Verfolgt man die Filterblase aktivistischer Datenschützer, könnte man schnell der Annahme verfallen, jede Datenerhebung wäre falsch und gesetzwidrig und alles illegal. Ein Blick auf die Grundlagen dürfte so mancher Empörung die Spitze nehmen. Ein bisschen mehr Augenmaß tut manchmal gut.
Die DSGVO erlaubt Datenerhebung
Wenn es um Datenerhebung und Datenübertragungen geht, ist die Empörung schnell groß und die Datenschutz-Community bestärkt sich gerne selbst darin, dass alles illegal, halb-legal oder zumindest mit Dark Patterns herbeigeführt wurde.
Umso überraschter reagieren dann viele, wenn z. B. der Einsatz von Microsoft-Produkten unter den Aufsichtsbehörden nicht einhellig abgelehnt wird, sondern ein strittiges Thema ist (man erinnere an die Geschichte mit Teams in Berlin). Andere Dienste werden zumindest zeitweise toleriert, weil ein Umstieg nicht ad hoc realisiert werden kann (z. B. Videokonferenzsysteme in Schulen). Die Datenschutzaufsicht der meisten Länder ist da pragmatischer als viele meinen. Viele rufen dann gerne Korruption.
Das Kernproblem liegt schon im behandelten Gegenstand. Viele sehen in Datenschutz eine Grundhaltung, eine Glaubenslehre oder ein IT-Problem. Datenschutz ist aber primär erst mal ein juristisches Thema und viele professionelle Datenschutz-Experten haben einen juristischen Hintergrund (direkt gefolgt vermutlich von einem IT-Background). Es ist erlaubt, was das Gesetz hergibt und nicht, was aus einer ggf. ideologisch aufgeladenen Perspektive schön wäre.
Viele übersehen, dass die DSGVO nicht nur die missbräuchliche Datenerhebung verbietet, sondern auch unter sehr vielen Kriterien die Datenerhebung erlaubt. Das ist vor allem der berühmte Artikel 6, in dem die Bedingungen, unter denen eine Datenverarbeitung erlaubt ist, festgelegt sind:
1. ) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Diese Bedingungen sind kein Freibrief, aber sie lassen selbst ohne eine Einwilligung umfassende Datenverarbeitung zu. Es ist auch nicht unbedingt das Problem des Dienstanbieters, wenn viele ihre Einwilligung erteilen, ohne zu lesen, was sie da zustimmen. Viele Dienstleistungen benötigen zudem nun einmal Daten. Dabei sollten natürlich so wenig Daten wie möglich erhoben werden, aber auch das ist manchmal noch ganz schön viel. Oft zumindest ein vollständiger Stammdatensatz.
Zusätzlich erhebt der Staat selbst eine Vielzahl an Daten auf anderen gesetzlichen Grundlagen und erlaubt daraus nach definierten Vorgaben auch Datenabfragen, von denen viele nicht wissen, dass sie existieren. Mein Lieblingsbeispiel ist hier die Gruppenauskunft aus dem Melderegister, ein öffentliches Interesse durch ein Forschungsvorhaben einer Universität oder eines universitären Instituts vorliegt.
Ganz davon unabhängig umfasst nicht jede Datenerhebung personenbezogene Daten und fällt dann gar nicht unter den Datenschutz. Hier hat sich leider im öffentlichen Diskurs ein „Datenerhebung = Datenschutz-Problem“ durchgesetzt.
Nicht jede Datenerhebung ist ein Problem
Bei vielen hat sich die Meinung festgesetzt, dass jede Datenerhebung falsch ist und ein Problem darstellt. Dahinter steht das Prinzip der Datensparsamkeit, denn natürlich können alle erhobenen Daten auch missbräuchlich verwendet werden.
Eigentlich ist aus Datenschutz-Sicht ein einzelnes Daten-Silo aber gar kein großes Problem. Eine mittelgroße Firma, die in ihrem CRM die Vertragsdaten von meinetwegen 500 Kunden (das können auch App-Nutzer sein) und 100 Geschäftspartnern speichert und mit diesen Daten nichts macht, außer bei Bedarf Briefe zu verschicken, ist kein Datenschutz-Problem.
Das Problem entsteht dort, wo große Mengen an Daten zusammen geführt werden. Also entweder bei jenen Firmen, die sehr viele Daten erheben und diese anderweitig nutzen oder sogenannten Datenhändlern.
Natürlich können die kleinen Datensammlungen theoretisch irgendwann mal in ein großes Silo einfließen, nicht jedes mittelgroße Unternehmen geht übermorgen unter die Datenhändler.
Die Rechte mit Bedacht nutzen
Die DSGVO gibt den Verbrauchern viele Rechte und diese darf man nutzen – man sollte es aber mit Bedacht tun.
Die DSGVO gibt z. B. das Recht auf Datenauskunft und das Recht auf Datenlöschung. Ich habe das auch gerne genutzt, um mal herauszufinden, was so mancher Großkonzern über mich gespeichert hat. Daraus kann man dann durchaus die Konsequenz ableiten, den Vertrag zu beenden oder die Nutzung des Dienstes einzustellen.
Diese Rechte sind aber kein Schikane-Instrument. Man muss nicht alle 6 Monate einen Großkonzern, mit dem man eine Vertragsverbindung hat, um eine Datenauskunft bitten. Ebenso muss man nicht eine kleine Firma mit Datenauskünften quälen, wenn man schon weiß, dass diese aus berechtigten Gründen Daten speichert.
Datenschutzbeauftragte arbeiten oft nicht hauptberuflich als solche, sondern haben bestenfalls ein paar Prozente ihrer Stelle dafür zur Verfügung. Diese freuen sich immer sehr, wenn sie den offensichtlichen Vordruck eines aktivistischen Bloggers auf dem Schreibtisch haben und das ganz große Datenauskunft-Rad drehen dürfen.
Zusammengefasst
Datenschutz ist wichtig, aber nicht jede Datenerhebung ist illegal. Datenschutz und die DSGVO sind primär ein juristisches Feld und hier sollte man ganz vorsichtig mit Aussagen über Legalität und Illegalität von Angeboten sein. Nicht alles, was aus Datenschutz-Perspektive wünschenswert ist, muss deshalb auch in der Realität so sein. Viele Sachverhalte sind strittiger, als dies in einschlägigen Blogs und Kommunikationskanälen der „Datenschutz-Community“ so dargestellt wird.