Datensouveränität wiederherstellen!

Foto: hidesy/iStockphoto

Nutzer_innen erfahren seit Jahren einen immer größer werdenden Kontrollverlust über ihre Daten auf vielen Ebenen. Die ab 2018 umzusetzende Europäische Datenschutzgrundverordnung gibt ihnen und den Datenschutzaufsichtsbehörden ein Regelset an die Hand, um ihre Datensouveränität wiederherzustellen und zu bewahren. Um dies zu erreichen, müssen die Aufsichtsbehörden aber erst noch handlungs- und durchsetzungsfähig werden.

Die inzwischen wieder etwas eingeschlafene Post-Privacy-Debatte rührte an ein zentrales Problem des Datenschutzes: Nutzer_innen müssen sich derzeit damit abfinden, dass ihre Daten unter Umständen nicht so verwendet werden, wie sie es ursprünglich beabsichtigt haben. Dies rührt an das fundamentale, noch immer ungelöste Problem, dass Nutzer_innen nicht umfangreich selbst darüber bestimmen können, was mit ihren Daten geschieht. Um einen Dienst nutzen zu dürfen, müssen sie notgedrungen in Nutzungsbedingungen einwilligen und damit die Kontrolle über ihre Daten aufgeben – Stichwort Kontrollverlust.

Die neue europäische Datenschutz-Grundverordnung, die ab Mai 2018 umgesetzt werden muss, adressiert dieses Problem, in dem sie eine angemessene datenschutzfreundliche Gestaltung der Systeme einfordert. Sie tut dies mit einem ganzen Bündel von Maßnahmen: Eine Einwilligung darf eine grundrechtsverletzende Datennutzung nicht erzwingen – Stichwort Kopplungsverbot. Möchte der Anbieter die Daten aber dennoch weiträumiger nutzen, muss er diese pseudonymisieren oder anonymisieren – Stichwort Privacy by Design. Der Anbieter muss selbst einschätzen, wie tief die Grundrechtseingriffe reichen und gegebenenfalls die zuständige Datenschutzaufsichtsbehörde konsultieren – Stichwort Datenschutzfolgeabschätzung.

Dabei muss die Aufsichtsbehörde klare Vorgaben machen, welche technisch-organisatorischen Maßnahmen entsprechend des Grundrechtsrisikos zu treffen sind. Ob und inwieweit das Unternehmen diese durchsetzt, muss sie wieder entsprechend des damit verbundenen Risikos prüfen – und Mängel sanktionieren. Die Sanktionen wiederum können bis zu vier Prozent des Jahresgesamtumsatzes betreffen. Der Aufsichtsbehörde steht es frei, ob sie mit den Sanktionen nur einen Anstoß zur Besserung erzielen möchte oder ob sie abschreckende Wirkung entfalten können.

Den Datenschutzaufsichtsbehörden wird damit eine neue, durchaus gestaltende Rolle zugeschrieben. Der sächsische Landesdatenschützer Andreas Schurig sieht sie daher auch nicht mehr in der Rolle einer Aufsichts-, sondern einer Regulierungsbehörde. Und der grüne Europaabgeordnete Jan Philipp Albrecht, der die Grundverordnung als Berichterstatter durch die Verhandlungsprozesse im Europäischen Parlament sowie später mit dem Europäischen Rat und der Kommission lotste, sagt jetzt deutlich: Die Rolle der Datenschutzaufsicht und der Artikel-29-Gruppe ist „der Schlüssel“ für den Erfolg der Datenschutzgrundverordnung – Stichwort „effektive Kontrolle“. In der Artikel 29-Gruppe stimmen sich derzeit noch alle europäischen Aufsichtsbehörden über gemeinsame Standpunkte bzw. „Opinions“ über ein koordiniertes Vorgehen ab.

Inzwischen ist es unbestritten, dass die Datenschutzaufsichtsbehörden in einem Maße unterbesetzt sind, das noch gar nicht ermessen wurde. Gemäß der rechtlichen Vorgaben und der Rechtsprechung des Bundesverfassungsgerichts zur Anti-Terror-Datei ist jedoch davon auszugehen, dass die Formel für eine angemessene Kontrolldichte so lauten könnte: Die Aufsicht muss in der Lage sein, die Anzahl der zu prüfenden organisatorischen Einheiten wie Unternehmen und Behörden plus die Zahl der anzunehmenden Bürgereingaben zu bewältigen.

Außerdem muss sie die Prüfungen innerhalb bestimmter Zeiträume wiederholen. Ähnlich wie das Finanzamt Unternehmen mit zunehmender Umsatzhöhe öfter prüfen muss, müsste die Datenschutzbehörde Unternehmen entsprechend des von ihnen ausgehenden Grundrechtsrisikos wiederholt prüfen. Das Tempo und auch die Messlatte hierfür darf der europäische Datenschutzausschuss festlegen. Das ist die Nachfolgeorganisation der heutigen Artikel-29-Gruppe, die festlegen muss, welche Datenverarbeitungsvorgänge Unternehmen und Behörden bei der Aufsicht zur Konsultation vorlegen müssen.

Hält man sich nun die gegenwärtige Situation vor Augen, wird deutlich, dass eine entsprechende Umsetzung im Moment Traumtänzerei ist: Am Ende ist es nämlich eine Frage der Duchsetzungsfähigkeit, die sich an der Zahl der anlassunabhängigen Kontrollen sowie der durchgefochtenen Gerichtsverfahren festmachen lässt. Die Behörden können schon heute Sanktionen verhängen, aber sie agieren höchst vorsichtig mit diesem Instrument, da sie die damit verbundenen möglichen Gerichtsverfahren in der Praxis mangels Personal kaum durchstehen können: Andreas Schurig etwa sagt, dass seine Behörde im Moment in der Lage ist, höchsten zwei Verfahren gerichtlich durchzuziehen. Aus dieser Perspektive ist es nachvollziehbar, warum es trotz eklatanten Datenschutz-Notstandes nur wenig Rechtsprechung gibt, an der sich Unternehmen und Behörden orientieren können.

Bei anlassunabhängigen Kontrollen reagieren die Behörden nicht primär auf Bürgereingaben, sondern definieren selbst, welche Branchen oder Datenverarbeitungsprozesse sie genauer überprüfen wollen. In vielen Aufsichtsbehörden ging die Zahl dieser Prüfungen in den letzten Jahren zurück, weil immer mehr Bürgereingaben vorrangig abgearbeitet werden mussten. Erst in jüngster Zeit haben die 18 deutschen Aufsichtsbehörden damit begonnen, gemeinsam Prüfgebiete zu definieren und in koordinierten, annähernd repräsentativen Stichkontrollen durchzuackern. Die Umsetzung der Europäischen Grundverordnung wird ein ähnlich koordiniertes Vorgehen auch auf europäischer Ebene forcieren.

Wann aber weiß man, dass die Kontrolle ausreichend ist? Wie die Bundesdatenschutzbeauftragte Andrea Voßhoff sagt, ist eine Kontrolle dann erfolgreich, „wenn die beanstandeten Defizite behoben sind.“ Es gibt also viel zu tun.

 

 

 

 

 

nach oben

weiterlesen

Dreh- und Angelpunkt ist die Staatsferne

Nach dem Scheitern der Bundes-Presseförderung: Wie lassen sich künftig Medienvielfalt erhalten und Qualitätsjournalismus unterstützen? Ein Gutachten von Wissenschaftlern der Universität Mainz liefert interessante Vorschläge zur Hilfe für die Medienbranche. Dreh- und Angelpunkt der Überlegungen ist dabei die gebotene Staatsferne.
mehr »

WDR: Kein Platz für Rückwärtsgewandte

Seit Jahren erlebe ich den WDR als einen Arbeitgeber, in dem Vielfalt als Stärke gesehen wird. Als schwuler Mitarbeiter musste ich mir nie Sorgen machen, in irgendeiner Form diskriminiert zu werden. So geht es vielen Mitarbeiter*innen beim WDR. Deswegen bin ich sehr besorgt, wenn der „Verein kinderreicher Familien Deutschland“ in den künftigen Rundfunkrat einzieht, vorgeschlagen vom Kabinett Laschet in NRW.
mehr »

Die Verstümmelung des Markenkerns

Eine Protestwelle gegen die „Reform“pläne in der ARD rollt an. Die neue Programmdirektion der ARD beabsichtigt, die Zahl der politischen Magazine im Ersten substantiell zu verringern. Dem Auslandsmagazin Weltspiegel droht die Abschiebung vom frühen Sonntag- auf den späten Montagabend. Dagegen regt sich nun Widerstand. Die Betroffenen wehren sich mit Offenen Briefen gegen diese Verstümmelung des Markenkerns der ARD.
mehr »

Lokaler Rundfunk als Mutmacher

Die lokalen Radio- und Fernsehsender Bayerns haben sich trotz wirtschaftlicher Einbußen infolge der Corona-Pandemie behauptet. Tatsächlich führte die Krise in vielen Häusern zu einem regelrechten Innovationsschub. Dies ist eine der Haupterkenntnisse auf dem Lokalrundfunktag 2021, bei dem Programmmacher*innen und Medienpolitiker*innen Bilanz zogen. Pandemiebedingt fand der Rundfunktag in hybrider Form statt, also mit begrenzter Teilnehmerzahl im Saal und per Live-Stream.
mehr »