DSGVO: EU-Datenschutzausschuss will sich WhatsApp und Facebook zur Brust nehmen
In Brüssel hat sich am "DSGVO-Tag" das neue Entscheidungsgremium der EU-Datenschutzbeauftragten konstituiert. Weit oben auf der Agenda der Aufseher ist der Datenabgleich, den WhatsApp trotz Verbots mit Facebook gestartet hat.
(Bild: kb-photodesign/Shutterstock.com)
Auf den am Freitag in Brüssel aus der Taufe gehobenen Europäischen Datenschutzausschuss kommt viel Arbeit zu. Über das unabhängige Gremium, das die sogenannte Artikel-29-Gruppe ersetzt, sollen die EU-Datenschutzbeauftragten für eine konsistente Anwendung der Datenschutzgrundverordnung (DSGVO) sorgen. Die Aufsichtsbehörden übernähmen damit jetzt das Ruder, konstatierte der Hamburgische Datenschutzbeauftragte Johannes Caspar nach der ersten Vollversammlung des Gremiums bei einem Seminar der Europäischen Akademie für Informationsfreiheit und Datenschutz EAID in Berlin. Davon hänge mit ab, ob sich die neuen Regeln "als Top oder Flop" herausstellten.
Als einen der ersten Fälle werde der Ausschuss als nun schlagendes "Herz des Datenschutzes" die jüngst gestartete Datenweitergabe von WhatsApp an den Mutterkonzern Facebook erörtern, kündigte Caspar an. Der Kontrolleur erinnerte daran, dass der Betreiber des sozialen Netzwerks im Streit über das von ihm verhängte Verbot eines solchen Austauschs für deutsche Anwender vor Gericht zweimal verloren habe. Jetzt habe Facebook die Nutzungsbestimmungen für WhatsApp aber trotzdem so verändert, dass "genau die verbotenen Daten ausgetauscht werden". Dabei handelt es sich etwa um die Telefonnummer sowie umfassende Geräte- und Nutzungsinformationen. Auch ein Transfer an "vertrauenswürdige" Dritte wird nicht ausgeschlossen.
Datenschutzbestimmungen als eine Art Erpressung
(Bild: Stefan Krempl)
Damit könnten Mutter und Tochter "Massendatenabgleiche zwischen europäischen Nutzern machen", ärgerte sich Caspar. Für diese Praxis liege aber weder eine informierte Einwilligung der Betroffenen noch ein berechtigtes Interesse beider Firmen vor. Facebook laufe mit der Initiative daher sehenden Auges "gegen die Wand".
Der Datenschützer freute sich zugleich, dass auch der Aktivist Max Schrems mit der von ihm gegründeten Plattform noyb Druck mache und Beschwerden gegen die breiten Einwilligungsklauseln von Facebook, Google, Instagram und WhatsApp bei europäischen Kontrollbehörden eingereicht hat. Wenn der Österreicher die Nutzern abgerungene Zustimmung in neue Datenschutzbestimmungen als eine Art Erpressung bezeichne, habe er damit "nicht ganz unrecht", meinte Caspar. Von einem freiwilligen Akt könne "nur bedingt" die Rede sein, wenn man den Dienst andernfalls nicht mehr nutzen könne. Solche Anstöße von außen seien wichtig, damit derlei Themen nicht versackten.
Bewährungsprobe für Datenschutzausschuss
Auf dem Gebiet der Einwilligung und dem in der DSGVO festgelegten Koppelungsverbot zwischen dem Zugang zu Diensten und einem Plazet zur Datenverarbeitung werde sich insgesamt "eine gewisse Revolution breitmachen", prophezeite Caspar. Das Geschäftsmodell vieler datengetriebener Konzerne dürfte damit nicht mehr rechtmäßig sein. Bevor der Datenschutzausschuss entsprechende Beschlüsse fassen könne, müsse er aber eine Bewährungsprobe durchlaufen und trotz eines sehr komplizierten Abstimmungs- und Kohärenzverfahrens zu gemeinsamen Entscheidungen kommen.
Zum Auftakt des Brüsseler runden Tischs, deren Vorsitz die österreichische Datenschutzbeauftragte Andrea Jelinek übernommen hat, waren sich alle Beteiligten einig, die bereits vom Vorgängergremium angenommenen Richtlinien zur Auslegung entscheidender Konzepte der Verordnung vollständig anzuerkennen und zu übernehmen. Das entsprechende Set umfasst neben Stellungnahmen zur Einwilligung etwa auch ein Papier mit einer breiten Interpretation des neuen Rechts auf Datenportabilität, das der Internetwirtschaft schwer auf dem Magen liegt.
Deutsche Datenschutzvorgaben wurden bislang nicht eingehalten
Derlei Auslegungen bezeichnete Caspar als erforderlich, da die DSGVO eine "hohe Zahl an unbestimmten Rechtsbegriffen" enthalte. Im Gesetzgebungsprozess sei in diesem Punkt nicht alles perfekt gelaufen. Der Kontrolleur räumte ferner ein, dass einige der neuen Regeln "stark bürokratisch aufgeladen" seien und so "für jeden Datenverarbeiter einen Mehraufwand bedeuten". Parallel machte er eine große Schere "zwischen Sein und Sollen" bei der Anwendung der schon seit Jahrzehnten bestehenden deutschen und europäischen Datenschutzvorgaben aus. Viele hätten sich an das, was längst im Gesetz stehe, schlicht nicht gehalten. Jetzt reagierten sie unwirsch, da in solchen Fällen erstmals hohe Bußgelder drohten.
(Bild: Stefan Krempl)
Viele der Bestimmungen stünden schon seit Jahren hierzulande im Bundesdatenschutzgesetz, bestätigte Susanne Dehmel vom Digitalverband Bitkom. Keine Kontrollbehörde habe sie bislang aber durchgesetzt, da die Mittel der Aufseher sehr begrenzt gewesen seien. "Das holt uns gerade ein", gab die Lobbyistin zu. Viele Detailfragen seien bei der DSGVO und der noch zu beratenden, voraussichtlich zu noch größeren Panikreaktionen führenden E-Privacy-Verordnung aber noch offen und führten zu Rechtsunsicherheit.
Datenschutz-Akzeptanz bei Unternehmen und Bürgern
Laut Dehmel erschweren vor allem die strengen Auflagen für Einwilligungen und zur Zweckbindung digitale Geschäftsstrategien. Wenn Firmen daher dafür plädierten, etwa an das Prinzip der Datenminimierung noch einmal heranzugehen, heiße dies aber nicht, dass sie "wahllos viele Daten anhäufen" wollten. Der derzeit zu betreibende Aufwand, Genehmigungen selbst für den Versand von Newslettern einzuholen, sei "nicht mehr vermittelbar". Damit drohe der Datenschutz "die Akzeptanz bei den Unternehmen und den Bürgern zu verlieren". (bme)
