Datensouveränität wiederherstellen!

Foto: hidesy/iStockphoto

Nutzer_innen erfahren seit Jahren einen immer größer werdenden Kontrollverlust über ihre Daten auf vielen Ebenen. Die ab 2018 umzusetzende Europäische Datenschutzgrundverordnung gibt ihnen und den Datenschutzaufsichtsbehörden ein Regelset an die Hand, um ihre Datensouveränität wiederherzustellen und zu bewahren. Um dies zu erreichen, müssen die Aufsichtsbehörden aber erst noch handlungs- und durchsetzungsfähig werden.

Die inzwischen wieder etwas eingeschlafene Post-Privacy-Debatte rührte an ein zentrales Problem des Datenschutzes: Nutzer_innen müssen sich derzeit damit abfinden, dass ihre Daten unter Umständen nicht so verwendet werden, wie sie es ursprünglich beabsichtigt haben. Dies rührt an das fundamentale, noch immer ungelöste Problem, dass Nutzer_innen nicht umfangreich selbst darüber bestimmen können, was mit ihren Daten geschieht. Um einen Dienst nutzen zu dürfen, müssen sie notgedrungen in Nutzungsbedingungen einwilligen und damit die Kontrolle über ihre Daten aufgeben – Stichwort Kontrollverlust.

Die neue europäische Datenschutz-Grundverordnung, die ab Mai 2018 umgesetzt werden muss, adressiert dieses Problem, in dem sie eine angemessene datenschutzfreundliche Gestaltung der Systeme einfordert. Sie tut dies mit einem ganzen Bündel von Maßnahmen: Eine Einwilligung darf eine grundrechtsverletzende Datennutzung nicht erzwingen – Stichwort Kopplungsverbot. Möchte der Anbieter die Daten aber dennoch weiträumiger nutzen, muss er diese pseudonymisieren oder anonymisieren – Stichwort Privacy by Design. Der Anbieter muss selbst einschätzen, wie tief die Grundrechtseingriffe reichen und gegebenenfalls die zuständige Datenschutzaufsichtsbehörde konsultieren – Stichwort Datenschutzfolgeabschätzung.

Dabei muss die Aufsichtsbehörde klare Vorgaben machen, welche technisch-organisatorischen Maßnahmen entsprechend des Grundrechtsrisikos zu treffen sind. Ob und inwieweit das Unternehmen diese durchsetzt, muss sie wieder entsprechend des damit verbundenen Risikos prüfen – und Mängel sanktionieren. Die Sanktionen wiederum können bis zu vier Prozent des Jahresgesamtumsatzes betreffen. Der Aufsichtsbehörde steht es frei, ob sie mit den Sanktionen nur einen Anstoß zur Besserung erzielen möchte oder ob sie abschreckende Wirkung entfalten können.

Den Datenschutzaufsichtsbehörden wird damit eine neue, durchaus gestaltende Rolle zugeschrieben. Der sächsische Landesdatenschützer Andreas Schurig sieht sie daher auch nicht mehr in der Rolle einer Aufsichts-, sondern einer Regulierungsbehörde. Und der grüne Europaabgeordnete Jan Philipp Albrecht, der die Grundverordnung als Berichterstatter durch die Verhandlungsprozesse im Europäischen Parlament sowie später mit dem Europäischen Rat und der Kommission lotste, sagt jetzt deutlich: Die Rolle der Datenschutzaufsicht und der Artikel-29-Gruppe ist „der Schlüssel“ für den Erfolg der Datenschutzgrundverordnung – Stichwort „effektive Kontrolle“. In der Artikel 29-Gruppe stimmen sich derzeit noch alle europäischen Aufsichtsbehörden über gemeinsame Standpunkte bzw. „Opinions“ über ein koordiniertes Vorgehen ab.

Inzwischen ist es unbestritten, dass die Datenschutzaufsichtsbehörden in einem Maße unterbesetzt sind, das noch gar nicht ermessen wurde. Gemäß der rechtlichen Vorgaben und der Rechtsprechung des Bundesverfassungsgerichts zur Anti-Terror-Datei ist jedoch davon auszugehen, dass die Formel für eine angemessene Kontrolldichte so lauten könnte: Die Aufsicht muss in der Lage sein, die Anzahl der zu prüfenden organisatorischen Einheiten wie Unternehmen und Behörden plus die Zahl der anzunehmenden Bürgereingaben zu bewältigen.

Außerdem muss sie die Prüfungen innerhalb bestimmter Zeiträume wiederholen. Ähnlich wie das Finanzamt Unternehmen mit zunehmender Umsatzhöhe öfter prüfen muss, müsste die Datenschutzbehörde Unternehmen entsprechend des von ihnen ausgehenden Grundrechtsrisikos wiederholt prüfen. Das Tempo und auch die Messlatte hierfür darf der europäische Datenschutzausschuss festlegen. Das ist die Nachfolgeorganisation der heutigen Artikel-29-Gruppe, die festlegen muss, welche Datenverarbeitungsvorgänge Unternehmen und Behörden bei der Aufsicht zur Konsultation vorlegen müssen.

Hält man sich nun die gegenwärtige Situation vor Augen, wird deutlich, dass eine entsprechende Umsetzung im Moment Traumtänzerei ist: Am Ende ist es nämlich eine Frage der Duchsetzungsfähigkeit, die sich an der Zahl der anlassunabhängigen Kontrollen sowie der durchgefochtenen Gerichtsverfahren festmachen lässt. Die Behörden können schon heute Sanktionen verhängen, aber sie agieren höchst vorsichtig mit diesem Instrument, da sie die damit verbundenen möglichen Gerichtsverfahren in der Praxis mangels Personal kaum durchstehen können: Andreas Schurig etwa sagt, dass seine Behörde im Moment in der Lage ist, höchsten zwei Verfahren gerichtlich durchzuziehen. Aus dieser Perspektive ist es nachvollziehbar, warum es trotz eklatanten Datenschutz-Notstandes nur wenig Rechtsprechung gibt, an der sich Unternehmen und Behörden orientieren können.

Bei anlassunabhängigen Kontrollen reagieren die Behörden nicht primär auf Bürgereingaben, sondern definieren selbst, welche Branchen oder Datenverarbeitungsprozesse sie genauer überprüfen wollen. In vielen Aufsichtsbehörden ging die Zahl dieser Prüfungen in den letzten Jahren zurück, weil immer mehr Bürgereingaben vorrangig abgearbeitet werden mussten. Erst in jüngster Zeit haben die 18 deutschen Aufsichtsbehörden damit begonnen, gemeinsam Prüfgebiete zu definieren und in koordinierten, annähernd repräsentativen Stichkontrollen durchzuackern. Die Umsetzung der Europäischen Grundverordnung wird ein ähnlich koordiniertes Vorgehen auch auf europäischer Ebene forcieren.

Wann aber weiß man, dass die Kontrolle ausreichend ist? Wie die Bundesdatenschutzbeauftragte Andrea Voßhoff sagt, ist eine Kontrolle dann erfolgreich, „wenn die beanstandeten Defizite behoben sind.“ Es gibt also viel zu tun.

 

 

 

 

 

nach oben

weiterlesen

Wie deutsch ist die Deutsche Welle?

Verfügt die Deutsche Welle noch über ausreichende Mittel, um ihrer Aufgabe nachzukommen, »Deutschland als europäisch gewachsene Kulturnation und freiheitlich verfassten demokratischen Rechtsstaat verständlich zu machen“? Reicht die finanzielle Ausstattung, um mit BBC, CNN, Al Jazeera oder Russia Today konkurrieren zu können? Um diesen und weiteren Fragen nachzugehen, trafen sich in der ver.di MedienGalerie in Berlin ROG-Geschäftsführer Christian Mihr, die Vorsitzende des Gesamtpersonalrats der Deutschen Welle, Ayse Tekin, und Alex Mänz, Leiter Medienpolitik und Public Affairs bei der Deutschen Welle, zu einer von Thomas Klatt moderierten Diskussionsrunde.
mehr »

Presseauskunftsgesetz auf der Agenda

M | Was betrachten Sie als wichtigste medienpolitische Leistung der Großen Koalition in der ablaufenden Legislaturperiode? Martin Dörmann | Die wichtigste Leistung war die finanzielle und damit programmliche Stärkung unseres Auslandssenders Deutsche Welle. Sie stellt auch in Diktaturen einen Zugang zu unabhängigen Informationen sicher. Das ist in der heutigen Zeit, in der Fake News, Propaganda und die Verfolgung von Journalisten zunehmen, von enormer Bedeutung. In Sachen Digitalisierung wurden zwar Fortschritte erzielt, allerdings – wie viele Experten monieren – auf Basis der wenig zukunftsträchtigen Kupfertechnologie. Halten Sie diese Kritik für berechtigt? Das…
mehr »

70 Jahre Filmkunst à la DEFA

Eine abgeschlossene Kinematografie? Wo gibt’s denn sowas? Das gibt es mitten in Deutschland. Es handelt sich um die DEFA. Gegründet wurde die Deutsche Film AG am 17. Mai 1946. Anlässlich des 70. Gründungsjubiläums erinnern Kinos – und nicht nur im Osten des Landes – an Film- und Zeitgeschichte(n) aus der DDR. MDR, RBB und Arte zeigen teils umfangreiche Filmreihen und neue filmgeschichtliche Dokumentationen. Das Aufschließen dieses kulturellen DDR-Nachlasses steht freilich auf tönernen Füssen, weiß Ralf Schenk, Vorstand der 1999 gegründeten DEFA-Stiftung.
mehr »

Enttäuscht über neues Urhebervertragsrecht

Nach der Verabschiedung des neuen Urhebervertragsrechts durch den Deutschen Bundestag zieht die Vereinte Dienstleistungsgewerkschaft (ver.di) eine nüchterne Bilanz. Kritisch bewertet sie vor allem die Regelungen zum Verbandsklagerecht für Gewerkschaften und Verbände sowie zur Zweitverwertung. „Gewollt war ein Gesetz zur Stärkung der Urheberinnen und Urheber, doch davon ist wenig übrig geblieben“, sagt der stellevertretende ver.di-Vorsitzende Frank Werneke. Daneben hat der Bundestag in seiner 209. Sitzung auch neue Regeln zur Beteiligung von Verlegern an den Einnahmen von Verwertungsgesellschaften beschlossen.
mehr »