Europäische Behörden sind schlecht vorbereitet auf die Datenschutz-Grundverordnung

Die neuen europäischen Spielregeln könnten zu Milliardenstrafen gegen Internetkonzerne wie Facebook führen. Doch in zahlreichen EU-Ländern klagen Datenschützer über fehlendes Personal und mangelnde Kompetenzen. In Deutschland gibt es zudem Unklarheit über den Ablauf künftiger Verfahren.

Big Data an die Wand klatschen: Hier ein Eindruck aus Frankreich – Gemeinfrei-ähnlich freigegeben durch unsplash.com ev

In rund zwei Wochen werden umfassende neue EU-Datenschutzregeln europaweit wirksam. Doch die zuständigen Behörden in vielen EU-Staaten sehen sich nicht ausreichend zu ihrer Umsetzung ausgestattet, wie ein Rundruf der Nachrichtenagentur Reuters ergab. 17 von 24 nationalen Datenschutzbehörden, die auf einen Fragenkatalog von Reuters antworteten, gaben an, es fehle ihnen an Personal und rechtlichen Kompetenzen zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO). Damit bestätigen sich die Befürchtungen von Datenschützern, die seit Jahren auf eine ausreichende Ausstattung der Behörden drängen.

Von der wohl wichtigsten Datenschutzbehörde Europas, dem irischen Datenschutzkommissar, erhielt Reuters keine Antworten. Das ist pikant, denn große Internetkonzerne wie Facebook haben in Irland ihren EU-Hauptsitz und die irische Behörde ist federführend für den Umgang mit ihnen verantwortlich. Die irische Behörde ließ gegenüber der Nachrichtenagentur lediglich verlauten, man könne wegen der Komplexität der Fragestellung nicht antworten.

Mehr Rechte ab 25. Mai

Die Datenschutz-Grundverordnung (DSVO) ist ein Meilenstein der europäischen Gesetzgebung zu dem Thema. (Die zehn wichtigsten Punkte dazu finden sich hier als pdf.) Nach jahrelangen Vorbereitungen wird die DSGVO am 25. Mai europaweit wirksam. Durch sie werden Bürgern, Konsumenten und Internetnutzern umfassende Rechte an ihren eigenen Daten eingeräumt. Für Internetkonzerne wie Google und Facebook gelten in Zukunft damit deutlich strengere Auflagen.

Bisher war in den meisten EU-Staaten der Strafrahmen bei Datenschutzverletzungen überschaubar. Das ändert sich jedoch nun: Bei schweren Verstößen müssen die Konzerne mit Strafen von bis zu vier Prozent ihres globalen Jahresumsatzes rechnen – im Fall von Facebook wäre das bei einem Vorjahresumsatz von vierzig Milliarden US-Dollar immerhin 1,6 Milliarden.

Komplexes Verfahren

Die tatsächliche Durchsetzung von Strafen gegen die Internetkonzerne setzt allerdings ein komplexes Verfahren voraus. Künftig ist es das Recht jedes Nutzers in Deutschland, zu seiner Landesdatenschutzbehörde zu gehen und dort eine Beschwerde gegen Facebook einzulegen („One-Stop-Shop“-Prinzip). Das Verfahren übernimmt dann allerdings federführend die Behörde an der Hauptniederlassung von Facebook. Bei Fragen wie Marketing und Werbung, welche die Facebook Deutschland GmbH betreffen, ist das der Hamburgische Datenschutzbeauftragte. Bei allen anderen Themen liegt die Hauptzuständigkeit bei der irischen Datenschutzbehörde, weil der EU-Sitz Facebooks in Dublin liegt.

Die deutschen Behörden spielen bei den Verfahren in Irland nur die zweite Geige: Sie bleiben die Ansprechperson für den Beschwerdeführer, müssen von Irland über den Fortschritt des Verfahrens unterrichtet werden und können selbst Beschlussentwürfe vorlegen oder sich mit der Sache befassen, wenn die Behörde in Dublin nicht tätig werden will, heißt es aus dem Büro des Hamburgischen Datenschutzbeauftragten. Streitfragen können zudem an den Europäischen Datenschutzausschuss verwiesen werden, ein neues Gremium aus allen nationalen Datenschutzbehörden, das mit dem 25. Mai ins Leben gerufen wird.

„Gewisse Unsicherheit“

Unter den deutschen Behörden herrscht noch eine gewisse Unklarheit darüber, wie Beschwerden künftig in der Praxis ablaufen werden. Das zeigt eine Rundfrage von netzpolitik.org bei den 16 Landesdatenschutzbehörden und der Bundesbeauftragten für Datenschutz. Von einer Behörde heißt es etwa: „Angesichts der grenzüberschreitenden Tätigkeit von Facebook ist eine Aussage, in welcher Niederlassung von Facebook über Zwecke und Mittel der Verarbeitung entschieden wird, zum jetzigen Zeitpunkt mit einer gewissen Unsicherheit behaftet und bedarf – sowohl in sachlicher, als auch juristischer Hinsicht – einer weitergehenden Klärung.“ Das schrieb ein Mitarbeiter des Landesbeauftragten für Datenschutz des Saarlandes auf Anfrage. Er verweist auf ein anhängiges Verfahren beim Europäischen Gerichtshof (EuGH). Das oberste EU-Gericht soll nun darlegen, welche Niederlassung von Facebook tatsächlich für Entscheidungen zur Verarbeitung personenbezogener Daten verantwortlich gemacht werden kann.

Das Büro der Bundesbeauftragten für Datenschutz bietet den verschiedenen Aufsichtsbehörden in Deutschland Unterstützung an. Dennoch kommt die Schlüsselrolle bei Entscheidungen zu Facebook, Google und anderen Internetkonzernen weiterhin der irischen Datenschutzbehörde zu. Diese ist mit einem Jahreshaushalt von 11,7 Millionen Euro nicht gerade großzügig ausgestattet, wie der Reuters-Bericht betont. Auch zeigte sich die irische Behörde in den vergangenen Jahren wenig konfrontativ im Vorgehen gegen große Konzerne, wie die langwierigen Verfahren des Datenschützers Max Schrems gegen Facebook in Irland deutlich machten.

Europäische Entscheidungen

Große Entscheidungen wie Milliardenstrafen gegen Internet-Plattformen werden daher mit aller Wahrscheinlichkeit im Europäischen Datenschutzausschuss getroffen. Wer dort den Ton angibt und wie forsch das Gremium vorgeht, ist ungewiss. Die Vorsitzende des neuen Ausschusses, die österreichische Juristin Andrea Jelinek, zeigte sich bisher zurückhaltend gegenüber der Öffentlichkeit und gibt kaum Interview. Immerhin kündigte sie zuletzt bereits die Gründung einer Arbeitsgruppe an, die das Vorgehen der sozialen Netzwerke unter die Lupe nehmen soll. Der Datenskandal um Facebook und Cambridge Analytica sei vermutlich nur die Spitze des Eisberges, sagte Jelinek. „Für eine viele Milliarden Dollar schwere Social-Media-Plattform ist es einfach nicht genug, sich bloß zu entschuldigen.“ Jedoch nur mit entschiedenem Vorgehen und der ausreichenden Ausstattung der zuständigen Behörden werden dieser Ankündigung auch Taten folgen.

13 Ergänzungen

  1. Immerhin eine „Datenschutz-Grundverordnung“ ist besser als gar nichts. Über alles andere wird ein Ausschuss tagen und die getroffenen Kann-Vorschlage einem anderem Gremium zuleiten. Weil aber so manche Partei vor facebook’s Treiben Muffe bekommen hat, wird man wohl dann doch noch sehr aktiv werden. Mit anderen Worten „Auf deiner privaten Festplatte darf es „keinen Platz für ein rechtsstaatliches Vakuum mehr geben“. Der Staat wir seinem Monopol für’s Ab-Schnorcheln und Bespitzeln seiner Bürger nicht an facebook und Co. abgeben wollen.

  2. Prinzipiell ist die DSGVO eine gute Sache für den Datenschutz an sich und die Rechte von natürlichen Personen, aber ich lese leider immer (auch hier!) nur, wie gut die DSGVO „gegen“ Facebook, Google, Twitter u. andere multinationale Firmen dieses Kalibers wirken wird bzw. wirken soll.

    Ist eigentlich allen klar, das *jedes* Unternehmen in der EU davon betroffen sein wird und die vielfältigen Pflichten zu erfüllen hat?

    Jeder kleine Mittelständler, der die Adressen seiner wenigen Privatkunden speichert u. verarbeitet?
    Jedes Architekturbüro mit 4-5 Mitarbeitern und schon lange zu vielen Vorschriften, die zu beachten sind?
    Jeder kleine Handwerker jenseits der Lastgrenze und mit Nachwuchssorgen, der mit einem Gesellen und/oder Azubi ganztägig unterwegs ist und mit einer angestellten Kraft auf Minijob-Basis oder einem Ehepartner an einem einzigen PC seinen „Bürokram“ zu erledigen hat?

    Haben die alle nicht schon genug an Bürokratie zu (er-) tragen?
    Hatte die bei den ganzen Dokumentations- und Bewertungsauflagen, die ein großes Unternehmen locker „aus der Portokasse“ bezahlt denn niemand auf dem Schirm?
    Oder ist deren Wirtschafts- und Ausbildungsleistung (https://de.wikipedia.org/wiki/Kleine_und_mittlere_Unternehmen#Deutschland) egal, weil sie keine Loddy und vor lauter Arbeit sowieso keine Zeit haben, sich um das auch noch Gedanken und Sorgen zu machen?

    Für den Datenschutz von natürlichen Personen ein großer Wurf, für die KMU eine schwere Belastung! Wir werden sehen, das sich die angeführten Großunternehmen mit Heerscharen von Anwälten und/oder eigenen mittelständlergroßen Rechtsabteilungen aus der Affäre ziehen werden. Elektromeister X aus Y wird das nicht können, er wird dafür bezahlen, im wahrsten Sinn des Wortes!

    1. Interessanter fände ich wie das Netzpolitik.org macht … so wegen den Mailadressen an den Kommentaren.
      Ausreichend geschützt?
      Alles ausreichend definiert?
      Löschfristen etc.
      Bin ich gefragt worden?

  3. Nix gegen Datenschutz. Aber dieses „besser als nichts“ kann ich nicht mehr hören. Wenn man in seiner knappen Freizeit für diverse Vereine Websites betreut und vom Gesetz mal wieder im Beamtendeutsch versenkt wird, weil man sich und die betreuten Freunde und Bekannten vor frisch versorgten Abmahnwegelagerern schützen muss, dann k**t einen das alles nur noch an. Die Großen winden sich eh heraus, die Kleinen landen in Rechtsunsicherheit. Und da sind natürlich schon alle Statistikfunktionen abgestellt und gibt es keinen Like-Button-Sch** auf den Seiten. Wann wird endlich mal ein Gesetz erlassen, das beschreibt, wie es sein soll, und aber in erster Instanz nur regelt, dass man verbindlich und kostenfrei darauf hingewiesen werden kann, was man besser korrigieren sollte. Mit Folgen, falls man nicht reagiert. Und warum gibt es für Zweifelsfälle keine vom Gesetzgeber eingesetzte Instanz, die man anfragen kann, und die gegen überschaubare Gebühr klärt, wie die Änderung auszusehen habe.

    Ich fände das ja super, wenn Websites endlich nicht mehr von gefühlt tausend anderen irgendwelche JavaScripts nachladen würden, Cookies breitträten und gedankenlos Nutzerdaten sammelten. Aber müssen wir, um das zu erreichen, dem Geschäftsmodell Abmahnerei Auftrieb verschaffen? Wem ist damit gedient, wenn sich Oma Krause mit ihrem frisch eingerichteten Blog beim freien Hoster aus Verunsicherung wieder in die Arme von F**book oder bl**.com treiben lässt?

  4. Eine gewisse Anspannung ist fühlbar. Ob das nun tatsächlich dazu führt, dass Daten wie zugesagt gelöscht werden, wird sich zeigen. Und optimalerweise die Betroffenen auch Überblick über die gespeicherten Daten haben. Die AOK will, so wurde mir erzählt, die Gesundheitsdaten ihrer Patienten für diese (und nur für diese?) zugänglich machen. Schrägerweise hat sich die AOK von der no go-Krankenkasse für die Ärmsten der Armen zu einer attraktiven Alternative entwickelt. Nur wo sind die Ärmsten der Armen geblieben?

  5. Der völlig unkritische Artikel zum Thema, insbesondere was staatliche Gängelung, die Abschöpfung der Daten, die sich abzeichnende Willkür bei der Auslegung schwammigster Gesetzestexte und die überwältigende Bevorteilung transnationaler Datenheuschrecken beweist auf’s Neue: Ihr seid Mockingbirds!!! Als kritische Quelle unbrauchbar und hoffentlich in Zukunft pleite. Aber wahrscheinlich gibt’s staatliche Hilfe, auch vom BfV.

  6. Hat schon mal jemand versucht bei Facebook eine bebilderte Anleitung zum säugen eines Säuglings für Mütter hoch zu laden? Abstrakt gezeichnet und/oder Realistisch fotografiert bis Surrealistisch?! :D
    Wie siehts mit einer (natürlich bebilderten) Anleitung für (möglichst) schmerzfreien Sexualverkehr aus?
    Sex während der Schwangerschaft (wie natürlich!)?
    Homosexuelle Variationen?
    Wie siehts da eigentlich bei Tieren generell aus – schwule und lesbische Hunde? Tiere lieben Menschen usw.? Wie treibens Elefanten, Zebras und Nilpferde?
    Explizite Darstellung aus „1001 und einer Nacht“, des Kamasutras und vieler anderer kultivierter Sexualität?
    Der Akt als Kunst- und Lernform in Malerei, Fotografie und Performance?
    Nacktheit und Sexualität in virtuellen Welten? :D
    Sex im Alter?
    Was blockt FB eigentlich nicht weg?

  7. Nun gilt es, statt Geschäftmodelle mit Datenreichtum, Geschäftmodelle mit Daatensparsamkeit zu entwickeln. Auch das ist möglich und kann ein Wettbewerbsvorteil auf dem globalen Markt werden. Keiner will überwacht werden. Wenn es alternative Produkte mit echtem Datenschutz gibt werden diese auch genutzt bzw. verkauft werden.

  8. Facebook, WhatsApp, Instagram und, was weiß ich noch, sind Backdoors in diese Behörden. Ich sehe (seit Jahren schon) das Sozialgeheimnis (§35 SGB), unter vielen anderen Geheimnissen auch, als ausgehöhlt. Das seit über 30 Jahren mindestens das Krankenkassen-System (Gesetzlich/Privat) schon nicht reformiert wird, ist im digitalen Daten-Kapitalismus fatal! Erstrecht für Neugeborene.

    „Dies bedeutet, dass die Sozialleistungsträger (Arbeitsagenturen, Jobcenter, Jugendamt, gesetzliche Krankenkasse, gesetzliche Pflegekasse, gesetzliche Rentenversicherung, gesetzliche Unfallversicherung, Sozialamt, BAföG-Amt usw.) mit den persönlichen Daten der Bürgerinnen und Bürger nur umgehen darf, wenn es hierfür eine gesetzliche Erlaubnis gibt. “
    Quelle: https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Sozialgeheimnis.html

    Ich würde dann mal auch alle meine Daten meiner Krankenkassen seit meiner Geburt verlangen (die noch gespeichert und als Akten noch nicht vernichtet wurden). Inklusive der Namen der Firmen, Ärzte und Krankenhäuser, die Daten über mich wollten oder brauchten. Die hängen nämlich nicht nur im Privat-Sektor mit Pharmacie und deren Lobbyisten ab. Man wird hier nicht mehr älter, sondern kränker im Alter, Alter! Weg damit. :P

    1. Sozialgeheimnis? – Krank, kränker, tot. – Selbstbestimmtes Sterben nennt sich das :-P

      1. Volljährig (nicht mündig) müssen die Kinder schon ja noch werden – damit sie sich mit maßgeschneiderten Krediten und gemicrotargetem Weltverständnis auch so schnell wie möglich verschulden. Da vorher die Eltern für die Kinder hafteten – und diese auch Vollmacht über die Daten der ersten 18 Jahren ihres Kindes besitzt – kann das Volljährige Kind ja dann seine Eltern dafür verklagen. :P

  9. Ich behaupte das ganze wirkt dem bestreben nach mehr Diversität (weniger US Grosskonzerne, mehr EU Kleinanbieter) einen Bärendienst. Überall wird nur Facebook und Co erwähnt, aber dass es de facto den KMU vor fast unlösbare Probleme stellt, und man mit dieser Grundverordnung mit Kanonen auf Spatzen schiesst, wird verschwiegen. Ein Bürokratie Moloch wurde geschaffen, der allen voran kleine Unternehmen fressen wird. Die grosse lachen sich in Fäustchen, die werden keine Probleme haben das zu stemmen. A) haben sie mehr Personal, B) haben sie gut bezahlte Juristen die bereits jetzt die Grenzen dieser Verordnung genau ausloten werden, damit man schlussendlich mit entsprechenden juristischen Kniffen genau gleich weiter machen kann. Der Rest sind die Dummen, die diese Vorgabe 1:1 zu erfüllen haben. Und schlussendlich muss es ja auch kontrolliert werden. Wie ich aber als privater Blogger das ganze erfüllen soll (muss ich überhaupt, ich bin keine Firma?) weiss ich nicht. Schlussendlich läuft es darauf hinaus ein Disclaimer zu setzen, alle Plugins zu Social Media zu kappen und einfach bei einer Anfrage zu behaupten man erfülle die DSGVO schon und würde keinerlei personenbezogene Daten speichern (wissen tue ich es nicht, keine Ahnung was WordPress im Hintergrund alles speichert). Danach wurde ja der Ball an den Konsumenten zurück gespielt und wenn er der Behauptung nicht glaubt, muss er den Rechtsweg gehen. Das wiederum wird er kaum tun. Genau so werden es die meisten lösen behaupte ich. Grosse finanzielle Risiken gehe ich dabei nicht ein, weil ich schalte keine Werbung, ich nutze die Daten nicht kommerziell, also resultiert auch kein bezifferbarer Schaden daraus. Irgendwann wird ein Richter dann die Gnade haben, dem Blödsinn ein Riegel vorschieben in dem er per Gerichtsbeschluss genauer definieren wird, wo die Grenze ist.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.