Datensouveränität wiederherstellen!

Foto: hidesy/iStockphoto

Nutzer_innen erfahren seit Jahren einen immer größer werdenden Kontrollverlust über ihre Daten auf vielen Ebenen. Die ab 2018 umzusetzende Europäische Datenschutzgrundverordnung gibt ihnen und den Datenschutzaufsichtsbehörden ein Regelset an die Hand, um ihre Datensouveränität wiederherzustellen und zu bewahren. Um dies zu erreichen, müssen die Aufsichtsbehörden aber erst noch handlungs- und durchsetzungsfähig werden.

Die inzwischen wieder etwas eingeschlafene Post-Privacy-Debatte rührte an ein zentrales Problem des Datenschutzes: Nutzer_innen müssen sich derzeit damit abfinden, dass ihre Daten unter Umständen nicht so verwendet werden, wie sie es ursprünglich beabsichtigt haben. Dies rührt an das fundamentale, noch immer ungelöste Problem, dass Nutzer_innen nicht umfangreich selbst darüber bestimmen können, was mit ihren Daten geschieht. Um einen Dienst nutzen zu dürfen, müssen sie notgedrungen in Nutzungsbedingungen einwilligen und damit die Kontrolle über ihre Daten aufgeben – Stichwort Kontrollverlust.

Die neue europäische Datenschutz-Grundverordnung, die ab Mai 2018 umgesetzt werden muss, adressiert dieses Problem, in dem sie eine angemessene datenschutzfreundliche Gestaltung der Systeme einfordert. Sie tut dies mit einem ganzen Bündel von Maßnahmen: Eine Einwilligung darf eine grundrechtsverletzende Datennutzung nicht erzwingen – Stichwort Kopplungsverbot. Möchte der Anbieter die Daten aber dennoch weiträumiger nutzen, muss er diese pseudonymisieren oder anonymisieren – Stichwort Privacy by Design. Der Anbieter muss selbst einschätzen, wie tief die Grundrechtseingriffe reichen und gegebenenfalls die zuständige Datenschutzaufsichtsbehörde konsultieren – Stichwort Datenschutzfolgeabschätzung.

Dabei muss die Aufsichtsbehörde klare Vorgaben machen, welche technisch-organisatorischen Maßnahmen entsprechend des Grundrechtsrisikos zu treffen sind. Ob und inwieweit das Unternehmen diese durchsetzt, muss sie wieder entsprechend des damit verbundenen Risikos prüfen – und Mängel sanktionieren. Die Sanktionen wiederum können bis zu vier Prozent des Jahresgesamtumsatzes betreffen. Der Aufsichtsbehörde steht es frei, ob sie mit den Sanktionen nur einen Anstoß zur Besserung erzielen möchte oder ob sie abschreckende Wirkung entfalten können.

Den Datenschutzaufsichtsbehörden wird damit eine neue, durchaus gestaltende Rolle zugeschrieben. Der sächsische Landesdatenschützer Andreas Schurig sieht sie daher auch nicht mehr in der Rolle einer Aufsichts-, sondern einer Regulierungsbehörde. Und der grüne Europaabgeordnete Jan Philipp Albrecht, der die Grundverordnung als Berichterstatter durch die Verhandlungsprozesse im Europäischen Parlament sowie später mit dem Europäischen Rat und der Kommission lotste, sagt jetzt deutlich: Die Rolle der Datenschutzaufsicht und der Artikel-29-Gruppe ist „der Schlüssel“ für den Erfolg der Datenschutzgrundverordnung – Stichwort „effektive Kontrolle“. In der Artikel 29-Gruppe stimmen sich derzeit noch alle europäischen Aufsichtsbehörden über gemeinsame Standpunkte bzw. „Opinions“ über ein koordiniertes Vorgehen ab.

Inzwischen ist es unbestritten, dass die Datenschutzaufsichtsbehörden in einem Maße unterbesetzt sind, das noch gar nicht ermessen wurde. Gemäß der rechtlichen Vorgaben und der Rechtsprechung des Bundesverfassungsgerichts zur Anti-Terror-Datei ist jedoch davon auszugehen, dass die Formel für eine angemessene Kontrolldichte so lauten könnte: Die Aufsicht muss in der Lage sein, die Anzahl der zu prüfenden organisatorischen Einheiten wie Unternehmen und Behörden plus die Zahl der anzunehmenden Bürgereingaben zu bewältigen.

Außerdem muss sie die Prüfungen innerhalb bestimmter Zeiträume wiederholen. Ähnlich wie das Finanzamt Unternehmen mit zunehmender Umsatzhöhe öfter prüfen muss, müsste die Datenschutzbehörde Unternehmen entsprechend des von ihnen ausgehenden Grundrechtsrisikos wiederholt prüfen. Das Tempo und auch die Messlatte hierfür darf der europäische Datenschutzausschuss festlegen. Das ist die Nachfolgeorganisation der heutigen Artikel-29-Gruppe, die festlegen muss, welche Datenverarbeitungsvorgänge Unternehmen und Behörden bei der Aufsicht zur Konsultation vorlegen müssen.

Hält man sich nun die gegenwärtige Situation vor Augen, wird deutlich, dass eine entsprechende Umsetzung im Moment Traumtänzerei ist: Am Ende ist es nämlich eine Frage der Duchsetzungsfähigkeit, die sich an der Zahl der anlassunabhängigen Kontrollen sowie der durchgefochtenen Gerichtsverfahren festmachen lässt. Die Behörden können schon heute Sanktionen verhängen, aber sie agieren höchst vorsichtig mit diesem Instrument, da sie die damit verbundenen möglichen Gerichtsverfahren in der Praxis mangels Personal kaum durchstehen können: Andreas Schurig etwa sagt, dass seine Behörde im Moment in der Lage ist, höchsten zwei Verfahren gerichtlich durchzuziehen. Aus dieser Perspektive ist es nachvollziehbar, warum es trotz eklatanten Datenschutz-Notstandes nur wenig Rechtsprechung gibt, an der sich Unternehmen und Behörden orientieren können.

Bei anlassunabhängigen Kontrollen reagieren die Behörden nicht primär auf Bürgereingaben, sondern definieren selbst, welche Branchen oder Datenverarbeitungsprozesse sie genauer überprüfen wollen. In vielen Aufsichtsbehörden ging die Zahl dieser Prüfungen in den letzten Jahren zurück, weil immer mehr Bürgereingaben vorrangig abgearbeitet werden mussten. Erst in jüngster Zeit haben die 18 deutschen Aufsichtsbehörden damit begonnen, gemeinsam Prüfgebiete zu definieren und in koordinierten, annähernd repräsentativen Stichkontrollen durchzuackern. Die Umsetzung der Europäischen Grundverordnung wird ein ähnlich koordiniertes Vorgehen auch auf europäischer Ebene forcieren.

Wann aber weiß man, dass die Kontrolle ausreichend ist? Wie die Bundesdatenschutzbeauftragte Andrea Voßhoff sagt, ist eine Kontrolle dann erfolgreich, „wenn die beanstandeten Defizite behoben sind.“ Es gibt also viel zu tun.

 

 

 

 

 

nach oben

weiterlesen

Wer steuert wen?

Wir wollen gestalten“, steckte der ver.di-Vorsitzende Frank Bsirske das Ziel des Digitalisierungskongresses ab, der am 21. und 22. Mai 2019 zum sechsten Mal im Berliner ver.di-Haus und zum zweiten Mal in Kooperation mit der Hans-Böckler-Stiftung stattfand. Unter dem Titel „Künstliche Intelligenz – Wer steuert wen?“ diskutierten diesmal unter anderem Bundesarbeitsminister Hubertus Heil sowie zahlreiche Expertinnen und Experten aus der „Enquete-Kommission Künstliche Intelligenz“ der Bundesregierung und der „High Level Expert Group Künstliche Intelligenz“ der EU.
mehr »

Kein Widerspruch zur Flexibilität

Das Urteil des Europäischen Gerichtshofs (EUGH) zur verpflichtenden Arbeitszeiterfassung ist wegweisend für unseren Berufsstand – in positiver Beziehung für die Redakteur*innen, aber auch für die Verlage. Dafür gibt es beweiskräftige Belege. Die Entwicklung in den wenigen Redaktionen, die in Deutschland die zwingende Arbeitszeiterfassung eingeführt haben, zeigt ein außergewöhnliches Phänomen, welches, wenn man sich eingehend und wertfrei mit der Materie beschäftigt, eine logische Folge von deren konsequenter Umsetzung ist.
mehr »

Frauen in TV und Film: Im Bermuda-Dreieck

Seit 50 Jahren der gleiche Befund: Frauen haben im Fernsehen und im Kinofilm nicht viel zu sagen, weder vor noch hinter der Kamera. „Männer handeln, Frauen treten auf.“ Das war das Fazit einer Studie, die 1975 die Rollenverteilung im Fernsehen untersucht hat. Eine aktuelle Analyse kommt zu einem niederschmetternden Ergebnis: Seither hat sich im Grunde nichts geändert.
mehr »

Mediales Erbe der DDR in Forscherhand

Medien sind eine wichtige Brücke zum Verständnis gesellschaftlicher Entwicklungen und Einstellungen. Im Forschungsverbund „Das mediale Erbe der DDR“ untersucht ein Dutzend Wissenschaftler*innen unterschiedlicher Disziplinen, welchen Einfluss in der DDR produzierte Medien vor und nach dem Mauerfall auf die Erinnerung an die DDR haben. Das vom Bundesministerium für Bildung und Forschung (BMBF) mit 40 Millionen Euro geförderte Projekt ist Teil eines auf vier Jahre angelegten Schwerpunktprogramms.
mehr »