DSGVO kaum umsetzbar?
12. Oktober 2020 08:43 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Immer neue Nachrichten erreichen uns zu den DSGVO/GDPR/BDSG … immer neue Strafen. 16 Millionen-Strafe in Italien, knapp 10 Millionen bei 1&1. Besonders interessant unter dem Gesichtspunkt Informationsmanagement ist die Strafe für die Deutsche Wohnen. Dort ging es um den Zugang zu einem elektronischen Archiv und die dort gespeicherten Informationen.
Elektronische Archive dienen zur unveränderbaren Aufbewahrung geschäftsrelevanter Informationen und unterstützen in älteren Versionen kein gezieltes Herausfinden und Löschen von personenbezogenen Daten. Die Altlasten der elektronischen Archivierung mit WORM-Verfahren stellen so ein erhebliches Risiko für die Unternehmen dar – besonders für jene, die sehr früh mit Archivierung begonnen haben und jetzt eine kritische Altlast mit sich herumschleppen. Eine grundsätzliche Frage ist daher, ob die Prinzipien der Archivierung den Vorgaben der DSGVO widersprechen. Und natürlich, wie man “Altlasten” umgeht, die vor den Zeiten der DSGVO entstanden sind.
In der Diskussion befindet sich auch eine Studie des BITKOM, des Verbandes der ITK-Hersteller und -Anbieter. Dort heißt es, die DSGVO behindere Innovation. Mehr als 90% der Unternehmen in Deutschland wünschen sich eine Änderung der DSGVO. Wenn man ehrlich ist, können Unternehmen, Organisationen, Behörden & Co. die DSGVO überhaupt nicht vollständig erfüllen – “vollständig” ist das Stichwort. “Angemessenheit” wäre ein zweites Stichwort. Bei Großunternehmen weiß man häufig überhaupt nicht, welche Informationen wo liegen. Sicherungen, unkontrollierte Redundanz, Sticks, Cloud-Sync-Speicher usw. machen das identifizieren und lokalisieren sehr schwierig. Hier wird vielfach auf die eierlegende Wollmilchsau KI Künstliche Intelligenz gehofft. Auch bei kleineren Unternehmen und Einzelkämpfern sieht es schwierig aus – hier eine Excel, da eine alte Outlook OST, dort eine Sicherungsfestplatte aus alten Tagen. Es fehlt an Zeit und Kriterien alles richtig nachzuarbeiten. Häufig ist man als Nutzer nicht in der Lage zu bewerten, wann eine Information schützenswert nach DSGVO ist und wann nicht. Geschäftskorrespondenz muss nach Handels- und Steuerrecht aufbewahrt werden und wenn sich dann persönliche Informationen z.B. in die Korrespondenz einschleichen muss entschieden werden, wie damit umzugehen ist. Problemfelder gibt es viele. Aber das die DSGVO Innovation behindern? Ist es nichts o, dass wir wegen der DSGVO mehr Innovation brauchen und der Druck auf Innovation sich erhöht?
Aktuell schlagen die Wellen hoch in Bezug auf Microsoft mit seiner 365-Plattform. Mit Sharepoint, Teams, Office und OneDrive gibt es eine Vielfalt von Speicherorten. Microsoft hat in diesem Bereich in Punkto Records Management und Information Governance einiges an neuen Werkzeugen gebracht, aber die grundsätzliche Frage der Speicherung und Übermittlung von Information ist nach Meinung der Datenschützer offener denn je. Die Speicherung in einem deutschen Rechenzentrum ist nicht ausreichend, wenn weiterhin Datenabfluss in die USA passiert. Die Meinung der Datenschützerkonferenz lädt zu Umgehungen geradezu ein, denn wie will man gerade in Corona-Zeiten die notwendige Collaboration und Heimarbeit mit US-amerikanischen Produkten verbieten. Cloud ist nicht im Public Cloud. Neben SaaS gibt es IaaS, PaaS und vielfältige hybride Formen. Diese erlauben verschlüsselte Kommunikation und verschlüsselte Plattformen. Eine generelles Verteufeln eines Anbieters und einer bestimmten Lösungsausprägung hilft hier nicht weiter – auch wenn Microsoft einiges noch tun muss, damit die DSGVO/GDPR eingehalten wird (den sogenannten privacy Shield vergessen wir einmal …).
Das Wichtigste ist, glauben wir, dass jetzt ein größeres Bewußtsein für den Umgang mit Information und den Schutz von Daten gewachsen ist. Auch wenn nicht alles erfüllt wird (oder werden kann), was die DSGVO verlangt, so sind wir jedoch auf dem richtigen Weg. Schutz personenbezogener Daten ist dabei nur ein Aspekt. Es geht generell um die Information Governance, die Beherrschung der Information. Neben der DSGVO gibt es noch viele andere gesetzliche Vorgaben, die ein geordnetes Verwalten und Nutzen von Information erfordern: HGB nebst GoBD für die kaufmännischen Daten, GeschGehG für den Schutz vertraulicher Daten, IT-SIG für die Sicherheit in kritischen Bereichen, usw. Genauso wichtig wie die Compliance-Aspekte sind die Wirtschaftslichkeitseffekte – die richtige Information oder aufwändiges Suchen sofort zu erhalten, keine veralteten oder falschen Informationen. Von Zuhause oder unterwegs mobil arbeiten zu können mit Zugriff auf alle wichtigen Daten. Workflows und Process Automation um mehr Qualität, Schnelligkeit und Sicherheit in Geschäftsprozesse zu erhalten. Es gibt viele weitere Argumente für eine übergreifende Information Governance, die natürlich den Datenschutz als einen Grundpfeiler einschließt. Datenschutz gehört so gesehen in die Infrastruktur aller technischer Lösungen wie auch in Organisation und Prozesse und besonders in das Wissen und Verhalten der Mitarbeiter.
Dass die aktuellen DSGVO noch nicht der Weisheit letzter Schluss sind, ist allen klar. Beim weiteren Zusammenwachsen Europas, beim Digital Single Market (DSM), wird auch die Themen Datenschutz, Vertraulichkeit, Sicherheit und Ethik immer wieder neu beleuchtet werden. Aktuell müssen wir mit der GDPR, bzw. DSGVO/BDSG so leben wie sie ist. Und viele relevante “Interpretationen” durch Urteile stehen noch aus.
Zu diesen – und anderen – Themen rund um die DSGVO gibt es am 13.10.2020 um 08:51 in der Reihe “9vor9” von Stefan Pfeiffer und Lars Basche eine Podcast-Session auf Twitter. Die Aufzeichnung werden wir hier in einem Kommentar veröffentlichen, bzw. auf Youtube verlinken.
9vor9-Aufzeichnung: Stefan Pfeiffer im Gespräch mit Dr. Ulrich Kampffmeyer
Hier nun die Links zur Aufzeichnung:
Twitter: https://bit.ly/3iYgpRT
Youtube: https://bit.ly/34QpJCt
“9vor9”-Podcast-Plattform: https://9vor9.podigee.io/
… übrigens, der Versprecher “Digitalmuseum” statt “Digital-Ministerium” wäre dann erst ein Thema für eine spätere Session …
Office 365 & Datenschutz
Eines der Argumente gegen den Einsatz von Office 365 mit Teams, Sharepoint online und OneDrive ist, dass man mit Office 365 (und auch anderen Video-Conferencing-Tools) nicht Datenschutz-konform arbeiten könne. So die Datenschutzkonferenz des Bundes und der Länder (DSK) am 22. September 2020 verabschiedet, dass derzeit “kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist”. Die Abstimmung der Landesdatenschützer war mit 9:8 knapp. Fokus war dabei der Einsatz von Microsoft Office in der öffentlichen Verwaltung und die Dominanz von Microsoft-Produkten. Es macht seither die Aussage die Runde, dass der Einsatz von Office 365 “verboten” sei.
Vorab ist zu konstatieren, dass es einen Unterschied zwischen “Datenschutz-konformer Nutzung” und “Produkt ist nicht Datenschutz-konform” gibt. Das Arbeitspapier der DSK vom Juli 2020 basierte auf der Fassung der Nutzungsbedingungen, den Bedingungen der Auftragsdatenverarbeitung, AGB und Datenschutzerklärung für Teams. Diese Dokumente hatten den Stand Januar 2020. Bemängelt wurden weiche Formulierungen und dass ein Datenabfluss in die USA nicht ausgeschlossen sei. Inzwischen hat Microsoft zahlreiche Ergänzungen und Verbesserungen vorgenommen, wie z.B. im Records Management und bei der Information Governance. Viele andere Standardprogramme bieten nicht den Umfang der Funktionalität zur Verwaltung der Software, Berechtigungen und Sicherheitseinstellungen wie Microsoft Office 365. Microsoft gibt auf ihrer Webseite inzwischen auch aktualisierte Hinweise zur DSGVO-konformen Einsatz.
Die BRAK Bundesrechtsanwaltkammer schloss sich der Kritik an Office 365 an. Viele Anwälte jedoch, die sich mit Internet-Recht beschäftigen, haben inzwischen die Aussagen der DSK in Frage gestellt und relativiert. Es ist letztlich auch eine Frage, wie die Politik und Verwaltung Einfluss auf die Produktgestaltung von Microsoft nehme. RA-Kanzlei Luther verweist hier auf das Beispiel Niederlande. RA Dr. Schwenke gibt Praxis-Tipps wie Office 365 genutzt werden kann. Auf Dr. Datenschutz werden Hinweise zu den Einstellungen gegeben, um Datenschutz-konform Office 365 zu nutzen. Auch RA Nina Diercks gibt eine Einordnung, dass es sich keineswegs um ein Verbot des Einsatzes von Office 365 handelt.
Letztlich kann man nicht einfach ein nützliches, weit verbreitetes Standardprodukt “verbieten” wenn man nicht gleichzeitig eine Alternative aufzeigen kann. Hier hat sich gerade die öffentliche Verwaltung mit ihren Open-Source-Projekten nicht gerade mit Ruhm bekleckert. Es ist nun an Microsoft, weitere Verbesserungen und Konkretisierungen bzgl. der Konformität mit GDPR/DSGVO (nicht nur für Deutschland, zumindest für die gesamte EU) vorzunehmen. Dies heißt aber auch, Bereitschaft zur Kooperation der Datenschützer und nicht nur pauschale Ablehnung.
Datenschutz & Videokonferenz-Software
Die DSK Deutsche Datenschutzkonferenz präferiert in ihrer “Orientierungshilfe Videokonferenzsysteme” (https://bit.ly/38fuEjB) OpenSource-Produkte wie JITSI (https://bit.ly/353b7kv) . Installation solcher Lösungen auf eigener Hardware erfordert passende Betriebsumgebungen und Knowhow. Nach Meinung vieler Experten stellen OpenSource-Produkte für kleine Unternehmen und private Nutzer jedoch keine Alternative dar. Für Privatleute gibt es dann noch Alternativen in der Cloud wie Threema, Netways oder sichere-videokonferenz.de. Positiv bewertete die DSK auch Tixeo Cloud, BigBlueButton von Werk21 und den Messenger-Service Wire. Die weitverbreiteten Standardlösungen der internationalen Anbieter wie Zoom, Microsoft Teams/Skype, Cisco Webex, GoToMeeting, Google Meet, etc., werden als nicht-datenschutz-konform betrachtet.
Ob sich diese Einschätzung angesichts der Marktmacht, der Einfachheit der Nutzung, der kostenfreien Nutzbarkeit und der Verbreitung durchsetzen wird, kann bezweifelt werden. Zumal die internationalen Anbieter auch viel daran setzen werden, ihre Lösungen für Europa, also GDPR-compliant zu gestalten. Dies wird auch schon auf Grund der Regelungen in den USA notwendig werden, wo Kalifornien bereits ein neues, der GDPR, sehr ähnliches Datenschutzgesetz verabschiedet hat (CPRA). Außerdem kann man mit ein paar zwischen den Teilnehmern oder im Unternehmen vereinbarten Regeln (z.B. in Bezug auf die Aufzeichnung von Sitzungen, Nicht-Zeigen und Nicht-Hochladen von Dokumenten, anonymisierten Nutzern mit eigens für das Conferencing erstellen E-Mail-Adressen, etc.) durchaus konform mit den Standardwerkzeugen arbeiten.
Unseriöser Datenschutz
Es wurde zudem kolportiert, dass die “Datenschützer” gar keine eigenen Messungen des Produktes vorgenommen haben. Bei Microsoft gibt es auch nicht mehr das Produkt Office 365 sondern nur noch Microsoft 365. Das “Datenschützer” Urteil ist also in etwa so relevant als wenn man Windows 7 untersucht, um ein Urteil über Windows 10 zu fällen. Also erst mal in hohem Masse unsachlich.
Das Votum 9/8 zeigt deutlich, wie in der deutschen Provinz Datenschutz verwillkürt wird. Bei dem selben Recht der DSGVO kann es nicht zu unterschiedlichen Deutungen kommen, wenn man nicht auf das Recht pfeift, es verwillkürt. Meine Schlussfolgerung deshalb:
1.) Die Datenschützer des Bundes und der Länder müssen unter Aufsicht gestellt, damit auch in den deutschen Provinzen europäisches Recht wie die DSGVO einheitlich und unverwillkürt angewendet wird.
2.) Die DSGVO muss dringend überarbeitet werden, damit sie nicht nur zur Machtübernahme durch sachunkundige, schlampig arbeitende Datenschützer und zur Finanzquelle für das Umfeld-Ökosystem missbraucht wird, aber gleichzeitig der Staat in hohem Maße auf Datenschutz pfeift uns jetzt auch noch heimlich die elektronische Kommunikation insgesamt überwachen will, als gälte es Gestapo und Stasi wieder aufstehen zu lassen.
Die Artikel in der neuen c/t und IX zum Datenschutz lassen einen erschauern. Man solle z.B. bei programmierbaren Kaffeeautomaten im Büro, in denen Benutzer Profile hinterlegen können, die Profile ausscheidender MAs löschen wegen Datenschutz. Das kommt davon, wenn man keine seriöse Risikoanalyse mit Schadensausmass und Eintrittswahrscheinlichkeit macht, um das Risiko zu bestimmen. Jeder Furz wird bei solche schlampiger Arbeit zum Weltuntergangsproblem hochgejazzt. Zu Lasten echten Datenschutzes und zum finanziellen Schaden von Organisation die IT verwenden. Diese Entartung des Datenschutzes mit extrem hohen Kosten und ohne Nutzen sollten wir bekämpfen. Sofort.
Unverhältnismäßiger Bundesdatenschutzbeauftragter
Das Landgericht Bonn kürzt Bußgeld des Bundesdatenschutzbeauftragten Kelber von 9 Mio € auf 900.000 €. Auch dieses Beispiel zeigt, dass der Datenschutz bei uns völlig willkürlich aus dem Ruder läuft. Diese Unmäßigkeit von Datenschützern kann jeden von uns treffen. Die Datenschützer müssen unter Aufsicht gestellt werden und die Rechtsstaatlichkeit statt ihrer provinziell Willkür von mittelalterlichen Provinzfürsten als Plünderern beigebracht werden. Grauenhaft, was da unter “Datenschutz” abläuft.https://newsroom.1und1.de/2020/11/11/urteil-im-verfahren-von-11-gegen-datenschutzbehoerde-gericht-reduziert-bussgeld-um-90-prozent/