Über die heldenhaften Verteidiger unserer Daten – und vom Datenklau beim Friseur und anderen Gefährdern

Eigentlich wollten sich Ingo Nöhr und Jupp beim heutigen Stammtischtreffen über die üblichen Themen wie der Hitzewelle, der Sicherheit von Autobahnbrücken und dem Chaos in der Regierung unterhalten. Auch der neue Aufreger von Gesundheitsminister Jens Spahn, die elektronische Gesundheitskarte nicht mehr in einem geschlossenen System abzulegen, versprach viel Gesprächsstoff. Doch dann schlug sie unvermittelt zu: - die Datenschutz-Grundverordnung, kurz DSGVO.

Hallo Jupp, schön dich so gut frisiert zu sehen. Warst du beim Friseur? Ich hoffe, du hast bei ihm keine Datenfreigabe-Erklärung unterschrieben.

• Wie bitte? Also Ingo, was soll das denn? Ich lasse doch keine vertraulichen Daten beim Friseur. Man kann es auch so übertreiben wie beim Zahnarzt, wo selbst der Praxisbesuch geheim zu halten ist. Dadurch hat unser Freund Müller-Lehmann nun ein gravierendes Eheproblem am Hals.

Na gut, Jupp, ich gebe zu, so ein Zahnarztbesuch ist nicht gerade kritisch. Aber was würdest du dazu sagen, wenn die Praxis eines Facharztes für Haut- und Geschlechtskrankheiten bei deiner Frau anruft, um einen Termin zu vereinbaren? Nein, ich gehe bei meiner Frage eher davon aus, dass du eine Unmenge biometrischer Daten beim Friseur gelassen hast. Es sei denn, er hat dir deine abgeschnittenen Haare in einer Tüte mitgegeben.  

• Ingo, jetzt fängst du aber an zu spinnen. Was soll der Friseur oder jemand anders mit meinen Haaren anfangen? Bei meiner Tochter könnte er ihre langen Haare notfalls an einen Perückenmacher verkaufen, aber die lässt sich sowieso nichts abschneiden. Meine Haare sind doch Abfall und werden gleich entsorgt. Da brauche ich doch keine Tüte!

Bist du sicher? Nimm mal an, Jupp, du bist Gerhard Schröder und lässt ein paar Haare beim Friseur zurück. Neben dir im Stuhl oder auf der Wartebank sitzt ein böser Journalist oder ein feindlicher Geheimagent. Eine einzige Locke vom Ex-Bundeskanzler reicht nun aus, um das Rätsel um seine umstrittene Haarfärberei aufzudecken.

• Na, der Schröder wird das wohl überleben. Der ist nicht erpressbar. Er würde antworten: Hol mir mal‘n Bier!

Okay, nimm eine andere prominente Persönlichkeit aus der Politik, dem Sport oder dem Showbusiness. Die Haaranalyse verrät alles über seinen Konsum von Alkohol, harten Drogen oder Dopingmittel. Und wenn da noch eine Haarwurzel dranhängt, kann man gleich eine DNA-Analyse inklusive Vaterschaftstest anschließen. Da sieht die Person aber ganz schön alt aus, wenn sie die Ergebnisse in den Zeitungen lesen kann.

• Mann Ingo, das wird ja immer verrückter mit der DSGVO. Jetzt wollte mir schon einer erzählen, dass der Notarzt vom Unfallopfer erst eine unterschriebene Einwilligung benötigt, bevor er dessen Daten aufnimmt und zur Verarbeitung an die Klinikambulanz weitergibt.

Das ist natürlich Unsinn, Jupp, denn §6 DSGVO legt gerade solche Ausnahmen fest. In anderen Fällen kann man sich so behelfen, wie es der Pächter eines Biergartens gemacht hat. Er hat ein Schild mit abziehbaren Klebepunkten anbringen lassen: DSGVO Achtung, hier wird fotografiert. Bitte tragen Sie zu jeder Zeit einen roten Punkt auf der Stirn, wenn Sie nicht fotografiert werden wollen. Sie werden dann auf den Bildern unkenntlich gemacht. Wenn die roten Klebepunkte unten vergriffen sind, können Sie diesen auch mit einem Lippenstift aufmalen.

• Ja, oder wie die Walter Genuss Fleischerei in Salzburg mit ihrem Aushang: In unserer Fleischerei fragen wir sie manchmal nach Ihrem Namen und merken uns, welches Fleisch Ihnen am liebsten ist. Wenn Ihnen das nicht recht ist, rufen Sie beim Betreten der Fleischerei laut: ICH BIN NICHT EINVERSTANDEN! Wir werden dann zukünftig so tun, als würden wir sie nicht kennen. Er hat dadurch per Facebook eine kostenlose Werbung im gesamten deutschsprachigen Raum bekommen.

Alter Trick: mach einen Widerspruch gegen die Weitergabe von Daten. Das bringt mich auf eine Idee, Jupp. Ich hänge mir ein Schild an meine Windschutzscheibe: „Achtung! Recht am eigenen Foto: Hiermit entziehe ich gemäß DSGVO allen Radarfallen die Erlaubnis, mein Foto zu nutzen bzw. zu versenden!“

• Und hast du schon von dem neuesten bundesdeutschen Datenskandal gehört, Ingo? Nein? „Riesen Datenleck! Hier ist überall ein großes Gelbes Buch mit Adressen, Namen und Telefonnummern aufgetaucht!“ Wer schützt überhaupt meine Daten vor dem Finanzamt, der Schufa, der GEZ oder den Geheimdiensten? Oder durch den Verkauf durch Meldeämter oder andere Behörden an Adressenverlage?

Gute Frage, Jupp. Ich fühle mich persönlich noch viel stärker bedroht: Sogenannte Verfassungsorgane dürfen mir nun verdachtsunabhängig, ohne richterlichen Beschluss und ohne meine Kenntnis per Software einen Trojaner unterjubeln, um meine Daten zu erfassen oder meine Telefonate zu belauschen. Und überhaupt: Die privaten Hacker und Betrüger haben jetzt ein viel leichteres Spiel, weil wir jetzt genervt durch die ständigen Freigabeanfragen alles Mögliche mit Okay anklicken. Ich habe gar nicht gewusst, dass ich in so vielen Verteilern registriert bin. Wie sagte ein Kollege: „DSGVO ist, wenn Du plötzlich ohne eigenes Zutun aus sämtlichen Newslettern fliegst, was Dir vorher trotz vielfacher Anstrengungen nicht gelungen ist.“

• Was machen denn jetzt die SPAM-Verteiler in Zukunft? Wer informiert mich weiterhin über sagenhafte Potenzmittel, auf mich wartende Superfrauen oder die Millionen-Erbschaften von afrikanischen Witwen? Ein genervter Bewohner hat schon eine analoge Lösung gefunden: „Habe gerade am Haus den Briefkasten, die Klingel und die Hausnummer entfernt. Wenn schon Datenschutz dann richtig!“

Jupp, das Internet ist voll mit entsprechenden Vorschlägen. Schüler fragen, „ob das Recht auf Vergessen auch für Hausaufgaben gelte.“ Lehrer haben es nicht leicht, wenn sie diesen Eintrag auf der Klassenarbeit lesen: „Bevor ich meinen Namen auf dieses Blatt schreibe, möchte ich wissen, wie Sie meine personenbezogenen Daten nach DSGVO technisch und organisatorisch schützen.“

• Andrerseits erklären mir schlaue Leute, dass unsere Teilnahme am Straßenverkehr doch auch streng reguliert werden müsse, um ein Chaos zu vermeiden. Warum soll das beim Datenverkehr anders sein?

Du erinnerst mich gerade an die historische Antwort von Helmut Kohl, als er 1994 gefragt wurde, was er in Sachen Datenautobahn zu tun gedenke. Er antwortete: „Für den Bau von Autobahnen sind neben dem Bund hauptsächlich die Länder zuständig.“ Köstlich, Jupp. Nun, um auf deine Frage zurück­zukommen: Übertrage doch mal die DSGVO auf den Straßenverkehr. Jeder Verkehrsteilnehmer, also auch die Radfahrer und Fußgänger, hätten jederzeit gegenüber den Verkehrsbehörden nachzuweisen, dass sie immer alle Verkehrsregeln beachtet haben. Darüber hinaus müssten sie allen anderen Teilnehmern im Verkehr, die ihnen begegnen, eine Unbedenklichkeitsbescheinigung vorlegen können.

• Schrecklich, Ingo. Gottseidank sind die Behörden erstmal monatelang mit den Millionen Anfragen so beschäftigt, dass sie gar keine Bußgelder verteilen können. Die berüchtigte Abmahnwelle ist auch ausgeblieben. Eine amerikanische Internetseite fleht ihre Leser an: „Bitte sende uns keine persönlichen Informationen. Wir wollen deine persönlichen Informationen nicht. Es fällt uns schon schwer genug, unsere eigenen persönlichen Informationen im Blick zu behalten, ganz abgesehen von all deinen. Solltest du uns trotzdem deinen Namen oder eine andere identifizierbare Information nennen, werden wir diese sofort vergessen. Beim nächsten Kontakt werden wir während der Konversation versuchen herauszufinden, wer du bist."

Die Datenschützer arbeiten schon intensiv an der DSGVO-Revision, um wenigstens die schlimmsten Klopfer zu entfernen. In Kürze kommt auch die nächste EU-Verordnung namens EPV über E-Privacy heraus, die mit dem Wildwuchs der Tracking-Cookies aufräumen will. Und der unerschrockene Max Schrems geht wieder gegen die EU vor, nachdem er schon 2000 die Safe Harbour Regelung mit den USA gekippt hat.

• Da hat die EU aber gleich Angst gekriegt, Ingo. Jetzt hat nämlich die EU-Justizkommissarin Vera Jourova dem US-Handelsminister Wilbur Ross ein Ultimatum bis Ende Oktober gesetzt, weil der Nachfolger Privacy Shield ebenfalls nicht funktioniert. Minister Ross meint dazu nur: „Zu viel Datenschutz schadet den Unternehmen“.

Na klar, Recht hat er. Das beste Beispiel liefert doch dieser Witz: „Kennen Sie einen guten DSGVO-Berater? - Ja! – Können Sie mir seine Email-Adresse geben? – Nein!“ Aber mal aus der Distanz betrachtet, liegt die Ursache doch wieder in einem falschen Problemverständnis begründet: linear denkende Entscheider greifen in ein komplex-dynamisches, global vernetztes System ein, um ein populäres Ziel zu erreichen. Hier ging es doch vorrangig darum, die meist amerikanischen Datenkraken zu stoppen. Dummerweise überschauen die Regelsetzer in keinster Weise, was sie dadurch an Reaktionen auslösen. Sie können nur entsetzt feststellen, dass sie Kollateralschaden verursachen und wollen nun durch hektische Revisionen ganz schnell nachregeln. Unser Finanz-, Bildungs- und Gesundheitswesen ist seit Jahrzehnten von dieser „Inkontinenz“ der Juristen betroffen.

• Ja ja, Ingo, ich kenne deine Trauerreden darüber schon seit Jahren, aber anscheinend lässt sich das menschliche Hirn nicht ändern. Vielleicht müssen wir erst die Künstliche Intelligenz dransetzen, um ein vernetztes Denken zu erreichen.

Die KI kann sich doch unter der DSGVO mit ihren 68 Pflichten für Datenverarbeiter gar nicht richtig entwickeln, denn die BigData-Analysen und Algorithmen gelingen umso besser, je größer die verfügbare Datenmenge ist. Dieser Nutzen kommt aber in der DSGVO als Kriterium gar nicht vor. Vielmehr will sie in Artikel 1 „die Grundrechte und Grundfreiheiten natürlicher Personen“ schützen. Damit wird sie zur eierlegenden Wollmilchsau. Dabei geht sie immer noch von der antiken Vorstellung von einer Datenverarbeitung durch einen Verantwortlichen in einer zentralen, lokalen Datenverarbeitungsanlage aus. Wir haben aber längst eine grenzüberschreitende Vernetzung mit dem Zusammenwirken vieler Akteure in komplexen Netzwerke, wo der Speicherort oft nicht mehr lokalisiert werden kann. Ein beteiligter Beamter aus dem Bundesinnenministerium, Oberregierungsrat Dr. Winfried Veil hat den Irrweg der DSGVO in einem exzellenten Beitrag dargelegt.

• Ich verstehe, Ingo: die Väter des europäischen Datenschutzes sind auf die digitale Welt im Internet der Dinge, beim Cloud Computing, in der Blockchain, auf Plattformen und in sozialen Netzwerken überhaupt nicht vorbereitet gewesen.

Richtig, Jupp. Daher passt die DSGVO gar nicht mehr in unsere moderne Welt. Was wird also der Effekt sein? Es ist doch der alte Irrglaube, durch mehr Regeln könne rechtstreues Verhalten sichergestellt werden. Die Pflichten werden in der Praxis einfach ignoriert, dadurch wird die Autorität und Legitimität des Rechts untergraben. Der beabsichtigte Schutzeffekt wird verfehlt.

• Also Ingo, da bin ich ja jetzt auf die Fortsetzung mit der europäischen Privacy-Verordnung gespannt. Anscheinend setzt sich die alte deutsche Weisheit immer noch durch: Nichts wird so heiß gegessen, wie es gekocht wird.
  Dabei fällt mir ein, wir dürfen bei dieser heißen Diskussion unser kühles Bier nicht warm werden lassen.

Wohl wahr, Jupp. Trinken wir also auf den unermüdlichen Kampf unserer wunderschön gekleideten Gesetzgeber gegen die Komplexität der Welt. Prost!

 

 

„So ging der Kaiser dann hinaus und alle Menschen auf der Straße und in den Fenstern sprachen: ‚Wie sind des Kaisers neue Kleider unvergleichlich! Wie schön die Schleppe doch ist! Und wie gut alles sitzt!‘ Keiner wollte es sich anmerken lassen, dass er nichts sah. Denn jeder hatte Angst davor, als Taugenichts in seinem Amte oder als Dummkopf beschimpft zu werden. ‚Aber er hat ja gar nichts an!‘ sagte endlich ein kleines Kind. ‚Hört die Stimme der Unschuld!‘ sagte der Vater und der eine zischelte dem andern zu, was das Kind gesagt hatte.“

Hans Christian Andersen (zitiert aus Veil: Die Datenschutz-Grundverordnung: des Kaisers neue Kleider, NVwZ 2018, 686)