DSGVO & Compliance: Wie Datenschutz zum Erfolg beiträgt

Der richtige Umgang mit Gesetzen und Regeln senkt Risiken und schützt die Reputation. Auch, wenn die Umsetzung der DSGVO teilweise immer noch schwerfällt - sie bringt viele Vorteile. [...]

Rund drei Jahre nach ihrem Wirksamwerden sehen Datenschutzexperten allerdings mit gemischten Gefühlen auf die EU-Verordnung (c) pixabay.com

Die international und national anerkannten Standards guter und verantwortungsvoller Unternehmensführung haben (…) einen hohen Stellenwert. Die Einhaltung dieser Standards ist für uns eine wesentliche Grundvoraussetzung für ein qualifiziertes und transparentes Unternehmensmanagement mit dem Ziel eines nachhaltigen Erfolgs für den gesamten Konzern.

“Diese Zeilen stammen aus dem „Corporate-Governance-Bericht“ 2019 eines Unternehmens, das mittlerweile als Paradebeispiel für das Versagen interner und externer Kontrollen gilt: Wirecard. Der Zahlungsdienstleister ist bei Weitem nicht der einzige, bei dem auf schöne Worte weniger schöne Taten folgten. Im vergangenen Jahr erhob beispielsweise der auf Aktien-Leerverkäufe spezialisierte Brite Fraser Perring schwere Vorwürfe gegen die Leasingfirma Grenke. Die da­raufhin eingesetzte Wirtschaftsprüfungsgesellschaft Mazars konnte in einer Sonderprüfung den Verdacht von Luftbuchungen wie bei Wirecard zwar nicht bestätigen, attestierte dem Leasingkonzern aber grobe Fehler und Compliance-Verstöße, etwa bei der Geldwäscheprävention und der Kreditvergabe.

Auch die Missachtung des Datenschutzes sorgt immer wieder für Skandale. Die größten Wellen schlug im vergangenen Jahr der Fall H&M. Das Bekleidungsunternehmen hatte im Servicecenter Nürnberg über Jahre hinweg bei einem Teil der Beschäftigten private Lebensumstände detailliert erfasst. Die Datensammlung enthielt unter anderem Informationen über Krankheiten, familiäre Probleme und religiöse Bekenntnisse. Der zuständige Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Caspar (siehe auch Interview auf Seite 30) verhängte für die Datensammelwut gegen das Bekleidungshaus ein Bußgeld von über 35 Millionen Euro. Die Entscheidung ist rechtskräftig.

Drei Jahre DSGVO

Dass der Hamburgische Datenschutzbeauftragte überhaupt ein derart hohes Bußgeld verhängen konnte, ist der Europäischen Datenschutz-Grundverordnung (DSGVO) zu verdanken. Sie sieht bei Verstößen Strafen von bis zu 20 Millionen Euro beziehungsweise 4 Prozent des weltweiten Umsatzes vor, je nachdem welcher Betrag höher ist. Im alten Bundesdatenschutzgesetz waren es gerade einmal 300.000 Euro.

Rund drei Jahre nach ihrem Wirksamwerden sehen Datenschutzexperten allerdings mit gemischten Gefühlen auf die EU-Verordnung. „Die DSGVO war das erste große Gesetzeswerk, das die digitale Erfassung des sozialen Miteinanders regelt und Verstöße mit Bußgeldern belegt“, sagt Sebastian Kraska, Gründer und Geschäftsführer der IITR Datenschutz GmbH.“ Tatsächlich fanden die in der Datenschutz-Grundverordnung niedergelegten Prinzipien nicht nur in der Europäischen Union Beachtung, auch andere Staaten wie die Schweiz und Kalifornien orientierten sich bei der Novellierung ihrer Datenschutzbestimmungen stark an ihr.

Die mediale Aufmerksamkeit und die drohenden hohen Bußgelder bei Verstößen haben laut Kraska zudem den Stellenwert des Datenschutzes deutlich gestärkt. „Seit Einführung der DSGVO befassen sich die Unternehmen intensiver mit dem Thema Datenschutz, haben mehr Ressourcen dafür zur Verfügung gestellt und machen sich auch Gedanken darüber, welche Daten sie erheben und gegebenenfalls zur Verarbeitung an Dritte weitergeben.“

Kraska sieht jedoch auch erhebliche Defizite. Vor allem das Grundkonzept, dass jede Datenverarbeitung unter einem Erlaubnisvorbehalt steht und prinzipiell erst einmal unzulässig ist, sei nicht zeitgemäß, meint der Datenschutzexperte: „Da hätte man mit guten Argumenten auch zu anderen Regelungskonzepten greifen können, die einer modernen Informationsgesellschaft eher entsprechen und die auch den Schutz der informationellen Selbstbestimmung gewährleistet hätten.“

Ein wesentlicher Webfehler der DSGVO ist auch das sogenannte „One-Stop-Shop“-Prinzip. Für Unternehmen ist demnach diejenige Aufsichtsbehörde federführend zuständig, in deren Land sich der Firmenhauptsitz befindet. Die großen US-Digitalkonzerne haben ihre Zentralen überwiegend in Irland angesiedelt – und das mit gutem Grund. Die irische Aufsichtsbehörde galt schon vor Inkrafttreten der DSGVO als besonders nachsichtig und nachlässig. Daran hat auch die neue Datenschutzverordnung wenig geändert, die doch eigentlich zu einer Harmonisierung im europäischen Datenschutzrecht führen sollte. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber fand diese Situation laut einem „Handelsblatt“-Bericht im vergangenen Jahr „unerträglich“ und regte die Bildung einer europäischen Datenschutzagentur für große, grenzüberschreitende Fälle an. 

Kleines 1 x 1 des Datenschutzes

Bei aller Diskussion um rechtliche Unsicherheit und den Sinn und Unsinn der DSGVO-Bestimmungen müssen Unternehmen grundlegende Anforderungen auf jeden Fall umsetzen. Sebastian Kraska nennt dies das „kleine 1 x 1 des Datenschutzes“. „Unternehmen können nicht auf das Verständnis der Aufsichtsbehörden hoffen, wenn sie nicht zumindest diese Basisthemen abdecken“, warnt der Datenschutzexperte.

Welchen der genannten Nachteile der DSGVO stimmen Sie voll und ganz beziehungsweise eher zu? Die Datenschutz-Grundverordnung … (c) Statista/Bitkom Research (September 2020), n = 504

Folgende zehn Punkte sollten Unternehmen laut Kraska auf jeden Fall sofort umsetzen, wenn sie es nicht schon längst getan haben:

  1. Datenschutzrichtlinie oder Datenschutzhandbuch erstellen: Unternehmen sind laut Artikel 5 Absatz 2 EU-Datenschutz-Grundverordnung verpflichtet, die datenschutzrechtlichen Anforderungen dauerhaft zu erfüllen. „Durch die DSGVO hat sich die Rechtslage verändert“, sagt der Experte. „Man muss jederzeit nachweisen können, dass die notwendigen Maßnahmen implementiert sind. Dieser Nachweis lässt sich am besten über eine Datenschutzrichtlinie oder ein Datenschutzhandbuch führen.“
  2. Verzeichnis von Verarbeitungstätigkeiten anlegen: Gemäß Artikel 30 der DSGVO müssen Unternehmen alle Tätigkeiten, bei denen eine Datenverarbeitung stattfindet, in einem schriftlichen Verzeichnis dokumentieren und dieses auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen. Unter bestimmten Voraussetzungen, etwa wenn nur gelegentlich eine Datenverarbeitung erfolgt, können Unternehmen mit weniger als 250 Mitarbeitern auf die Führung eines solchen Verzeichnisses verzichten.
  3. Verträge mit Auftragsverarbeitern abschließen: Die Datenverarbeitung durch Dritte (Auftragsverarbeiter) ist in Artikel 28 der DSGVO geregelt. Auftraggeber haben demnach durch den Abschluss einer sogenannten Auftragsverarbeitungs-Vereinbarung sicherzustellen, dass auch der Dienstleister die gesetzlichen Anforderungen erfüllt. Eine solche Vereinbarung ist nach überwiegender Auffassung der Aufsichtsbehörden beispielsweise erforderlich, wenn externe IT-Dienstleister beauftragt werden, beim Einsatz von Werbe- oder Marketingagenturen, bei der Nutzung von Webhosting- und E-Mail-Diensten oder der Datensicherung durch Backup-Dienstleister.
  4. Angemessenes Schutzniveau sicherstellen: Im Einklang mit Artikel 32 DSGVO müssen Unternehmen ein angemessenes Schutzniveau für personenbezogene Daten sicherstellen und dazu geeignete technische und organisatorische Maßnahmen ergreifen. Welche das genau sind, ist nicht definiert. Im Bereich der Informationssicherheit können sich Unternehmen aber an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie an Zertifizierungen wie der ISO 27001 orientieren.
  5. Informationspflicht erfüllen: Bei der Erhebung personenbezogener Daten sind nach Artikel 13 ff. DSGVO die Betroffenen unter anderem über den Verantwortlichen der Datenerhebung, Art, Umfang und Dauer sowie Zweck der Verarbeitung und gegebenenfalls Weitergabe der Daten zu informieren. Dies gilt auch für die Erhebung der Daten auf einer Webseite. Kraska empfiehlt kleineren Unternehmen, die Betroffeneninformationen und die Webseiten-Datenschutzerklärung zu kombinieren, und so den Informationsverpflichtungen zu entsprechen.
  6. Datenschutzbeauftragten der Aufsichtsbehörde melden: Die Benennung eines Datenschutzbeauftragten ist in Artikel 37 DSGVO geregelt und wird für nichtöffentliche Stellen durch §38 des Bundesdatenschutzgesetzes (BDSG) präzisiert. Demnach müssen Unternehmen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

    Eine automatisierte Verarbeitung liegt in der Regel bereits dann vor, wenn Daten per Computer erfasst oder weiterverarbeitet werden. In bestimmten Bereichen, etwa in der Markt- und Meinungsforschung, ist auf jeden Fall ein Datenschutzbeauftragter zu benennen, unabhängig von der Beschäftigtenzahl. Der Datenschutzbeauftragte ist bei der Aufsichtsbehörde zu melden. Das lässt sich meist recht einfach über das Meldeportal der zuständigen Datenschutz Aufsichtsbehörde erledigen.
  7. Mitarbeitern schulen und zum Datenschutz verpflichten: Die in Artikel 5, Absatz 2 DSGVO formulierte Rechenschaftspflicht wird meist dahingehend ausgelegt, dass Mitarbeiter vertraglich zur Einhaltung des Datenschutzes verpflichtet und regelmäßig geschult werden müssen. Verpflichtungen und Schulungsmaßnahmen sind zu dokumentieren.
  8. Datenschutzfolgen abschätzen: Sind mit der Datenverarbeitung hohe Risiken für die Betroffenen verbunden, ist nach Artikel 35 DSGVO eine Datenschutz-Folgeabschätzung durchzuführen. Dazu gehören beispielsweise Fälle systematischer Überwachung und automatisierter Entscheidungsfindung oder Bewertung (Scoring), sofern hierfür biometrische oder genetische Daten eingesetzt werden, sowie Daten, die einem Amts- oder Berufsgeheimnis unterliegen. Die Ergebnisse der Folgenabschätzung sind zu dokumentieren.
  9. Datenverlust zügig melden: Gehen personenbezogene Daten verloren oder werden sie gestohlen, ist dies gemäß Artikel 33 DSGVO in der Regel innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Entsteht für die Betroffenen durch den Verlust ihrer Daten ein hohes Risiko, sind diese nach Artikel 34 DSGVO ebenfalls unverzüglich zu informieren.
  10. Betroffenenrechte beachten: Die DSGVO räumt den von einer Datenverarbeitung Betroffenen umfangreiche Rechte etwa auf Auskunft, Löschung, Bereinigung oder Sperrung ein. Unternehmen müssen die notwendigen organisatorischen Voraussetzungen schaffen, um entsprechende Verlangen zeitnah umsetzen und dies auch dokumentieren zu können.

Auch Schadenersatzforderungen

Wer die Vorschriften der DSVGO nicht einhält und die Umsetzung nicht sauber dokumentiert, riskiert nicht nur ein Bußgeld, sondern auch Schadenersatz- und Schmerzensgeldforderungen. Nach Artikel 82 DSGVO hat nämlich jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz. Bis vor Kurzem waren die Chancen für die Kläger eher gering, Forderungen nach Artikel 82 durchzusetzen. Die meisten Gerichte betrachteten den durch eine Datenschutzverletzung entstandenen immateriellen Schaden als Bagatelle und lehnten Ansprüche auf Schmerzensgeld ab. Seit vergangenem Jahr verstärkt sich allerdings der Trend, Schmerzensgelder nicht an einem tatsächlich nachgewiesenen immateriellen Schaden zu bemessen, sondern es analog zum Bußgeld als abschreckenden Strafschadenersatz zu sehen. Besonders ein Urteil des Arbeitsgerichts Düsseldorf hat hier für Aufsehen gesorgt. Es sprach einem ehemaligen Mitarbeiter einen Schadenersatz von 5000 Euro zu, weil sein früherer Arbeitgeber einem Auskunftsanspruch nach Artikel 15 DSGVO nicht ordnungsgemäß nachgekommen war.

In einem Beschluss vom 14. Januar 2021 stellte das Bundesverfassungsgericht (BVerfG) darüber hinaus klar, dass deutsche Gerichte Klagen auf immateriellen Schadenersatz nach Art. 82 DSGVO nicht ohne Weiteres mit der Begründung abweisen dürfen, die Beeinträchtigung sei eine Bagatelle. Die Frage nach einer Erheblichkeitsschwelle für DSGVO-Schadenersatzansprüche müsse abschließend vom EuGH geklärt werden, so das BVerfG. „Bereits jetzt gibt es eine Vielzahl von DSGVO-Schadenersatzklagen vor deutschen Gerichten“, schreibt der Datenschutz-Anwalt Tim Wybitul, Partner in der Wirtschaftskanzlei Latham & Watkins, auf dem IT-Rechts-Portal CR-online.de. „Die BVerfG-Entscheidung dürfte diesen Trend noch verstärken und hat erhebliche Folgen für die Praxis.“

AnbieterProduktCompliance / DatenschutzBeschreibungLeistungsumfang
Compliance SolutionsMCS Compliance Plattform● / ○Modular erweiterbare Compliance-Plattform mit über 20 Software-ModulenUnterstützung und Automatisierung von Compliance-Aufgaben und -Prozessen, wahlweise als vorkonfigurierte Standardlösung oder indivduell anpassbare Enterprise-Edition
DSM-OnlineDatenschutzsoftware○ / ●Software-gestütztes Datenschutzmanagementsystem für KMUs und DatenschutzbeauftragteVerwaltung von Stammdaten, Datenschutzdokumenten, Betroffenenrechten und Verträgen, Verwaltung und Erstellung einer Datenschutzerklärung für Webseiten, Vorlagen Einwilligungen, Hinweise, Anfrage et cetera
ER SecureDSGVO-Tool○ / ●Datenschutzmanagement-Software für kleine und mittlere Unternehmen; legt vor allem Wert auf leichte BedienbarkeitSchrittweise Umsetzung der erforderlichen Datenschutzmaßnahmen; Priorisierung und Automatisierung von Aufgaben, Hilfe durch Erklärvideos und optionalen Support
GBTEC SoftwareBIC GRC● / ○Teil einer modularen Business-Process-ManagementplattformZentrale Software zur Integration von Risikomanagement, Governance und Compliance; automatisierte Workflows und Benachrichtigungen
iGrafxROPE Solution● / ○Teil der Business Transformation Platform, einer cloudbasierten BPM-SoftwareAutomatisierung der Risikoerkennung, kontinuierlicher Verbesserungszyklus für identifizierte Risiken, Identifizierung möglicher Compliance-Probleme, Schaffung von Transparenz und einheitlichem Risikomanagement
IITRCompliance-Kit 2.0○ / ●Datenschutzmanagementsystem für mittlere und große UnternehmenOrganisation der EU-Datenschutz-Grundverordnung nach ISO 27701,
versionierte Archivierung von Datenschutznachweisen, Datenschutzhandbuch, Schulungen
IITRDatenschutz-Kit○ / ●Komplettlösung für kleinere Unternehmen und OrganisationenDSGVO-Software, Mustervorlagen, externer Datenschutzbeauftragter, Schulungen
SavisconGRC Cockpit● / ●Webbasierte Software für bis zu 250 AnwenderDarstellung aller relevanten Anforderungen, Identifikation und Bewertung von Risiken; deckt auch IT-Sicherheit und Datenschutz ab
Werning.com und Datenschutzberatung MoersDatenschutz-Tool.de○ / ●Tool auf Microsoft-Access-Basis; Lizenzierung freiwillig, Wiederverkäuferkonditionen für externe DatenschutzbeauftragteVerfahrensdokumentation und Datenschutz-Folgenabschätzung, Fragenkatalog TOM/Datenschutzaudit, Datenschutzmanagement mit Dokumentation, Berichte

Corona: Krise für Datenschutz?

Im Zuge der Pandemiebekämpfung wurde auch der Datenschutz angegriffen. Er wurde als „Supergrundrecht“ diffamiert und unter anderem für den geringen Nutzen der Corona-Warn-App verantwortlich gemacht. Sebastian Kraska hält diese Diskussion für eine Scheindebatte: „Nennen Sie mir eine Maßnahme, die am Datenschutz gescheitert ist“, sagt der Datenschutzexperte. „Natürlich hätte man die Corona-Warn-App auch so ausgestalten können, dass die Bewegungsdaten individuell zuzuordnen wären – aber wer hätte sie dann noch heruntergeladen?“

Datenschutz und informationelle Selbstbestimmung gerieten jedoch auch noch von einer anderen Seite unter Druck. Der plötzliche Homeoffice-Zwang im Frühjahr vergangenen Jahres ließ Unternehmen zu Collaboration- und Videoconferencing-Tools aus der Cloud greifen, deren DSGVO-Konformität umstritten ist. Vor allem die Videokonferenzlösung Zoom stand in der Kritik. Unternehmen wie Google und Space-X, aber auch das Auswärtige Amt verboten aufgrund von Datenschutz- und Sicherheitsbedenken den Einsatz. Der Berliner Datenschutzbeauftragte warnte in seiner „Empfehlung zur Durchführung von Videokonferenzen“ im Juli 2020 davor, dass gängige Dienste von US-amerikanischen Anbietern nicht den datenschutzrechtlichen Anforderungen entsprächen. Genannt wurden neben Zoom auch Cisco Webex, GoToMeeting, Microsoft Teams und Skype for Business.

Auch WhatsApp geriet in die Kritik. Der Bundesbeauftragte für den Datenschutz Ulrich Kelber bemängelte im Interview mit dem „Handelsblatt“ die Weitergabe und intensive Auswertung von Nutzungsdaten sowie das Auslesen des Telefonbuchs und verbot Bundesbehörden den Einsatz. „Consumer-Lösungen wie WhatsApp sind für einen sicheren, Compliance-gerechten, DSGVO-konformen Informationsaustausch im beruflichen Bereich nicht geeignet“, erklärt
Tobias Stepan, Gründer und Geschäftsführer von Teamwire, das eine nach eigenen Angaben datenschutzkonforme Alternative für den Unternehmenseinsatz anbietet.

Die rechtliche Unsicherheit verschärfte sich noch durch das sogenannte „Schrems II“-Urteil, mit dem der Europäische Gerichtshof (EuGH) im Juli 2020 das Privacy-Shield-Abkommen der Europäischen Union mit den USA für unwirksam erklärte. „Ich frage mich ernsthaft, wie es nach dem Urteil des EuGH noch möglich sein soll, Dienste aus US-Clouds in Einklang mit den Bestimmungen der DSGVO zu nutzen“, sagt Andrea Wörrlein, Verwaltungsrätin der Virtual Network Consult AG Zug (VNC) und Geschäftsführerin von VNC Berlin, einem Unternehmen, das Open-Source-basierte Business-Anwendungen entwickelt.

„Ich verstehe ja“, so Wörrlein weiter, „dass viele Unternehmen im vergangenen Frühjahr aus der Not heraus nach dem ihrer Meinung nach nächstliegenden Produkt gegriffen haben, dabei gibt es durchaus deutsche und europäische Alternativen zu Teams und Zoom.“ Unternehmen sollten dringend ihre Auswahl überdenken und den Anbieter wechseln, rät sie.

Besonders verwundert ist die VNC-Chefin über die zunehmende Nutzung von Microsoft- und anderen Closed-Source-Produkten US-amerikanischer Anbieter in Behörden, Schulen und anderen öffentlichen Einrichtungen, die im klaren Widerspruch zur europäischen Open-Source-Strategie steht. „Hier läuft etwas in die falsche Richtung – wir müssen sofort eine Kehrtwende vollziehen und uns auch an die eigenen Strategien halten, die wir beschlossen haben“, fordert An­drea Wörrlein.

Mit ihrer Kritik ist sie nicht allein. Die Organisation Digitalcourage, die sich seit mehr als 30 Jahren für Grundrechte und Datenschutz in einer zunehmend digitalen Welt einsetzt, verlieh im vergangenen Jahr ihren Antipreis „Big Brother Award“ in der Kategorie Digitalisierung an die Kultusministerin von Baden-Württemberg, Susanne Eisenmann. Mit ihrer Entscheidung, wesentliche Dienste der digitalen Bildungsplattform des Landes von Microsoft betreiben zu lassen, liefere sie Daten und E-Mails aller Lehrerinnen und Lehrer sowie aller Schülerinnen und Schüler Baden-Württembergs an das US-Unternehmen und die US-Geheimdienste aus, heißt es in der „Laudatio“.

Fazit & Ausblick

Datenschutz und Compliance sind keine notwendigen Übel, sondern gehören zum Kern einer verantwortungsvollen und nachhaltigen Unternehmensführung.

Dabei lassen sich Risiken niemals ganz ausschließen, sondern lediglich minimieren. Eine klare Priorisierung und Folgenabschätzung von getroffenen oder unterlassenen Maßnahmen ist deswegen für eine wirtschaftliche Umsetzung von Datenschutz und Compliance von entscheidender Bedeutung.

Am wichtigsten ist allerdings, dass die in den Marketing-Präsentationen postulierten Werte auch tatsächlich vom Führungspersonal vorgelebt und in der Kultur des Unternehmens verankert werden. Wenn das nicht der Fall ist, helfen auch die besten Compliance– und Datenschutz-Tools nichts – das zeigen Fälle wie Wirecard, Grenke oder H&M nur allzu deutlich.

Compliance – darum geht es

Es sollte selbstverständlich sein, dass sich Unternehmen an Recht und Gesetz halten. Die Überwachung dieser Regeleinhaltung ist Teil der Compliance. Die Aufgaben gehen jedoch über die reine Regelkonformität hinaus. Compliance soll:

  • Unternehmensrisiken bewerten und Aktivitäten entsprechend dem Risikoprofil priorisieren
  • finanzielle Einbußen durch Strafen oder Schadenersatzforderungen verhindern oder zumindest minimieren
  • den guten Ruf des Unternehmens schützen
  • die Interessen von Inhabern beziehungsweise Aktionären, Mitarbeitern und anderen von den Unternehmensaktivitäten betroffenen Gruppen (Stakeholder) berücksichtigen und nach Möglichkeit ausgleichen
  • zur Wertschöpfung des Unternehmens beitragen

Im Gespräch mit Dr. Johannes Caspar, HmbBfDI

Prof. Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, erläutert im Gespräch mit com! professional, woran es im Datenschutz noch hapert und warum Datenschutz und Pandemiebekämpfung kein Widerspruch sind.

Prof. Dr. Johannes Caspar: Hamburgischer
Beauftragter für Datenschutz und
Informationsfreiheit (c) HmbBfDI

com! professional:Herr Professor Caspar, die Datenschutz-Grundverordnung (DSGVO) ist seit fast drei Jahren wirksam. Wie hat sich der Datenschutz in deutschen Unternehmen seither verändert?

Johannes Caspar: Dank der DSGVO wird das Thema Datenschutz in der Öffentlichkeit viel stärker wahrgenommen und diskutiert. Vor ihrer Einführung hatten wir zudem weder die Struktur noch die Instrumente, um Datenschutzverstöße wirksam zu ahnden.

com! professional: Nutzen die Bürger die Beschwerdemöglichkeiten, die ihnen die DSGVO eröffnet?

Caspar: Absolut. Die Zahl der Beschwerden hat seit 2018 enorm zugenommen, was uns allerdings auch an den Rand der Arbeitsfähigkeit gebracht hat. Leider können wir nicht immer so helfen, wie es die Menschen gern wollen: Viele Vorschriften sind sehr unbestimmt und es herrscht ein Klima der Rechtsunsicherheit.

com! professional: Wo gibt es die meisten Beschwerden?

Caspar: Viele Webseiten verarbeiten personenbezogene Daten ohne Einwilligung der Betroffenen für Werbemaßnahmen. Wir haben auch vermehrt Fälle, in denen öffentlich erhobene Daten für private Zwecke missbraucht wurden. Die Videoüberwachung, vor allem im privaten Bereich, führt ebenfalls oft zu Beschwerden, ebenso die Überwachung durch den Arbeitgeber. Erschreckend ist zudem die Zahl gravierender Fälle von sexuell motivierten Aufnahmen in Hamburg, denen Kinder und Frauen zum Opfer fallen.

com! professional: Die DSGVO hatte auch das Ziel, Datensammler wie Facebook und Google unter Kontrolle zu bekommen …

Caspar: Das hat leider überhaupt nicht funktioniert. Diese US-Unternehmen wurden weitgehend bei der Rechtsdurchsetzung im grenzüberschreitenden Datenverkehr verschont. Am Ende ist es nicht zielführend, wenn man den kleinen Bäcker um die Ecke belangt, die Großen aber laufen lässt. Das schadet der Popularität des Datenschutzes erheblich.

com! professional: Für die großen Digitalkonzerne ist die irische Datenschutzbehörde federführend zuständig, weil Google, Facebook und Co. dort ihren europäischen Hauptfirmensitz angemeldet haben. Dieses „One-Stop-Shop“-Prinzip, nach dem bei einer grenzüberschreitenden Datenverarbeitung nur die Behörde am europäischen Hauptsitz eines Unternehmens zuständig ist, steht von Anfang an in der Kritik. Gibt es Bestrebungen, dies zu ändern?

Caspar: Dazu gibt es keine konkreten Pläne. Wir haben bei der Evaluation der DSGVO zwei Jahre nach Inkrafttreten deutlich auf diese Probleme hingewiesen, aber die Europäische Kommission ist der Ansicht, es sei noch zu früh für Veränderungen. Leider fiel auch die Stellungnahme des Europäischen Datenschutzausschusses EDPB meiner Meinung nach zu positiv aus, die wirklichen Schwierigkeiten werden ausgeblendet.

com! professional: Was passiert eigentlich bei Datenschutzverstößen von Unternehmen wie Clearview, Clubhouse oder Zoom, die gar keinen Sitz in Europa haben?

Caspar: Da sind wir weit von einer Lösung entfernt. Prinzipiell gilt die DSGVO nach Maßgabe des Marktortprinzips zwar immer, wenn ein Unternehmen aus Drittstaaten sich mit Waren oder Dienstleistungen an Personen in der EU wendet. Doch ist unsere Durchsetzungsmacht in Drittländern schwächer. Auch gibt es in derartigen  Fällen keine federführende Behörde, es sind also alle 45 europäischen und deutschen Datenschutzbehörden zuständig.

com! professional: Wie gehen die Aufsichtsbehörden in Deutschland mit dem Thema Bußgeld um? Schonen sie die Unternehmen eher oder greifen sie hart durch?

Caspar: Das wird sehr unterschiedlich gehandhabt. Die Spanne reicht von Behörden, die sehr viele Bußgelder verhängen, bis zu solchen, die bisher gar nichts gemacht haben. Im Großen und Ganzen sind wir eher zurückhaltend, wenn es darum geht, Bußgelder gegen kleine und mittlere Unternehmen gerade in der Pandemie zu verhängen.

com! professional: Sind Datenschutzbehörden vielleicht auch deshalb zurückhaltend, weil sie gegen Firmen vorgehen müssen, die in ihrem Bundesland Steuern zahlen und Arbeitsplätze schaffen?

Caspar: Der Vollzug gegen Unternehmen am Standort hat sicher auch eine psychologische Dimension. Gerade hier bestehen mitunter Barrieren, hart durchzugreifen. Es wäre daher besser, wenn die Aufsicht auch in der EU zentral gelöst wäre – und nicht auf Ebene der Mitgliedstaaten.

com! professional: Der Europäische Gerichtshof hat im Juli vergangenen Jahres im sogenannten Schrems-II-Urteil erneut die Datenübermittlungsvereinbarung der EU mit den USA gekippt und nach dem Safe-Harbor- auch das Privacy-Shield-Abkommen für ungültig erklärt. Wie reagieren die Datenschutzbehörden darauf?

Caspar: Nach dem Safe-Harbor-Urteil haben wir in Deutschland durchaus Maßnahmen ergriffen – übrigens damals als einige der wenigen in Europa. Was Schrems II betrifft, so gibt es eine Taskforce, die von Hamburg und Berlin geleitet wird. Wir sind gerade dabei, einen Fragenkatalog zu erstellen, um Unternehmen anzuschreiben, die Dienstleister mit Sitz in den USA für ihre Zwecke einsetzen.

com! professional:Besteht hier nicht eine massive Diskrepanz zwischen dem Ausmaß der Verstöße und dem, was geahndet wird?

Caspar: Ja, und das ist das eigentliche Problem. Je größer dieses Delta ist, desto schwerer können wir den Menschen vermitteln, dass Datenschutz nicht nur auf dem Papier besteht, sondern wirklich gelebt wird. Also müssen wir irgendwo den Anfang machen. Die Diskrepanz muss aufgelöst werden, wenn man nicht vollends die Akzeptanz verlieren will.

com! professional: Auch in der Corona-Krise steht der Datenschutz in der Kritik. Den Datenschützern wird vorgeworfen, sie behinderten mit ihren Forderungen nach Datensparsamkeit und Informationsfreiheit die Pandemiebekämpfung. Ließe sich das Corona-Virus mit weniger Datenschutz tatsächlich besser eindämmen?

Caspar: Ach, da werden viele bunte Legenden gestrickt. Wir sträuben uns ja nicht, Tatsachen anzuerkennen und über den Sinn und Zweck von Datenschutzmaßnahmen zu diskutieren. Aber wenn nur immer über und nicht mit dem Datenschutz geredet wird, ist eine sachliche Diskussion nicht zu führen.

com! professional: Vor allem an der Corona-App entzünden sich die Gemüter …

Caspar: Die Corona-App beruht auf Quelloffenheit, Freiwilligkeit und Dezentralität, dazu haben wir geraten. Am Ende hat sich die Regierung für eine App entschieden, die diesen Grundsätzen folgt. 

com! professional: … und die daher viele für wirkungslos halten.

Caspar: Aber was wäre denn die Alternative gewesen? Die deutsche Corona-App wurde über 25 Millionen Mal heruntergeladen. Dieser Erfolg ist klar auf das datenschutzfreundliche, dezentrale Konzept zurückzuführen. In Frankreich, wo man sich zunächst für eine zentrale Datenspeicherung entschieden hatte, erhielt die erste Corona-App „StopCovid“ kaum Akzeptanz in der Bevölkerung und musste durch eine datenschutzfreundlichere ersetzt werden.

com! professional:Es gibt ja auch immer wieder die Diskussion, die Nutzung der App verpflichtend zu machen …

Caspar: Wie soll das funktionieren? Die Menschen müssten dazu gezwungen werden, die App zu installieren und ihr Smartphone immer mit sich zu führen. Das könnte nur mit Geofencing, Videoüberwachung und anderen drastischen Maßnahmen gelingen. Die Diskussion verkennt, dass wir bei der App die Menschen mitnehmen müssen. Gern bin ich bereit, über andere Konzepte zu diskutieren, da sollte dann aber auch mehr kommen als eine pauschale Kritik und der Verweis auf Südostasien.

com! professional: Welche Auswirkungen hatte der Krisenmodus und die schnelle Digitalisierung auf die Datenschutzsituation in den Unternehmen?

Caspar: Wir haben einen massiven Digitalisierungsschub erlebt. Unternehmen wie Zoom sind geradezu explodiert. Das ist ja im Prinzip auch gut so. Stellen Sie sich vor, Corona wäre vor 30 oder 40 Jahren passiert. Wir hätten nur über das Festnetztelefon kommunizieren können, immer in der Angst vor einer ruinösen Telefonrechnung. Leider haben Unternehmen, aber auch Behörden und Bildungseinrichtungen die Zeit zwischen den beiden Lockdowns oft nicht genutzt, um für Alternativen zu sorgen. Sie verwenden nach wie vor marktübliche Lösungen zumeist der US-Anbieter, die man zwar schnell einsetzen kann, die aber alles andere als datensparsam sind und bei denen die Nutzung der Daten zum Geschäftsmodell gehört. Wir brauchen verlässliche und datenschutzgerechte Systeme. Es wird immer viel von Open Source gesprochen, aber in der Praxis ist davon nur wenig zu sehen.

com! professional: Gehen Sie gegen Schulen und andere öffentliche Einrichtungen vor, wenn Sie Datenschutzverstöße feststellen?

Caspar: Nein, es wurden bislang weder Verbote ausgesprochen noch wurde jemand belangt, weil er Zoom oder Skype im Unterricht eingesetzt hat. Das heißt nicht, dass das in Ordnung ist.
Natürlich war es eine schwierige Zeit und wir mussten erst einmal dafür sorgen, dass die Kommunikation funktioniert. Mittlerweile gibt es mit Moodle und Big Blue Button ein datenschutzkonformes System. Leider läuft das offenbar noch nicht überall performant, sodass im Bereich der Schulen nach wie vor ein Flickenteppich besteht. Das ist zu verbessern und bedarf weiterer Anstrengungen. Solange jedoch das Parlament über Zoom kommuniziert, ist es Lehrern nur schwer zu vermitteln, etwas zu ändern.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*