Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Die heutige Etappe führt uns bei wunderbarem Frühlings-Wetter zu schönen Aussichten: Datenschutz by design und by default, also durch datenschutzfreundliche Technikgestaltung und Voreinstellungen. Letztere sind ja eigentlich nur ein Teilbereich der Technikgestaltung. Klingt wie „Datenschutz automatisch“.
Ein kurzer Überblick
Anfangs kämpfen wir uns natürlich wieder durch den Dschungel der furchtbar verworrenen Sprache der DS-GVO. Aber so ist sie nun einmal, die DS-GVO: Von uns verlangt sie Klarheit und Prägnanz, selbst liefert sie das Gegenteil. Vielleicht ein besonders raffiniertes Manöver des Gesetzgebers: Das abschreckend schlechte Beispiel?
Absatz 1 besteht aus einem einzigen Satz, der irgendwie – wenn auch nicht literarisch – an Thomas Mann erinnert. Ich habe sieben „und“ gezählt (korrekt?), außerdem „sowie“, „als auch“ und „wie etwa“. Absatz 2 wiederholt den ersten Absatz für einen Teilbereich nochmals mit anderen Worten und Absatz 3 sagt gar nichts aus.
Wie üblich, hier der Versuch einer Übersetzung für schlichte Spaziergänger: Verantwortliche treffen bei der Planung und beim Einsatz ihrer Datenverarbeitung die im Einzelfall angemessenen Maßnahmen für wirksamen Datenschutz. Dazu gehört, dass Datenverarbeitung von Vornherein nur im nötigen Umfang erfolgt, z. B. hinsichtlich der Erhebung und Speicherung von Daten. Dazu gehört außerdem, dass der Personenbezug von Daten angemessen vermieden oder reduziert wird (Anonymisierung oder Pseudonymisierung).
Beim Übersetzen ist Absatz 2 Satz 3 besonders schwierig und rätselhaft. Welche Person ist gemeint? Die betroffene Person? Aber es gibt doch massenhaft Fälle, in denen „ohne Eingreifen der Person“ Daten weltweit veröffentlicht werden. Ist das – auch bei Rechtsgrundlage nach Artikel 6 – verboten? Haben Sie eine Erklärung?
Artikel 25 in der PRaxis
Den Grundsatz finden (fast) alle gut: Persönliche Daten sollen nicht unnütz gefährdet werden. Am besten, der Datenschutz ist eingebaut, also die Systeme minimieren das Risiko. Artikel 25 spricht zwar – wie andere Artikel auch – von technischen und organisatorischen Maßnahmen (unseren „TOM“ im Datenschutz-Slang), aber er wird hauptsächlich mit den technischen Maßnahmen in Verbindung gebracht. Hard- und Software soll datenschutzfreundlich gebaut und konfiguriert sein. Soweit also Einigkeit. Schön.
Herausforderungen gibt es in der Praxis mindestens zwei:
- Was ist für eine bestimmte Datenverarbeitung angemessen, also welchen Datenschutz-Aufwand muss (!) der Verantwortliche betreiben? Natürlich gibt es einen klaren Bereich: Maßnahmen ohne oder mit ganz geringem Zusatzaufwand sind immer richtig. Aber wann ist die technische Erzwingung eines komplexen Passworts (12 Stellen? 15 Stellen?) oder einer bestimmten Wechsel-Frequenz angemessen? Und wann ist sie unnötige Schikane?
- Wie können kleine Verantwortliche extrem komplexe Systeme datenschutz-optimieren, die von großen Nicht-Verantwortlichen erstellt und permanent verändert werden? Das ist zu verschwurbelt gefragt? Also konkreter: Wie konfigurieren Frau Bäcker und Herr Blumenhändler SOPHOS und Microsoft 365?
Die schlechte Nachricht: Beide Themen sind nicht für die Ewigkeit allgemein lösbar, sondern brauchen die Prüfung bzw. Entscheidung im konkreten Fall. Wir werden uns also immer wieder – und sogar für die selben Datenverarbeitungen immer wieder – mit diesen Fragen befassen müssen. Die gute Nachricht: Das ist sinnvoll investierte Zeit und bringt echten Datenschutz. In diesem Sinn: Viel Spaß beim Frühjahrsputz!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
