The Big Four des Internets oder auch „Gang of Four“, das sind Google, Amazon, Facebook und Apple, machen, was sie wollen. Etwas lässig formuliert: Google weiß mehr über Sie als ein Geheimdienst je wusste. Oft weiß Google mehr über die Betroffenen und kennt sie besser, als diese sich selbst.


Man sieht nur, was man weiß

Wer diesen Befund nicht schon an sich unhaltbar findet, den stört dann aber vielleicht doch, was die Internetgiganten mit diesen – Ihren – Daten machen. Die Datenskandale der letzten Jahre handelten fast ausnahmslos vom Datenmissbrauch für unzulässige politische oder kommerzielle Zwecke. Prominentestes Beispiel Facebook Cambridge Analytica. Die europäische Datenschutzgrundverordnung (GDPR) will jetzt die genannten Verarbeiter, aber auch die Millionen „kleinen“ aggressiven Datenunternehmen, dazu zwingen, die eigentliche Verwendung der verarbeiten Daten offenzulegen.

Wir als betroffene Konsumenten werden daher fast täglich mit Verarbeitungsinformationen überschwemmt. Zumeist lesen wir sie gar nicht und stimmen per Klick einfach blind zu. Dabei sind diese Vorabinformationen und insbesondere das Recht, Auskunft über die Verarbeitung zu verlangen, ein erster Schritt zur „Wiedererlangung der Autonomie“. Der Betroffene selbst entscheidet über seine Daten und nicht ein Dritter – sei dieser Dritte nun die öffentliche Hand oder ein Konzern.


Recht auf Auskunft

Die recht trockene Rechtslage hierzu ist eindeutig. Nach dem geltendem Recht haben alle Betroffenen ein umfassendes Auskunftsrecht in Bezug auf die sie betreffenden Daten, und sie sollen es problemlos wahrnehmen können. So soll jede Verarbeitung transparent werden, damit die betroffenen Personen die Rechtmäßigkeit der Verarbeitung überprüfen können.

Verlangt daher eine betroffene Person Auskunft darüber, welcher ihrer persönlichen Daten ein Verantwortlicher – vielleicht Ihr Unternehmen – verarbeitet, muss dieser Verarbeiter informieren, und das nicht zu knapp: Zweck der Verarbeitung, Empfänger, Speicherdauer, Herkunft der Daten, Betroffenenrechte (wie Löschung, Widerspruch etc., einschließlich Beschwerde bei der ungarischen Aufsicht NAIH) und vieles mehr.


Die Nervensägen

Tatsächlich soll der verantwortliche Verarbeiter für den Betroffenen in gewissen Fällen sogar einen Fernzugang zu einem sicheren System schaffen, welches einen direkten Zugang zu seinen personenbezogenen Daten ermöglicht. Daneben muss der Verarbeiter der betroffenen Person eine Kopie dieser Daten zur Verfügung stellen. Damit jedoch nicht genug. Betroffene Personen können verlangen, dass die bereitgestellten Daten ihnen in einem strukturierten, gängigen, maschinenlesbaren Format überlassen werden. Das fordert von jedem Verarbeiter im Ergebnis, „interoperale Formate“ zu entwickeln.

Für die Google, Facebook und Amazon dieser Welt sollte das alles nicht schwierig sein, dem klassischen Mittelständler stellen sich hier jedoch die Haare hoch. Unabhängig von den damit einhergehenden Kosten kann man sich lebhaft vorstellen, dass durchtriebene Betroffene oder finanziell motivierte Interessenverbände, also die sogenannten „Nervensägen“, die es eben auch gibt, verarbeitende Unternehmen mit Forderungen und Klagen überziehen. Aber solchen Exzessen hat der europäische Gesetzgeber vorausschauend einen Riegel vorgeschoben. Maßstab für alle Maßnahmen ist immer auch die rationale technische Machbarkeit. Ist die erste Kopie der Daten dem Betroffenen noch kostenlos zu überlassen, kann für alle weiteren Kopien ein angemessenes Entgelt verlangt werden.


Better safe than sorry

Aber der Gesetzgeber kennt einen noch besseren Weg, diesen vermeintlichen Ärger zu umgehen. Dieser Weg nennt sich schlicht „Vorabinformation“. Die vorherige Informationspflicht ist eine ganz entscheidende Weichenstellung. Verarbeitende Unternehmen, die hier Geld in Form von Intelligenz investieren, sparen eine Menge Konflikte. Zentral bei der Vorabinformation ist dann das gesunde Mittelmaß.

Die Realität sieht jedoch häufig anders aus. Entweder informieren Verarbeiter viel zu knapp und nebulös – bei den bekannten Internetriesen hat das wohl Methode –, oder sie schießen weit über das Ziel hinaus. Im ersten Fall sind die Informationen wage und voller abstrakter Gemeinplätze, im letzteren Fall wird wortreich informiert und für jede vertragliche Selbstverständlichkeit eine Einwilligung verlangt. Der überzogene, unangebrachte Gebrauch der Einwilligung ist aber in Wirklichkeit eine rechtliche Katastrophe. Wird nämlich die Einwilligung später vom Betroffen widerrufen, hat man sich den Rückgriff auf andere Ermächtigungen abgeschnitten – selbst wenn diese vorher noch zulässig waren.

Worüber soll der Verarbeiter dann aber vorab sinnvoll informieren? Auch hier herrscht im Grunde Klarheit: Über seine Kontaktdaten und gegebenenfalls die Erreichbarkeit des Datenschutzbeauftragten, Zweck und Form der Verarbeitung, Empfänger (Ausland?) und Speicherdauer, ferner die Rechte des Betroffenen einschließlich Beschwerderecht in Ungarn und schließlich die Rechtsgrundlage der Verarbeitung. Wer daher vorab die Rechtsgrundlagen vernünftig geprüft hat oder besser prüfen musste, unterlässt natürlich auch den Unfug, exzessiv unnötige Einwilligen einzuholen.


Das Recht auf Vergessenwerden

Wenn der Betroffene dann endlich weiß, welche Daten über ihn wie verarbeitet werden, dann hat er Optionen. Sind die Daten schlicht falsch, kann er ihre Berichtigung verlangen. Hat sich der Zweck der Verarbeitung erledigt und die Daten sind daher nicht mehr notwendig oder hat der Betroffene seine Einwilligung widerrufen, dann sind die Daten zu löschen.

Löschung ist auch zwingend, wenn der Betroffene der Verarbeitung widerspricht, seine Daten unrechtmäßig verarbeitet wurden oder der Gesetzgeber die Löschung anordnet. Bestehen Aufbewahrungspflichten, dann ist die Löschung unzulässig. Besonders kritisch ist das beispielsweise bei Arbeitnehmern, die Unternehmen verlassen. Umfangreiche Arbeitnehmerdaten sind in Ungarn schon aus steuerlichen und sozialversicherungsrechtlichen Gründen über Jahrzehnte aufzubewahren. Das berühmte Bild von der Weihnachtsfeier auf der Facebookseite des Arbeitgebers gleichwohl nicht. Und, die Weihnachtsfeier will man ja eventuell schnell vergessen!

Hat ein Verantwortlicher personenbezogene Daten öffentlich gemacht, so muss er bei Verpflichtung zur Löschung zusätzliche Schritte unternehmen. Unter Berücksichtigung der verfügbaren Technologie und Implementierungskosten trifft er angemessene Maßnahmen, um das Recht des Betroffenen auf Vergessenwerden umzusetzen. Wer sich bewusst macht, welche Datenmengen nicht nur die „Gang of Four“ verarbeiten und wie sie daraus virtuelle Parallelidentitäten der Betroffen erzeugen, versteht sofort: Das Recht auf Vergessenwerden hat heute in einer beschleunigten digitalen Welt die faktische Qualität und Bedeutung eines Grundrechts. Es ist das Grundrecht.


Der Autor ist deutscher und ungarischer Rechtsanwalt

marc-tell.madl@mpk-partners.com

Konversation

WEITERE AKTUELLE BEITRÄGE
Wandertagung der Ökonomen

Wenn zwei sich streiten …

Geschrieben von Rainer Ackermann

Zwei Lenker der Wirtschaftspolitik sind in den letzten Tagen mächtig aneinandergeraten:…

Rezension: Ungarn-Jahrbuch 34 (2018)

Fast 500 Jahre auf 344 Seiten

Geschrieben von F.P.

Das im Mai 2019 erschienene Ungarn-Jahrbuch präsentiert mit seinem 34. Band eine breite und…

EUREM EnergieManager Qualifizierung

Einsparungen - schnell, leicht und effizient

Geschrieben von W.Z.

Die energie- und kosteneffiziente Inbetriebnahme von Gebäuden und Technologien ist für alle…