• IT-Karriere:
  • Services:

DSGVO: Wenn Datenschützer den Datenschutz behindern

Wegen des Umgangs mit der Datenschutz-Grundverordnung droht ausgerechnet den Datenschützern eine Vertrauenskrise. Ein Fallbeispiel.

Artikel von Christiane Schulzki-Haddouti veröffentlicht am
So geht nichts voran.
So geht nichts voran. (Bild: REUTERS/Leonhard Foeger)

Die europäische Datenschutz-Grundverordnung (DSGVO), so versprach es einst EU-Kommissarin Viviane Reding, werde Nutzern mehr Rechte gegenüber den großen IT-Konzernen wie Google, Facebook, Microsoft und Amazon einräumen. Weil bei Verstößen hohe Bußgelder drohen, war die Aufregung nach der Einführung der DSGVO im Jahr 2018 groß. Passiert ist aber seither nur wenig.

Inhalt:
  1. DSGVO: Wenn Datenschützer den Datenschutz behindern
  2. Was von den großen Versprechen der DSGVO bleibt

So haben sich die Aufsichtsbehörden in Deutschland zum Beispiel erst kürzlich darauf geeinigt, wie sie die Höhe der Bußgelder fallweise bestimmen wollen. Doch nicht allein die Sanktionen sollen für eine bessere Durchsetzung des Datenschutzes sorgen. Mit zwei neuen Instrumenten sollen datenverarbeitende Unternehmen und Behörden dazu gebracht werden, die Technik so zu gestalten, dass ihr Einsatz möglichst wenig Risiken für die Nutzer mit sich bringt: mit dem Datenschutz durch Technikgestaltung - "Privacy by Design" und "Privacy by Default" - und der Datenschutz-Folgenabschätzung.

Glaubwürdigkeitskrise durch einseitiges Vorgehen

Mit der Folgenabschätzung müssen datenverarbeitende Unternehmen riskante Datenverarbeitungen bewerten und Schutzmaßnahmen entwickeln. Die Aufsichtsbehörden prüfen dann, ob sie richtig durchgeführt wurde. Wie bei einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO genau vorgegangen werden muss, scheint den Aufsichtsbehörden aber noch unklar zu sein. Das zeigt der Fall der baden-württembergischen Datenschutzaufsicht.

Sie hat nämlich einen Twitter-Account eingerichtet und dafür eine "Datenschutz-Folgenabschätzung" erstellt. Darin stellt sie sich praktisch einen Persilschein aus, indem sie in ihrer Risikobewertung schreibt, dass das durch ihren Twitter-Account verursachte zusätzliche Risiko für andere Nutzer lediglich "gering bis mittel" sei.

Stellenmarkt
  1. Meierhofer AG, München
  2. M-net Telekommunikations GmbH, München

Zwar beruft sich der Landesdatenschutzbeauftragte Stefan Brink auf das Kurzpapier der Datenschutzkonferenz von Bund und Ländern (PDF), das beschreibt, auf was man bei einer Folgenabschätzung achten sollte. Doch Experten monieren zahlreiche methodische Fehler.

"So kann man keine Datenschutz-Folgenabschätzung machen. Hier wurden keinerlei Standards eingehalten", sagt der Datenschutzspezialist Ricardo Morte Ferrer, der betriebliche Datenschutzbeauftrage und -berater schult. Zunächst müsse man nämlich die Anforderungen an eine Datenschutz-Folgenabschätzung durchdeklinieren. Bereits zu Beginn definiere der baden-württembergische Datenschutzbeauftragte aber den Zweck der Verarbeitungstätigkeit nicht, der etwa in einer "zweiseitigen Kommunikation mit der Öffentlichkeit in einem modernen Kommunikationsmedium" bestehen könne.

Bei den zentralen Punkten der Datenschutz-Folgenabschätzung, nämlich der Risikoabschätzung, weise die Behörde keine Risikokriterien aus. Außerdem verzichte sie darauf, ein Angreifermodell zu formulieren und zu analysieren. Das Modell könne zeigen, wer welche Nutzerdaten für sich nutzen könnte. Daher würden auch keine wirksamen Schutzmaßnahmen getroffen, die etwa in einem Löschkonzept der Kommunikationen mit dem Twitter-Account der Datenschutzbehörde bestehen könnten. Wichtiger sei aber: "Meiner Meinung nach kann man gar keine Datenschutz-Folgenabschätzung bei Twitter machen, weil Twitter nicht prüfbar ist. Man weiß ja gar nicht, welche und wie viele Datenverarbeitungen überhaupt stattfinden."

Was aber würde passieren, wenn Unternehmen nun selbst nach dem baden-württembergischen Modell eigene Datenschutz-Folgenabschätzungen vornähmen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Was von den großen Versprechen der DSGVO bleibt 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Hansgrohe Duschkopf für 18,99€, Black+Decker Kompressor für 47,86€, Worx Strauchschere...
  2. (u. a. 8tlg. Robust Line Holzspiralbohrer Set für 9,29€, 5 Stück Trennscheibe Expert for Inox...
  3. (u. a. HP Elitedesk 800 G1 SFF generalüberholt, i7, 8GB, 256GB SSD für 379€, HP Elite 8300 MT...
  4. (u. a. Microsoft Office 2019 Home & Student multilingual, PC/Mac für 99,99€, Zahnbürsten und...

MFGSparka 07. Jan 2020

Aber warum sollte ein Accountbetreiber diesen Umstand berücksichtigen müssen. Ist das...

MFGSparka 07. Jan 2020

Ich denke, dass ein Account-Betreiber schon den Teil seines Accounts "Abschätzen" sollte...

Bradolan 24. Dez 2019

Vielen Dank für eine endlich nachprüfbare Gegenquelle. Genau auf sowas hab ich gewartet...

Bradolan 23. Dez 2019

Lies das Gesetz. Die Obergrenze (d.h. die maximal verhängbare Strafe) für die Strafen...

Bradolan 22. Dez 2019

Früher konnte man als zwölfjähriger sein eigenes Internetunternehmen eröffnen, doch...


Folgen Sie uns
       


Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
    •  /