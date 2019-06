Seit 2015 ist die Informatikerin und Datenschutzexpertin Marit Hansen die Datenschutzbeauftragte des Landes Schleswig-Holstein. Sie sieht Datenschutz nicht als individualisiertes Problem. Stattdessen gehe es um Strukturen, die uns als Gesellschaft möglicherweise steuerbar oder zumindest beeinflußbar machten. Umso ärgerlicher, wenn es in der öffentlichen Debatte oft um aufgebauschte Lappalien oder gar Falschmeldungen wie angeblich illegale Klingelschilder oder Visitenkarten geht.

Marit Hansen war in der aktuellen Folge des „Denkangebot-Podcast“ mit dem Titel „Nix zu verbergen“ zu Gast. Wir veröffentlichen das vollständige Interview, geführt von der Netzaktivistin, studierten Ökonomin und netzpolitik.org-Autorin Katharina Nocun, die zudem bei kattascha.de bloggt.

netzpolitik.org: Am 25. Mai 2019 feierte die Datenschutzgrundverordnung (DSGVO) ihren ersten Geburtstag. Wie hat sich die Arbeit der Aufsichtsbehörden durch die neue Rechtslage verändert?

Marit Hansen: Wir merken sehr viele Unterschiede. Es ist so, als hätte man Datenschutz noch einmal neu erfunden. Jedenfalls glaube ich, dass ganz viele Personen, die vorher schon für den Datenschutz verantwortlich waren, das erst vor einem Jahr gemerkt haben. Viele Nutzerinnen und Nutzer haben erst durch die DSGVO gemerkt, dass sie Rechte haben und zum Beispiel ein Auskunftsrecht wahrnehmen können. Dabei ist das gar nicht neu.

netzpolitik.org: Der aktuelle Jahresbericht der Berliner Aufsichtsbehörde zeigt einen deutlichen Anstieg bei Beschwerden und gemeldeten Datenpannen. Erlebt die Aufsichtsbehörde in Schleswig-Holstein etwas Ähnliches?

Marit Hansen: Das ist ein bundesweiter Trend. Was die Datenpannen angeht, war mit einem Anstieg zu rechnen, weil durch die DSGVO auch mehr Sachverhalte meldepflichtig geworden sind. Vorher ging es bei solchen Meldungen nur um Telekommunikationsdaten oder um besonders sensible Daten wie beispielsweise medizinische Daten oder Finanzdaten. Jetzt gilt die Meldepflicht für alle Verletzungen von Datenschutz- und Sicherheitsvorkehrungen, also für alle Datenpannen.

Allein deswegen gibt es mehr Meldungen. Aber dass dann quasi täglich bei uns Meldungen reinkommen, das haben wir nicht erwartet. Und dabei bin ich davon überzeugt, dass es eine riesige Dunkelziffer gibt. Was die Datenschutzbeschwerden angeht, gibt es ebenfalls einen massiven Anstieg um mindestens 300-400 Prozent bei den Behörden. Und das gilt für uns genauso.

netzpolitik.org: Wie sehen solche Meldungen und Beschwerden typischerweise aus?

Marit Hansen: Eine Datenverarbeitung, die unzulässig im Backend passiert, die merkt man möglicherweise über Jahre nicht. Derartige Beschwerden sind zurzeit noch relativ selten. Man muss meist schon eine Vermutung haben, dass etwas schiefgegangen ist. Häufig stehen die Leute bereits in einem Kundenverhältnis und merken auf einmal, man geht von unterschiedlichen Daten aus oder Daten hätten längst gelöscht sein müssen.

Datenpannen kommen manchmal erst dann raus, wenn die betroffenen Personen sich selbst googeln oder Hinweise von Dritten bekommen. Erst dann merken sie, dass Datensätze seit Tagen, Monaten oder gar Jahren im Internet stehen. Bei einigen dieser Fälle geht es um Gesundheitsdaten. Und dann gibt es natürlich auch Fehlverhalten, das eher zufällig rauskommt. Beispielsweise, wenn in sensiblen Bereichen wie etwa Krankenhäusern auf einmal Patientendaten oder Bilder von Patienten, wie sie unbeholfen über die Gänge wanken, als lustiges Motto in einer WhatsApp-Gruppe geteilt werden. Sowas führt dann aber auch zu Kündigungen bei den betroffenen Beschäftigten.

Wie richtig melden?

netzpolitik.org: Wie gehe ich am besten vor, wenn ich etwas bei einer Aufsichtsbehörde melden will? Was für Unterlagen benötige ich und wie geht es nach der Meldung weiter?

Marit Hansen: Es ist relativ einfach, seine Beschwerde direkt geltend zu machen. Bei allen Aufsichtsbehörden sind Online-Formulare verfügbar. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die jeweilige Firma ihren Sitz hat. Bei Firmen mit Sitz im Ausland wird die Beschwerde von den deutschen Behörden an die entsprechenden Stellen weitergegeben. Bei öffentlichen Stellen, wie etwa der Polizei, wendet man sich entsprechend an die jeweilige Landes- oder Bundesbehörde. Man kann eine Beschwerde auch anonym oder unter Pseudonym tätigen.

Es wird außerdem meistens abgefragt, ob man damit einverstanden ist, dass der Name bei der Prüfung eine Rolle spielt. In einigen Fällen kann die Identität des Beschwerdestellers eine sensible Information sein. Beispielsweise, wenn man sich über sein eigenes Unternehmen beschwert und als Beschäftigter noch weiter dort arbeiten möchte.

Das Wichtigste bei einer Beschwerde ist, den Sachverhalt darzustellen. Dazu gehört auch, dass man sagt, wer verantwortlich ist. Manchmal weiß man das aber nicht. In solchen Fällen würde die Aufsichtsbehörde weiter recherchieren. Nach einer Beschwerde hat man als betroffene Person das Recht, über den weiteren Verlauf informiert zu werden. Denn die Sachverhaltsaufklärung dauert je nach Fall manchmal Wochen oder Monate.

netzpolitik.org: Neben dem Recht auf Beschwerde wurde in der DSGVO auch ein Recht auf Auskunft verankert. Doch häufig müssen Nutzer die Informationen, auf die man eigentlich einen Rechtsanspruch hat, den Unternehmen geradezu aus der Nase ziehen…

Marit Hansen: Es gibt immer wieder Streitigkeiten darüber, wie weit das Auskunftsrecht geht. Reicht es aus, wenn die Kundendaten zur Verfügung gestellt werden? Oder muss man jeden Schriftwechsel mit dem Kunden noch in Kopie beilegen? Was wäre, wenn etwa jemand alle Korrespondenz zuhause wegwerfen würde und sagt: „Ich will nochmal alles in Kopie haben!“

So eine Anfrage würde viel Aufwand verursachen, wenn diese Information nicht mit dem Kundenkonto verknüpft ist. Meistens wird dementsprechend gesagt, dass der Auskunftsanspruch nicht so weit reicht. Wenn Informationen allerdings zu einer Person organisiert sind, dann wäre es für Unternehmen vielleicht sogar einfacher, die Daten auch so herauszugeben. Wenn wir uns den Artikel 15 zum Auskunftsrecht genau anschauen, dann ist nicht eindeutig, welche Informationen genau herauszugeben sind.

Betroffen vom Auskunftsanspruch können aber eben alle personenbezogenen Daten sein, also etwa auch der Clickstream oder das Nutzerverhalten bei Streaming-Diensten. Wir sehen jedenfalls viele Fälle, bei denen das Auskunftsrecht eindeutig nicht ausreichend umgesetzt wurde.

Von illegalen Klingelschildern und Datenschutz-Talibans

netzpolitik.org: Rund um den DSGVO-Stichtag sind viele Falschmeldungen verbreitet worden. Da hieß es etwa, man dürfe keine Klingelschilder mehr anbringen. Ärgern Sie solche Schlagzeilen?

Marit Hansen: Ich glaube, dem Datenschutz tat es nicht gut, dass auf der Bild-Titelseite über Klingelschilder berichtet wurde. Es gab außerdem Berichte über geschwärzte Bilder bei einem kirchlichen Kindergarten und sogar Visitenkarten wurden in Frage gestellt. Das hat dafür gesorgt, dass Datenschutz zu einer Art Schreckgespenst wurde. Gleichzeitig konnten sich seriöse oder auch nicht so seriöse Datenschutzexperten als Heilsbringer darstellen.

Sogar unsere Behörde hat ein Fax von einer dubiosen „Beratungsstelle“ bekommen, die einem nahe legte, man könnte seine Datenschutzsorgen loswerden, indem man ein kostspieliges Beratungspaket erwirbt.

Mit immer neuen wilden skurrilen Storys wurde das Thema selbst als unseriös gebrandmarkt. Oft hieß es, die Datenschützer würden überziehen. Der Begriff „Datenschutz-Taliban“ kam immer mal wieder hoch. Diese Verunsicherungssituation im Sinne von „Nichts funktioniert mehr“ war sehr unschön für uns. Das hat sehr sehr viele Anfragen provoziert. Ich hätte mir mehr positive konstruktive Lösungen erhofft. Artikel 25 der DSGVO handelt von Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen. Davon habe ich fast nichts gesehen.

Stattdessen Panikmache bei strukturell langweiligen Fällen wie Visitenkarten – wo es doch darum geht, dass ich jemandem meine Geschäftsdaten bewusst in die Hand drücke. Dass so etwas besonders problematisiert wurde, ist für mich nicht nachzuvollziehen.

netzpolitik.org: Diese Panikmache hat dazu beigetragen, dass die Zahl der Anfragen von kleinen und mittelständischen Unternehmen rasant angestiegen ist. Hätten sich die Behörden mehr Unterstützung von Seiten der Politik gewünscht, etwa in Form besserer finanzieller Ausstattung?

Marit Hansen: Zunächst einmal muss man die Frage klären: „Müssen die Aufsichtsbehörden überall Musterlösungen vorschlagen?“ Wir machen so etwas natürlich teilweise auch. Aber die einzelnen Berufsgruppen, etwa Schornsteinfeger, Goldschmiede oder Beerdigungsunternehmer haben einfach sehr spezifische Datenverarbeitungen. Diese kennen sie selbst, bzw. ihre Berufsorganisationen oder die Handwerkskammern, am besten. Bei den für die einzelnen Berufsgruppen zentralen Stellen wurde aber leider teilweise wohl sehr spät oder auch sehr verunsichernd über Hilfestellungen informiert.

Die Hilfestellungen müssen nicht vollständig von den Aufsichtsbehörden kommen. Auch Beratungen in Kooperationen mit Handwerkskammern, mit Berufsverbänden und mit Arbeitgeberverbänden sind denkbar. Vor allem, damit man nicht jedes Unternehmen einzeln beraten muss. Wichtig sind auch die betrieblichen Datenschutzbeauftragten vor Ort. Denn die sind doch diejenigen, die Fragen erst einmal beantworten sollten – und nicht immer gleich die Aufsichtsbehörde.

Wir Behörden sind nicht der „First Level“ sondern kommen erst im Nachgang. Aber der gesamte Bereich der Prüfungen und der Beschwerden muss eine solide Finanzierung bekommen. Das ist noch nicht erreicht, und zwar in fast keinem Bundesland und auch fast keinem EU-Mitgliedstaat.

Bußgelder sind nicht der einzige Hebel

netzpolitik.org: Dank der DSGVO haben die Behörden ganz neue Möglichkeiten bei den Bußgeldern. Wurde davon schon Gebrauch gemacht?

Marit Hansen: Erste Bußgelder sind bereits in einigen EU-Mitgliedstaaten verhängt worden. Der Bußgeldrahmen ist jetzt 66,7 Mal so hoch wie zuvor. Aber es funktioniert nicht so, dass man jetzt alle Bußgelder mit diesem Faktor multipliziert. Denn Sanktionen müssen zwar abschreckend, aber auch verhältnismäßig sein. Aber ein Bußgeld ist immer rückwärts gerichtet. Dabei gibt es natürlich auch den Bedarf, dass etwas für die Zukunft korrekt läuft und dass Planungen gleich in die richtige Richtung gelenkt werden. Deswegen haben die Behörden auch noch andere Befugnisse, wie zum Beispiel die Warnung.

Bei so einer auf die Zukunft ausgerichteten Warnung wird dargelegt, dass eine bestimmte Datenverarbeitung so, aber nicht anders, oder nicht auf eine bestimmte Art stattfinden darf. So eine Warnung ist viel schneller zu verargumentieren und sie ist zugleich ein sehr mächtiges Werkzeug. Wenn dann trotz eines solchen Hinweises nichts passiert ist, kann eine Behörde natürlich, und muss auch, andere Saiten aufziehen.

Das schwerste Geschütz, was wir auffahren können, sind aber nicht die Bußgelder, sondern das ist die Anordnung in Bezug auf eine Datenverarbeitung. Wir können den Verantwortlichen oder den Auftragsverarbeiter etwa anweisen, dass eine Person ihr Auskunftsrecht oder das Recht auf Löschung auch gewährt bekommt. Eine Datenverarbeitung kann per Anordnung auch beschränkt oder vollkommen untersagt werden. Etwa, weil es keine Rechtsgrundlage gibt, also z.B. keine Einwilligung, keinen Vertrag und auch sonst nichts. In solchen Fällen kann es dann zu Rechtsstreitigkeiten kommen. Das wird wahrscheinlich dazu führen, dass mehr vor Gerichten ausgetragen werden wird, als es in der Vergangenheit der Fall war.

netzpolitik.org: Nehmen wir einmal an, es würde eine „DSGVO 2.0“ geplant. Welche Nachbesserungen würden Sie sich wünschen?

Marit Hansen: Ich sehe relativ wenig, was dringend zu ändern wäre. Es wurde viel an der DSGVO herumgekrittelt. Der Ansatz DSGVO ist erst einmal genau richtig: „Wir wollen ein harmonisiertes europäisches Datenschutzrecht.“ Jetzt geht es um die Interpretation der an die hundert Artikel. Eine kleine Datenverarbeitung herkömmlicher Art, vielleicht auch noch mit Aktenordnern, ist eben etwas anderes als ein autonomes Auto oder eine KI-Anwendung. Recht muss immer auch interpretiert und umgesetzt werden.

Bei der DSGVO sind die Lösungen noch gar nicht fertig entwickelt und getestet. In der derzeitigen Debatte wird oft gesagt: „Ich weiß nicht, wie sich das technisch umsetzen lässt. Der Markt gibt das doch gar nicht her …“ Ja, aber dann muss man doch erst einmal überlegen, warum das so ist. Einige Datenverarbeiter haben sich jetzt mit einer Mini-Interpretation der DSGVO arrangiert, die aber nicht das Herz, nicht den Spirit aufgreifen.

Wenn Mark Zuckerberg fordert: „Lasst uns doch eine DSGVO für die ganze Welt machen“, dann heißt das vor allem, dass er die DSGVO nicht wirklich ernst nimmt und als zahnlos darstellt. Eine „DSGVO 2.0“ müsste meines Erachtens nach gar nicht viele Änderungen beinhalten. Wir bräuchten allerdings mehr Interpretation. Wie soll Videoüberwachung laufen? Was ist mit Sensorik? Was ist jetzt mit Cloud-Computing? Es bräuchte „mehr Butter bei die Fische“, was aber nicht bedeutet, dass man ganze Artikel oder Artikel-Teile wegwirft. Vor allem nicht, wenn noch gar nicht versucht wurde, es richtig umzusetzen.

Totschlagargument „Ich habe nichts zu verbergen“

netzpolitik.org: Beim Thema Datenschutz stößt man oft auf die Aussage „Ich habe nichts zu verbergen“ oder auch von Seiten der Politik: „Wer nichts zu verbergen hat, der hat auch nichts zu befürchten.“ Wie bewerten Sie solche Aussagen?

Marit Hansen: Das ist ein Totschlagargument. Der Satz „Ich habe nichts zu verbergen“ stimmt in den meisten Fällen nämlich nicht. Die meisten haben doch etwas, das sie lieber nicht öffentlich machen würden. Aber selbst wenn jemand auf einer solchen Aussage beharren würde, stellt sich ja als nächstes die Frage: „Was ist, wenn Informationen auf eine unfaire Art und Weise interpretiert werden?“

Vorurteile, die man selbst nicht kontrollieren kann, können dazu führen, dass Menschen Nachteile erleiden. Auch der Staat, in dem man lebt, kann sich vielleicht von heute auf morgen ändern. Es geht nicht nur darum, dass jeder Einzelne für sich meint „Ich hab doch nichts zu verbergen“.

Es geht um Strukturen, die uns als Gesellschaft möglicherweise steuerbar oder zumindest beeinflußbar machen. Datenschutz ist kein individualisiertes Problem. Wir brauchen deshalb noch stärker eine Diskussion darüber, wie aus den einzelnen verfügbaren Daten großer Firmen oder auch Behörden auf das Verhalten einer gesamten Gesellschaft geschlossen werden kann. Das ist eine Debatte, in die wir Datenschützer uns mit einmischen müssen.

netzpolitik.org: Vielen Dank für das Gespräch!