Die inzwischen wieder etwas eingeschlafene Post-Privacy-Debatte rührte an ein zentrales Problem des Datenschutzes: Nutzer_innen müssen sich derzeit damit abfinden, dass ihre Daten unter Umständen nicht so verwendet werden, wie sie es ursprünglich beabsichtigt haben. Dies rührt an das fundamentale, noch immer ungelöste Problem, dass Nutzer_innen nicht umfangreich selbst darüber bestimmen können, was mit ihren Daten geschieht. Um einen Dienst nutzen zu dürfen, müssen sie notgedrungen in Nutzungsbedingungen einwilligen und damit die Kontrolle über ihre Daten aufgeben – Stichwort Kontrollverlust.

Die neue europäische Datenschutz-Grundverordnung, die ab Mai 2018 umgesetzt werden muss, adressiert dieses Problem, in dem sie eine angemessene datenschutzfreundliche Gestaltung der Systeme einfordert. Sie tut dies mit einem ganzen Bündel von Maßnahmen: Eine Einwilligung darf eine grundrechtsverletzende Datennutzung nicht erzwingen – Stichwort Kopplungsverbot. Möchte der Anbieter die Daten aber dennoch weiträumiger nutzen, muss er diese pseudonymisieren oder anonymisieren – Stichwort Privacy by Design. Der Anbieter muss selbst einschätzen, wie tief die Grundrechtseingriffe reichen und gegebenenfalls die zuständige Datenschutzaufsichtsbehörde konsultieren – Stichwort Datenschutzfolgeabschätzung.

Dabei muss die Aufsichtsbehörde klare Vorgaben machen, welche technisch-organisatorischen Maßnahmen entsprechend des Grundrechtsrisikos zu treffen sind. Ob und inwieweit das Unternehmen diese durchsetzt, muss sie wieder entsprechend des damit verbundenen Risikos prüfen – und Mängel sanktionieren. Die Sanktionen wiederum können bis zu vier Prozent des Jahresgesamtumsatzes betreffen. Der Aufsichtsbehörde steht es frei, ob sie mit den Sanktionen nur einen Anstoß zur Besserung erzielen möchte oder ob sie abschreckende Wirkung entfalten können.

Den Datenschutzaufsichtsbehörden wird damit eine neue, durchaus gestaltende Rolle zugeschrieben. Der sächsische Landesdatenschützer Andreas Schurig sieht sie daher auch nicht mehr in der Rolle einer Aufsichts-, sondern einer Regulierungsbehörde. Und der grüne Europaabgeordnete Jan Philipp Albrecht, der die Grundverordnung als Berichterstatter durch die Verhandlungsprozesse im Europäischen Parlament sowie später mit dem Europäischen Rat und der Kommission lotste, sagt jetzt deutlich: Die Rolle der Datenschutzaufsicht und der Artikel-29-Gruppe ist „der Schlüssel“ für den Erfolg der Datenschutzgrundverordnung – Stichwort „effektive Kontrolle“. In der Artikel 29-Gruppe stimmen sich derzeit noch alle europäischen Aufsichtsbehörden über gemeinsame Standpunkte bzw. „Opinions“ über ein koordiniertes Vorgehen ab.

Inzwischen ist es unbestritten, dass die Datenschutzaufsichtsbehörden in einem Maße unterbesetzt sind, das noch gar nicht ermessen wurde. Gemäß der rechtlichen Vorgaben und der Rechtsprechung des Bundesverfassungsgerichts zur Anti-Terror-Datei ist jedoch davon auszugehen, dass die Formel für eine angemessene Kontrolldichte so lauten könnte: Die Aufsicht muss in der Lage sein, die Anzahl der zu prüfenden organisatorischen Einheiten wie Unternehmen und Behörden plus die Zahl der anzunehmenden Bürgereingaben zu bewältigen.

Außerdem muss sie die Prüfungen innerhalb bestimmter Zeiträume wiederholen. Ähnlich wie das Finanzamt Unternehmen mit zunehmender Umsatzhöhe öfter prüfen muss, müsste die Datenschutzbehörde Unternehmen entsprechend des von ihnen ausgehenden Grundrechtsrisikos wiederholt prüfen. Das Tempo und auch die Messlatte hierfür darf der europäische Datenschutzausschuss festlegen. Das ist die Nachfolgeorganisation der heutigen Artikel-29-Gruppe, die festlegen muss, welche Datenverarbeitungsvorgänge Unternehmen und Behörden bei der Aufsicht zur Konsultation vorlegen müssen.

Hält man sich nun die gegenwärtige Situation vor Augen, wird deutlich, dass eine entsprechende Umsetzung im Moment Traumtänzerei ist: Am Ende ist es nämlich eine Frage der Duchsetzungsfähigkeit, die sich an der Zahl der anlassunabhängigen Kontrollen sowie der durchgefochtenen Gerichtsverfahren festmachen lässt. Die Behörden können schon heute Sanktionen verhängen, aber sie agieren höchst vorsichtig mit diesem Instrument, da sie die damit verbundenen möglichen Gerichtsverfahren in der Praxis mangels Personal kaum durchstehen können: Andreas Schurig etwa sagt, dass seine Behörde im Moment in der Lage ist, höchsten zwei Verfahren gerichtlich durchzuziehen. Aus dieser Perspektive ist es nachvollziehbar, warum es trotz eklatanten Datenschutz-Notstandes nur wenig Rechtsprechung gibt, an der sich Unternehmen und Behörden orientieren können.

Bei anlassunabhängigen Kontrollen reagieren die Behörden nicht primär auf Bürgereingaben, sondern definieren selbst, welche Branchen oder Datenverarbeitungsprozesse sie genauer überprüfen wollen. In vielen Aufsichtsbehörden ging die Zahl dieser Prüfungen in den letzten Jahren zurück, weil immer mehr Bürgereingaben vorrangig abgearbeitet werden mussten. Erst in jüngster Zeit haben die 18 deutschen Aufsichtsbehörden damit begonnen, gemeinsam Prüfgebiete zu definieren und in koordinierten, annähernd repräsentativen Stichkontrollen durchzuackern. Die Umsetzung der Europäischen Grundverordnung wird ein ähnlich koordiniertes Vorgehen auch auf europäischer Ebene forcieren.

Wann aber weiß man, dass die Kontrolle ausreichend ist? Wie die Bundesdatenschutzbeauftragte Andrea Voßhoff sagt, ist eine Kontrolle dann erfolgreich, „wenn die beanstandeten Defizite behoben sind.“ Es gibt also viel zu tun.