Kommentar: DSGVO-Konformität ist Pflicht und keine Kür
Dienste und Anbieter reiten auf ihrer DSGVO-Konformität herum. Oft stimmt es nicht mal. Dabei sollte es selbstverständlich sein.
(Bild: mixmagic/Shutterstock.com)
Unternehmen, Start-ups und ihre PR-Agenturen brüsten sich oft damit, DSGVO-konform zu sein. Gefühlt 90 Prozent der E-Mails, die in meinem Posteingang landen und in denen neue Dienste und Produkte beworben werden, haben im Betreff oder spätestens im ersten Absatz stehen, dass sie die Datenschutzgrundverordnung einhalten. Nun, alles andere dürfte auch schlicht nicht auf unserem Markt landen, was mitunter dennoch passiert – sogar mit dem eigens verpassten Stempel der Einhaltung. Mit einer Selbstverständlichkeit, die es sein sollte, macht man ein Angebot aber nicht schmackhaft. Restaurants schreiben in ihre Speisekarte wohl auch kaum, dass sie mit Salz kochen. DSGVO ist Pflicht.
Natürlich ist es nicht ganz so selbstverständlich: Datenschutzbehörden haben noch einen Haufen Arbeit vor sich, mindestens bei der Durchsetzung. Der Einsatz von Diensten von Microsoft, Google, Amazon und Co ist zumindest datenschutzrechtlich schwierig. Denn, Behörden in den USA können unter Umständen auf die Daten zugreifen, was eigentlich nicht der DSGVO entspricht. Uneigentlich stützen sich die Unternehmen etwa auf Standardvertragsklauseln, um ihre Dienste anbieten zu können. Die tiefergehende Analyse, wie es um die rechtliche Situation steht, überlasse ich an dieser Stelle unseren Juristen, mit Verweis auf Artikel:
- Kommentar: Datenschutzbehörden erklären den Einsatz von Microsoft 365 für rechtswidrig
- Überblick: Datenschutzgrundwortschatz
- Was das Ende des Privacy Shield für den Datenverkehr mit den USA bedeutet
- Kommentar: EuGH-Urteil zu Privacy Shield ist eine Katastrophe mit Ansage
- c't DSGVO 2020 Sonderheft
Gut gemeint – aber nicht gut gemacht
Nun könnte man meinen, na also, ist doch super, wenn es neue Dienste gibt, bei denen DSGVO-konform etwas anderes meint, als bei den großen US-Unternehmen. Ja, das ist sogar sehr wünschenswert. Schaut man sich die Mails und die darin beworbenen Produkte genauer an, zeigt sich aber meist ein anderes Bild. Im letzten Absatz oder in den Tiefen der Webseite heißt es dann nämlich, dass Daten doch das Land verlassen. Mal ist es, weil Server von Amazon Web Services genutzt werden. Das ist dann schon sehr dreist. Oft stehen immerhin die Server in Deutschland, nur sind Dienste anderer Unternehmen eingebunden.
DSGVO-konform sein und als Funktion anpreisen, dass man Videos, Tweets und andere Beiträge einbinden kann, dass man sich mit seinem Facebook- oder Google-Konto anmelden kann? Nehmen wir mal einen neuen Videokonferenzanbieter, die sprießen ja eh gerade wie wild aus dem Boden: Der hält es für eine gute Idee, dass man seinen Kollegen im Meeting direkt YouTube-Videos zeigen kann. Sollte es keine Form von Container für diese Funktion geben, bedeutet dies, dass es eine Schnittstelle zu Google gibt. Zugespitzt gesagt, kann man dann auch gleich Google nutzen. Zumindest die Frage nach der Sicherheit der Daten ist damit obsolet. Wohlgemerkt, ethische, moralische oder andere Gründe, Google nicht zu nutzen, sind hier außen vor gelassen.
Wirklich wünschenswert wäre es, wenn absolute Klarheit rund um den europäischen Datenschutz bestehen würde. Wenn weder US-amerikanische Behörden noch Ungebetene auf Daten zugreifen könnten. Für meinen Geschmack bitte auch keine deutschen Behörden, die gerade an der Ende-zu-Ende-Verschlüsselung sägen. Das gibt es, das ist mir klar. Entsprechend wäre ich dankbar über Mails und Produkte, in denen nicht die DSGVO der Aufhänger, sondern die Konformität tatsächlich so selbstverständlich wie das Salz in der Suppe ist – und es um Funktionen geht, die neu, hilfreich und spaßig sind.
(emw)
