich selbst als konform zu betrachten.

Und das bedeutet, dass Unternehmen in einer zunehmend vernetzten Welt wirklich in Gefahr sind, wenn das Datenschutzamt darüber willkürlich entscheidet, was falsch oder richtig ist. Das bedeutet wiederum, dass die Zahl der illegalen Datensammler und -verkäufer in die Höhe schießen wird und das ist für die Verbraucher ein absoluter Nachteil.

  Klingt als seien vor allem kleinere Firmen im Nachteil…

Mentel: Das wohl größte Problem ist, dass die DSGVO gerade den Unternehmen hilft, die die DSGVO ausnutzen wollen. So sollten Firmen wie Facebook, Google, Apple und dergleichen bestraft oder zumindest beschränkt werden. Jedoch sind es diese riesigen, technisch ausgereiften Unternehmen, die die DSGVO-Hürden überwinden, ohne große Mühe aufzuwenden. Diesen Firmen steht eine Armada an Anwälten und Ingenieuren zur Seite, denen es möglich ist Konformität zu garantieren, die mit dieser Verordnung einhergehen und somit leichtfertig »DSGVO-konform« sind. Aber was ist mit den Firmen, denen unmittelbar Schaden droht, da sie die Anforderungen nicht erfüllen können? Möglicherweise werden sich diese Firmen in einem Hamsterrad drehen und jahrelang versuchen Lösungswege für alle Anforderungen der DSGVO zu entwickeln, die wiederum dazu führen, dass andere kritische Teile ihres Unternehmens ignoriert werden. Und schließlich, aus mangelnder Erkenntnis, die gleichen Lösungswege nutzen wie Facebook & Co.

Nun ist aber auch eine Flut an Abmahnungen zu erwarten. An dieser Stelle bedarf es ebenso eine Reform, sodass nicht willkürlich Abmahnschreiben von Anwälten die Unternehmen fluten.

Doch das werden nicht die einzigen Probleme sein. Ganz im Gegenteil. Wie werden sich der Cloud-Act, die E-Privacy Verordnung und alle anderen Verordnungen, die mit der DSGVO kollidieren, auswirken?

  Die DSGVO ist aber nicht nur negativ, oder?

Mentel: Natürlich benötigen wir ein Datenschutz-Grundgesetz, welches alle Facetten der Datenerhebung, -verarbeitung und -speicherung auch mit technologischem Hintergrund manifestiert – aber auch eines, dass uns die Zeit gibt uns daran zu gewöhnen. Die DSGVO war ein erster wichtiger Schritt und hat auf jeden Fall Potential zu dem Anker in einer datengetrieben Welt zu werden. Es ist gut, dass Datenschutzerklärungen von Unternehmen in einfachen Texten erklärt werden. Es ist wichtig, dass Plattformanbieter Verbraucher um Zustimmung bitten müssen, um Daten maschinell auswerten zu können. Die verschiedenen Rechte, die dem Verbraucher eingeräumt werden, sind ebenfalls ein entscheidender Schritt vorwärts.

Aber es bedarf auch Zeit, bis eine solche Verordnung in den Köpfen angekommen ist. Noch ist es nicht zu spät, denn die DSGVO ist kein Sprint, sondern vielmehr ein Marathon. Die Gesetzesmacher sind nun gefragt an den richtigen Stellen nochmal anzusetzen, um auch die zentralen Probleme aufzulösen, damit die großen Unternehmen nicht die Macht der Daten erlangen und den eigentlichen Gewinner der DSGVO darstellen.