Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Samstag, 16. Februar 2019

Datenschutz

Noch ein zahnloser Tiger

Von Christiane Schulzki-Haddouti | 15. November 2018 | Ausgabe 46

Seit Mai muss die europäische Datenschutzgrundverordnung umgesetzt werden. Doch die Aufsichtsbehörden machen von Sanktionsmöglichkeiten kaum Gebrauch.

bu dsgvo
Foto: Foto[M]: panthermedia.net/Datenschutz-Stockfoto/VDIn/gs

Auch Musterschüler Deutschland versagt noch bei der Durchsetzung der europäischen Datenschutzgrundverordnung.

Anfänglich war die Aufregung groß: Viele erwarteten mit der europäischen Datenschutzgrundverordnung (DSGVO) Sanktionen in Millionenhöhe. Das könnte der Fall sein, wenn große IT-Konzerne Nutzerdaten verkaufen, ohne die Betroffenen darüber zu informieren, oder Sicherheitslücken jahrelang nicht schließen. Doch bislang ist kaum etwas passiert. Einige wenige Abmahnungen von Rechtsanwälten an Website-Betreiber ohne Datenschutzerklärungen wurden gesichtet. Weil es jedoch nicht einfach ist, einen konkreten Schaden durch eine Datenschutzverletzung nachzuweisen, blieb die befürchtete Abmahnwelle bisher aus.

Die Sanktionierung von Datenschutzverstößen obliegt ohnehin staatlichen Aufsichtsbehörden. Zuständig sind in Deutschland 17 Landesbehörden – zwei davon in Bayern – und eine Bundesbehörde. Die Datenschutzgrundverordnung hat ihnen mehr Sanktionsmöglichkeiten in die Hand gegeben. Doch sie halten sich damit – wie schon in der Vergangenheit – stark zurück: Beratungen und Beanstandungen sind die Regel, Anordnungen und Bußgelder die Ausnahme. Die verhängen sie in geringfügigen Fällen nie, sondern fordern die Betroffenen auf, umgehend nachzubessern.

Zu jedem Gesetzesartikel lassen sich inzwischen strenge und weniger strenge juristische Auslegungen finden, je nach Perspektive und Rolle des Kommentators. Viele Rechtsfragen sind gesetzlich nicht eindeutig geklärt, doch die Zurückhaltung der Behörden verhindert die so notwendigen rechtlichen Klärungen vor Gericht.

Aus diesem Grunde sind auch die Prüfbögen problematisch, die die Aufsichtsbehörden in konzertierten Aktionen immer wieder an Firmen verschicken. Unternehmen müssen hier selbst Auskunft darüber geben, welche Datenschutzmaßnahmen sie ergriffen haben. Stellen sich die Angaben später bei Nachprüfungen als falsch heraus, drohen empfindliche Strafen. Weil aber die Prüfbogen nicht Teil eines ordentlichen Verwaltungsverfahrens sind, können Unternehmen rechtlich dagegen nicht vorgehen. Der Jurist Malte Engeler, heute Richter, früher in leitender Position bei einer Aufsichtsbehörde, sagt deshalb: „Die Aufsichtsbehörden scheuen weiterhin den Weg in die Verbindlichkeit.“

Der Grund für die Zurückhaltung liegt nahe: Zum einen erwartet die Politik von den Aufsichtsbehörden „Zurückhaltung“, zum anderen hat sie diese personell nicht in die Lage versetzt, größere Verfahren mit einer angemessenen Zahl an Mitarbeitern durchzuführen.

In kaum einem Bundesland erhielt eine Aufsichtsbehörde von der Politik nur annähernd den erforderlichen Stellenzuwachs – Experten waren zu dem Schluss gekommen, dass das Personal in den Behörden verdoppelt bis verdreifacht werden müsste. Dort, wo die Aufsichtsbehörden mehr Stellen bekommen, gelingt es ihnen kaum diese zu besetzen. Der Personalmarkt ist schwierig.

Im Ballungsraum Frankfurt bieten größere Kanzleien lukrativere Gehälter, als es der Staat kann, in der Region Stuttgart sind es die Unternehmen, die für die dringend benötigten Techniker interessanter sind. „Wir stehen in Konkurrenz zu Großfirmen, dort bekommen Bewerber bis zu 50 % mehr Gehalt – obwohl meine Behörde im Vergleich zu dem, was im öffentlichen Dienst üblich ist, gut zahlt“, erklärt der baden-württembergische Landesdatenschützer Stefan Brink.

Bei der Bearbeitung großer ausländischer Fälle sind jetzt schon Verwerfungen zu sehen: Aufgrund ihrer Ansiedlungspolitik für ausländische Konzerne müssen viele Fälle mit länderübergreifender Zuständigkeit von den Aufsichtsbehörden von Irland und Luxemburg bearbeitet werden. In Irland landen knapp 30 % (Facebook, Microsoft, Whatsapp, Groupon), in Luxemburg etwa 12 % aller Verfahren (Skype, Ebay). Deutschland folgt mit 11 % knapp hinter Luxemburg.

Alle übrigen Aufsichtsbehörden sind für weniger als die Hälfte der Fälle zuständig. „Diese Entwicklung wirft die Frage auf, ob diese beiden Aufsichtsbehörden in Irland und Luxemburg in der Lage sind, die Eingaben gut und zügig zu bewältigen“, sagt Brink, um in einem Atemzug zu versichern: „Die deutschen Aufsichtsbehörden werden das schaffen.“

Die Datenschutzgrundverordnung verlangt, dass sämtliche Aufsichtsbehörden in Europa das neue einheitliche Recht auch einheitlich anwenden. Alle Datenschutzbehörden müssen daher ihr Vorgehen abstimmen.

Doch der Austausch muss sich erst einspielen. Werden Verfahren über mehrere Behörden abgestimmt, sind die Reaktionsfristen knapp gesetzt. Mitunter hat eine Aufsichtsbehörde nicht mehr als einen Tag Zeit, um ihre Stellungnahme abzugeben. Antwortet sie nicht fristgerecht, wird ihre Position als Enthaltung gewertet. Hinzu kommt, dass die federführende deutsche Landesbehörde im Europäischen Datenschutzausschuss in der Regel selbst nicht vertreten ist.

In Deutschland ist der Bund vor allem für die Bundesbehörden sowie für Post und Telekommunikation verantwortlich. Alle anderen Branchen werden von Landesaufsichtsbehörden betreut. Diese haben jedoch im Europäischen Datenschutzausschuss im Moment keinen Vertreter, weil sich die Bundesländer nicht auf einen Ländervertreter einigen können. Die CDU setzt zudem darauf, dass über kurz oder lang der Bund die Aufsicht über die DSGVO bei Unternehmen allein übernimmt.

Die Durchsetzung der Datenschutzgrundverordnung stockt auch im Musterland Deutschland auf allen Ebenen. Verbraucher, die sich auf ein entschlossenes Vorgehen gegen große IT-Konzerne gefreut haben, werden sich noch gedulden müssen.