DSGVO Sicht von Experten - Diskussion

Hallo zusammen

In der FAZ ist ein spannender Artikel erschienen wie es mit der DSGVO weitergehen soll.
https://www.faz.net/aktuell/wirtschaft/digitec/digital-wirtschaft-der-eu-bei-dsgvo-anwendung-laeuft-vieles-schief-18179521.html

Das interessante dabei sind die Autoren und die Thesen. Zu diesen zählt der scheidende LfDI BW Brink und ein EU Abgeordneter.

Ich halte einige Aussagen für sehr treffend (insbesondere die Nummern 2, 3, 4 und 8), würde mich interessieren wie ihr das seht.

Danke fürs Feedback und Diskussion.

Aus meiner Sicht gehen solche Diskussionen um die DSGVO meist am Thema vorbei. Da man die Autoren kennt, weiß man ja, mit welchen Hintergedanken ihre Aussagen gemacht werden.
Aber bevor man immer “Verbesserungen” für die DSGVO vorschlägt, sollte man doch erstmal das bestehende auch umsetzen. Ich greife 3 Punkte raus:

1. Erzwungene Einwilligungen: Viele Einwilligungen sind erzwungen - haben also eigentlich keinen Wert, weil sie nicht freiwillig sind.
2. Unverständliche Datenschutzinfos: Viele Datenschutzerklärungen sind juristisches Kauderwelsch, manchmal technisch fragwürdig und oft am Thema vorbei: “Die Daten weden solange gespeichert, bis der Zweck wegfällt”. Ja, das steht im Gesetz - aber wielange ist das denn nun hier konret?
3. Vereinbarungen zur Auftragsverarbeitung und gemeinsamen Verarbeitung werden (wenn überhaupt) als Vertragsanlage mit unterschrieben aber keinen interessiert, was wirklich drin steht und ob sich das mit der Datenverarbeitung und Weitergabe auch deckt. Der Sinn und Zweck (auch von einem Anhang zu den TOMs, der meist nur abgeschrieben ist und ebenfalls technisch fragwürdig ist) wird komplett verfehlt.

Danke für den Hinweis auf den Artikel und Hallo liebe Community.

Man kann Inhalte und Umsetzung der DSGVO wie auch die (verständliche / unverständliche) Kommunikation gegenüber Bürger*innen sicherlich (mit Respekt für Datenschutz) diskutieren und kritisieren, aber hinter dem Artikel stehen offensichtlich ganz andere Ziele, während viele Aussagen zum Datenschutz und Sicherheit inhatlich sehr dünn sind.

Erstmal wird bei (1.) völlig verallgemeinernd rausgehauen

Blockzitat
Nur sehr wenige Datenverarbeitungen sind so risikoreich, dass man sie tabuisieren muss und die Weitergabe und Nutzung dieser sensiblen Daten selbst durch Einsatz von Verschlüsselungs- und Pseudonymisierungstechnik nicht rechtfertigen kann.
Blockzitat

Und wenn ich dann bei (2.) lese

Blockzitat
Das Verbot der Nutzung außereuropäischer Anbieter, etwa von Konferenzsystemen, schneidet Europa von der „Digitalen Daseinsvorsorge“ und Massenkommunikation zu einem Zeitpunkt ab, da nutzbare europäische Alternativen erst noch im Aufbau sind. Die Verwendung von gebräuchlicher Videokonferenzsoftware etwa kann mit existenzbedrohenden Bußgeldern belegt werden, auch wenn es in der Konferenz nur um Wirtschaftszahlen oder ums Wetter geht.
Blockzitat

dann habe ich das Gefühl, dass die Autoren (erschreckenderweise darunter der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in BW) gar nicht verstanden haben, was personenbezogene Daten so alles sind und was eine Videokonferenz-Software, evtl. sogar aus einem “unsicheren” Drittland, alles sammelt und sammeln kann (und warum Menschen ein Interesse an diesen Daten haben können und welches Risiko diese bedeuten können).

Dann wird noch die Problematik der Drittstaatenübermittlung genervt zur Seite geschoben und es kommt der unglaubliche Satz

Blockzitat
In den allermeisten Fällen ist KI ungefährlich und nützlich
Blockzitat

der eleganterweise in den Absatz zum Einsatz von KIs bei selbstfahrenden Autos als allgemeine Aussage reingeschmuggelt wird (aber dann plötzlich “Verbrechensbekämpfung” reinwirft und sich unerklärt zu “ethischer” Gebotenheit versteigt) und mit dem nebulösen, aber verantwortungsvoll klingenden Satz geschmückt ist, irgendwie müsse der Mensch halt “zur Not” (?) gegen den Vorschlag des Computers entscheiden können (Wer? Wann? Wo? Wie? In welchem Kontext?).

Ich würde ja behaupten, dass es da bei den Autoren an Wissen sowohl zum Datenschutz als auch auch zu IT-Sicherheit und KI fehlt…aber das Ziel ist klar:

Blockzitat
wirtschaftliche Potenzial personenbezogener Daten zu heben
Blockzitat

Der “Freiheitsbegriff” ist dabei v.a. die Freiheit des Marktes und der Wirtschaft (immerhin ist einer der Autoren Vorstandsvorsitzender bei 1&1). Nichts neues also, aber ein wenig nervig, das im Artikel mehrfach so getan wird, als sei den Autoren der Datenschutz “auch” wichtig - und dass ein (scheidender) LfDI hier mitmacht.

Sorry für den kratzbürstigen Beitrag in meinem ersten Post. Und entschuldigt bitte mein noch leichtes Kämpfen mit der Formatierung.
Widerspruch von den Expert*innen? Gerne!

Hi Tarantoga,

ich wage keinen Widerspruch, im Grunde eher Zustimmung zu deiner Position. Ich halte Teile des FAZ-Artikels einerseits für valide - z.B. fand’ ich Schrems II dogmatisch nicht gänzlich überzeugend. Andererseits habe ich auch Fragen:

Blockzitat ‘Die „Schrems II“-Entscheidung des EuGH hat enormen Flurschaden angerichtet.’

War es für die EU schädlich, dass viele neue Rechenzentren in der EU gebaut und von dort betrieben werden? Hat Schrems II nicht gerade dazu geführt, dass ein Umschwenken auf EU Alternativen der hiesigen Wirtschaft auch gut tut? Ist es schädlich, dass mehr über privacy by design und über die Auswahl lokaler Anbieter gesprochen wird? Ist es nicht gut, dass z.B. in Hessen eine Kooperation zwischen Zoom und den Hochschule angestoßen/weiterentwickelt wurde, die auf die Drittstaatenproblematik reagiert?

Blockzitat ‘die Wirtschaft’

Wer ist das? Wer kann 10000, 100000 oder 100000 Beispiele in der EU aufzeigen, bei denen der Umsatz kausal und alternativlos an den Betrieb einer FB Fanpage gekoppelt ist?

Blockzitat ‘Die Klageindustrie steht mit Unterstützung von „Legal Tech“ in den Startlöchern’.

Tut sie das? Wo war sie in den letzten 4 Jahren? Gelegenheit gab es genügend.

Blockzitat ‘Hochrisikoanwendung’:

Wo ist da das grundlegende Gesetzesproblem? Der AIA und die DSGVO sehen, wie in anderen Rechtsgebieten Risk-Assessments, hier also Art. 52 GRC geführte, Güterabwägungen vor.

Blockzitat ‘Einwilligungen selbstbestimmt bündeln’

Selbstbestimmung setzt Transparenz und Risikobewusstsein voraus. Wo ist das beim Real Time Bidding und Data Brokern im Hintergrund der Nutzung des Webs gegeben? Wer überblickt das? Wie kann das konkret geschafft werden? Ich auf den ministeriellen Vorschlag gespannt.

Und im Übrigen habe ich noch ein paar (rechtspolitische) Fragen:

• Wenn die DSGVO vermeintlich viele Mängel haben sollte, warum wird sie in vielen non-EEA Ländern adaptiert?

• Wenn Plattformen wie Facebook eine so vermeintlich große Rolle in unserem Leben und ‘der Wirtschaft’ spielen - sollte dann nicht umso mehr darauf geachtet werden, was solche Plattformen mit den Daten tun und ob sich dies im Rahmen der GRC/DSGVO bewegt?

• Attestiert der Beitrag dem EuGH in Schrems II eine EU-primärrechtswidrige oder eine politisch ungewollte Folge?

• Werden EU Hoster u.a. IT-Infrastrukturdienste besonders finanziell gefördert, um den Vorsprung zu US- und CH-Größen zu schmälern oder soll mittelfristig besser klein beigegeben werden?

P.S.: interessant war für mich im Übrigens anderswo zu beobachten, wer von den sog. ‘Datenschützern’ oder ‘Datenschutzexperten’ oder ‘Datenschutzbeauftragten’ den Artikel gänzlich kritikfrei geteilt oder für gut befunden hat.

Ich stimme Tarantoga und CorporateDPO vollkommen zu.

Die zutage tretende Auffassung über personenbezogene Daten der Herren Autoren ist bedenklich, vor allem mit dem technischen Verständnis scheint es aber zu hapern, wenn ich mir Sätze durchlese wie
“Danach ist selbst die technische Einbindung eines Schrifttyps, die per Datenverarbeitung aus den Vereinigten Staaten erfolgt, eine Datenschutzverletzung mit der Folge des Schadenersatzes für Unternehmen und Behörden.”
Hätte man einfach “dynamische Einbindung” geschrieben, wäre sofort klar, dass die DSGVO-konforme Einbindung der Google-Fonts lediglich eine Frage technischer Umsetzung ist, nämlich die Fonts lokal einzubinden. Wo ist also das Problem?
Darum scheint es aber nicht zu gehen. Offenbar will man sich dem DSGVO-Diktat schlicht nicht beugen (oder warum bemüht man derart verklausulierte Formulierungen für einfache Tatbestände?).
Und natürlich ist es wirklich blöd, MS-Produkte, für die man teuer bezahlt hat, nicht nutzen zu dürfen. Auch wenn das Argument schlicht nicht stimmt, dass es keine anderen marktreifen Produkte gäbe.

Das Ganze klingt leider wie: “Menno, die blöde DSGVO!” Nun ja, es war ja zu erwarten, dass die Wirtschaft sich nicht einfach ohne Widerspruch fügt. Aber etwas mehr Sachverstand könnte man eigentlich dabei schon erwarten.

Sehe ich auch so, das da einiges an “Minimi” dabei ist. Allerdings wundert es mich, dass es von einem LfDI kommt.

Wenn da nur Wirtschaftsvertreter oder andere bei wären OK dann könnte ichs eher verstehen.

Beispiele für gute Punkte finde ich:

"Umgekehrt schüttet eine frustrierte Datenwirtschaft das Kind mit dem Bade aus, wenn sie dem gewachsenen und vitalen Datenschutz Wirtschaftsfeindlichkeit oder Gestrigkeit unterstellt. Verantwortliche in Staat und Wirtschaft müssen vielmehr den Mut und die Weitsicht aufbringen, die Rolle des Datenschutzes zu verstehen und zu respektieren, aber eben auch nicht zu überhöhen. "

Eben um Datenschutz als Wettbewerbsvorteil zu verstehen - datenschutz als User Experience. Marketing will ja oft den Kunden und seine Bedürfnisse in den mittelpunkt stellen - der Datenschutz hat den Betroffen im Mittelpunkt… daher ist das eine Synergie wenn man es richtig versteht.

" Aktuell muss es die Wirtschaft beispielsweise ausbaden, dass Europas Datenschutzaufsichtsbehörden sich nicht auf ein effektives Vorgehen gegen Facebook einigen können, obwohl das Unternehmen wesentliche Vorgaben der DSGVO ignoriert. Irland ist für Facebook zuständig, aber bisher nicht bereit, den Konzern in die Schranken zu weisen."

Auch diese Aussage ist in meinen Augen korrekt. Einfach Facebook und Co stärker in die Schanken weißen. Die Irische Behörde bekam dieses Jahr nicht umsonst den BigBrother Award.

Daher mein Fazit - ja es gibt bedenkliche Aussagen wie weiter oben schon steht - aber es gibt auch Stellen die korrekt sind und kein “ach du böse DSGVO”

Na, ja, der LfDI hat ja schon gekündigt. Vielleicht taucht er bald dann bei Bitkom oder einem ähnlichem Lobby-Verband auf.

Und die entscheiden das alleine?

Warum sehe ich FAZ.NET nicht?

Sie haben Javascript für Ihren Browser deaktiviert.
Aktivieren Sie Javascript jetzt, um unsere Artikel wieder lesen zu können.

(adobedtm, googleapis, cleverpush, DSGVO-Cookie ohne dass was gefragt worden wäre…)

Hui, danke für den Hinweis @Domasla . Hat jetzt nichts direkt mit dem Artikel zu tun, ist aber schon irgendwie eine schöne Ironie…

Das erste Popup ist das umstrittene “mit Werbung weiter” (vs. “werbefrei bei Abo”) und dort ist dann der Satz

“Details zu Cookies und Verarbeitungszwecken sowie zu Ihrer jederzeitigen Widerrufsmöglichkeit finden Sie unten, im Cookie-Manager sowie in unserer Datenschutzerklärung”

versteckt.
Klickt man auf den Hyperlink von “Cookie-Manager”, kommt man zum Cookie-Manager, in dem man zumindest bei mir nichts ablehnen kann, es gibt nur “Einverstanden” oder “Abbrechen”. Klickt man auf “Abbrechen”, wird man einfach zurück zu dem “mit Werbung weiter” Popup geleitet, ist also ne Endlosschleife.

(so bei mir im Inkognito-Fenster)

Hallo @joeDS und @CorporateDPO ,

natürlich ist Datenschutz auch für sich genommen wichtig und muss nicht immer “mit den Interessen der Wirtschaft ausbalanciert” werden, aber ich finde den von euch beiden präsentierten Denkanstoß spannend, mal zu fragen:
Ist es denn überhaupt so, das Datenschutz ein Widerspruch zu diesen Interessen ist und nur “bremst” (was auch immer das heißt, die “Fortschritts”- und “Wachstums”-Diskussion und was das welchen Menschen bringt, lassen wir mal weg…)? Kann Datenschutz nicht auch auf vielfältige Weise wertvoll und fördernd für die (lokale / EU-) Gesamtwirtschaft sein (gerade auch wegen der Defizite in diesem Bereich in anderen Regionen)? (bestimmte Bereiche, die explizit hauptsächlich Geld mit Daten verdienen, natürlich ausgenommen - und die sind sicher nicht ganz ohne Einfluss)

Ich kann dazu nicht mehr sagen, aber den Ansatz sieht man, meine ich, selten.

Bedauerlich, dass auch noch die GDD über ihren Vorsitzenden in das Getröte einstimmt.

Beim CDU-Voß und 1&1 wundert mich sowieso nichts

Hier noch ein Podcast wo sich Dr Brink (LfDI BW) und Prof. Schwartmann (GDD) zu dem Thema äußern und auch Stellung nehmen.

Es soll noch ein Teil 2 und 3 des Podcasts folgen.

https://dataagenda.de/folge-20-teil-1-ds-gvo-im-kreuzverhoer-datenschutz-zwischen-wirtschafts-und-buergerfreiheiten/

https://dataagenda.de/folge-20-teil-2-ds-gvo-im-kreuzverhoer-datenschutz-zwischen-wirtschafts-und-buergerfreiheiten/

Hier der zweite Teil wo sie sich äußern und nochmal erklären wieso sie diese Aussagen treffen.