DSGVO: Wenn Datenschützer den Datenschutz behindern
Wegen des Umgangs mit der Datenschutz-Grundverordnung droht ausgerechnet den Datenschützern eine Vertrauenskrise. Ein Fallbeispiel.

Die europäische Datenschutz-Grundverordnung (DSGVO), so versprach es einst EU-Kommissarin Viviane Reding, werde Nutzern mehr Rechte gegenüber den großen IT-Konzernen wie Google, Facebook, Microsoft und Amazon einräumen. Weil bei Verstößen hohe Bußgelder drohen, war die Aufregung nach der Einführung der DSGVO im Jahr 2018 groß. Passiert ist aber seither nur wenig.
- DSGVO: Wenn Datenschützer den Datenschutz behindern
- Was von den großen Versprechen der DSGVO bleibt
So haben sich die Aufsichtsbehörden in Deutschland zum Beispiel erst kürzlich darauf geeinigt, wie sie die Höhe der Bußgelder fallweise bestimmen wollen. Doch nicht allein die Sanktionen sollen für eine bessere Durchsetzung des Datenschutzes sorgen. Mit zwei neuen Instrumenten sollen datenverarbeitende Unternehmen und Behörden dazu gebracht werden, die Technik so zu gestalten, dass ihr Einsatz möglichst wenig Risiken für die Nutzer mit sich bringt: mit dem Datenschutz durch Technikgestaltung - "Privacy by Design" und "Privacy by Default" - und der Datenschutz-Folgenabschätzung.
Glaubwürdigkeitskrise durch einseitiges Vorgehen
Mit der Folgenabschätzung müssen datenverarbeitende Unternehmen riskante Datenverarbeitungen bewerten und Schutzmaßnahmen entwickeln. Die Aufsichtsbehörden prüfen dann, ob sie richtig durchgeführt wurde. Wie bei einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO genau vorgegangen werden muss, scheint den Aufsichtsbehörden aber noch unklar zu sein. Das zeigt der Fall der baden-württembergischen Datenschutzaufsicht.
Sie hat nämlich einen Twitter-Account eingerichtet und dafür eine "Datenschutz-Folgenabschätzung" erstellt. Darin stellt sie sich praktisch einen Persilschein aus, indem sie in ihrer Risikobewertung schreibt, dass das durch ihren Twitter-Account verursachte zusätzliche Risiko für andere Nutzer lediglich "gering bis mittel" sei.
Zwar beruft sich der Landesdatenschutzbeauftragte Stefan Brink auf das Kurzpapier der Datenschutzkonferenz von Bund und Ländern (PDF), das beschreibt, auf was man bei einer Folgenabschätzung achten sollte. Doch Experten monieren zahlreiche methodische Fehler.
"So kann man keine Datenschutz-Folgenabschätzung machen. Hier wurden keinerlei Standards eingehalten", sagt der Datenschutzspezialist Ricardo Morte Ferrer, der betriebliche Datenschutzbeauftrage und -berater schult. Zunächst müsse man nämlich die Anforderungen an eine Datenschutz-Folgenabschätzung durchdeklinieren. Bereits zu Beginn definiere der baden-württembergische Datenschutzbeauftragte aber den Zweck der Verarbeitungstätigkeit nicht, der etwa in einer "zweiseitigen Kommunikation mit der Öffentlichkeit in einem modernen Kommunikationsmedium" bestehen könne.
Bei den zentralen Punkten der Datenschutz-Folgenabschätzung, nämlich der Risikoabschätzung, weise die Behörde keine Risikokriterien aus. Außerdem verzichte sie darauf, ein Angreifermodell zu formulieren und zu analysieren. Das Modell könne zeigen, wer welche Nutzerdaten für sich nutzen könnte. Daher würden auch keine wirksamen Schutzmaßnahmen getroffen, die etwa in einem Löschkonzept der Kommunikationen mit dem Twitter-Account der Datenschutzbehörde bestehen könnten. Wichtiger sei aber: "Meiner Meinung nach kann man gar keine Datenschutz-Folgenabschätzung bei Twitter machen, weil Twitter nicht prüfbar ist. Man weiß ja gar nicht, welche und wie viele Datenverarbeitungen überhaupt stattfinden."
Was aber würde passieren, wenn Unternehmen nun selbst nach dem baden-württembergischen Modell eigene Datenschutz-Folgenabschätzungen vornähmen?
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Was von den großen Versprechen der DSGVO bleibt |
- 1
- 2
Aber warum sollte ein Accountbetreiber diesen Umstand berücksichtigen müssen. Ist das...
Ich denke, dass ein Account-Betreiber schon den Teil seines Accounts "Abschätzen" sollte...
Vielen Dank für eine endlich nachprüfbare Gegenquelle. Genau auf sowas hab ich gewartet...
Lies das Gesetz. Die Obergrenze (d.h. die maximal verhängbare Strafe) für die Strafen...