Direkt zum Inhalt

Erst dachte ich, dieses Ding geht einfach weg. Aber es ging nicht weg. Wir alle müssen uns damit befassen.

Zur Praxis: Sie bewerben sich bei mir. Ich leite Ihre Bewerbung intern an die zuständige Abteilung weiter. Wir lehnen Ihre Bewerbung ab (was wir auch schon am liebsten gar nicht mehr tun würden, weil das ja doch nur zur Klagen führt). Dann verklagen Sie mich in fünf Jahren, weil eine Kopie Ihrer Bewerbung sich noch im Backup meines Postausgangs von heute befindet? Sie würden mich nicht verklagen, weil Ihnen das lächerlich erscheint, und weil Sie auch keinen Schaden haben?

Dann schon mal Danke für Ihr Verständnis. Wenn Sie doch einen Schaden haben, weil ich mit Ihren Daten falsch umgehe: Natürlich können Sie mich verklagen. Aber als Folge der neuen Datenschutzrichtlinie wird es doch sicher bald eine Behörde geben, die uns jedes Jahr tagelang prüfen wird, ob wir denn Ihre Bewerbung - und andere Daten - richtig behandelt haben, oder ob doch ein Schaden entstehen könnte? Und die Wirtschaftsprüfer werden das zusätzlich prüfen, und sicher auch noch die Berufsgenossenschaft, und auch nochmal die Sozialbehörden, denn eine Bewerbungsunterlage könnte ja "fast" eine Mitarbeiterunterlage sein, also wird man sich einfach für zuständig erklären.

Und wie immer, wenn die EU eine übertriebene Regel einführt, die in der Praxis in vielen Ländern niemanden interessieren wird (siehe Österreich, die haben ja schon angekündigt, dass Verstöße erstmal nicht verfolgt werden), so wird doch Deutschland aus eben dieser Regel eine wunderbare Behördenblase erschaffen, die unsere Wettbewerbsfähigkeit weiter einschränkt. So wie nur in Deutschland circa acht Behörden und Vereinigungen pro Jahr prüfen, ob unsere Feuerlöscher richtig hängen. Die bundesweit zusätzlich entstehende Brandlast durch überflüssiges Papier dieser Prüfer dürfte den Brandschutzeffekt dieser Maßnahmen deutlich übersteigen - und ob mehr Menschen durch einen richtig aufgehängten Feuerlöscher gerettet werden können, als Menschen während der Verrichtung dieser Prüftätigkeiten bei Autounfällen sterben, müsste dringend geklärt werden.

Ich bin auch sicher, dass mehr Dachdecker bei der ständigen Prüfung von Blitzschutzeinrichtungen vom Dach fallen und sterben, als Menschen in Firmengebäuden durch Blitzeinschläge zu Schaden kommen. Aber schreibt der Staat eine solche Prüfung nicht vor, dann tut es eben die Versicherung. Und auch hier hätte man noch diverse andere Behörden im Hintergrund, die bei Langeweile auch noch den Blitzschutz an sich ziehen könnten.

Zurück zum Datenschutz: Bitte Ruhe bewahren, denn noch ist nicht mal klar, wer gegen wen und wann Maßnahmen einleiten kann. Einen Kundendatensatz kann ich erst löschen, wenn die Aufbewahrungsfrist des Finanzamts erloschen ist. Warten Sie mal ab, bis das erste Finanzamt einer Firma vorwirft, die Daten nur deshalb so punktgenau taggleich gelöscht zu haben, um weitere Ausforschungen zu vermeiden. Was passiert denn mit Haftungsprozessen, die teilweise ältere Daten benötigen? Wenn jetzt mein Vermieter meinen privaten Mietvertrag für meine Wohnung vor 20 Jahren sicherheitshalber wegwirft, obwohl ich doch so gerne eine Kopie hätte, weil ich für den Umzug nach Timbuktu (keine Datenschutzrichtline), lückenlos meine Aufenthaltsorte seit meiner Geburt nachweisen muss?

Es liegt also am Ende doch wieder alles bei der persönlichen Einschätzung, welches Recht höher zu bewerten ist, und dann also bei den Gerichten. Der 25. Mai ist der Stichtag, bis zu dem Sie Maßnahmen ergreifen müssen. Das heißt aber nicht, dass Sie bis dahin diese Maßnahmen umgesetzt haben müssen. Ich schätze, etwas Geduld könnte die Arbeitsbelastung dann doch noch entschärfen. Jedenfalls sollten Sie alle Mailings von Wirtschaftsberatern und Anwaltskanzleien sowie Zeitungsartikel die mit "Ihre Firma könnte mit Millionenstrafen belegt werden wenn ..." getrost ignorieren. Panikmache hilft nicht. Nein, ich habe auch keine Panik, ich rege mich nur auf. Sie müssen auch dafür sorgen, dass Ihre Daten langfristig und nachhaltig gesichert sind. Wie machen Sie das? Wenn ich dank Wissenschaftsprognosen weiß, dass es in drei Jahren erste Quantencomputer gibt, und es noch nirgendwo eine Verschlüsselungssoftware gibt, die meine Daten vor dieser Rechenkraft sichern kann? Dann handle ich doch jetzt wieder besseres Wissen, wenn ich meine Daten nur verschlüsselt in eine Cloud lege.

Übrigens kauft und verkauft Jarltech keine Daten, und wir speichern auch keine Daten in irgendwelchen Clouds, die nicht uns gehören und vollständig von uns kontrolliert werden. Berechtigter und sinnvoller Austausch von Daten ist übrigens von der Richtlinie gedeckt - also zum Beispiel die Überspielung von Daten an den Steuerberater oder an eine Factoring-Bank. So die Interpretation bis jetzt. Lasse ich also "common sense" walten, dann mache ich alles richtig. Dass ich jetzt vermutlich drei Tage im Jahr Leute für die Dokumentation von etwas beschäftigen muss, was ohnehin logisch ist, macht die Sache nicht besser.

Es bleibt dabei: Nur der Staat darf – zwar nicht theoretisch, aber doch praktisch – speichern und auswerten was er will und wann er will. Wann äußert sich das Finanzamt mal dazu, wie das eigentlich abgesichert ist, meine Daten mit "Branchendaten" zu vergleichen oder warum man die kompletten Buchführungsdaten überspielt bekommen muss, wenn man doch nur etwas "prüfen" will. Das ging doch 100 Jahre lang mit Strichproben. Die wollen die Daten haben, weil es sie gibt! Reicht das nicht beim begründeten Verdachtsfall? Warum müssen meine Daten nach einer Betriebsprüfung aufgehoben werden? Und wieviel Schadenersatz bekomme ich, wenn meinem Betriebsprüfer so ein USB-Stick mit all meinen Unternehmensdaten mal bei voller Fahrt aus dem Auto fällt, und zwar genau vor der Zentrale eines meiner von mir so hoch geschätzten Wettbewerbers?

Ich hätte gerne eine Datenschutzrichtlinie, die Endanwender und Firmen schützt, in allen EU-Staaten gleichsam umgesetzt und auch vor Gericht behandelt wird, und die auch gegenüber dem Staat und seinen Institutionen gilt. Und nicht so ein unausgegorener Mist, der vermutlich keine einzige Spam-Email und keine einzige Änderung des Verhaltens von Facebook & Co auslöst. Ging es darum nicht eigentlich?