DSGVO: Wenn Datenschützer den Datenschutz behindern

Die europäische Datenschutz-Grundverordnung (DSGVO), so versprach es einst EU-Kommissarin Viviane Reding, werde Nutzern mehr Rechte gegenüber den großen IT-Konzernen wie Google, Facebook, Microsoft und Amazon einräumen. Weil bei Verstößen hohe Bußgelder drohen, war die Aufregung nach der Einführung der DSGVO im Jahr 2018 groß. Passiert ist aber seither nur wenig.

So haben sich die Aufsichtsbehörden in Deutschland zum Beispiel erst kürzlich darauf geeinigt, wie sie die Höhe der Bußgelder fallweise bestimmen wollen. Doch nicht allein die Sanktionen sollen für eine bessere Durchsetzung des Datenschutzes sorgen. Mit zwei neuen Instrumenten sollen datenverarbeitende Unternehmen und Behörden dazu gebracht werden, die Technik so zu gestalten, dass ihr Einsatz möglichst wenig Risiken für die Nutzer mit sich bringt: mit dem Datenschutz durch Technikgestaltung - "Privacy by Design" und "Privacy by Default" - und der Datenschutz-Folgenabschätzung.

Glaubwürdigkeitskrise durch einseitiges Vorgehen

Mit der Folgenabschätzung müssen datenverarbeitende Unternehmen riskante Datenverarbeitungen bewerten und Schutzmaßnahmen entwickeln. Die Aufsichtsbehörden prüfen dann, ob sie richtig durchgeführt wurde. Wie bei einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO genau vorgegangen werden muss, scheint den Aufsichtsbehörden aber noch unklar zu sein. Das zeigt der Fall der baden-württembergischen Datenschutzaufsicht.

Sie hat nämlich einen Twitter-Account eingerichtet und dafür eine "Datenschutz-Folgenabschätzung" erstellt. Darin stellt sie sich praktisch einen Persilschein aus, indem sie in ihrer Risikobewertung schreibt, dass das durch ihren Twitter-Account verursachte zusätzliche Risiko für andere Nutzer lediglich "gering bis mittel" sei.

Stellenmarkt

1. CAREL Deutschland GmbH, Gelnhausen
2. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München

Zwar beruft sich der Landesdatenschutzbeauftragte Stefan Brink auf das Kurzpapier der Datenschutzkonferenz von Bund und Ländern (PDF), das beschreibt, auf was man bei einer Folgenabschätzung achten sollte. Doch Experten monieren zahlreiche methodische Fehler.

"So kann man keine Datenschutz-Folgenabschätzung machen. Hier wurden keinerlei Standards eingehalten", sagt der Datenschutzspezialist Ricardo Morte Ferrer, der betriebliche Datenschutzbeauftrage und -berater schult. Zunächst müsse man nämlich die Anforderungen an eine Datenschutz-Folgenabschätzung durchdeklinieren. Bereits zu Beginn definiere der baden-württembergische Datenschutzbeauftragte aber den Zweck der Verarbeitungstätigkeit nicht, der etwa in einer "zweiseitigen Kommunikation mit der Öffentlichkeit in einem modernen Kommunikationsmedium" bestehen könne.

Bei den zentralen Punkten der Datenschutz-Folgenabschätzung, nämlich der Risikoabschätzung, weise die Behörde keine Risikokriterien aus. Außerdem verzichte sie darauf, ein Angreifermodell zu formulieren und zu analysieren. Das Modell könne zeigen, wer welche Nutzerdaten für sich nutzen könnte. Daher würden auch keine wirksamen Schutzmaßnahmen getroffen, die etwa in einem Löschkonzept der Kommunikationen mit dem Twitter-Account der Datenschutzbehörde bestehen könnten. Wichtiger sei aber: "Meiner Meinung nach kann man gar keine Datenschutz-Folgenabschätzung bei Twitter machen, weil Twitter nicht prüfbar ist. Man weiß ja gar nicht, welche und wie viele Datenverarbeitungen überhaupt stattfinden."

Was aber würde passieren, wenn Unternehmen nun selbst nach dem baden-württembergischen Modell eigene Datenschutz-Folgenabschätzungen vornähmen?