Die Datenschutz-Grundverordnung: ein nutzloses Bürokratiemonster
Vielleicht liegt es ja bloß am Mangel an Vorstellungskraft, wenn wir sie nicht verstehen, die EU-Bürokratie, wenn sie über spätbyzantinische Verordnungen nachdenkt. Möglicherweise könnte es auch am Desinteresse zum Thema ganz im Allgemeinen liegen, oder aber – ebenfalls nicht ganz ausgeschlossen – die pure Ignoranz gewinnt in uns allen die Oberhand, weil man unbewusst irgendwie ahnt, da kommt etwas auf einen zu, dem man ohnehin ganz und gar nicht gewachsen ist. (Man beachte etwa die datenschutzwidrige Email-Sammelfunktion der WKÖ, der die zwingende Doppel-opt-in-Funktion fehlt.)
Dieses nahende Etwas hat einen Namen, das Daten-Tsunami-Monster hört auf den lakonischen Namen EU-Datenschutz-Grundverordnung (DSGV). Und sie basiert auf der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.
Die Spitze des Eisbergs
In der Theorie klingt es zunächst mal ganz hervorragend, denn wer würde dem gebührenden Schutz der Privatsphäre, einem Grundrecht, gerade auch im Internet,nicht sofort zustimmen? Doch das Bürokratiemonster DSGVO entpuppt sich beim näheren Hinsehen bloß als die Spitze eines Eisbergs, auf den wir wie auf einer digitalen Titanic schnurstracks zusteuern. Und sie bringt in Zeiten von Big Data und Data Mining exakt null relevanten Mehrwert für die persönliche Privatsphäre.
Was passiert gerade? Am 25.Mai tritt die DSGVO endgültig und rechtsverbindlich in Kraft. Um diese Grundverordnung in die nationalen Gesetzgebungen der einzelnen Staaten einzugliedern, bedarf es sog. Anpassungsgesetze, denn jedes EU-Mitgliedsland besitzt bekanntlich bereits ein Datenschutzgesetz (Österreich etwa das DSG 2000, das seit dem Jahr 2000 in Kraft ist), und genau diese alten Bestimmungen müssen sich mit Stichtag 25. Mai mit der Grundverordnung kompatibel zeigen. Soweit so einfach, möchte man meinen, denn schließlich geht auch das DSG 2000 zurück auf die EU-Richtlinie 95/46/EG aus dem Jahre 1995. Warum also die Panikmache?
Mythen und Märchen
Die DSGVO dient dem Schutz personenbezogener Daten innerhalb der EU, so heißt es in der Verordnung. Weiters steht dort: Mit der DSGVO werden die Erhebung, die Speicherung, die Verarbeitung und die Weitergabe personenbezogener Daten erstmals europaweit einheitlich geregelt. Und genau das ist zunächst eine glatte Lüge.
Nur ca. 3% aller Internetanwendungen sind europäische Unternehmen, der Rest verteilt sich auf die USA und auf Asien. Sprich: zu 97% werden Daten von nicht auf EU-Boden befindlichen Unternehmen verarbeitet. Die DSGVO kann diesen Unternehmen nicht aufgezwungen werden. Diesen Umstand kennen natürlich auch die EU-Verantwortlichen, darum haben sie der DSGVO eine so genannte e-Privacy-Richtlinie mit auf den Weg gegeben.
Erst diese Richtlinie “kontrolliert” den Datentransfer nach Übersee oder nach Fernost bzw. sie sollvielmehr diese Datentransfers kontrollieren. (So gut wie jedes so genannte “Tracking” baut auf diesem außereuropäischen Datentransfer auf.) Im Erwägungsgrund 173 der Datenschutzgrundverordnung heißt es dazu:
Um das Verhältnis zwischen der DSGVO und der e-Privacy-Richtlinie klarzustellen, sollte die e-Privacy-Richtlinie entsprechend geändert werden. Sobald die DSGVO angenommen ist, sollte die e-Privacy-Richtlinie einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit der DSGVO zu gewährleisten.
In einfachen Worten: Am 25. Mai tritt eine DSGVO in Kraft, die auf einer nicht rechtsverbindlichen EU-Richtlinie basiert, weil genau diese den Datentransfer nach Übersee überhaupt erst regeln muss. Hinter dieser e-Privacy-Richtlinie versteckt sich dann gleich auch das zweite Bürokratie-Monster. Denn sie basiert auf dem EU-US Privacy Shield-Abkommen, welches das Safe-Harbor-Abkommen abgelöst hat bzw. ablösen hätte sollen. Die Krux: dieses Abkommen existiert schlicht und einfach nicht. Es existiert nur der Name “EU-US Privacy Shield-Abkommen”. Formlose “Briefe” zwischen den USA und der EU regeln seit 2015 den Datentransfer. Seither gelten diese “Briefe” als rechtsrelevante Leitfäden für Bürger und Unternehmen. Dass es mit Asien noch dazu rein gar kein Abkommen oder Abmachungen gibt, braucht hier nicht extra erwähnt zu werden. Augen zu und durch, tut es schließlich auch! Wer nutzt denn schon Alibaba, nur zum Beispiel, einen Konzern, der fast das dreifache Umsatzvolumen von Amazon hat? Ironie off.
Noch mehr Mythen und Märchen
Vielleicht fallen dem geneigten Leser dieser Zeilen bereits jetzt schon die durchaus als skandalös zu bezeichnenden Zustände auf. Doch es kommt noch besser. Viel besser.
Zum einen ergänzen die e-Evidence-Richtline und die e-Privacy-Richtlinie die DSGVO. Facebook, Google & Co sollen damit verpflichtet werden, so genannte backdoors in ihre Software einzubauen, die es polizeilichen und geheimdienstlichen Ermittlungsbehörden ermöglichen sollen, Observationen im Hintergrund durchzuführen. (Nicht zu verwechseln mit dem “Staatstrojaner”). Allein durch diese Möglichkeit des Eingriffs durch Dritte in Datenbestände der großen Social Media Anbieter führt sich das DSGVO selbst ad absurdum.
Es ist wahrlich schwierig einen schlichten, deskriptiven Tonfall beizubehalten und nicht in einen schmerzlich zynischen zu verfallen, denn das folgende US-Gesetz setzt dem Datenschutztsunami die sprichwörtliche Krone auf: der so genannte CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Er verpflichtet nämlich US-amerikanische Internetfirmen, den US-Behörden gerade dann Zugang zu Kundendaten zu verschaffen, wenn diese Daten nicht auf US-Boden gespeichert sind. Gemeint sind natürlich unsere Daten in der EU.
Datenschutz – Cui bono?
Wie man leicht erkennen kann, wird das Zusammenspiel zwischen der DSGVO, der e-Privacy-Richtlinie, der e-Evidence-Richtlinie und des CLOUD-Acts so gut wie keinen nennenswerten Datenschutzmehrwert für die Anwender von webbasierten Anwendungen in der EU mit sich bringen. Dies ist umso verwunderlicher, da der Sinn hinter der Grundverordnung ja genau die Regulierung der weltweiten Big Player sein hätte sollen – und nicht die Regulierung des Zahnarztes ums Eck. Ruft man sich dann noch den Geltungsbereich der Grundverordnung in Erinnerung, begreift man die Sache im Grunde überhaupt nicht mehr.
Die Einhaltungspflicht der DSGVO gilt für jede Person, jedes Unternehmen und natürlich auch jede sonstige Vereinigung, die über einen Internetauftritt verfügt und dort Daten verarbeitet, was im Prinzip jeder macht. Denn nicht bloß die selbstständig erhobenen, persönlichen Nutzerdaten fallen unter “Daten verarbeiten”, sondern auch alle Tracker, Frames und natürlich auch korrespondierende Affiliate-Links zu Drittseiten. Weiters verpflichtet die DSGVO die Seitenbetreiber de facto zur SSL-Verschlüsselung ihres Internetauftritts, weil auch die so genannte IP-Adresse unter den Begriff “personenbezogene Daten” fällt. Dritte könnten ansonsten Website-Besucher “tracken”.
All diese “Schutzmechanismen” gelten exklusiv für Webseitenbetreiber innerhalb der EU, außerhalb der EU existiert großteils noch nicht mal eine Impressumspflicht. Der bürokratische Aufwand wird hierzulande enorm zunehmen. Ohne juristische Fachexpertise sind diese Maßnahmen von niemanden zu stemmen und letztlich wird jeder kleine Unternehmer dazu gezwungen sein, zumindest eine geringfügige Fachkraft in seiner Firma zusätzlich einzustellen – oder aber den anfallenden Zeitaufwand den anderen Mitarbeitern aufzubürden, was die Personalkosten durch Mehrstunden hochtreiben wird.
Große Freude bei den Big Playern
Berücksichtigt man dann noch den Entwicklungsrückstand europäischer Unternehmen im Vergleich zu den amerikanischen und asiatischen IT-Giganten, dann kann einem für unsere Zukunft nur Angst und Bange werden. Ein kleines Beispiel: das Verbot der Nutzung der IP-Adresse beim Tracken der User.
Jeder, der auch nur die geringste Ahnung vom Aufbau des Internets hat, weiß, dass die Grundlage für alles das serverseitige TCP/IP-Protokoll bildet. Gemeinsam mit dem Web-HTTP-Protokoll entsteht quasi erst das Internet. Mit anderen Worten: Jeder, wirklich jeder außerhalb der EU, kann beim Besuch einer Webseite die IP-Adresse sammeln und diese personengebunden Daten dann verarbeiten, nur nicht die EU-Firmen. Die Folge wird sein, dass EU-ausländische Firmen genau diese Datensammelwut weiterhin als Geschäftsmodell ausbauen, präzises Werbetargeting damit versprechen, und es an EU-Firmen zurückverkaufen werden. Damit entsteht ein weiterer Teufelskreis des Datenhandels, ganz unabhängig davon, was die DSGVO den EU-Unternehmen vorschreibt.
Doch da geht noch mehr! Denn die DSGVO kann man in aller Prägnanz und Kürze auf folgenden Nenner herunterbrechen: Alles soll “Opt-In” werden. Das heißt, dass im Prinzip so gut wie alles, was bisher erlaubt war, auch weiterhin innerhalb eines akzeptierten digitalen Ökosystems erlaubt bleiben wird. Opt-In bedeutet nämlich nichts anderes als “Log-In”, was Apple, Amazon, Google und Facebook jetzt bereits jubilieren lässt. In deren Systemen ändert sich so gut wie nichts, alles bleibt, wie es derzeit schon ist.
Good bye, EU-Unternehmen!
Rechtssicherheit ist ein Grundpfeiler jeder funktionierenden Wirtschaft. Während sich Großunternehmen locker einen zweiten oder dritten zusätzlichen Juristen für die Rechtsabteilung leisten werden können, bedeutet es für Kleinunternehmer den finanziellen Ruin, wenn eine größere Klagsforderung oder Abmahnung ins Haus flattern sollte. Nicht zuletzt hat sich selbst bei mittelgroßen Bloggern bereits jetzt der Usus eingebürgert, keine Kommentare mehr auf der eigenen Webseite zuzulassen, sondern sie lieber auf Facebook & Co “auszulagern”, weil dort Rechtssicherheit garantiert wird.
Man muss nicht zur Fraktion der Aluhutträger gehören, um die besorgniserregende Entwicklung im digitalen EU-Neuland als nicht rein zufällig einzuschätzen. Lobbyarbeit der Big Player, gepaart mit fundamentaler, erschreckend naiver Unkenntnis der EU-Bürokraten (nicht nur der unsrigen) über die Natur des Webs, ebnen den Weg zur kollektiven, wirtschaftlichen Unterwerfung im globalen Internet.
Das sind wahrlich keine schönen Aussichten. Vielleicht sollten wir dann doch wieder auf die gute alte Postkutsche setzen. Denn anno dazumal waren wir noch nicht so verklemmt, wenn es um die Umsetzung von Realitätssinn und Vernunft ging, und wir hatten einst damit sogar die Technologieführerschaft inne.
Hat Ihnen der Beitrag gefallen? Dann unterstützen Sie bitte die SCHLAGLICHTER!
[…] »DSGVO heißt Unterwerfung« + »E-Privacy-Verordnung« WIDERSTAND ! – mein vorschlag für ein „impressum“ […]
[…] Mit Details gespickt, vielleicht etwas plakativ und für den Einzelnen auch nicht alles im Detail verifizierbar – trotzdem ein guter Text, um kritisch den aktuellen Sinn der neuen DSGVO zu hinterfragen. Hier der Link zum Beitrag. […]
Brüsseler Krankheit im EU-Parlament:
“Wir von der EU denken für euch, weil wir es besser wissen”
Europas Regierungszentrum ist der ideale Nährboden für Vetternwirtschaft, Selbstbedienung und Korruption. EU bedeutet Tyrannei, Diktatur, Vorschriften ohne Ende, Bürokratie, Entrechtung, Entdemokratisierung.