DSGVO & Co. – Ein notwendiges Übel

DSGVO & Co,

Günstiger, als die Texte selbst auszudrucken – die Verordnungen können als praktische Broschüren gekauft werden.

CONSILIUM – die Webversion meines Dienstplan-Tools geht allmählich in die Zielgerade. Eine erste Alpha-Version ist fertig – sie wird  derzeit mit verschiedenen Fallstudien getestet. Spätestens jetzt ist es wichtig, sich um ein scheinbar lästiges Thema wie den Datenschutz zu kümmern. DSGVO & Co. lassen grüßen. Was echte Mehrarbeit und ein schwieriges Unterfangen ist, ist aber meiner Meinung nach auch ein notwendiges Übel.

Datenschutz wird in Deutschland in besonderem Maße hochgehalten. Das ist auch gut so. Ich finde, die vielen Diskussionen, die sich gerade auch in diesen Zeiten zum Thema Datenschutz auftun, sind sehr wichtig. Die Verordnungen sind dabei insofern positiv zu sehen, als dass sie tatsächlich ein Instrument sind, wie Software für Effizienz sorgen kann, der Datenschutz aber gewährleistet bleibt. Im Klartext: Jede Form von Software kann mit Hilfe des Instrumentariums dieser Verordnungen datenschutzkonform umgesetzt werden. Auch wenn es manchmal viel Arbeit ist und damit Zeit und Geld kostet. Sie führen auch zu einer dringend notwendigen differenzierten Betrachtung von Gefahrenquellen – etwas, dass derzeit eher lästig und aufgezwungen wirkt und jeden Nutzer damit quält, sich mit so etwas wie „Cookies“ zu beschäftigen. Aber der Reihe nach … .

Die Hierarchie der Verordnungen ist eindeutig. DSGVO und ePrivacy Richtlinie sind europäische Verordnungen, wobei ePrivacy ein noch sich in der Veränderung befindlicher Teil des DSGVO ist.  Sie umfasst bereits die sogenannte Cookie-Richtlinie, zu der auch (Stand Februar 2021) ein erweiterter Entwurf gehört. Das Bundesdatenschutzgesetz ist nationales Gesetz und steht – sofern ich das als Nicht-Jurist überhaupt beurteilen kann – nicht im Widerspruch zur DSGVO.

Der Datenschutz hat also einen brauchbaren europäischen Rahmen. Ich denke, das ist ein wichtiger Aspekt. Zu erwähnen ist aber auch, dass die DSGVO von nationalem Recht eingeschränkt werden kann. Die Bedingungen dafür sind in der DSGVO selbst festgelegt. Wenn also in Deutschland immer wieder Projekte vertrödelt werden und auf den angeblich strikten Datenschutz in Deutschland verwiesen wird – das ist schlicht falsch. Die DSGVO betrifft alle europäischen Staaten. Wenn Deutschland zum Beispiel eine DSGVO-konforme Datenschutz-App nicht auf die Reihe kriegt, die Schweden aber damit schon seit Monaten fertig sind, dann hat das nichts mit Datenschutz in Deutschland zu tun.

Was sind nun die zentralen Bestandteile der DSGVO? Das lässt sich mit diesen Schlagwörtern zusammenfassen:

  • Einwilligung zur Verarbeitung von Daten zwingend und explizit notwendig
  • Transparenz und Zweckgebundenheit der Datenverarbeitung
  • Exklusive Hoheit über die Nutzerdaten beim Nutzer – dieser muss jederzeit erfahren können, welche Daten zu welchem Zweck über ihn erfasst wurden.
  • Das Recht auf Löschen von Daten und das Recht auf „Vergessenwerden“

Das bedeutet für die Softwarenutzung im Internet eine ganze Menge Änderungen. Es reicht also nicht, dass ein Nutzer eine E-Mail Adresse und ein Passwort für eine Software wählt – er muss auch erfahren können dürfen, was mit diesen Informationen passiert. Das sollte in den Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen festgelegt sein.

Viel entscheidender – und leider bisher nicht in Verordnungen gegossen – ist der sogenannte SaaS Vertrag („Software as a Service“). Dazu gibt es bisher keine eigene Verordnung – allerdings ist die Annahme, dass diese Art von digitalem Produkt durch die DSGVO abgedeckt ist, doch eher lückenhaft. Denn „SaaS“ – also das regelmässige Nutzen einer Software im Internet oder auf einem Server – bedeutet nicht selten, dass mehr als zwei Parteien involviert sind. Neben dem Anbieter und dem Kunden spielen auch personenbezogene Daten eine Rolle – im Falle von CONSILIUM sind das die Daten der MitarbeiterInnen, die in diesem Dienstplan-Tool verwaltet werden. Und es gibt dann noch den Service-Provider, der die Datenbank hostet. Auch der muß DSGVO-konform handeln. Hier könnte man meinen, dass das selbstverständlich sei – nun, das ist eine steile These. Wie oft hören wir davon, dass z.B. Passwörter in Datenbanken im Klartext gespeichert sind? Hier machen es sich einige Anbieter einfach, in dem sie annehmen, dass der Zugang zur Datenbank selbst verschlüsselt ist. Und das würde als Sicherheitsmaßnahme ausreichen. Das jedoch ist fahrlässig und auch ein indirekter Verstoß gegen die DSGVO.

Man muss also aufpassen, wenn AGBs und Datenbestimmungen für „Software as a Service“ definiert werden. Es gibt dafür auch kaum kostenpflichtige Templates oder gar kostenfreie Vorlagen, die man als „SaaS“ – Betreiber nehmen und anpassen könnte. Das liegt ganz einfach an den vielfältigen Szenarien, die sich aus der Software ergeben können. Welche Parteien sind involviert, wie müssen Sie durch die DSGVO in die Pflicht genommen und geschützt werden? Bei „CONSILIUM“ ist es z.B. so, dass die verwalteten MitarbeiterInnen durch einen Administrator selbst zu CONSILIUM Nutzern werden können. Damit können sie direkt über einen Teil ihrer Daten selbst verfügen – was bedeutet das für ihre Rechten und Pflichten? Ein sehr weites Feld … .

Aber das Wichtigste überhaupt: das Vertrauen. Der Nutzer der Software muss Vertrauen haben können. Deswegen habe ich mich entschlossen, zusätzlich zu den AGBs und der Datenschutzbestimmung auch einen eigenen Datenschutzkodex zu verfassen. Diese Kodex ist jenseits von halb-juristischem seitenlangem Kauderwelsch eine Eigenverpflichtung, die genau diesem Vertrauensaufbau dienen soll. Man stelle sich vor, als Softwarebetreiber würde man in den begründeten Verdacht geraten, Daten an Dritte zu verkaufen – das wäre der Super-GAU. Es muss also mehr als deutlich werden, dass das Werben um berechtigstes Vertrauen Zukunft für den Betreiber schafft und in dessen Interesse liegt.

Mehr dazu in den nächsten Wochen, wenn als diese Erzählungen praktische Formen annehmen.