Ich war in der vergangenen Woche beim Bayerischen IT-Rechtstag. Einmal im Jahr kommen Mitte Oktober in München alle zusammen, die sich in Bayern mit „Informationstechnologierecht“ beschäftigen. Anwälte, Syndizes aus den Rechtsabteilungen großer Unternehmen und Professoren. Es werden Vorträge gehalten über neue Gesetzgebungsverfahren im IT-Vertragsrecht, Blockchain & Smart Contracts, Scrum-Verträge, Cloud-Computing im Finanzaufsichtsrecht, Datenschutz und Datensicherheit – alles wie immer. Wer beim Bayerischen IT-Rechtstag referiert, den darf man wohl als etablierten Experten bezeichnen, ausgewählt von anderen Experten, weil man sich seit Jahren kennt.
Eine der Referentinnen saß ein paar Reihen vor mir – mit dem Laptop aufgeklappt auf dem Schoß. Mittig auf den oberen Rand des Bildschirms hatte sie einen Klebestreifen über die Kamera des Laptops geklebt. Ein Klebestreifen als physische Barriere, die das Auge des Laptops blind macht. Überrascht war ich, wie wenig ich überrascht war. Der Klebestreifen über der Kamera ist normal geworden. Kein Erkennungszeichen für „Aluhüte“, im Gegenteil: Je besser sich jemand mit Datenschutz und Datensicherheit auskennt, umso wahrscheinlicher hat er einen Klebestreifen über der Kamera. Wichtiger wäre es allerdings, Kaugummi in das Mikrofon zu stopfen.
Apropos Datenschutz: Dieses neue Joint-Controller-Agreement nach Art. 26 DSGVO (in der deutschen Fassung mit "gemeinsame Verantwortung" überschrieben) ist sehr schwierig zu verstehen. Normalerweise versucht man ja in einem Vertrag, Verantwortung einer Partei eindeutig zuzuweisen. Gemeinsame Verantwortung ist gerade im Datenschutz eigentlich das letzte, was man braucht. Wer schon einmal in einer Studenten WG gewohnt hat, kennt das Ergebnis gemeinsamer Verantwortung für die Sauberkeit von Küche und Bad. Im Datenschutzrecht ist es ähnlich. Die Verantwortung fällt irgendwo zwischen Betroffenen, verantwortlicher Stelle und Aufsichtsbehörde durch die Ritzen. Jetzt wird dieser Wirkmechanismus mit Art. 26 DSGVO auf die Auftragsverarbeitung übertragen - oder doch nicht? Es ist kompliziert.
Sehr interessant war auch der Vortrag eines Kollegen darüber, wie man technische-organisatorische Maßnahmen richtig dokumentiert. Der Vortrag klar strukturiert, nah am Gesetzeswortlaut, fachlich präzise und mit praktisch umsetzbaren Hilfestellungen – wie es sein soll. Die Umsetzung würde nicht billig - aber gut. Ich werde das neue Wissen mit Fingerspitzengefühl einsetzen. Der Klebestreifen auf der Kamera ist übrigens auch eine technische-organisatorische Maßnahme. Ich frage mich, ob die Kollegin das auch in Ihrem Verarbeitungsverzeichnis dokumentiert hat.
Die Studie „Gorillas in unserer Mitte“ (engl.: Gorillas in Our Midst) der University of Illinois zeigt, dass Menschen, die mit einer anspruchsvollen kognitiven Aufgabe beschäftigt sind, einen Menschen im Gorillakostüm übersehen können, der sich unmittelbar vor ihren Augen befindet. Es ist durchaus beeindruckend. Der Test dauert nur zwei Minuten – probieren Sie es mit einem Kollegen. Aber passen Sie dabei gut auf Ihre Daten auf. Die Datenschutzhinweise von Youtube finden Sie hier: https://policies.google.com/privacy?hl=de&gl=de !
Genau das passiert im Datenschutzrecht. Die Experten plagen sich mit einer Fantastilliarde Details zur DSGVO, während unter unseren Augen das angeblich wertvollste Gut des 21. Jahrhunderts auf den Datenautobahnen aus dem Land geschafft wird. Wäre ich Verschwörungstheoretiker, würde ich sagen, Google hat die DSGVO erfunden, damit alle Experten mit dem akademischen Sandkastenspiel bei der Auslegung von 99 Artikeln, 173 Erwägungsgründen, nationalen Umsetzungsgesetzen und unzähligen Merkblättern, Checklisten, Jahresberichten und Stellungnahmen von Behörden kognitiv überfordert werden, damit niemand den Gorilla in der Mitte bemerkt.
Das birgt echte Gefahren: Ein Trump-artiger Charakter an der Spitze von Google und es wird ernst. Der systematische Rechtsbruch im Dunkel des Internets würde zum Prinzip ohne effektive Kontrolle durch Verfassung, Parlament oder Justiz. Es ist fünf nach 12 – wie beim Klima.
P.S. Am 27. Februar 2008 formulierte das BVerfG in der Entscheidung (1 BvR 370/079) als Leitsatz: „Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.“ Mit anderen Worten: Man sollte einem Computer vertrauen können, ohne einen Klebestreifen über die Kamera zu kleben.