kyoshiros

Gedanken über die Welt

DSGVO und wie man es nicht macht

Sep 022018

Ich möchte jedes Mal schreien, wenn ich mit der DSGVO konfrontiert werde. Nicht, weil ich sie schlecht finde - sondern weil in dem Versuch, die Unsicherheit zu Überwinden, alles falsch gemacht wird, was man nur falsch machen kann. Ich habe sicherlich nicht die Weisheit mit Löffeln gefressen, und stand auch lange auf Kriegsfuß mit den neuen Regelungen. Dennoch möchte ich hier an dieser Stelle die Top 3 der DSGVO-Dummheiten vorstellen.

Ich stelle hier auch Lösungsvorschläge vor. Ich bin jedoch kein Anwalt - das ist keine Rechtsberatung, sondern nur ein Vorschlag, der ggf. vor einer Umsetzung nochmals anwaltlich geprüft werden sollte!

 

Platz 3 belegen die Datenschutzerklärungsgeneratoren. Die DSGVO widerspricht sich hier ganz klar. Sie fordert einerseits, dass eine Datenschutzerklärung allgemeinverständlich ist. Andererseits will sie eine vollständige Auflistung der Daten, die gesammelt werden, und derer Verwendung. Aber ganz ehrlich - wer ließt sich denn 2-3 Seiten Datenschutzerklärung durch? Das ist nicht allgemeinverständlich, das ist allgemeinverschleiernd. Bei so einem Textblock voll Techsprech denk’ sogar ich als jemand, der jedes Wort davon versteht, mir höchstens “jaja, ihr stellt allen möglichen Scheiß mit den Daten an. Cookies löschen, und gut is…” - Mal ehrlich, kriegt ihr das nicht irgendwie kompakter hin? Drei, vier Sätze reichen doch völlig! Da besteht dann auch die Chance, dass jemand anderes als der nächstbeste Abmahnanwalt das liest… Die beste Möglichkeit, die Datenschutzerklärung kurz zu halten, ist übrigens, einfach keine Daten zu sammeln. Was völlig im Sinne der DSGVO wäre...

 

Weiter zu Platz 2: die Ärztekammer hat den Ärzten eine komplette Seite “Einverständniserklärung” zur Verfügung gestellt. Wofür soll ich mein Einverständnis geben?

  • Für die Behandlung notwendige Daten werden von anderen Ärzten eingeholt.
  • Für die Behandlung durch andere Ärzte notwendige Daten werden an diese weitergegeben.
  • (als Opt-In) Ich darf telefonisch vom Arzt kontaktiert/informiert/beemailt werden.

Die Erklärung, warum ich dieses Opt-In machen soll: “Sonst dürfen wir Sie nicht anrufen, wenn ein Termin nicht haltbar ist.”

JA HALLO?! GEHT’S NOCH?! Welcher selbsternannte DSGVO-“Spezialist” in der Ärztekammer hat denn diesen SCHEISS verbrochen? Für NICHTS aus der Liste benötigt ihr mein Einverständnis. Das geht zu 100% konform mit “wir brauchen die Daten zur Vertragserfüllung”. Aber mal ganz langsam und von vorne.

  1. Eine Einverständniserklärung ist immer die dümmste Variante, so etwas zu regeln. Ein Anruf, und das Einverständnis ist weg. Und dann?
  2. “Daten werden […] eingeholt” - ja, macht halt. Wieso soll ich dazu jetzt extra eine Einverständniserklärung abgeben? Wenn ihr mich ohne diese Daten nicht korrekt und vollständig behandeln könnt, ist es offensichtlich, dass ihr diese Daten braucht. Sie sind “notwendig zur Vertragserfüllung”. Wenn ihr die Behandlung auch ohne die Daten sicher korrekt durchführen könnt, bringt euch auch die Einverständniserklärung nix, weil dann sind die Daten nicht notwendig, und damit dürft ihr sie auch mit der Einverständniserklärung nicht anfragen.
  3. “Daten werden […] weitergegeben” - das ist zugegebenermaßen ein etwas schwierigerer Punkt. Man kann aber durchaus davon ausgehen, dass eine erfolgreiche Behandlung im Sinne des Kunden/Patienten ist. Da nur für die Behandlung notwendige Daten überhaupt angefordert werden dürfen, sehe ich an dieser Stelle ebenfalls kein Problem das als “notwendig zur Vertragserfüllung” abzustempeln, zumindest bei Hausärzten. Hier sei auch nocheinmal darauf verwiesen, dass in der Schulmedizin gerne von einer "vollständigen Anamnese" geredet wird. Dahinter steckt soviel wie "die jüngste Krankheitsgeschichte kann durchaus einen Einfluss auf die Diagnose haben".
  4. Wenn die Koordination bestehender Termine nicht “notwendig zur Vertragserfüllung” ist - was ist es dann?

Fazit: ich habe ein Blatt unterschrieben, das völlig unnötig ist. Nicht nur unnötig - sogar potentiell gefährlich. Denn durch die Existenz dieses Blatts wird eine auch ohne die Existenz des Blattes rechtskonforme Datenverarbeitung durch einen einfachen Anruf plötzlich zu einem Verstoß gegen die DSGVO. Also... lieber bleiben lassen, und eine bessere Begründung suchen. Die gibt es definitiv.

 

Und last, but not least, auf Platz 1: “Mit dem Erwerb von Tickets erklärt ihr euch damit einverstanden, …”

Jetzt muss ich erstmal Luft holen. An diesem Satz ist so viel falsch, dass ich gar nicht weiß, wo ich anfangen soll. Die Ursache ist mir absolut klar: es gibt eine gewisse Rechtsunsicherheit, was das Fotografieren auf Konzerten angeht, und insbesondere auch darüber, ob man diese Fotos dann z.B. als Band oder Veranstalter auf Facebook stellen darf. Dieser Unsicherheit möchte man möglichst pragmatisch entgegenwirken. Soweit, so verständlich. Aber - und das ist ein großes ABER - leider Mist. Hier werden gleich mehrere Regeln verletzt, was zu einem großen Problem für die Veranstalter werden kann:

  1. Wie bereits vorher erwähnt, eine Einverständniserklärung ist jederzeit widerrufbar. Damit halst man sich also enorme Probleme auf: Peter Müller geht auf ein Konzert, wird 17mal fotografiert, und diese Fotos werden veröffentlicht. Jetzt fällt Peter Müller aber auf, dass er das gar nicht möchte, und widerruft seine Einverständniserklärung. Nun müssen alle Fotos von diesem Abend gesichtet werden, und diejenigen, auf denen Peter Müller identifizierbar ist entfernt werden. Macht das jetzt nicht nur einer, sondern gleich mehrere, wird der Aufwand sehr schnell sehr groß. Da wäre es doch klug, wenn man einen anderen Grund hätte, die Bilder zu veröffentlichen, oder?

  2. Jede Einverständniserklärung muss unabhängig von einem Vertrag sein. Es muss also möglich sein, ein Ticket auch zu erstehen, ohne die Einverständniserklärung abzugeben. Ist das nicht der Fall, ist das ein Verstoß gegen die DSGVO - und damit ein klares Eigentor.
  3. Einverständniserklärungen müssen nach der DSGVO immer explizit erfolgen. Ein “mit Abschluss des Vertrages sind Sie einverstanden” ist ungültig, und ebenfalls ein Verstoß gegen die DSGVO.

Hier sitze ich als Vorstand eines kleinen Festivals mit vielen anderen im selben Boot. Abhilfe schafft hier ein anderes Gesetz, das sogenannte "Medienprivileg". Was bedeutet das? Fotos, die zum Zwecke der (journalistischen) Berichterstattung angefertigt und veröffentlicht werden, sind von den problematischen Regelungen der DSGVO ausgenommen. Für Fotos unter "Archiv", "vergangene Veranstaltungen", etc. werden also - nach meinem aktuellen Wissensstand - keine schriftlichen und expliziten Einverständniserklärungen benötigt. Anders sieht es aus, wenn man ein Foto zu Marketingzwecken einsetzen will - sprich: z.B. auf die Startseite setzen. Da sollte man sich durchaus etwas mehr Gedanken drüber machen, unter welchen Umständen ein Foto verwendet werden kann. Aber das kann man ja dann im Zweifelsfall mit den abgebildeten Personen direkt klären...

 

Tja... was bleibt jetzt da noch zu sagen? Wenn ich jedes Mal einen Schnaps trinken würde, wenn ich mitbekomme, dass irgendwer was Dummes aufgrund der DSGVO macht, wäre ich wohl mittlerweile stark alkoholabhängig, und vor allem: rund um die Uhr besoffen. Also bitte, liebe Veranstalter, liebe Ärzte, liebe Webseitenbetreiber - denkt doch bitte einmal kurz nach, und überlegt, ob das, was ihr tut, wirklich im Sinne der DSGVO ist, oder ob euch nicht vielleicht doch irgendwer Mist erzählt hat. Im Zusammenhang mit einem neuen Gesetz passiert das schließlich häufiger, und auch ich musste mich erst lange damit beschäftigen, bis ich verstanden habe, wie die DSGVO denn tatsächlich funktioniert...

Es gibt keine veröffentlichten Kommentare.

Neuer Kommentar

Atom

Dieser Blog verwendet die Plattform "Nibbleblog".