Eigentlich wollte ich ja sowieso einen Blogbeitrag zum Thema „Websites 1999 und 2019“ schreiben. Nachdem ich gebeten wurde, bei der Blogparade „#365TageDSGVO“ mitzumachen, werde ich hier mal beide Themen verbinden. Der folgende Text ist ein Mix aus meinen persönlichen Erfahrungen und dem Blickwinkel meiner meist mittelständischen Leser und Kunden.

Regulierung statt Aufklärung

Der wohl häufigste Vorwurf in Sachen Datenschutz-Grundverordnung ist der Hinweis auf die viel zu unspezifische Formulierung des Gesetzestextes. Viele Unternehmen stehen dem Gesamtgebilde hilflos gegenüber. Man kann zwar schon in der Einleitung erkennen, dass die Politik vor allem große internationale Konzerne im Hinterkopf hatte, als die Verordnung verabschiedet wurde. Die können sich aber entsprechende Rechtsgutachten und Beratung leisten. Die Agentur oder der Handwerksbetrieb von nebenan eher weniger. Viele kleinere Unternehmen müssen sich also zusätzlich zu anderen bürokratischen Themen – die ja auch nicht weniger werden – mit der Datenschutzregulierung auseinandersetzen. Meist, ohne einen finanziellen Mehrwert dadurch erzielen zu können. Die Quote derer, die das Thema einfach komplett ignorieren, ist dementsprechend hoch.

Dadurch wird die tatsächliche Datensicherheit nicht verbessert. Erster Anlaufpunkt nach der Datenschutz-Panik in den deutschen Medien, rund um das Inkrafttreten der Datenschutzgrundverordnung, waren oft findige Anwälte. Diese haben zwar liebend gerne angeblich individuell erstellte Datenschutzhinweise verkauft. Ob der Text im Endeffekt auch etwas mit der IT Infrastruktur zu tun hat und das Unternehmen entsprechende Prozesse – die sogenannten technischen und organisatorischen Maßnahmen – implementiert hat, bleibt dem Nutzer bzw. dem Kunden verborgen.

Auch die generelle Aufklärung der Nutzer über die Funktionsweise von Web-Angeboten hat die Politik verschlafen. Am allerwichtigsten ist immer noch, dass Nutzer sich um ihre Daten kümmern und verstehen, was damit passiert. Ellenlange Datenschutz-Erklärungen haben den gleichen Effekt wie seitenweise AGBs oder Lizenz-Beschreibungen – sie werden weggeklickt. Es findet kein Erkenntnisgewinn statt. Das Nutzerverhalten steht dem Regulierungswahn entgegen.

Datenschutz bedeutet aktuell also viel Aufwand auf Unternehmensseite, kaum Vorteil auf Nutzerseite und verbessert nicht mal die Datensicherheit insgesamt. Im Gegenteil, in vielen Bereichen liegen wir bei der IT Sicherheit hinten, weil z.B. das Aufzeichnen von Tätigkeiten am jeweiligen Rechner einen Konflikt mit dem Mitarbeiter-Datenschutz verursacht. Zu den bestehenden Diskussionen bei Veränderungen der IT Infrastruktur, kommen also noch weitere hinzu. Stolpersteine auf dem Weg in die digitale Zukunft.

Free the Internet!

Mit ist durchaus bewusst, dass es Regeln auch für die digitale Welt geben muss. Nicht nur die bisher verbreiteten Arten der Kommunikation sowie der Nutzer-Anbieter- bzw. Käufer-Verkäufer-Beziehungen im Internet, machen diese notwendig. Mit Blick auf künstliche Intelligenz und die verstärkte Kommunikation zwischen Maschinen ohne Menschen als Mittler, werden klare Vorschriften auch noch wichtiger. Ich kann mich allerdings noch an ein Internet erinnern, in dem Websites ohne Impressum auskamen und man einfach mal Dinge ausprobieren konnte, ohne gleich gegen irgendwas zu verstoßen.

Heute muss ich schon beim Entwerfen einer neuen Website die regulatorischen Vorgaben sowie die entsprechende technische Backend-Integration beachten. Ich habe nicht mehr die Freiheit, ein Web- oder Daten-Projekt zu starten, um es dann Schritt für Schritt wachsen zu lassen. Gerade für kleinere global agierende Unternehmen und im internationalen Vergleich ist der Aufwand nicht zu unterschätzen.

Wenn ich alleine an die rechtlichen Absprachen denke, die im Vorfeld unseres letzten Updates mit verschiedenen Anbietern nötig waren, auf deren Software oder Infrastrukturen wir zugreifen. Und an die Textblöcke, die gegen jegliche Grundlagen der Nutzerfreundlichkeit verstoßen, aber eben über die Art der Datennutzung aufklären. Ich frage mich, wie das jemand hinbekommen soll, der sich nicht die entsprechende Datenschutz-Weiterbildung gegönnt hat und neben der Digitalisierung noch ein anderes Geschäftsmodell hat?

Ich würde mir wünschen, dass wir im Internet zu einem Fair Play zurückfinden. Einer digitalen Welt, in der Nutzer einen direkten funktionierenden Draht zum Anbieter erhalten und wo wir uns alle gemeinsam für mehr Datensicherheit einsetzen. Dazu bräuchte es mindestens ein Update der Datenschutz-Grundverordnung. Auch eine Neu-Organisation aller rechtlichen Bestimmungen, die im Bereich des Internets relevant sind, wäre eine Idee. Bisher muss sich jeder Gründer oder Unternehmer die relevanten Bestimmungen einzeln heraus suchen.

Update nötig

Einfach nur schreiben was blöd ist, kann ja jeder. Ich habe mir natürlich auch Gedanken gemacht, was man verbessern könnte:

1. Wir brauchen einen Fokus auf Bildung für das digitale Zeitalter. Nicht nur in den Schulen, sondern auch als Weiterbildungs-Initiativen für alle Generationen, die aus der Schule mehr oder weniger lange raus sind. Mündige Nutzer mit Medien- und Datenkompetenz können ihre Daten am besten schützen.
2. Ein Update der Datenschutz-Grundverordnung sollte weniger schwammige Formulierungen und stattdessen wenige klare Vorgaben zum Umgang mit Daten in Unternehmen erhalten. Um dahin zu kommen ist sicherlich auch die Auseinandersetzung mit Unternehmen notwendig, die normalerweise nicht in Brüssel vorstellig werden.
3. Aus regulatorischer Sicht, aber auch um im internationalen Wettbewerb um die Zukunft nicht völlig verloren zu gehen, braucht es eine Strategie für das Internet – am besten eine einheitliche europäische. Aktuell sind weite Teile der EU kein besonders attraktiver Standort für die Gründung von Daten getriebenen Unternehmen. Das Öl der Zukunft wird also woanders auf der Welt zu Geld gemacht, während wir immer nur neue Nutzer heranzüchten.

Autorin dieses Beitrags: Carolin Desirée Töpfer, Gründerin & CEO/ CTO Cyttraction