Photo by Kev Seto on Unsplash

Jaja, die DSGVO. Je mehr ich mich damit beschäftigen muss, desto größer wird mein Aggressionspotential.

Und im Augenblick macht sich das fest an Jan Albrecht, den die taz als Heilsbringer der Grünen feiert, und der sich selbst feste dafür feiert (man beachte das Bild), für die Datenschutzgrundverordnung so etwas wie verantwortlich zu sein.

Im verlinkten Text reagiert er auf die aus seiner Sicht verderbliche Kritik an der DSGVO, die Enno Park und Sascha Lobo geäußert haben. Die Texte der beiden treffen auf mein höchstes Wohlwollen, etwa wenn Lobo schreibt:

Aber mir stößt vor allem der Geist des Datenschutzes auf, denn meiner Ansicht nach wird der Übergriffigkeit der Digitalkonzerne ein Paternalismus der Datenschützer entgegengesetzt. Das ist mein grundsätzliches Problem: Ein Kampf tobt darum, wer mir geilere Vorschriften machen darf. Ich sitze zwischen den Stühlen und fühle mich damit unwohl. Und ich fürchte, dass es vielen Menschen bald ebenso geht.

Enno Park über die, die jetzt „dran“ sind:

„Wir“, das sind Blogger, Arztpraxen, Fotografen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, kleine und große Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, Berater oder Seelsorger – also genau diejenigen, die ganz offenbar immer wieder durch Datenmissbrauch auffallen und dringend mal strenger reguliert werden müssten.
Klar, die DSGVO reguliert auch die „Großen“. Aber wieviel ist eine Datenschutzreform wert, die Facebook gleich mal verwendet, um seinen Nutzern die automatische Gesichtserkennung unterzujubeln?

Jan Albrecht ist ein bisschen beleidigt ob der Kritik. Und hat sein Traktat daher „DSGVO – häufig gestellte Fragen, häufig verbreitete Mythen“ genannt. Mythen sind ja sowas wie Märchen, unwahre Tatsachenbehauptungen, unseriöses Zeug.

Wir bekommen selber vermehrt Anfragen und Beschwerden, auch aus der eigenen Partei. Befeuert wurde die Unsicherheit in jüngster Zeit leider noch durch Blogbeiträge u.a. von Sascha Lobo und Enno Park, die weite Verbreitung fanden. Beide Autoren schätzen wir ansonsten eigentlich sehr.
Daher sollen im Folgenden viele Fragen beantwortet werden, die wir immer wieder gestellt bekommen. Und anhand des Beitrags von Sascha Lobo soll beispielhaft gezeigt werden, welche verkehrten Annahmen oder Missverständnisse sich teilweise hinter der DSGVO-Panik verbergen.

Und jetzt geht’s los, immer feste druff auf die dämlichen Kritiker.

Wer den Text allerdings wie ich Anfang der Woche besuchte und jetzt „revisited“, der stellt fest: da hat sich der gute Jan Albrecht aber schwer überhoben. Wollte er ursprünglich darstellen, wie easy peasy diese DSGVO für „die Kleinen“ handhabbar sein, so musste er jetzt durch Update um Update zurückrudern:

Da behauptete er zunächst:

Einen Datenschutzbeauftragten muss man nur bestellen, wenn mindestens zehn Mitarbeiter*innen (nicht Ehrenamtliche) als Kerntätigkeit, also quasi in Vollzeit, persönliche Daten verarbeiten.

Ach, so einfach ist es dann doch nicht:

[Update v2: Genau genommen gibt es noch andere Umstände, unter denen ein Datenschutzbeauftragter Pflicht ist, z.B. wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Solche Unternehmen sind aber in der Regel mit dem Datenschutz schon bisher sehr vertraut gewesen und stellen jetzt nicht diese Fragen. Der Datenschutzbeauftragte muss aber ohnehin nicht Vollzeit beschäftigt sein und kann auch ein externer Dienstleister sein, der z.B. wenige Stunden pro Monat abrechnet. Es hängt halt vom der Art und dem Umfang der Datenverarbeitung ab. ]

Genau genommen hat es der Jan nicht so genau genommen. Und was “ geschäftsmäßig zum Zweck der Übermittlung“ bedeuten soll, das erklärt er auch nicht, sondern erfreut eventuell davon betroffene Vereine damit, dass ihr Datenschutzbeauftragter ja auch auf Stundenbasis abrechnen darf, was Anwälte ja gerne sehr preiswert tun. An seinem ersten Satz „nicht Ehrenamtliche“ habe ich Zweifel, wo bitte soll das in der DSGVO stehen? Vereine werden da wie alle anderen Körperschaften auch behandelt. Das entzückende, 35-seitige „Merkblatt“ des Baden-Württembergischen Datenschutzbeauftragten für Vereine ist, mit juristischen Feinheiten gespickt, und deutlich anderer Meinung:

Ich kann da kein Ehrenamtprivileg erkennen, personenenbezogene Daten sind fast alle, und wenn ein Sportverein mehrere Abteilungen und die verschiedene Mannschaften haben, und die Trainer die Kontaktdaten der Mitglieder führen – warum soll das keine ständige Verarbeitung von Daten sein? Was heißt „ständig“? Juristen an die Front.

Punkt ist aber: der Jan muss nachbessern. Ständig.

Aber spezielle Pflichten wie die Führung eines Verfahrensverzeichnisses etc. gelten erst ab 250 Mitarbeitern oder bei besonders sensiblen Daten (z.B. bei der AIDS-Hilfe oder einer Arztpraxis wäre das durchaus angebracht) [Update v2: Oder wenn die Verarbeitung häufig („nicht nur gelegentlich“) stattfindet oder „ein Risiko für die Rechte und Freiheiten der betroffenen Personen“ darstellt.]

Da fallen mir nur Kraftausdrücke ein, denn in seinem Ursprungstext hat Jan Albrecht nur Nebelkerzen geworfen und muss jetzt zurückrudern. Denn schon in der von ihm verlinkten Handreichung der bayerischen Datenschutzbehörde heißt es in Sachen Verfahrensverzeichnis, am Beispiel eines Vereins mit 200 Mitgliedern:

 

 

Screenshot https://www.lda.bayern.de/media/muster_1_verein.pdf

Schon die Update-Notwendigkeit zeigt: Jan Albrecht hat nie an die kleinen Vereine, Initiativen, Freiberufler gedacht. Keine Sekunde. Da hilft sein hilfloser Rant gegen Lobo auch nicht – der hat unter „Kommentaren“ eine lesenswerte Erwiderung. (Man muss auf den blauen Streifen „xx Kommentare“ klicken)

Du hast offensichtlich wenig Ahnung vom Alltag digitaler Selbständiger und Klein-Agenturen. Ich selbst werde ein halbes Dutzend Digitalprojekte abschalten, weil die Umrüstung zeit- und kostenaufwändig ist und die Honorare dafür schon vor vielen Jahren geflossen sind. Bisher waren das interessante Archive und Informationsquellen, bald gibt es sie nicht mehr, denn ein vorher kleines Risiko ist zu einem großen geworden.

Das ignorierst Du alles, und schleuderst stattdessen den Leuten entgegen: Na denn beschäftigt Ihr Euch endlich mal damit! Du beschuldigst dann auch noch mich, unnötige Panik zu verbreiten, was wiederum eine Unverschämtheit ist, denn ich versuche in meinem Artikel ausgewogen zu formulieren und warne genau davor.

Ich werde jetzt etwas grundsätzlicher: die Grünen hatten schon immer ein fatales Verhältnis zur obrigkeitsstaatlichen Regelungsdenke. Diese „Nanny-Politik“ geht mir immer mehr auf den Geist. Das hier tröstet mich kein bisschen, und ich bin entsetzt, dass Jan Albrecht das tröstend meint:

Falls man überhaupt ins Visier der Behörden geraten sollte, müssen deren Maßnahmen immer verhältnismäßig sein, und in der Regel machen sie bei „kleinen Fischen“, die einfach aus Unkenntnis gehandelt haben, Beratung statt Bestrafung. Artikel 83(2) gibt außerdem eine Liste von Kriterien für die Bußgelder, woraus klar wird, dass z.B. Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten, die hohen Strafen befürchten müssen – nicht aber der kleine Verein, der aus Unkenntnis gehandelt hat. Gegen den wird es in aller Regel bei einem Erstverstoß keine Strafe geben, sondern eine Ermahnung mit Hinweisen, wie das Problem abgestellt werden kann.

Ich habe aber gar keinen Bock, von den Datenschutz-Behördenmenschen „ermahnt“ zu werden. Was mindestens mal Zeit fressen wird. Ich will auch nicht zwangsberaten werden, und verweise dabei auf das beschissene 35-Seiten-Merkblatt aus BaWü. Und dass es „in aller Regel“ keine Strafe geben wird heißt nicht, dass es keine Strafe geben wird. Muss man sich das antun? Wenn ich mir die arroganten Interviews mit den Datenschutzbeauftragten, etwa hier:

https://youtu.be/ChLx6uiUEdY

anhöre, dann wird mir einfach nur schlecht, wenn ich daran denke, gerne ermahnt und belehrt zu werden.

Aber so wie Albrecht denkt auch die taz: ganz unironisch werden Bedenken gegen die Umsetzbarkeit der Regeln für die 600.000 Vereine in Deutschland so betitelt:

Gestresste Vereinsmeier

Die liebe Journalistin Tanja Tricarico, die auf Seite 1 die DSGVO ganz prima findet, hält hier ein „Protokoll“ für ausreichend, Recherche etc. sind ja unnötig.

Und da macht die taz zwei Seiten zum Thema „respektvolle Sprache für Trans-Personen“, findet aber „Vereinsmeier“ für die handelnden Personen der Zivilgesellschaft angemessen. Großartig.

 

 

 

[Ich werkle gerade daran, rund fünf entweder privat mit journalistischem Hintergrund, privat mit Hobby-Hintergrund und als Vereinsmensch betriebene Seiten umzustellen. Und zu versuchen, den Verein datenschutzkonform aufzustellen. Ich kotze im Strahl, denn das Wetter ist schön, und es gäbe tausende andere Dinge, die ich lieber täte. Aber natürlich ist alles was ich tue ein richtig fettes Datenschutzrisiko für die Allgemeinheit.]

Photo by Kev Seto on Unsplash