Vor fast drei Jahren, am 25. Mai 2018, trat die Datenschutzgrundverordnung (DSGVO) in Kraft, und in Europa klopfen sich seither Politiker und Datenschutzexperten gegenseitig auf die Schulter, wie erfolgreich DSGVO im Großen und Ganzen sei und wie sehr sie als Gegenpol zu den liberalen oder gar nicht vorhandenen Datenschutzgesetzen oder Regulierungen in den USA oder China stehe. Als ein Beweis wird angeführt, dass nun selbst Silicon-Valley-Firmen wie Apple den europäischen Datenschutz (GDPR) als Vorbild zitieren und im eigenen Land als Vorschlag für eine vernünftige Regelung bewerben. Ein weiterer Beweis für viele ist, wie sich nun europäische Unternehmen als Datenschutzprofis positionieren und dieses Expertenwissen in alle Welt exportieren können.

Der Kampf gegen Google & Co

Das ist ein Argument, das sehr schal im Mund zurückbleibt, wenn man bedenkt, dass die Motivation hinter der DSGVO zuerst mal gegen die digitalen Giganten aus den USA (und in geringerem Ausmaß China) gerichtet war. Es sollte den Googles, Facebooks, Amazons oder Microsofts schwerer gemacht werden, Daten zu sammeln und die Datensammlung transparenter und für die Endbenutzer kontrollierbarer zu machen. Auch hat Europa, und hier speziell der deutschsprachige Raum, in der Vergangenheit einige schlechte Erfahrungen gemacht. Zwei Ideologien, die aus unserem Kulturkreis kamen, haben massive Datenschutzverletzungen gegenüber ihren Bürgern begangen und damit erst ihr mörderisches Unwesen treiben können. Es ist verständlich, dass hier eine besondere Sensibilisierung gegenüber der Sammlung und Verwendung von Daten herrscht.

Doch dieses an sich hehre Motiv hatte teilweise den gegenteiligen Effekt. Nicht den amerikanischen Digitalgiganten wurde Einhalt geboten, sondern den vielen kleinen und wenigen größeren europäischen Unternehmen. Diese nämlich sind nicht nur überfordert, den Gesetzeswust zu verstehen, sondern haben auch gar nicht die Ressourcen diese einzuhalten. Welches Dreipersonenstartup kann sich schon einen eigenen Datenschutzbeauftragten leisten? Selbst große Organisationen finden sich darin kaum zurecht. So machte nur wenige Monate nach dem Inkrafttreten der DSGVO die Meldung die Runde, dass der österreichische Immobilienverwalter Wiener Wohnen, der 220.000 Wohnungen verwaltet, nach einer Klage eines Mieters begonnen hatte, sämtliche Namensschilder an den Türklingeln auszutauschen, damit die Namen der Mieter nicht sichtbar sind. Die für Datenschutzangelegenheiten zuständigen Abteilung der Stadt Wien hatte die DSGVO so interpretiert und dem Immobilienverwalter diese Vorgehensweise empfohlen, um sich ja nicht möglichen Klagen wegen Datenschutzverletzungen auszusetzen.

Das Damoklesschwert

Dieses Damoklesschwert einer Klage hängt drohend über jedem noch so kleinen und großen Unternehmen, weil irgendwo eine Zustimmung zu einem Cookie oder eine Checkbox standardmäßig falsch gesetzt sein könnte. Zwar wurde von den europäischen Datenschutzbehörden die Interpretation der Stadt Wien als nicht richtig bezeichnet, aber die Konfusion und Verunsicherung bleiben bestehen. Denn wenn sich nicht mal die Datenschutzexperten in Europa einig sind, und erst eine Ausjudizierung vor Gericht die Sicherheit bringen kann, wer lässt sich da noch darauf ein?

Ignoriert und Ignorant

Unternehmen, die in der EU keine Niederlassung haben, hält es jedenfalls nicht davon ab, die GDPR zu ignorieren, und das im besten Einverständnis der europäischen Nutzer, die lieber die Anwendungen verwenden, als auf sie verzichten zu möchten. Bestes Beispiel ist Clubhouse. Nicht einmal ein Jahr alt, wurde die App im Januar 2021 regelrecht mit deutschsprachigen Benutzern überrannt, und das, obwohl die die App so gegen alle Datenschutzregeln verstoßen, die man sich nur vorstellen konnte. Kontaktdaten wurden ohne Einverständnis der in Adressbüchern von den neuen Benutzern hochgeladen, die Daten und die Audio-Aufzeichnungen in den USA gespeichert, und es wurden auch gleich mal Daten durch Externe von Clubhouse ‘gescrapt’.

Während Clubhouse und andere Unternehmen sich wenig darum scheren, mühen sich die Benutzer hingegen durch unzählige Cookie-Fenster. Jede einzelne – und ich meine wirklich *jede* beschissene – europäische Website drängt einem beim ersten Besuch Meldefenster auf, welche Cookies verwendet werden, wofür sie dienen, und welche die Benutzerinnen akzeptieren wollen, bevor man endlich die verdammte Website ansehen kann. Das ist definitiv nicht normal. Genau wie das europäische Gesetz, dass das verlangt. Es zeugt von technologischer Ignoranz seitens der europäischen Regulierungsorgane, die umso bedrückender scheint, wenn man bedenkt, dass dort schon technologisch primitive und über einzelne Personen wenig aussagende Website-Cookies nicht verstanden werden. Wie ist das erst mit der Regulierung der Sicherheit von Atomkraftwerken oder künstlicher Intelligenz, die die Europäer gerade angehen? Es ist Schlimmstes zu befürchten.

Die Mär von den Personendaten

Dabei weist jeder Anhänger der DSGVO darauf hin, dass die Datenschutzgesetze ja vor allem nur für personenbezogene Daten gelten würden. Der Schutz der und die Kontrolle über die Daten des einzelnen Benutzers soll für diese gewährleistet und in ihre Hände gelegt werden. Wenn ich nicht will, dass jemand meine Telefonnummer oder zuletzt besuchte Website speichert, soll er das nicht dürfen. Doch bereits beim Schutz von Metadaten wird es schwieriger. Inwiefern fallen diese nicht oder schon darunter? Es stellt sich nämlich heraus, dass sich aus diesen die eigentlichen Daten beschreibenden Metadaten auch oft Rückschlüsse aus anonymisierten Daten auf einzelne Benutzer ziehen lässt. Netflix hatte das auf die harte Tour gelernt, als es 2007 einen Datensatz von ausgeliehenen Filmen von 500.000 Benutzern zu Forschungszwecken anonymisiert und veröffentlicht hatte. Die Forscher aber konnten mit wenig Aufwand die Datensätze doch wieder einzelnen Benutzern zuordnen.

Wie aber sieht es mit den Maschinendaten in Fertigungsprozessen aus, die laut Experten nicht personenbezogen sind? Die seien, glaubt man den Datenschutzexperten, völlig unproblematisch.

Nicht so schnell, denn alle Maschinendaten sind von Menschen geschaffen. Auch aus ihnen lassen sich Rückschlüsse auf Personen ziehen. Nämlich, der Zeitpunkt wann die Maschine eingeschaltet wurde, korrespondiert mit dem Schichtplan der anwesenden Mitarbeiter. Welcher Mechaniker die Maschine gewartet hat, die nun in ein Problem gelaufen ist, kann auch bestimmt werden. Wer das Teil in das bestimmte gefertigte Auto gesetzt hat, auch das ist nachvollziehbar. Und sobald davon der Betriebsrat und die Gewerkschaften Wind bekommen, ist es aus mit der Datensammlung. Denn wenn eine Führungskraft aus den Daten Rückschlüsse ziehen kann, welchem Mitarbeiter ein Vorfall zugeschrieben werden kann, dann kann das in dessen Leistungsbeurteilung und damit Gehaltsverhandlung Eingang finden, oder im extremsten Fall zu einer Kündigung führen. Und damit sind alle, ausnahmslos alle Daten zugleich auch personenbezogene Daten.

Digitaler Rückstand durch Verunsicherung

Eine Ingenieurin, die zuständig für die Software und die Datenerfassung ist, bringt das in Konflikt mit den eigenen Datenschutzbeauftragten und der Rechtsabteilung. Macht sie nämlich den Fehler, ihre Datenerfassung an dieser Maschine durch die Datenschutz- und Rechtsprüfung laufen zu lassen, dann wird ihr klar, dass es am Besten ist, keine irgendwie gearteten Daten jemals aufzuzeichnen. Der Prozess das zu bestimmen ist so zeitaufwendig und zugleich so wenig hilfreich, dass man gleich kapitulieren möchte.

Wer nämlich jemals mit diese beiden internen Organen zu tun hatte, weiß, dass vor allem Hinweise auf Gefahren kommen. Klar, deren Aufgabe ist das Risiko für das Unternehmen zu vermeiden. Und zugleich ihr eigenes. Sollte das Unternehmen tatsächlich wegen Datenschutzverletzungen verklagt werden, dann schadet das nicht der Reputation, sondern kann auch ziemlich teuer werden.

Wirtschaftliche Tätigkeiten, Forschung, Produktentwicklung oder Innovation sind aber immer von Risiken behaftet. Das liegt in der Natur der Sache. Nur ein Unternehmen, das alle Aktivitäten einstellt, hat kein Risiko (also fast). Nur: das Risiko bleibt nicht am Datenschutzexperten oder der Rechtsabteilung hängen, sondern am Management und den Ingenieurinnen. Und letztere sind die Bauernopfer, sollte etwas schief gehen.

Chill-Effekt

Dieser Chill-Effekt führt zu einer Datenerfassungszensur durch die Ingenieurinnen. Ist man sich unklar, erfasst man die Daten lieber nicht. Und auch diese nicht, wo eigentlich alles gefahrlos sein sollte. Die Auswirkung für die heimischen Betriebe, die Wirtschaft und Innovationskraft sind nicht zu unterschätzen. Es werden keine oder nur unzureichende Daten erfasst. Diese wenigen, sporadischen Datensätze werden auch kaum geteilt oder mit anderen Daten zusammengeführt. Weil man dann wiederum kaum brauchbare Datensätze hat, können aktuelle Technologien wie das Maschinenlernen nicht mit ausreichend Daten gefüttert und trainiert werden. Das Beherrschen oder gar die Weiterentwicklung solcher Technologien wird schwieriger. Und wenn diese Grundvoraussetzungen schon fehlen, ist weniger an Durchbrüchen bei neuen Algorithmen, Anwendungen oder Erkenntnissen möglich.

Es ist ein Teufelskreis. Der Datenschutz wird dem Datennutz vorgestellt. Daten, aus denen – ohne sie zu verbrauchen – wertvolles Wissen extrahiert werden kann, werden im Tresor des Datenschutzgesetzes versperrt. Anstelle aus Daten Wohlstand zu schaffen, sind wir stolz auf den Tresor, in dem im kalten Dunkel die Daten und damit unser Wirtschaftsraum verkümmern.

Nach nur drei Jahren DSGVO ist es an der Zeit, dieses anzupassen an die Realität. Denn ohne eine Änderung läuft nicht nur denjenigen ein kalter Schauer über den Rücken die irgendwie ‘etwas mit Daten’ machen sollen, sondern bleibt Europa als Ganzes eingefroren auf der technologischen Strecke.