Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Mittwoch, 20. Februar 2019

Datenschutz

Kaum gerüstet

Von Christiane Schulzki-Haddouti | 8. Februar 2018 | Ausgabe 06

Die Aufsichtsbehörden von Bund und Ländern stellen sich für die Umsetzung der europäischen Datenschutzgrundverordnung auf – doch es mangelt an Personal, an Prüfmethoden und -werkzeugen.

BU Datenschutz
Foto: panthermedia.net/mixmagic

Die Datenschutz-Aufsichtsbehörden dürfen mit der neuen europäischen Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 wirksam wird, Bußgelder in Millionenhöhe verhängen. Sie müssen allerdings auch in der Lage sein, diese Bußgelder vor Gericht hieb- und stichfest durchzusetzen. Dabei dürfte die Güte der technischen Prüfungen und Audits eine wichtige Rolle spielen.

Zur EU-Datenschutz- grundverordnung

Doch, im Moment sieht es nicht so aus, als wären die Behörden gut aufgestellt. Nicht von ungefähr, sagt der baden-württembergische Landesdatenschutzbeauftragte: „Wenn man stärker in den Bußgeldbereich marschiert, muss man sich warm anziehen und auch in eigene Technik investieren“, so Stefan Brink. „Sonst wird einem das Verfahren schnell aus der Hand geschossen.“

Bisher gibt es nur wenige datenschutzspezifische Prüf- und Audit-Tools. Nur die Hälfte der deutschen Datenschutz-Aufsichtsbehörden verfügt über eine Art IT-Labor. Der baden-württembergische und der hessische Datenschutzbeauftragte haben für 2018 erstmals einen eigenen Budgetposten für das IT-Labor erhalten. Im Ländle ist dafür eine Stelle vorgesehen. In anderen Aufsichtsbehörden gibt es dafür kein separates Budget, das technische Personal wird nur fallweise für Prüfungen herangezogen.

Meist begnügen sich die Behörden mit juristischen Bewertungen, die auf Schriftverkehr und Fragebögen basieren – nur in Ausnahmefällen werden Vor-Ort-Kontrollen durchgeführt. Generell hängt es vom Prüfobjekt sowie den Prüfzielen ab, wie umfangreich und tief geprüft wird. Technische Überprüfungen von Websites, Anwendungen oder IT-Systemen finden in der Praxis bisher eher selten statt. Auch forensische Untersuchungen etwa von sichergestellten Datenträgern können nur wenige Behörden selbst durchführen.

Der Stellenaufbau ist bei allen Datenschutz-Aufsichtsbehörden ein Thema: Zum einen forderte das Bundesverfassungsgericht bereits mehrfach eine angemessene Ausstattung, um Prüftätigkeiten etwa im Sicherheitsbereich und bei sehr sensiblen Daten häufiger durchführen zu können. Zum anderen bringt die DSGVO bis zu 55 neue Aufgaben mit sich.

Zwei Gutachten belegen, dass die Aufsichtsbehörden erheblich mehr Personal brauchen, um den Anforderungen der Grundforderungen gerecht zu werden. Die Schätzungen liegen zwischen zwölf und 25 zusätzlichen Stellen pro Behörde.

Spürbare Aufstockungen gab es aber bisher nur bei etwa der Hälfte der Behörden. Die kräftigste Aufstockung erhielt die Bundesdatenschutzbeauftragte mit 49 neuen Stellen für 2017. Die Aufsichtsbehörde in Baden-Württemberg bekam erst vor wenigen Wochen für 2018 zwölf neue Stellen zugesprochen, im Jahr 2017 waren es acht. In anderen Behörden gab es fünf und weniger Stellen, teilweise sogar keine: Sachsens Datenschutzbeauftragter Andreas Schurig etwa hatte für 2017 30 neue Stellen gefordert – und keine einzige vom Landtag erhalten.

Stefan Brink sagt an die Adresse der Landtage: „Wir müssen diskussionsfähig sein. Wir stellen fest, dass viele Großunternehmen bereits seit einem Jahr intensiv daran arbeiten und eine Fülle von Fragen an uns haben.“ Die Datenschutzkonferenz von Bund und Ländern veröffentlichen seit einigen Monaten „Kurzpapiere“, in denen sie etwa das neue „Recht auf Löschung“, das Thema „Zertifizierung“ oder die neuen Auskunftsrechte der Betroffenen beschreiben.

Im Detail lassen diese Kurzpapiere jedoch vieles offen. Beispielsweise müssen die Aufsichtsbehörden künftig festlegen, für welche Datenverarbeitungen Unternehmen und Behörden vorab eine Datenschutz-Folgenabschätzung durchführen müssen.

Laut Grundverordnung zählt dazu bereits das Profiling, also das automatische Erstellen von Profilen unter Einbeziehung personenbezogener Daten. Auch bei der Verarbeitung besonders sensibler Daten wie Gesundheitsdaten oder bei einer „systematischen umfangreichen Videoüberwachung“ müssen die Risiken für die Rechte und Freiheiten des Betroffenen bewertet werden.

Auf einer Whitelist können die Behörden festlegen, für welche weiteren Datenverarbeitungen die Folgenabschätzung notwendig wird. Bislang gibt es diese Liste nicht. Ebenso wenig gibt es einen gemeinsamen Vorschlag, nach welcher Methode die Folgenabschätzung durchgeführt werden soll. Dabei läge eine Methode auf der Hand: das Standard-Datenschutzmodell (SDM), das die deutschen Aufsichtsbehörden seit Ende 2016 als „Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele“ erproben.

Das SDM stellt erstmals die Kontroll- und Beratungspraxis der Datenschutzaufsicht auf eine systematische Grundlage. So basiert die „Orientierungshilfe – Cloud Computing“, die festlegt, wie Clouds rechtskonform aufgesetzt werden können, bereits auf dem SDM. Außerdem ein 170 Seiten starker Maßnahmenkatalog, der ständig vom Arbeitskreis Technik der Datenschutzaufsichtsbehörden weiterentwickelt wird. Doch verabschiedet wurde er von den Behörden bis heute nicht, da er aufgrund des Personalmangels noch nicht fertig gestellt werden konnte.

Auch die Landesregierungen hinken mit der Umsetzung der DSGVO in die Landesgesetze dem Zeitplan hinterher: Erst wenige Gesetzentwürfe liegen vor – und keiner sieht aus wie der andere. Differenzen gibt es nicht nur hinsichtlich der unterschiedlichen Nummerierung und Ordnung der Paragrafen, sondern auch in inhaltlichen Details.

So etwa bei den maximalen Bußgeldern, die gegen Behörden und Personen in Behörden verhängt werden können. In Sachsen beschränkt sich der Betrag auf 25 000 € und in Bayern auf 30 000 €, während in Mecklenburg-Vorpommern und Brandenburg Verstöße mit bis zu 50 000 € geahndet werden können. Die Bußgeldhöhe gegenüber Unternehmen bleibt gleichwohl überall unverändert hoch. Johann Bizer, Chef des IT-Dienstleisters Dataport, der für mehrere Bundesländer als Full-Service-Provider für die öffentliche Verwaltung agiert, sieht das mit Sorge: „Für die Digitalisierung brauchen wir einen einheitlichen Datenschutz und keinen föderalen Flickenteppich.“  rb