Im Gespräch mit Dr. Johannes Caspar, HmbBfDI

Prof. Dr. Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, erläutert im Gespräch mit com! professional, woran es im Datenschutz noch hapert und warum Datenschutz und Pandemiebekämpfung kein Widerspruch sind.

com! professional: Herr Professor Caspar, die Datenschutz-Grundverordnung (DSGVO) ist seit fast drei Jahren wirksam. Wie hat sich der Datenschutz in deutschen Unternehmen seither verändert?

Johannes Caspar: Dank der DSGVO wird das Thema Datenschutz in der Öffentlichkeit viel stärker wahrgenommen und diskutiert. Vor ihrer Einführung hatten wir zudem weder die Struktur noch die Instrumente, um Datenschutzverstöße wirksam zu ahnden.

Caspar: Absolut. Die Zahl der Beschwerden hat seit 2018 enorm zugenommen, was uns allerdings auch an den Rand der Arbeitsfähigkeit gebracht hat. Leider können wir nicht immer so helfen, wie es die Menschen gern wollen: Viele Vorschriften sind sehr unbestimmt und es herrscht ein Klima der Rechtsunsicherheit.

Caspar: Viele Webseiten verarbeiten personenbezogene Daten ohne Einwilligung der Betroffenen für Werbemaßnahmen. Wir haben auch vermehrt Fälle, in denen öffentlich erhobene Daten für private Zwecke missbraucht wurden. Die Videoüberwachung, vor allem im privaten Bereich, führt ebenfalls oft zu Beschwerden, ebenso die Überwachung durch den Arbeitgeber. Erschreckend ist zudem die Zahl gravierender Fälle von sexuell motivierten Aufnahmen in Hamburg, denen Kinder und Frauen zum Opfer fallen.

Caspar: Das hat leider überhaupt nicht funktioniert. Diese US-Unternehmen wurden weitgehend bei der Rechtsdurchsetzung im grenzüberschreitenden Datenverkehr verschont. Am Ende ist es nicht zielführend, wenn man den kleinen Bäcker um die Ecke belangt, die Großen aber laufen lässt. Das schadet der Popularität des Datenschutzes erheblich.

com! professional: Für die großen Digitalkonzerne ist die irische Datenschutzbehörde federführend zuständig, weil Google, Facebook und Co. dort ihren europäischen Hauptfirmensitz angemeldet haben. Dieses „One-Stop-Shop“-Prinzip, nach dem bei einer grenzüberschreitenden Datenverarbeitung nur die Behörde am europäischen Hauptsitz eines Unternehmens zuständig ist, steht von Anfang an in der Kritik. Gibt es Bestrebungen, dies zu ändern?

Caspar: Dazu gibt es keine konkreten Pläne. Wir haben bei der Evaluation der DSGVO zwei Jahre nach Inkrafttreten deutlich auf diese Probleme hingewiesen, aber die Europäische Kommission ist der Ansicht, es sei noch zu früh für Veränderungen. Leider fiel auch die Stellungnahme des Europäischen Datenschutzausschusses EDPB meiner Meinung nach zu positiv aus, die wirklichen Schwierigkeiten werden ausgeblendet.

Caspar: Da sind wir weit von einer Lösung entfernt. Prinzipiell gilt die DSGVO nach Maßgabe des Marktortprinzips zwar immer, wenn ein Unternehmen aus Drittstaaten sich mit Waren oder Dienstleistungen an Personen in der EU wendet. Doch ist unsere Durchsetzungsmacht in Drittländern schwächer. Auch gibt es in derartigen  Fällen keine federführende Behörde, es sind also alle 45 europäischen und deutschen Datenschutzbehörden zuständig.

com! professional: Wie gehen die Aufsichtsbehörden in Deutschland mit dem Thema Bußgeld um? Schonen sie die Unternehmen eher oder greifen sie hart durch?

Caspar: Das wird sehr unterschiedlich gehandhabt. Die Spanne reicht von Behörden, die sehr viele Bußgelder verhängen, bis zu solchen, die bisher gar nichts gemacht haben. Im Großen und Ganzen sind wir eher zurückhaltend, wenn es darum geht, Bußgelder gegen kleine und mittlere Unternehmen gerade in der Pandemie zu verhängen.

Caspar: Der Vollzug gegen Unternehmen am Standort hat sicher auch eine psychologische Dimension. Gerade hier bestehen mitunter Barrieren, hart durchzugreifen. Es wäre daher besser, wenn die Aufsicht auch in der EU zentral gelöst wäre - und nicht auf Ebene der Mitgliedstaaten.

com! professional: Der Europäische Gerichtshof hat im Juli vergangenen Jahres im sogenannten Schrems-II-Urteil erneut die Datenübermittlungsvereinbarung der EU mit den USA gekippt und nach dem Safe-Harbor- auch das Privacy-Shield-Abkommen für ungültig erklärt. Wie reagieren die Datenschutzbehörden darauf?

Caspar: Nach dem Safe-Harbor-Urteil haben wir in Deutschland durchaus Maßnahmen ergriffen - übrigens damals als einige der wenigen in Europa. Was Schrems II betrifft, so gibt es eine Taskforce, die von Hamburg und Berlin geleitet wird. Wir sind gerade dabei, einen Fragenkatalog zu erstellen, um Unternehmen anzuschreiben, die Dienstleister mit Sitz in den USA für ihre Zwecke einsetzen.

com! professional: Besteht hier nicht eine massive Diskrepanz zwischen dem Ausmaß der Verstöße und dem, was geahndet wird?

Caspar: Ja, und das ist das eigentliche Problem. Je größer dieses Delta ist, desto schwerer können wir den Menschen vermitteln, dass Datenschutz nicht nur auf dem Papier besteht, sondern wirklich gelebt wird. Also müssen wir irgendwo den Anfang machen. Die Diskrepanz muss aufgelöst werden, wenn man nicht vollends die Akzeptanz verlieren will.

Caspar: Ach, da werden viele bunte Legenden gestrickt. Wir sträuben uns ja nicht, Tatsachen anzuerkennen und über den Sinn und Zweck von Datenschutzmaßnahmen zu diskutieren. Aber wenn nur immer über und nicht mit dem Datenschutz geredet wird, ist eine sachliche Diskussion nicht zu führen.

Caspar: Die Corona-App beruht auf Quelloffenheit, Freiwilligkeit und Dezentralität, dazu haben wir geraten. Am Ende hat sich die Regierung für eine App entschieden, die diesen Grundsätzen folgt. 

Caspar: Aber was wäre denn die Alternative gewesen? Die deutsche Corona-App wurde über 25 Millionen Mal heruntergeladen. Dieser Erfolg ist klar auf das datenschutzfreundliche, dezentrale Konzept zurückzuführen. In Frankreich, wo man sich zunächst für eine zentrale Datenspeicherung entschieden hatte, erhielt die erste Corona-App „StopCovid“ kaum Akzeptanz in der Bevölkerung und musste durch eine datenschutzfreundlichere ersetzt werden.

com! professional: Es gibt ja auch immer wieder die Diskussion, die Nutzung der App verpflichtend zu machen …

Caspar: Wie soll das funktionieren? Die Menschen müssten dazu gezwungen werden, die App zu installieren und ihr Smartphone immer mit sich zu führen. Das könnte nur mit Geofencing, Videoüberwachung und anderen drastischen Maßnahmen gelingen. Die Diskussion verkennt, dass wir bei der App die Menschen mitnehmen müssen. Gern bin ich bereit, über andere Konzepte zu diskutieren, da sollte dann aber auch mehr kommen als eine pauschale Kritik und der Verweis auf Südostasien.

com! professional: Welche Auswirkungen hatte der Krisenmodus und die schnelle Digitalisierung auf die Datenschutzsituation in den Unternehmen?

Caspar: Wir haben einen massiven Digitalisierungsschub erlebt. Unternehmen wie Zoom sind geradezu explodiert. Das ist ja im Prinzip auch gut so. Stellen Sie sich vor, Corona wäre vor 30 oder 40 Jahren passiert. Wir hätten nur über das Festnetztelefon kommunizieren können, immer in der Angst vor einer ruinösen Telefonrechnung. Leider haben Unternehmen, aber auch Behörden und Bildungseinrichtungen die Zeit zwischen den beiden Lockdowns oft nicht genutzt, um für Alternativen zu sorgen. Sie verwenden nach wie vor marktübliche Lösungen zumeist der US-Anbieter, die man zwar schnell einsetzen kann, die aber alles andere als datensparsam sind und bei denen die Nutzung der Daten zum Geschäftsmodell gehört. Wir brauchen verlässliche und datenschutzgerechte Systeme. Es wird immer viel von Open Source gesprochen, aber in der Praxis ist davon nur wenig zu sehen.

Caspar: Nein, es wurden bislang weder Verbote ausgesprochen noch wurde jemand belangt, weil er Zoom oder Skype im Unterricht eingesetzt hat. Das heißt nicht, dass das in Ordnung ist.
Natürlich war es eine schwierige Zeit und wir mussten erst einmal dafür sorgen, dass die Kommunikation funktioniert. Mittlerweile gibt es mit Moodle und Big Blue Button ein datenschutzkonformes System. Leider läuft das offenbar noch nicht überall performant, sodass im Bereich der Schulen nach wie vor ein Flickenteppich besteht. Das ist zu verbessern und bedarf weiterer Anstrengungen. Solange jedoch das Parlament über Zoom kommuniziert, ist es Lehrern nur schwer zu vermitteln, etwas zu ändern.