Das wäre schon mal ein Anfang.
Das Problem ist, dass es *drei* Sorten von Datenverarbeitung gibt:
- zielgerichtete DV persönlicher Daten, nur da reicht das
Datenschutzgesetz bereits nicht mehr aus. Das Problem ist, dass
Firmen (prominentes Beispiel: bahn.de verstößt gegen geltendes
Datenschutzgesetz, entsprechende Bestätigung des zuständigen
Datenschutzbeauftragten liegt mir schriftlich vor), die jahrelang
(Bahn bereits über 5 Jahre, mindestens 3 wissentlich) gegen das
Datenschuztgesetz verstoßen, nicht einmal im Datenschutzbericht
genannt werden dürfen, so lange das Verfahren läuft. Das der Bahn
wird sich wohl noch so 20 bis 50 Jahre hinziehen, kommt drauf an, ob
die Bahn schneller Pleite geht als die Datenschutzbestimmungen
gelockert werden. Sprich, wenn Du als Firma gegen das
Datenschutzgesetz verstößt droht Dir schlicht nichts. Du musst nur
den Datenschutzbeauftragten hinhalten.
- ungezielte DV persönlicher Daten, hier reicht, wie erkannt, das
Datenschutzgesetz nicht aus. Vor allem gilt auch hier: Ohne
*drastischte* Strafen im Falle des wissentlichen Verstoßes tut sich
nichts. Firmen sollten exakt 90 Tage Zeit haben, nach dem
dokumentierten Verstoß das Problem zu beseitigen, danach sollte es
pro Tag und Datensatz mindestens 1000 EUR Strafe kosten. Nur wenn es
*wirklich* weh tut werden Firmen anfangen, den Datenschutz ernst zu
nehmen. Ja, richtig gelesen, Firmen die millionen Verkehrsdaten
vorhalten ohne damit dem Datenschutzgesetz zu entsprechen müssen dann
nach 90 Tagen mehrere millarden EUR *pro*Tag* zahlen wenn sie das
Problem nicht beseitigen. Die Idee dahinter ist, dass
Abschalten+Löschen deutlich billiger sein muss als den
widerrechtlichen Mist weiterzubetreiben.
- implizite DV persönlicher Daten. Leider finde ich kein griffiges
Wort dafür. Die "Implizite Verarbeitung" ist, wenn die Bearbeitung
und Speicherung der Daten implizit beim Eigentümer der Daten
stattfindet und somit keinerlei Datenschutzverstoß vorliegt. Moderne
Chipkarten können beispielsweise so funktionieren, dass ein
"Steckbrief" ausgesandt wird auf den die Chipkarte dann reagiert.
Die Verarbeitung der Daten findet also zu 100% auf der Chipkarte
statt. Beispielsweise braucht ein Industriemagnat eine Leber, er
zahlt ein paar Millönchen, im Fußgängerzentren schwärmen Sankars aus,
warten bis eine passende Gesundheitskarte vorbeikommt, schießen einen
Tropfen tiefgefrorenen Hirntot-Präparats ab, die Person bricht
hirntot zusammen, die Leber kann entnommen werden. Es muss nicht so
drastisch sein, aber dank "immer on" kann ich das Datenschutzgesetz
auf diese Weise hoffnungslos unterlaufen, indem ich die
Datenverarbeitung und -speicherung einfach beim Dateneigentümer
mache. Persilschein ist dann die "Aufklärung" des Kunden
hinsichtlich der Datenübertragung "seiner" Karte, implizit kann ich
die Interaktion so undurchsichtig machen, dass kein Mensch das je
mehr fassen kann. Beispiel dafür ist die "Chinese Lottery":
"Hurrah, Sie haben 10000 EUR gewonnen, Sie haben 20 Sekunden Zeit um
hier zu klicken! (*)" erscheint auf dem Handy. Dazu steht: "(*)
Datenschutzhinweis: Es wird Ihr Namen und aktuellen Standort an den
Server übertragen. Den Gewinn ist Ihnen dann rechtlich garantiert!".
Wer klickt da nicht drauf? Du bekommst die 10000 EUR dann auch
wirklich, posthum, nachdem Deine Leber entnommen wurde.
Ich benutze nur ein extra-krasses Szenario, um zu erklären, wie man
den Datenschutz vollständig auf diese Weise unterlaufen kann.
Bestimmte Daten sind oft tausende von EUR wert, weshalb man eben
nicht hergehen kann, und den Datenschutz hier von einer "Einwilligung
des Betroffenen" abhängig machen kann. Im Fall der impliziten DV
muss eine explizite Weiterverarbeitung der Daten (auch anonymisiert!)
durch Dritte entweder ausgeschlossen werden oder sie muss wie die
zielgerichtete DV behandelt werden, wobei jeder einzelne Schritt
zustimmungspflichtig *und* vor Erfassung der Daten gesetzlich
festgeschrieben werden (damit ich die Datenverarbeitung hinterher
nicht wieder ändern kann) muss.
Dieser Ausschluß muss *technisch* realisiert werden, so dass es
unmöglich ist, dass Dritte an diese Daten herankommen oder man das
per "update" hinbiegen kann. Ist solch eine Realisation nicht
möglich muss diese Form der DV verboten sein. Das Verbot muss
Strafrechtscharakter haben, mit einer Mindeststrafe bei Verstoß von
10 Jahren. Bereits der Versuch muss strafbar sein.
Sprich: RFIDs, die personenbezogene Daten enthalten, wären dann
schlicht verboten. Und wer solchen Mist versucht soll bitte ab in
den Knast.
Genau so muss das sein. Anders wird nix draus.
Und der Versuch muss bereits betroffen machen und es muss ein
generelles Unterlassungsrecht gegenüber Firmen her, wie oben
beschrieben, damit man sich bereits wehren kann, bevor das Kind in
den Brunnen gefallen ist, und Firmen von Anfang an den Datenschutz
ernst nehmen müssen.
Da der Versuch bereits betroffen macht, würde ausreichen, wenn man
betroffen werden könnte. Eine direkte Betroffenheit ist also nicht
mehr nötig, Verbände wie FiFF oder DVD könnten dann gegen
entsprechende Firmen im Namen ihrer Mitglieder klagen. Könnte ein
richtig lukratives Geschäft werden, da ich bei ca. 90%(!!!!) aller
Webshops eklatante bis eklatanteste Datenschutzverstöße sehe (und je
größer die Firma, desto eklatanter, z. B. bahn.de!).
Wer dann beispielsweise klar gegen das Gesetz verstoßen würde:
Die Schufa mit ihrem Verfahren des "über 18"-check. Ich habe dieser
Art der DV meiner Daten nicht vorher zugestimmt, also muss das
verboten sein. Wieso darf irgendwer auf diesem Planeten erfragen, ob
ich 18 oder älter bin? Das ist personenbezogen, auf diese Weise kann
ich den Geburtstag aller Menschen herausfinden (einfach jeden Tag
alle abfragen, die unter 18 sind, bei der sinkenden Bevölkerungszahl
ist das für Server absolute 0-Last)!
Ich bin zwar der Meinung, die Schufa verstößt bereits auch so gegen
Datenschutzrecht wenn das live geht, aber man müsste bereits in der
Planungsphase eines Datenschutzverstoßes dagegen vorgehen können,
nicht erst, wenn man tatsächlich betroffen ist. Und es muss dann
richtig was rüberkommen, damit es den Firmen weh tut, nicht so, wie
jetzt:
Es passiert schlicht nichts. Nicht einmal eine strafbewehrte
Unterlassungserklärung kann man erwirken, die Firma muss die ja nicht
auf diese eingehen. Man kann dann klagen, dann wird festgestellt,
dass die Firma gegen das Datenschutzgesetz verstößt. Und das war's
auch schon. Kein Schadensersatz (Schaden kann man nicht nachweisen),
kein Schmerzensgeld (ist ja nix passiert), nichts, 0, niente, nada,
die Firma kann frisch und fröhlich weitermachen als wäre nichts
passiert. Und wenn man Pech hat bleibt man sogar auf den eigenen
Anwaltskosten sitzen obwohl man Recht hat.
Früher habe ich das Datenschutzgesetz als zahnlosen Papertiger
bezeichnet. Ich muss mich korrigieren.
Das Datenschutzgesetz in seiner heutigen Form ist eine zahnlose
Papiertigerente.
-Tino
Das Problem ist, dass es *drei* Sorten von Datenverarbeitung gibt:
- zielgerichtete DV persönlicher Daten, nur da reicht das
Datenschutzgesetz bereits nicht mehr aus. Das Problem ist, dass
Firmen (prominentes Beispiel: bahn.de verstößt gegen geltendes
Datenschutzgesetz, entsprechende Bestätigung des zuständigen
Datenschutzbeauftragten liegt mir schriftlich vor), die jahrelang
(Bahn bereits über 5 Jahre, mindestens 3 wissentlich) gegen das
Datenschuztgesetz verstoßen, nicht einmal im Datenschutzbericht
genannt werden dürfen, so lange das Verfahren läuft. Das der Bahn
wird sich wohl noch so 20 bis 50 Jahre hinziehen, kommt drauf an, ob
die Bahn schneller Pleite geht als die Datenschutzbestimmungen
gelockert werden. Sprich, wenn Du als Firma gegen das
Datenschutzgesetz verstößt droht Dir schlicht nichts. Du musst nur
den Datenschutzbeauftragten hinhalten.
- ungezielte DV persönlicher Daten, hier reicht, wie erkannt, das
Datenschutzgesetz nicht aus. Vor allem gilt auch hier: Ohne
*drastischte* Strafen im Falle des wissentlichen Verstoßes tut sich
nichts. Firmen sollten exakt 90 Tage Zeit haben, nach dem
dokumentierten Verstoß das Problem zu beseitigen, danach sollte es
pro Tag und Datensatz mindestens 1000 EUR Strafe kosten. Nur wenn es
*wirklich* weh tut werden Firmen anfangen, den Datenschutz ernst zu
nehmen. Ja, richtig gelesen, Firmen die millionen Verkehrsdaten
vorhalten ohne damit dem Datenschutzgesetz zu entsprechen müssen dann
nach 90 Tagen mehrere millarden EUR *pro*Tag* zahlen wenn sie das
Problem nicht beseitigen. Die Idee dahinter ist, dass
Abschalten+Löschen deutlich billiger sein muss als den
widerrechtlichen Mist weiterzubetreiben.
- implizite DV persönlicher Daten. Leider finde ich kein griffiges
Wort dafür. Die "Implizite Verarbeitung" ist, wenn die Bearbeitung
und Speicherung der Daten implizit beim Eigentümer der Daten
stattfindet und somit keinerlei Datenschutzverstoß vorliegt. Moderne
Chipkarten können beispielsweise so funktionieren, dass ein
"Steckbrief" ausgesandt wird auf den die Chipkarte dann reagiert.
Die Verarbeitung der Daten findet also zu 100% auf der Chipkarte
statt. Beispielsweise braucht ein Industriemagnat eine Leber, er
zahlt ein paar Millönchen, im Fußgängerzentren schwärmen Sankars aus,
warten bis eine passende Gesundheitskarte vorbeikommt, schießen einen
Tropfen tiefgefrorenen Hirntot-Präparats ab, die Person bricht
hirntot zusammen, die Leber kann entnommen werden. Es muss nicht so
drastisch sein, aber dank "immer on" kann ich das Datenschutzgesetz
auf diese Weise hoffnungslos unterlaufen, indem ich die
Datenverarbeitung und -speicherung einfach beim Dateneigentümer
mache. Persilschein ist dann die "Aufklärung" des Kunden
hinsichtlich der Datenübertragung "seiner" Karte, implizit kann ich
die Interaktion so undurchsichtig machen, dass kein Mensch das je
mehr fassen kann. Beispiel dafür ist die "Chinese Lottery":
"Hurrah, Sie haben 10000 EUR gewonnen, Sie haben 20 Sekunden Zeit um
hier zu klicken! (*)" erscheint auf dem Handy. Dazu steht: "(*)
Datenschutzhinweis: Es wird Ihr Namen und aktuellen Standort an den
Server übertragen. Den Gewinn ist Ihnen dann rechtlich garantiert!".
Wer klickt da nicht drauf? Du bekommst die 10000 EUR dann auch
wirklich, posthum, nachdem Deine Leber entnommen wurde.
Ich benutze nur ein extra-krasses Szenario, um zu erklären, wie man
den Datenschutz vollständig auf diese Weise unterlaufen kann.
Bestimmte Daten sind oft tausende von EUR wert, weshalb man eben
nicht hergehen kann, und den Datenschutz hier von einer "Einwilligung
des Betroffenen" abhängig machen kann. Im Fall der impliziten DV
muss eine explizite Weiterverarbeitung der Daten (auch anonymisiert!)
durch Dritte entweder ausgeschlossen werden oder sie muss wie die
zielgerichtete DV behandelt werden, wobei jeder einzelne Schritt
zustimmungspflichtig *und* vor Erfassung der Daten gesetzlich
festgeschrieben werden (damit ich die Datenverarbeitung hinterher
nicht wieder ändern kann) muss.
Dieser Ausschluß muss *technisch* realisiert werden, so dass es
unmöglich ist, dass Dritte an diese Daten herankommen oder man das
per "update" hinbiegen kann. Ist solch eine Realisation nicht
möglich muss diese Form der DV verboten sein. Das Verbot muss
Strafrechtscharakter haben, mit einer Mindeststrafe bei Verstoß von
10 Jahren. Bereits der Versuch muss strafbar sein.
Sprich: RFIDs, die personenbezogene Daten enthalten, wären dann
schlicht verboten. Und wer solchen Mist versucht soll bitte ab in
den Knast.
Genau so muss das sein. Anders wird nix draus.
Und der Versuch muss bereits betroffen machen und es muss ein
generelles Unterlassungsrecht gegenüber Firmen her, wie oben
beschrieben, damit man sich bereits wehren kann, bevor das Kind in
den Brunnen gefallen ist, und Firmen von Anfang an den Datenschutz
ernst nehmen müssen.
Da der Versuch bereits betroffen macht, würde ausreichen, wenn man
betroffen werden könnte. Eine direkte Betroffenheit ist also nicht
mehr nötig, Verbände wie FiFF oder DVD könnten dann gegen
entsprechende Firmen im Namen ihrer Mitglieder klagen. Könnte ein
richtig lukratives Geschäft werden, da ich bei ca. 90%(!!!!) aller
Webshops eklatante bis eklatanteste Datenschutzverstöße sehe (und je
größer die Firma, desto eklatanter, z. B. bahn.de!).
Wer dann beispielsweise klar gegen das Gesetz verstoßen würde:
Die Schufa mit ihrem Verfahren des "über 18"-check. Ich habe dieser
Art der DV meiner Daten nicht vorher zugestimmt, also muss das
verboten sein. Wieso darf irgendwer auf diesem Planeten erfragen, ob
ich 18 oder älter bin? Das ist personenbezogen, auf diese Weise kann
ich den Geburtstag aller Menschen herausfinden (einfach jeden Tag
alle abfragen, die unter 18 sind, bei der sinkenden Bevölkerungszahl
ist das für Server absolute 0-Last)!
Ich bin zwar der Meinung, die Schufa verstößt bereits auch so gegen
Datenschutzrecht wenn das live geht, aber man müsste bereits in der
Planungsphase eines Datenschutzverstoßes dagegen vorgehen können,
nicht erst, wenn man tatsächlich betroffen ist. Und es muss dann
richtig was rüberkommen, damit es den Firmen weh tut, nicht so, wie
jetzt:
Es passiert schlicht nichts. Nicht einmal eine strafbewehrte
Unterlassungserklärung kann man erwirken, die Firma muss die ja nicht
auf diese eingehen. Man kann dann klagen, dann wird festgestellt,
dass die Firma gegen das Datenschutzgesetz verstößt. Und das war's
auch schon. Kein Schadensersatz (Schaden kann man nicht nachweisen),
kein Schmerzensgeld (ist ja nix passiert), nichts, 0, niente, nada,
die Firma kann frisch und fröhlich weitermachen als wäre nichts
passiert. Und wenn man Pech hat bleibt man sogar auf den eigenen
Anwaltskosten sitzen obwohl man Recht hat.
Früher habe ich das Datenschutzgesetz als zahnlosen Papertiger
bezeichnet. Ich muss mich korrigieren.
Das Datenschutzgesetz in seiner heutigen Form ist eine zahnlose
Papiertigerente.
-Tino