Genaues Hinsehen ist immer besser.
Fotp Imago Images/Patrick George

BerlinVor zwei Wochen habe ich Ihnen an dieser Stelle die neuen Paradigmen der Passwortsicherheit nähergebracht und gleichzeitig verkündet, heute Ihre Passwörter abzufragen. Nun, werte Leserinnen und Leser, ich denke, die im Mai 2018 in Kraft getretene DSGVO macht meinem Versprechen einen dicken Strich durch die Rechnung! Sie können dieses Kürzel, das nichts mit dem altehrwürdigen Deutschen Sparkassen und Giroverband gemein hat, nicht mehr hören? Ja, die Datenschutz-Grundverordnung ist ein Ungetüm, aber im Gegensatz zum genannten Verband jung an Jahren und also noch formbar!

Was verlangt die DSGVO nun von einem Unternehmen? Erstens gilt es ein paar Pflichtdokumente zu erstellen wie das Verzeichnis der Verarbeitungstätigkeiten, ein Löschkonzept, eine Zusammenstellung der technischen und organisatorischen Maßnahmen zum Schutz der Daten (ich nenne es das TOM-Dokument), eine Abschätzung der Folgen, wenn der Datenschutz versagt - kurz DSFA, eine Datenschutzerklärung (das kleine nervige Etwas auf jeder Webseite und bei jeder App, das Sie voller Demut studieren, bevor Sie es wegklicken). Zweitens einige Pflichtprozesse wie beispielsweise zum Umgang mit Betroffenenrechten – ein von der Verarbeitung seiner Daten Betroffener hat Rechte wie das Recht auf Auskunft, auf Löschung, auf Vergessenwerden und weitere. Drittens thronen darüber einige Grundprinzipien wie Datenschutz durch Technikgestaltung und durch Voreinstellung, Zweckgebundenheit oder die notwendige Rechtmäßigkeit der Datenverarbeitung.

Nicht zu vergessen ist das Damoklesschwert der Sanktionen bei Verstößen dagegen in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro (höher gewinnt), welche die DSGVO erst so populär gemacht haben. Aber die Weisen der Zunft benötigen keine Bußgelder, um den Wert des Datenschutzes zu sehen. Denn die genannten Dokumente, Prozesse und Prinzipien führen zu einem Über-Alles-Ziel, gegen das kein Unternehmen der Welt etwas haben kann: Kenne deine Daten! Erst wenn ein Unternehmen seine Daten kennt, kann es sie in der Verarbeitung adäquat schützen und für den Geschäftserfolg ausbeuten. So besehen ist die DSGVO kein bürokratisches und die Kosten treibendes Monstrum, sondern ein Rahmen für datengetriebene Geschäftsmodelle.

Die wertvollsten Unternehmen der Welt sind US-amerikanische Technologie-Plattformen; sie kennen ihre Daten sehr gut und nutzen sie exzellent, einige stark an die DSGVO angelehnt. Das tun sie nicht aus purer Zuneigung zu diesem europäischen Exportschlager von Gesetz, sondern weil sie den Vorteil von Datenschutz im Streben nach Gewinn sehen. 

Aber gibt es denn rein gar nichts zu meckern? Doch, gibt es! Die DSGVO überfordert viele kleinere und mittlere Unternehmen, sie ist viel zu komplex, und es kommt wie überall im Leben auf die Praxis an: auf die Praxis in Unternehmen, aber auch auf die Überwachungspraxis der Datenschutzaufsichten in Bund, Ländern und Europa. Datenschutz ist ein Forschungsfeld, pflege ich zu sagen. Praxisfehler, Forschungsfelder und wo die Reise noch hingehen wird, werde ich Ihnen in loser Folge in den nächsten Wochen näherbringen.

Der Autor ist Datenschutzbeauftragter des Berliner Verlags und Expert Director der Core SE, an der der Verleger der Berliner Zeitung eine Beteiligung hält.