Datensouveränität wiederherstellen!

Foto: hidesy/iStockphoto

Nutzer_innen erfahren seit Jahren einen immer größer werdenden Kontrollverlust über ihre Daten auf vielen Ebenen. Die ab 2018 umzusetzende Europäische Datenschutzgrundverordnung gibt ihnen und den Datenschutzaufsichtsbehörden ein Regelset an die Hand, um ihre Datensouveränität wiederherzustellen und zu bewahren. Um dies zu erreichen, müssen die Aufsichtsbehörden aber erst noch handlungs- und durchsetzungsfähig werden.

Die inzwischen wieder etwas eingeschlafene Post-Privacy-Debatte rührte an ein zentrales Problem des Datenschutzes: Nutzer_innen müssen sich derzeit damit abfinden, dass ihre Daten unter Umständen nicht so verwendet werden, wie sie es ursprünglich beabsichtigt haben. Dies rührt an das fundamentale, noch immer ungelöste Problem, dass Nutzer_innen nicht umfangreich selbst darüber bestimmen können, was mit ihren Daten geschieht. Um einen Dienst nutzen zu dürfen, müssen sie notgedrungen in Nutzungsbedingungen einwilligen und damit die Kontrolle über ihre Daten aufgeben – Stichwort Kontrollverlust.

Die neue europäische Datenschutz-Grundverordnung, die ab Mai 2018 umgesetzt werden muss, adressiert dieses Problem, in dem sie eine angemessene datenschutzfreundliche Gestaltung der Systeme einfordert. Sie tut dies mit einem ganzen Bündel von Maßnahmen: Eine Einwilligung darf eine grundrechtsverletzende Datennutzung nicht erzwingen – Stichwort Kopplungsverbot. Möchte der Anbieter die Daten aber dennoch weiträumiger nutzen, muss er diese pseudonymisieren oder anonymisieren – Stichwort Privacy by Design. Der Anbieter muss selbst einschätzen, wie tief die Grundrechtseingriffe reichen und gegebenenfalls die zuständige Datenschutzaufsichtsbehörde konsultieren – Stichwort Datenschutzfolgeabschätzung.

Dabei muss die Aufsichtsbehörde klare Vorgaben machen, welche technisch-organisatorischen Maßnahmen entsprechend des Grundrechtsrisikos zu treffen sind. Ob und inwieweit das Unternehmen diese durchsetzt, muss sie wieder entsprechend des damit verbundenen Risikos prüfen – und Mängel sanktionieren. Die Sanktionen wiederum können bis zu vier Prozent des Jahresgesamtumsatzes betreffen. Der Aufsichtsbehörde steht es frei, ob sie mit den Sanktionen nur einen Anstoß zur Besserung erzielen möchte oder ob sie abschreckende Wirkung entfalten können.

Den Datenschutzaufsichtsbehörden wird damit eine neue, durchaus gestaltende Rolle zugeschrieben. Der sächsische Landesdatenschützer Andreas Schurig sieht sie daher auch nicht mehr in der Rolle einer Aufsichts-, sondern einer Regulierungsbehörde. Und der grüne Europaabgeordnete Jan Philipp Albrecht, der die Grundverordnung als Berichterstatter durch die Verhandlungsprozesse im Europäischen Parlament sowie später mit dem Europäischen Rat und der Kommission lotste, sagt jetzt deutlich: Die Rolle der Datenschutzaufsicht und der Artikel-29-Gruppe ist „der Schlüssel“ für den Erfolg der Datenschutzgrundverordnung – Stichwort „effektive Kontrolle“. In der Artikel 29-Gruppe stimmen sich derzeit noch alle europäischen Aufsichtsbehörden über gemeinsame Standpunkte bzw. „Opinions“ über ein koordiniertes Vorgehen ab.

Inzwischen ist es unbestritten, dass die Datenschutzaufsichtsbehörden in einem Maße unterbesetzt sind, das noch gar nicht ermessen wurde. Gemäß der rechtlichen Vorgaben und der Rechtsprechung des Bundesverfassungsgerichts zur Anti-Terror-Datei ist jedoch davon auszugehen, dass die Formel für eine angemessene Kontrolldichte so lauten könnte: Die Aufsicht muss in der Lage sein, die Anzahl der zu prüfenden organisatorischen Einheiten wie Unternehmen und Behörden plus die Zahl der anzunehmenden Bürgereingaben zu bewältigen.

Außerdem muss sie die Prüfungen innerhalb bestimmter Zeiträume wiederholen. Ähnlich wie das Finanzamt Unternehmen mit zunehmender Umsatzhöhe öfter prüfen muss, müsste die Datenschutzbehörde Unternehmen entsprechend des von ihnen ausgehenden Grundrechtsrisikos wiederholt prüfen. Das Tempo und auch die Messlatte hierfür darf der europäische Datenschutzausschuss festlegen. Das ist die Nachfolgeorganisation der heutigen Artikel-29-Gruppe, die festlegen muss, welche Datenverarbeitungsvorgänge Unternehmen und Behörden bei der Aufsicht zur Konsultation vorlegen müssen.

Hält man sich nun die gegenwärtige Situation vor Augen, wird deutlich, dass eine entsprechende Umsetzung im Moment Traumtänzerei ist: Am Ende ist es nämlich eine Frage der Duchsetzungsfähigkeit, die sich an der Zahl der anlassunabhängigen Kontrollen sowie der durchgefochtenen Gerichtsverfahren festmachen lässt. Die Behörden können schon heute Sanktionen verhängen, aber sie agieren höchst vorsichtig mit diesem Instrument, da sie die damit verbundenen möglichen Gerichtsverfahren in der Praxis mangels Personal kaum durchstehen können: Andreas Schurig etwa sagt, dass seine Behörde im Moment in der Lage ist, höchsten zwei Verfahren gerichtlich durchzuziehen. Aus dieser Perspektive ist es nachvollziehbar, warum es trotz eklatanten Datenschutz-Notstandes nur wenig Rechtsprechung gibt, an der sich Unternehmen und Behörden orientieren können.

Bei anlassunabhängigen Kontrollen reagieren die Behörden nicht primär auf Bürgereingaben, sondern definieren selbst, welche Branchen oder Datenverarbeitungsprozesse sie genauer überprüfen wollen. In vielen Aufsichtsbehörden ging die Zahl dieser Prüfungen in den letzten Jahren zurück, weil immer mehr Bürgereingaben vorrangig abgearbeitet werden mussten. Erst in jüngster Zeit haben die 18 deutschen Aufsichtsbehörden damit begonnen, gemeinsam Prüfgebiete zu definieren und in koordinierten, annähernd repräsentativen Stichkontrollen durchzuackern. Die Umsetzung der Europäischen Grundverordnung wird ein ähnlich koordiniertes Vorgehen auch auf europäischer Ebene forcieren.

Wann aber weiß man, dass die Kontrolle ausreichend ist? Wie die Bundesdatenschutzbeauftragte Andrea Voßhoff sagt, ist eine Kontrolle dann erfolgreich, „wenn die beanstandeten Defizite behoben sind.“ Es gibt also viel zu tun.

 

 

 

 

 

nach oben

weiterlesen

taz-Neubau: Mit Kleingeld für den großen Wurf

Natürlich eine taz vom Tage, als Referenz an das Schweizer Architektenteam aber auch ein Zürcher „Tages-Anzeiger“, die Baupläne, eine Comic-Urkunde von Hauszeichner TOM sowie Euro-Münzen und 5 Rappen wurden heute unter Blasmusikklängen in den Grundstein des Neubaus für „Die Tageszeitung“ an der Berliner Friedrichstraße einbetoniert. Das neue Verlagsgebäude der taz, mit dessen Bau bereits im November 2015 begonnen wurde, soll bis Ende 2017 bezogen werden.
mehr »

Politische Hilfestellung für Digitalradio eingefordert

Die Popularität des Massenmediums Radio ist nach wie vor ungebrochen. Nach der neuesten Media Analyse (MA) schalten fast 79 Prozent der Deutschen täglich ihr Radio ein. Das entspricht einer Zahl von 57 Millionen Menschen, die täglich im Schnitt vier Stunden hören. Allerdings nehme das Gefälle zwischen Provinz und Metropolregionen zu. Vor allem jüngere Leute in Großstädten wendeten sich immer mehr vom Radio ab, zugunsten von Streaming-Diensten. So die Bilanz von Thomas Fuchs , Koordinator des Fachausschusses Technik, Netze, Konvergenz der DLM und Direktor der Medienanstalt Hamburg/Schleswig-Holstein auf dem Digitalradiotag 2016 der Medienanstalten.
mehr »

Tagesschau-App mit Texten zulässig

Das Oberlandesgericht Köln hat die Klage von acht deutschen Verlagen gegen die Tagesschau-App abgewiesen. Mit dieser App werde das Verbot „presseähnlicher Angebote“ des öffentlich-rechtlichen Rundfunks im Internet verletzt, hatten die Kläger argumentiert. Dem folgten die Richter nicht. Sie sahen mit der Genehmigung des Konzeptes für tagesschau.de durch die Gremien des NDR auch die konkrete, im Streit befindliche Umsetzung des Angebots Tagesschau-App als „legalisiert“ an. „Textangebote gehören zu den öffentlich-rechtlichen Internetangeboten schlicht und ergreifend dazu“, reagierte ver.di-Vize Frank Werneke auf das Urteil. „Man kann in einem Medium wie dem Internet, das…
mehr »

Medien, Netz und Öffentlichkeit

Dass Medien, Netz und Öffentlichkeit in einer engen Wechselbeziehung stehen, ist ein Gemeinplatz. Wie aber das Beziehungsgeflecht zwischen diesen drei Begriffsfeldern im Einzelnen beschaffen ist, bedarf einer näheren, fundierten Analyse.
mehr »