kyoshiros

Gedanken über die Welt

DSGVO und wie man es nicht macht

Sep 022018

Ich möchte jedes Mal schreien, wenn ich mit der DSGVO konfrontiert werde. Nicht, weil ich sie schlecht finde - sondern weil in dem Versuch, die Unsicherheit zu Überwinden, alles falsch gemacht wird, was man nur falsch machen kann. Ich habe sicherlich nicht die Weisheit mit Löffeln gefressen, und stand auch lange auf Kriegsfuß mit den neuen Regelungen. Dennoch möchte ich hier an dieser Stelle die Top 3 der DSGVO-Dummheiten vorstellen.

Ich stelle hier auch Lösungsvorschläge vor. Ich bin jedoch kein Anwalt - das ist keine Rechtsberatung, sondern nur ein Vorschlag, der ggf. vor einer Umsetzung nochmals anwaltlich geprüft werden sollte!

 

Platz 3 belegen die Datenschutzerklärungsgeneratoren. Die DSGVO widerspricht sich hier ganz klar. Sie fordert einerseits, dass eine Datenschutzerklärung allgemeinverständlich ist. Andererseits will sie eine vollständige Auflistung der Daten, die gesammelt werden, und derer Verwendung. Aber ganz ehrlich - wer ließt sich denn 2-3 Seiten Datenschutzerklärung durch? Das ist nicht allgemeinverständlich, das ist allgemeinverschleiernd. Bei so einem Textblock voll Techsprech denk’ sogar ich als jemand, der jedes Wort davon versteht, mir höchstens “jaja, ihr stellt allen möglichen Scheiß mit den Daten an. Cookies löschen, und gut is…” - Mal ehrlich, kriegt ihr das nicht irgendwie kompakter hin? Drei, vier Sätze reichen doch völlig! Da besteht dann auch die Chance, dass jemand anderes als der nächstbeste Abmahnanwalt das liest… Die beste Möglichkeit, die Datenschutzerklärung kurz zu halten, ist übrigens, einfach keine Daten zu sammeln. Was völlig im Sinne der DSGVO wäre...

 

Weiter zu Platz 2: die Ärztekammer hat den Ärzten eine komplette Seite “Einverständniserklärung” zur Verfügung gestellt. Wofür soll ich mein Einverständnis geben?

  • Für die Behandlung notwendige Daten werden von anderen Ärzten eingeholt.
  • Für die Behandlung durch andere Ärzte notwendige Daten werden an diese weitergegeben.
  • (als Opt-In) Ich darf telefonisch vom Arzt kontaktiert/informiert/beemailt werden.

Die Erklärung, warum ich dieses Opt-In machen soll: “Sonst dürfen wir Sie nicht anrufen, wenn ein Termin nicht haltbar ist.”

JA HALLO?! GEHT’S NOCH?! Welcher selbsternannte DSGVO-“Spezialist” in der Ärztekammer hat denn diesen SCHEISS verbrochen? Für NICHTS aus der Liste benötigt ihr mein Einverständnis. Das geht zu 100% konform mit “wir brauchen die Daten zur Vertragserfüllung”. Aber mal ganz langsam und von vorne.

  1. Eine Einverständniserklärung ist immer die dümmste Variante, so etwas zu regeln. Ein Anruf, und das Einverständnis ist weg. Und dann?
  2. “Daten werden […] eingeholt” - ja, macht halt. Wieso soll ich dazu jetzt extra eine Einverständniserklärung abgeben? Wenn ihr mich ohne diese Daten nicht korrekt und vollständig behandeln könnt, ist es offensichtlich, dass ihr diese Daten braucht. Sie sind “notwendig zur Vertragserfüllung”. Wenn ihr die Behandlung auch ohne die Daten sicher korrekt durchführen könnt, bringt euch auch die Einverständniserklärung nix, weil dann sind die Daten nicht notwendig, und damit dürft ihr sie auch mit der Einverständniserklärung nicht anfragen.
  3. “Daten werden […] weitergegeben” - das ist zugegebenermaßen ein etwas schwierigerer Punkt. Man kann aber durchaus davon ausgehen, dass eine erfolgreiche Behandlung im Sinne des Kunden/Patienten ist. Da nur für die Behandlung notwendige Daten überhaupt angefordert werden dürfen, sehe ich an dieser Stelle ebenfalls kein Problem das als “notwendig zur Vertragserfüllung” abzustempeln, zumindest bei Hausärzten. Hier sei auch nocheinmal darauf verwiesen, dass in der Schulmedizin gerne von einer "vollständigen Anamnese" geredet wird. Dahinter steckt soviel wie "die jüngste Krankheitsgeschichte kann durchaus einen Einfluss auf die Diagnose haben".
  4. Wenn die Koordination bestehender Termine nicht “notwendig zur Vertragserfüllung” ist - was ist es dann?

Fazit: ich habe ein Blatt unterschrieben, das völlig unnötig ist. Nicht nur unnötig - sogar potentiell gefährlich. Denn durch die Existenz dieses Blatts wird eine auch ohne die Existenz des Blattes rechtskonforme Datenverarbeitung durch einen einfachen Anruf plötzlich zu einem Verstoß gegen die DSGVO. Also... lieber bleiben lassen, und eine bessere Begründung suchen. Die gibt es definitiv.

 

Und last, but not least, auf Platz 1: “Mit dem Erwerb von Tickets erklärt ihr euch damit einverstanden, …”

Jetzt muss ich erstmal Luft holen. An diesem Satz ist so viel falsch, dass ich gar nicht weiß, wo ich anfangen soll. Die Ursache ist mir absolut klar: es gibt eine gewisse Rechtsunsicherheit, was das Fotografieren auf Konzerten angeht, und insbesondere auch darüber, ob man diese Fotos dann z.B. als Band oder Veranstalter auf Facebook stellen darf. Dieser Unsicherheit möchte man möglichst pragmatisch entgegenwirken. Soweit, so verständlich. Aber - und das ist ein großes ABER - leider Mist. Hier werden gleich mehrere Regeln verletzt, was zu einem großen Problem für die Veranstalter werden kann:

  1. Wie bereits vorher erwähnt, eine Einverständniserklärung ist jederzeit widerrufbar. Damit halst man sich also enorme Probleme auf: Peter Müller geht auf ein Konzert, wird 17mal fotografiert, und diese Fotos werden veröffentlicht. Jetzt fällt Peter Müller aber auf, dass er das gar nicht möchte, und widerruft seine Einverständniserklärung. Nun müssen alle Fotos von diesem Abend gesichtet werden, und diejenigen, auf denen Peter Müller identifizierbar ist entfernt werden. Macht das jetzt nicht nur einer, sondern gleich mehrere, wird der Aufwand sehr schnell sehr groß. Da wäre es doch klug, wenn man einen anderen Grund hätte, die Bilder zu veröffentlichen, oder?

  2. Jede Einverständniserklärung muss unabhängig von einem Vertrag sein. Es muss also möglich sein, ein Ticket auch zu erstehen, ohne die Einverständniserklärung abzugeben. Ist das nicht der Fall, ist das ein Verstoß gegen die DSGVO - und damit ein klares Eigentor.
  3. Einverständniserklärungen müssen nach der DSGVO immer explizit erfolgen. Ein “mit Abschluss des Vertrages sind Sie einverstanden” ist ungültig, und ebenfalls ein Verstoß gegen die DSGVO.

Hier sitze ich als Vorstand eines kleinen Festivals mit vielen anderen im selben Boot. Abhilfe schafft hier ein anderes Gesetz, das sogenannte "Medienprivileg". Was bedeutet das? Fotos, die zum Zwecke der (journalistischen) Berichterstattung angefertigt und veröffentlicht werden, sind von den problematischen Regelungen der DSGVO ausgenommen. Für Fotos unter "Archiv", "vergangene Veranstaltungen", etc. werden also - nach meinem aktuellen Wissensstand - keine schriftlichen und expliziten Einverständniserklärungen benötigt. Anders sieht es aus, wenn man ein Foto zu Marketingzwecken einsetzen will - sprich: z.B. auf die Startseite setzen. Da sollte man sich durchaus etwas mehr Gedanken drüber machen, unter welchen Umständen ein Foto verwendet werden kann. Aber das kann man ja dann im Zweifelsfall mit den abgebildeten Personen direkt klären...

 

Tja... was bleibt jetzt da noch zu sagen? Wenn ich jedes Mal einen Schnaps trinken würde, wenn ich mitbekomme, dass irgendwer was Dummes aufgrund der DSGVO macht, wäre ich wohl mittlerweile stark alkoholabhängig, und vor allem: rund um die Uhr besoffen. Also bitte, liebe Veranstalter, liebe Ärzte, liebe Webseitenbetreiber - denkt doch bitte einmal kurz nach, und überlegt, ob das, was ihr tut, wirklich im Sinne der DSGVO ist, oder ob euch nicht vielleicht doch irgendwer Mist erzählt hat. Im Zusammenhang mit einem neuen Gesetz passiert das schließlich häufiger, und auch ich musste mich erst lange damit beschäftigen, bis ich verstanden habe, wie die DSGVO denn tatsächlich funktioniert...

Nicht von dieser Welt

Jun 042016


Kennt ihr das? Man sitzt abends gemütlich mit seinen Freunden zusammen bei einem Bier, und jeder erzählt Anekdoten aus seinem Arbeitsalltag. Die Stimmung ist gut, alle lachen - und einer schweigt. Man denkt sich: der ist aber still heute. Vielleicht müde, vielleicht krank. Oder schüchtern. Introvertiert.

Tja, ich bin einer von diesen Schweigenden. Klar, ich rede sonst auch nicht viel, aber gerade bei dieser Gelegenheit ist kein Ton von mir zu hören. Denn ich bin auf eine ganz besondere Art anders: Ich bin Informatiker. Software-Entwickler, um genau zu sein. Und ich erlebe jeden Tag so viel Mist, bekomme jeden Tag eine Wagenladung voller Anekdoten vor die Nase gesetzt, ich muss nur zugreifen und sie einstecken. Und dennoch schweige ich. Warum?

Dazu muss ich etwas ausholen. Zu den Anekdoten der Anderen. Da ist zum Beispiel Peter. Peter ist LKW-Fahrer, aus Leidenschaft. Er hat nach dem Abitur beschlossen, lieber eine Ausbildung zu machen, und seine Begeisterung für Kraftfahrzeuge aller Art zu seiner Berufung gemacht. Und Peter erzählt: "Da fahr ich also auf die A8, wie immer. Mir war ja schon bewusst, dass es ein bisschen geschneit hat. Aber was mich auf der Autobahn erwartet hat, hab ich noch nie erlebt: ich fahr also gemütlich um die Kurve, erschrecke, mache eine Vollbremsung, und steh vor einer weißen Wand. Es hat nicht mehr viel gefehlt, dann hätte ich von meiner Fahrerkabine aus einen Schneemann bauen können. Da hilft dann auch nicht mehr viel - ich ruf’ also den Disponenten an und warte auf den Räumdienst." Alle lachen. Weil sich jeder in die Situation reindenken kann.

Oder Timo. Timo hat gerade sein Medizinstudium beendet, und macht die Facharzt-Ausbildung zum Chirurgen. "Und gestern, da war ein Patient da, ich musste mich echt zusammenreißen, damit ich nicht laut loslache... hat der doch glatt eine Bissverletzung im Enddarm. Und erzählt dann, dass er sich aus Versehen auf seinen Hamster gesetzt hat." Noch mehr Gelächter.

Philipp, ein Ingenieur, erzählt: "und ich sitz so da, und baue meine Platine. Ein Widerstand, ein kurzer Leiter, ein Chip, ein Knopf..." - "Ein Knopf?!" - "Jepp, ich Trottel hab einfach mal meinen Hemdknopf auf die Platine gelötet. Macht das nie, Jungs. Das Plastik stinkt wie Hölle, und die Platine ist für’n Arsch." Peter: "Das kann ich mir vorstellen. Ich hatte letztens eine Ladung Tiefkühlfisch, und mitten auf der A6 ist mir dann die Kühlung ausgefallen..." Gelächter. Timo: "Boah, das ist ja sooo eklig. Da hatte ich letztens eine auf’m Tisch, ich glaub, die hat sich ihr Leben noch nie untenrum gewaschen..."

Und dazwischen sitze ich. Schweigend. Ich habe allein an diesem Tag drei Fehler in unserem Produkt beseitigt, Fehler die aus purer Dummheit des Entwicklers entstanden sind, und über die ich mich mit meinen Kollegen noch in einem Jahr lustig machen werde. Ich versuch’s also mal: "Heute hatte ich auch wieder einen tollen Bug... da hielt es ein Kollege für eine tolle Idee einen Pointer zu dereferenzieren, den er erst danach setzt. Und das war seit 7 Jahren im Code." Schweigen. "Ein Pointer ist ein Verweis auf eine Variable. Wenn der auf nichts zeigt kann man ihn nicht dereferenziehren. Das führt zu einer Exception." Schweigen. "Einem Crash." Schweigen. "Meine Güte, bei uns hat vor 7 Jahren jemand einen Crash eingebaut, der nie aufgetreten ist, weil die entsprechende Codestelle 7 Jahre lang nie aufgerufen wurde." Ein lautes "Ahhhh" der Menge führt uns dann wieder zurück zu Philipp, dessen Sensor falsch kalibriert war, und zu Peter, der wegen eines Planungsfehlers von einem Kollegen auf der gesamten Tour verfolgt wurde. Ich schweige. Für den Rest des Abends.

Wir Informatiker, Programmierer, Software- und Datenbankjunkies kommen prima klar mit uns. Aber unser Job ist inkompatibel zum Rest der Welt. Wir sprechen eine andere Sprache, eine Sprache, für die es oft keine Metaphern aus der realen Welt gibt. "Mein Kollege hat heute ein Refactoringprojekt einer der Kernklassen eingecheckt, und dabei den Gluecode vergessen, und ist dann in den Feierabend gegangen..." ist für uns völlig verständlich. Einen "Muggel" habe ich dabei spätestens bei dem Wort "eingecheckt" verloren: Dein Kollege ist Lehrer? Eine Klasse eingecheckt? In ein Hotel?

Refactoring bedeutet, dass Code umgeschrieben wird, sodass er danach strukturierter ist, leichter nachvollziehbar, aber immer noch das gleiche tut. Das ist noch einfach. Bei Klassen wird es schon schwieriger: In einem Programm gibt es jede Menge an "Objekten". Ein Objekt ist dabei eine Ansammlung von zusammengehörigen Informationen. Die Art dieses Objekts nennt man "Klasse". So kann zum Beispiel die Klasse "Auto" die Informationen "Hersteller", "Typ" und "Sitzplätze" beinhalten. Für jedes Objekt Auto sind also dann Hersteller, Typ und Sitzplätze eindeutig zuordenbar gespeichert.
Schon etwas komplizierter, oder? Und jetzt der Hammer: "eingecheckt". Es gibt für uns Entwickler Tools, die sich "Versionsverwaltung" nennen. Das kann man sich vorstellen, wie einen Schrank, in dem unser Quelltext liegt. Jeder Entwickler hat eine oder mehrere lokale, nur für ihn selbst zugängliche Kopien dieses Originalschranks, in denen er arbeiten kann, und wenn er eine Änderung so gemacht hat, dass er zufrieden damit ist, kann er (Teile seiner) Änderungen wieder veröffentlichen. Dazu stellt er eine Kopie seiner Kopie des Schranks vor den Originalschrank, was dann die Kopie seiner Kopie zum Originalschrank für alle anderen Entwickler macht. Abgefahrene Sache, das. Aber wenn man das alles bei jedem Erzählen einer Anekdote von neuem Aufrollen muss, wird aus einem einfachen Satz ein halbstündiger Vortrag, und keiner möchte mehr zuhören.

Ich würde an der Unterhaltung so gerne teilnehmen. Aber die einzigen allgemein verständlichen Versionen des obigen Satzes, ohne die lange Erklärung, sind: "Ein Kollege hat heute kurz vor Feierabend den ganzen Betrieb blockiert." Und: "Ein Kollege hat heute etwas ganz dummes gemacht, und ich durfte es ausbaden." Und während alle anderen ihre Anekdoten anreichern mit Beschreibungen, Metaphern, Adjektiven und Bildern, kann ich nur stupide diesen einen Satz wiederholen.

An solchen Abenden fühle ich mich genau so: nicht von dieser Welt. Ich sitze da, schweige, und wünsche mich nach Hause. Denn so sehr ich die Zeit mit meinen Freunden auch genieße - wenn ich daran nicht teilnehmen kann, kann ich mich auch einfach mit einer Flasche Wein in die Badewanne setzen, und dabei Musik hören.

Gender - oder: wie man es nicht macht.

Sep 072014

Mir ist kürzlich mal wieder aufgefallen, wie ausgefallen die deutsche Sprache hinsichtlich der "Genderisierung" ist. Ich kenne keine andere Sprache, ja: kein anderes Land, in dem jedes noch so kleine Wörtchen zu einer Wörtchenin umgebaut wird, nur um zu verdeutlichen, dass es ja auch weibliche Personen, Entschuldigung, Personinnen, geben könnte.

Dieser Wahn, aus per Definition geschlechtslosen Wörtern wie "Doktor" oder "Bundeskanzler" eine Feminisierung herauszuquetschen - muss das wirklich sein? Gerade der Doktortitel ist doch das beste Beispiel dafür, dass das genau der falsche Weg ist.

Früher, noch vor etwa 40 Jahren, war es nicht gerade an der Tagesordnung, dass eine Frau promovierte. Nicht nur, weil es ungewöhnlich war, sondern auch, weil ihr seitens der bereits promovierten und habilitierten Bevölkerungsschicht gerne mal der ein oder andere Stein in den Weg gelegt wurde. Wenn sie es jedoch geschafft hat, trug sie mit Stolz den Titel "Doktor" - und niemand wäre auch nur auf die Idee gekommen, da ein "-in" dranzusetzen.
Heute wird das jedoch gerne gemacht, "Gleichberechtigung" und so. Aber was passiert dabei wirklich? Hier wird genau diese Gleichberechtigung verhindert, indem ein neuer Titel geschaffen wird, der es der frisch Promovierten wiederum versagt, den gleichen Titel zu erreichen, wie die Herren der Schöpfung. Zum geschlechtsneutralen Titel wird ein femininer Titel dazuerfunden. Grammatikalisch ist dieser Titel nicht nötig - wodurch er inhaltlich ad absurbum geführt wird, da es jetzt für Frauen zwei Titel gibt, die eben nicht gleich oder gleichwertig sind. Es wird ihr mit dieser Anrede die Leistung aberkannt, die sie erbracht hat - sie ist nicht "gut genug" für einen Doktor.

Werte Damen dort draußen: Ich hoffe ihr stört euch nicht an "Frau Doktor" oder "Frau Bundeskanzler", denn bevor ich entscheiden muss, ob ich jetzt vor einem Computer oder einer Computerin sitze, und diesem dabei womöglich noch auf die Füße trete, weil er glaubt, er wäre genau das andere - bevor ich mich hier auf so dünnes Eis wage, wahre ich lieber die grammatikalisch korrekte Form und ignoriere den Trend, alles zu verweiblichen.

Atom

Dieser Blog verwendet die Plattform "Nibbleblog".