Editorial: Datenschutz-Aktionismus

Mitteilungspflichten bei Datenlecks nutzen den Verbrauchern wenig, an die wirklich wichtigen Informationen kommen sie hingegen nicht ran: Die neue EU-Datenschutz-Verordnung wäre gegenüber dem deutschen Datenschutzrecht ein Rückschritt, wenn sie so kommt.

Von Kai Petzke

Die neue EU-Datenschutz-Verordnung wäre gegenüber dem deutschen Datenschutzrecht ein Rückschritt. Datenschutz: An die für sie wichtigen Daten kommen Verbraucher leider nicht.
Bild: dpa Vor einer Zeit alarmierte ein Datensicherheits-Berater per Pressemeldung die Öffentlichkeit: Nur ein kleiner Teil der Unternehmen sei in der Lage, im Fall von Datenlecks die von der EU in der aktuell beratenen neuen Datenschutzrichtlinie geforderte Reaktionszeit von drei Tagen einzuhalten, binnen derer die Kunden über das Datenleck zu informieren seien. Diese Maßnahme zeigt exemplarisch, wie die EU beim Thema Datenschutz zwar viel Aktionismus an den Tag legt, aber zugleich nur wenige wirklich wirksame Maßnahmen zugunsten der Verbraucher beschließen will.

Zunächst einmal: Transparenz ist beim Datenschutz sehr wichtig. Wenn Unternehmen A nie ein Datenleck meldet, Unternehmen B hingegen alle zwei Monate, dann würden Die neue EU-Datenschutz-Verordnung wäre gegenüber dem deutschen Datenschutzrecht ein Rückschritt. Datenschutz: An die für sie wichtigen Daten kommen Verbraucher leider nicht.
Bild: dpa viele Verbraucher sicher A den Vorzug geben. Nur: Entdeckte Datenlecks sagen sehr wenig darüber aus, wie sorgfältig die Unternehmen mit Kundendaten umgehen. Vielleicht meldet Unternehmen A ja nur deswegen nie einen Diebstahl von Kundendaten von ihren Servern, weil der Server so schlampig administriert ist, dass ein Cracker-Einbruch gar nicht erst auffällt. Handelt A zudem intensiv mit den von ihnen erfassten Kundendaten, dann bedarf es auch gar nicht erst eines Datenlecks, um die Kundendaten in aller Welt zu verteilen.

Für Verbraucher hat daher die Information, wie oft bei einem bestimmten Unternehmen überhaupt eine Datei raubkopiert wurde, nur wenig Nutzen. Was Verbraucher viel brennender interessieren würde, wäre der Weg, den ihre Daten genommen haben: "Wer weiß heute alles davon, dass ich am 4. Dezember 2013 um 12:23 Uhr in der Linden-Apotheke in Laufstadt eine N2-Packung Risperdal gekauft und mit EC-Karte bezahlt habe?"

Doch solche gezielten Abfragemöglichkeiten - was wurde wann an wen weitergegeben, und wohin hat der es wieder weitergegeben usw. usf. - sind zwar grundsätzlich in der neuen Datenschutzrichtlinie vorgesehen, aber so lückenhaft, dass sie in der Praxis wenig nutzen werden. Etwa verlangt der 2012er Entwurf der Datenschutz-Grundverordnung vom Datenverwender, Auskunft über "die Empfänger oder Kategorien von Empfängern" zu geben, die Daten erhalten haben. Was sind bitteschön "Kategorien von Empfängern"? Reicht es im genannten Beispiel aus, wenn der Abrechnungsdienstleister der Apotheke mitteilt, dass die Daten an "Versicherungen und Banken" weitergegeben wurde? Dabei macht es sicher einen großen Unterschied, ob das Rezept zur Abrechnung an die eigene Krankenversicherung weitergeleitet wurde, oder auch an dritte Versicherungsunternehmen, die wegen des Verdachts auf Schizophrenie dann erstmal kräftige Zuschläge für Kfz- oder Haftpflicht-Versicherungen nehmen, wenn sie diese nicht ganz ablehnen.

Unverhältnismäßig

Wie ein roter Faden zieht sich zudem die Einschränkung durch das Gesetz, dass etwa Unterrichtung über die Datenverarbeitung oder die Weitergabe von Löschungen und Berichtigungen an frühere Datenempfänger nur dann erfolgen müssen, wenn sich diese nicht als "unmöglich" erweisen oder diese mit "mit einem unverhältnismäßig hohen Aufwand verbunden" sind. Eine Sanktion für den Fall, dass ein Unternehmen seine Prozesse genau so gestaltet, dass zum Beispiel die Weitergabe einer späteren Korrektur an frühere Datenempfänger nicht möglich ist, scheint nicht vorgesehen zu sein.

Auch die vorgesehene Bündelung der Datenschutzaufsicht über multinationale Konzerne bei der für den Hauptsitz des Konzerns zuständigen Aufsichtsbeshörde erscheint wenig geeignet, das Datenschutzniveau zu steigern. Es ist allgemein bekannt, wie es multinationale Konzerne schaffen, die EU-Mitgliedsländer beim Thema "Steuern" gegeneinander auszuspielen. Da wird der Hauptsitz kurzerhand dorthin verlagert, wo die Unternehmenssteuersätze am niedrigsten sind. Warum sollte das beim Thema "Datenschutz" anders laufen?

Am Ende ist die neue Datenschutzrichtlinie vor allem eins: Ein Arbeitsbeschaffungsprogramm für Berater und Anwälte, die im Auftrag der Unternehmen erstmal sämtliche Datenverarbeitungs-Prozesse dokumentieren und dann so lange nach gesetzlichen Ausnahmen oder behördlichen Ausnahmeregelungen von den lästigen Aufklärungs- und Auskunftspflichten forschen, bis das vom Unternehmen erwünschte Datenschutzniveau erreicht ist. "Datenschutzniveau" bezeichnet hier den Schutz der im Unternehmen gespeicherten Daten vor den Verbrauchern, nicht den Schutz der Daten der Verbraucher.

Weitere Editorials

15.05.24 - Kabel-TV: RTL und die Angst vor Vodafone
05.05.24 - Editorial: Chaostage bei ProSiebenSat.1
31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?