Folge 22: DSGVO-Kritikpunkte und aktuelle Entwicklungen
Geschrieben von Frank Stiegler am .
.
Einen Monat nach Anwendungsbeginn der DSGVO am 25.05.2018 sprechen Volker und Frank über die ersten Entwicklungen (z. B. Abmahnwellen) und schwerpunktmäßig über Kritik an der DSGVO.
00:35: Die DSGVO ist live!
07:04: Disclaimer
Diese Folge soll nicht einfach kritisieren, sondern verdeutlichen, warum wir manche Aspekte der DSGVO für bedenklich halten. Wir können nicht überall eine Lösung anbieten, freuen uns aber über Feedback.
13:10: Kritikpunkte
13:58: Datenschutz ist schützt keine Daten, sondern Personen
14:30: Schutzzweck des Datenschutzes
Wir diskutieren Ziele wie informationelle Selbstbestimmung, Privatsphäre/Privacy, Vertraulichkeit, jeweils in Ausprägung als Abwehr- oder Mitwirkungsrecht, und warum diese Begriffe schwer voneinander abzugrenzen sind.
18:30: Der Begriff des Personenbezuges ist schief
Dreh- und Angelpunkt ist Art. 4 Nr. 1 DSGVO:
"personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Hier spielt auch die Frage rein, wie unsere gesellschaftliche Ausprägung als Informationsgesellschaft mit dem datenschutzrechtlichen Gebot der Datenminimierung vereinbar sein soll.
Merkwürdiger Aspekt auch: Im Datenschutz spricht man immer vom Personenbezug, während die kommende E-Privacy-VO oft vom Endgerätebezug spricht, was wir in vielen Situationen für deutlich praxisnäher halten.
23:15: "Eigentum" an bzw. "Gehören" von Daten
Wem "gehören" Daten? Es gibt hier vor allem den Widerstreit zwischen den Betroffenen, die allerlei Ansprüche in Bezug auf "ihre" Daten haben, und den Unternehmen, die die Daten im Zweifel selbst erhoben haben, z. B. über Tracking. Wir sprechen außerdem darüber, dass es unseres Erachtens auch inhaltlich falsch ist zu sagen, man "bezahle" mit seinen Daten.
28:45: Begriffswirrwarr zwischen "Informationen" und "Daten"
Nach Art. 4 Nr. 1 DSGVO sind Daten schon begrifflich Informationen.
29:35: Missbrauch ist nie ausgeschlossen
Die Tatsache, dass Missbrauch immer möglich ist, macht die Abwägung der Angemessenheit technischer und organisatorischer Maßnahmen für viele Unternehmen schwierig und frustrierend. Die Angst von Unternehmen vor Bußgeldern verstärkt dieses Gefühl von Absurdität.
32:35: Die Angst vor Bußgeldern ist hoch
Wir sprechen über die gestiegenen Aufgaben der Aufsichtsbehörden, deren Verhalten mittlerweile über zwei Arten von Kohärenzverfahren vereinheitlicht werden soll, einerseits dem "großen Kohärenzverfahren" der EU, das Konflikte bis hoch zum EDSA eskaliert werden kann, und das "kleine Kohärenzverfahren" in Deutschland.
35:50: Die Aufsichtsbehörden sind überlastet
Nicht nur sind die Aufsichtsbehörden aktuell deshalb völlig überlastet, weil sie personell unterbesetzt sind, sondern dadurch ist unseres Erachtens auch noch das Risiko höher, dass Behörden aus Ressourcengründen nicht viel Zeit mit Verhandlungen verbringen können, sondern tendenziell eher Bußgelder verhängen. Diese Bußgelder dürften allein deshalb nicht höher sein, aber der Erwartungswert ist eben höher.
39:00: Privacy by Design and Default ist oft praxisuntauglich
Und nicht nur das; wir sind auch der Ansicht, dass das absolute Prinzip von vielen nicht einmal gewünscht sein dürfte, vor allem im Online-Tracking zur Werbungspersonalisierung.
42:20: Hinweise nach Art. 13 DSGVO bei Erhebung
sind in manchen Situationen (vor allem mündlichen/persönlichen) praktisch unmöglich. Wir greifen die Beispiele des Anrufes bei einer Arztpraxis, ein Messegespräch und des Fotografierens auf.
44:15: Transparenz durch Reinpressen ist kontraproduktiv
Das schrankenlose Gebot der Transparenz ist sachlich falsch, weil es ignoriert, dass Transparenz nicht ohne Bereitschaft und Interesse der Betroffenen funktionieren kann. Wie weit z. B. müssen Anbieter von Websites gehen, Besuchern Hinweise "ins Gesicht halten", um ihren Transparenzpflichten nachzukommen? Nebenproblem: Viele verstehen schon nicht den Unterschied zwischen Hinweisen und Einwilligung.
48:35: Recht auf Datenportabilität: diffus und sinnlos?
52:05: Einwilligungen: freiwillig und verständig?
Die Rolle von Einwilligungen als eierlegende Wollmilchsau und gleichzeitig limitiertes Instrument (da Einwilligungen Grenzen haben, man sich z. B. nicht des Rechtes auf Widerruf entledigen kann) ist von ihr praktisch und dogmatisch nicht erfüllbar.
54:45: Vernünftige Erwartungen der Betroffenen
Die Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO unter Berücksichtigung der "vernünftigen Erwartungen des Betroffenen" führt zu dem offensichtlich unerwünschten Ergebnis, dass sich die Wirtschaft langfristig Erlaubnisse über diese Interessenabwägung generieren kann, indem sie Betroffene entsprechen "erziehen", z. B. indem man überall Cookies-Banner auftauchen lässt und dann argumentiert, Betroffene rechneten damit, dass das jeder macht.
56:38 Fazit
62:36 Tschüß
Für Feedback twitter bitte an @legal_bits, @neuernick oder @ra_stiegler oder schickt eine E-Mail! Wir haben die Kommentare zwischenzeitlich abgeschaltet, weil der Blog in der Vergangenheit trotz Google ReCAPTCHA hart zugespammt wurde.
