DSGVO Reality Check

Juristen und Informatiker haben oft Schwierigkeiten sich zu verstehen. Das liegt daran, dass Jura ein Teilbereich der Hermeneutik und nicht etwa der Logik ist. Es steht damit der Theologie näher als der Informatik, die je nach Ausprägung zwischen Mathematik, Ingenieurwesen und Physik liegt.

Deswegen bekommen Informatiker auch immer Bauchschmerzen, wenn sie Gesetzestexte lesen. Da gibt es zum Beispiel Art. 32 DSGVO (4):

Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Man könnte diesen Abschnitt so lesen, dass ein US-Anbieter, der sich für Europäer ja auch an die DSVGO halten muss, diese verletzt, wenn er aufgrund eines US-Gesetzes handelt. In der Praxis zeigen die Gerichte dann aber häufig doch Verständnis, selbst für abstruse Gesetze ausländische Gesetze.

Aber man weiß es eben nicht, bis die ersten Urteile eintreffen. Im gleichen Artikel heißt es auch:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

(a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

Mancher Berater schließt daraus:

Folglich müssen Sie unter anderem dafür sorgen, dass Ihr E-Mail-Verkehr verschlüsselt wird.

Ich kann diesem Schluss als Laie nicht folgen. Zunächst ergibt Pseudonymisierung im gleichen Absatz so keinen Sinn. Soll man im Mailverkehr wirklich die Namen durch ein Pseudonym ersetzen? Und was ist mit der Email-Adresse? Einhellig als persönliches Datum betracht ist Sie selbst bei üblicher Ende-zu-Ende Verschlüsselung sichtbar (der Mailtransport kann durch TLS verschlüsselt sein, aber in der Regel hat man keinen Vertrag als Processor mit der Gegenstelle.

Aber nehmen wir mal an, Verschlüsselung sei Pflicht. Das bedeutet doch, dass der Arzt die Laborwerte künftig nicht mehr per Post verschicken kann, denn schließlich handelt es sich um unverschlüsselte Gesundheitsdaten (die mittels OCR leicht vom Datenträger Papier eingelesen werden können). Auch das vertrauliche Gespräch mit dem Mobiltelefon ist angesichts schwacher GSM-Verschlüsselung nicht mehr zulässig. Man könnte hier zu recht einwenden, dass die Gerichte in der Vergangenheit auch [unwirksame Verschlüsselung(https://de.wikipedia.org/wiki/DeCSS#Rechtliche_Situation) als wirksam erachtet haben (oder doch nicht).

Meine Interpretation von Art 34 (1)(a): Nehmen wir an, man sammelt mit berechtigtem Grund (vielleicht Sicherheit?) kurzzeitig IP-Adressen und Seitenzugriffe (ein typisches Webserver Logfile). Jetzt will man diese aber durch den Praktikanten auswerten lassen, um die beliebteste Seite zu ermitteln. Dann ist eine geeignete Maßnahme zum Datenschutz die IPs entweder zu verschlüsseln oder eben zu Pseudonymisieren.

Warum ist das wichtig?

  • DSVGO kommt am 25. Mai. Was dann genau passieren wird ist noch relativ unklar
  • Die Unsicherheit bei neuen Gesetzen ist leider normal. Erst mit der Zeit wird sich herauskristallisieren, wie Sie wirklich ausgelegt werden

Mini-Serie Unternehmenswerte: Die Leadership Principles von amazon - Leistungskultur pur

We use our Leadership Principles every day, whether we’re discussing ideas for new projects or deciding on the best approach to solving a problem. It is just one of the things that makes Amazon peculiar. heißt es auf der amazon Webseite. Jedes Unternehmen definiert seine Werte anders. Im Fall von amazon sind alle 14 Werte als “Leadership Principles” formuliert, also im Prinzip als Anweisungen bzw. Richtlinien für seine Mitarbeiter und insbesondere Führungskräfte. Die 14 Werte sind leider nicht strukturiert, sondern als lange Wäscheliste runtergeschrieben. Die Vermutung liegt aber Nahe, dass sie zumindest grob nach Wichtigkeit sortiert sind. Von Quellen innerhalb der Firma weiß man, dass die Werte tatsächlich täglich zur Anwendung kommen, z.B. wenn es darum geht Reisen zu buchen (amazon Mitarbeiter fliegen im Gegensatz zu anderen Firmen immer der Economy Klasse, auch bei Transatlantikflügen), in Meetings, um Entscheidungen zu forcieren und auch besonders stark im Recruiting. Hier werden Kandidaten nach Beispielen aus ihrer bisherigen Erfahrung gefragt, um zu prüfen wie sie dem einen oder anderen Wert Rechnung getragen haben. Im Prinzip sucht sich die Firma schon früh ihre Mitarbeiter so aus, dass sie optimal ins System passen.

Die strikte Befolgung der Principles kann auch absurde Züge annehmen. Jüngst wurde berichtet, dass in amerikanischen Warenhäusern Mitarbeiter keine Pinkelpausen haben, sondern stattdessen ihre Notdurft in Flaschen verrichten, um Effizienzziele zu erreichen. Das war wahrscheinliche das Ergebnis einer Kombination zweier Prinzipien: “Deliver Results - Ergebnisse liefern” und “Insist on the Highest Standards – Immer höchste Maßstäbe anlegen”.

Amazons Leadership Principles

  • Customer Obsession – 100% kundenorientiert
  • Ownership – Verantwortung übernehmen
  • Invent and Simplify – Erfinden und Vereinfachen
  • Are Right, A Lot – Die richtige Entscheidung treffen
  • Learn and Be Curious - Neugierig bleiben und nie aufhören zu lernen
  • Hire and Develop the Best – Die besten Mitarbeiter einstellen und weiterentwickeln
  • Insist on the Highest Standards – Immer höchste Maßstäbe anlegen
  • Think Big – In großen Dimensionen denken
  • Bias for Action – Aktiv handeln
  • Frugality – Gezielter Einsatz von Ressourcen
  • Earn Trust - Vertrauen aufbauen und verdienen
  • Dive Deep – Dingen auf den Grund gehen
  • Have Backbone, Disagree and Commit – Rückgrat zeigen, eigene Meinungen vertreten und getroffene Entscheidungen mittragen
  • Deliver Results - Ergebnisse liefern

Call to Action: Sag’s weiter auf twitter!

Du findest die Newsletter gut? Dann erwähne das auf twitter! Wir freuen uns :-)

Schreib uns an: info@achtungtechnik.de