... und sich hieraus ergebenden Risiken für die Freiheiten und Rechte der Betroffenen.
Der Gesetzgeber hatte die Absicht, über diesen risikoorientierten Ansatz die DSGVO skalieren zu lassen. In der weiteren Entwicklung wurde diese Absicht von den zuständigen Aufsichten spätestens seit 2020 weitestgehend ignoriert.
In die Stelle eines konkreten Risikos für den Betroffenen trat das Konstrukt eines abstrakten Risikos, das sich immer irgendwie mit dem größtmöglich anzunehmenden Schaden verwirklichen könnte, man weiß es nicht, möglich wäre es ja. Das hat dazu geführt, dass es kaum mehr Unterscheidungen zwischen trivialen Verarbeitungen, bei denen das Risiko eines Schadens vernünftigerweise auszuschließen ist, und kritischen Verarbeitungen, die tatsächlich ein hohes Risiko für den Betroffenen bergen, gibt. Abwägung, auch mit anderen Grundrechten? Fehlanzeige! Nicht immer, aber doch immer von den üblichen Verdächtigen unter den Landesdatenschutzbeauftragten.
Manche Landesdatenschutzbeauftragten treiben es dabei so weit, dass sie alles und jedes zu einem personenbeziehbaren Datum erklären und damit die sachliche Anwendung der DSGVO begründen. Selbst objektiviert anonymisierte Daten, könnten ja irgendwann, irgendwo, irgendwie deanonymisiert werden. Mit einem Kupferkessel und einer goldenen Sichel, von alten Männern mit langen weißen Bärten? Man weiß es nicht, möglich wäre es ja.
Und es dauert, bis die Gerichte diesem Treiben Einhalt gebieten, aber sie tun es.
Und dann erklärt sich vorzugsweise der DSK, der über eine gerade mal hauchdünne institutionelle Legitimation verfügt, auch noch für Themen zuständig, die mit keinem Wort in der DSGVO Erwähnung finden.
Und doch pflegt natürlich jeder Datenschutzbeauftragte seine ganz eigene Interpretation der DSGVO und des Rechts auf informationelle Selbstbestimmung und er muss, ja er darf sich noch nicht einmal nach den Stellungnahmen und Beschlüssen des DSK richten, wenn es seinen Überzeugungen widerspricht.
Eine unerträgliche Kakofonie von Interpretationen und Meinungen der Aufsichten und eine grundlegende Verunsicherung der Verantwortlichen ist die Folge davon. Am Ende tut man in den Unternehmen und Institutionen lieber nichts, bevor man das vermeintlich Falsche tut.
Wohl gemerkt, viele Verantwortliche und betriebliche Datenschutzbeauftragte sind durchaus bereit und in der Lage, strenge und wohlbegründete Maßnahmen durchzuführen, nur mit sich ständig bewegenden und von 17 Aufsichten unterschiedlich definierten Zielen, ist nun mal kein nachhaltiger und langfristiger Handeln möglich. In der Folge wenden sich zunehmend selbst die guten Willen sind frustriert ab und an die Stelle von Transparenz tritt ein "data privacy by obscurity" - Augen zu und durch und wenns denn schiefgeht, Rückstellungen für Anwälte und Bußgelder gemacht.
Datenschutz ist grundsätzlich ganz einfach, nur im Detail wird es komplex.
Die Anforderungen der DSGVO wären mit etwas Sachverstand gut umzusetzen, wenn die Maßnahmen ordentlich skalieren würden.
Was wir gerade erleben, ist eine Krise der föderalen Struktur der Aufsicht, die das Thema Datenschutz diskreditiert. Es steht zu befürchten, dass es das Thema dadurch auch langfristig beschädigt wird.
Das Posting wurde vom Benutzer editiert (19.05.2023 14:08).