Datenschutzkonferenz zur DSGVO: Zwischen Bürokratie und Entschlossenheit
Die Umsetzung der Datenschutz-Grundverordnung stockt noch. In Köln wurde die Hoffnung auf einen schnellen Kompromiss bei der E-Privacy-Verordnung gedämpft.
Bundesdatenschutzbeauftragte Andrea Voßhoff auf der 42. Datenschutzfachtagung.
(Bild: heise online / Torsten Kleinz)
"Wenn wir die Digitalisierung nur unter ökonomischen Gesichtspunkten betrachten, kann sie nicht gelingen." Mit diesem Appell hat die Bundesbeauftragte für den Datenschutz Andrea Voßhoff eine vorsichtig positive Bilanz der Datenschutzgrundverordnung gezogen. Auf der 42. Datenschutzfachtagung (DAFTA) der Gesellschaft für Datenschutz und Datensicherheit (GDD) in Köln stellte sie die Fortschritte des Europäischen Datenschutzausschusses vor, der die Umsetzung der neuen Gesetze koordiniert.
Verunsicherung dank Klingelschildern
Verärgert zeigte sich Voßhoff über die vielen falschen Behauptungen, die in der Öffentlichkeit zu der DSGVO kursierten – von unnötigen Unterschriften in der Arztpraxis bis zur Posse um Wiener Klingelschilder. Noch sei es allerdings nicht zu spät, die Öffentlichkeit korrekt zu informieren. Dazu wünschte sich Voßhoff eine bessere Begleitung durch die Politik, um klarzumachen, dass es bei dem Gesetzeswerk um den Schutz der Bürger gehe. Auch von der Stiftung Datenschutz wünscht sich Voßhoff mehr Unterstützung.
Die Arbeit im Europäischen Datenschutzausschuss laufe inzwischen auf vollen Touren. Laut einer Umfrage unter den nationalen Datenschutzbehörden wurden seit dem 25. Mai 185.000 Datenschutzverletzungen gemeldet, EU-weit gab es 45.500 Beschwerden, die nun abgearbeitet werden müssen. Dies zeige auch, dass die Bürger ihre Schutzrechte wahrnehmen. Daneben arbeite das Gremium an wichtigen Leitlinien, etwa zur datenschutzkonformen Vertragsgestaltung.
Endlich: Datenschutz mit Zähnen
Ein weniger positives Bild zeichnete der Hamburgische Landesbeauftragte für Datenschutz und Informationsfreiheit Johannes Caspar in Köln: Die Behörden schwankten "zwischen Überforderung und Entschlossenheit". Auf der einen Seite lobte Caspar das neue Instrumentarium wie die wesentlich höheren Bußgelder, die den Datenschutz von seiner Zahnlosigkeit befreit haben. Andererseits habe seine Behörde die Beratung von Unternehmen wegen der Flut von Beschwerden derzeit einstellen müssen.
Angesichts des bürokratischen Überbaus, der die Datenschutzbehörden in Europa und die 18 Datenschutzbeauftragten in Deutschland auf eine Linie bringen soll, zeigte sich Caspar skeptisch. "Wir haben unterschiedliche Standards in Europa – das sehen wir immer wieder", erklärte er. Sine Behörde war im vergangenen Jahr zunächst erfolgreich gegen die Datenweitergabe zwischen WhatsApp und dem Mutterkonzern Facebook vorgegangen. Doch nach dem Inkrafttreten der DSGVO habe das Unternehmen einfach einen neuen Anlauf unternommen. Auch ein Bußgeld-Verfahren wegen der Datenaffäre um Cambridge Analytica gegen Facebook habe sein Haus einstellen müssen. "Das ist unbefriedigend", sagte Caspar.
Gleiche Standards per Bürokratie?
Caspar vermisst noch Erfolge bei der Arbeit des Europäischen Datenschutzausschusses, der eigentlich verhindern solle, dass sich ein Unternehmen gezielt im Land mit den schwächsten Datenschutzstandards selbst aussucht. Bis heute sei unklar, welche Datenschutzbehörde für Google federführend zuständig sei. Hier gebe es zudem eine enorme Ungleichverteilung: Viele Konzerne hätten ihre Europa-Zentralen in Luxemburg oder Irland angesiedelt. Hier müsse das Gremium noch Handlungsfähigkeit beweisen. Es sei ein schmaler Grat, einen europäischen Standard in sogenannten Kohärenzverfahren durchzusetzen und nicht in die Unabhängigkeit der Datenschutzbehörden einzugreifen.
Unterdessen warten alle Beteiligten auf die Verabschiedung der E-Privacy-Verordnung, die zusammen mit der Datenschutz-Grundverordnung überfällige Fragen bei der Datenverarbeitung im Internet klären soll. Rolf Bender vom Bundeswirtschaftsministerium machte den DAFTA-Besuchern wenig Hoffnung auf eine bevorstehende Einigung. Die Bundesregierung sehe sich derzeit außer Stande, den von Österreich vorgelegten Vorschlägen zuzustimmen und damit das Trilog-Verfahren mit dem Europäischen Parlament und der Kommission in Gang zu bringen.
Streitpunkt Cookies
Laut Bender gibt es noch einige Streitpunkte. Die Bundesregierung wolle Kommunikationsdiensten zwar die Möglichkeit geben, Metadaten wie der Standort für Nutzer von Messengern zu statistischen Zwecken auszuwerten, Österreich dagegen wolle auf diese Zweckbindung verzichten. Auf der anderen Seite besteht Deutschland darauf, dass werbefinanzierte Websites die Nutzung ihres Angebots trotz des Kopplungsverbots der DSGVO davon abhängig machen können, dass die Nutzer Werbecookies zustimmen.
In einzelnen Punkte wie der Regelung der Datenerfassung bei Geräten wie Smartmetern hat die Bundesregierung selbst noch keine gefestigte Meinung gebildet. Insofern sei es zunehmend unwahrscheinlich, dass die E-Privacy-Verordnung bis zur Europawahl im kommenden Jahr verabschiedet werden könne. Dies bedeutet, dass sich das lang erwartete Gesetzgebungsverfahren wohl noch bis 2020 hinzöge.
In Sachen Cookie-Regulierung könnte die e-Privacy-Regulierung von der Realität überholt werden, betonte United Internet-Manager Jan Oetjen, der auf der Konferenz für die Login-Allianz NetID warb. Zum Beispiel habe Apple mit seiner Blockade von Third-Party-Cookies die Werbeindustrie jenseits von Google und Facebook wesentlich geschwächt, während sich die US-Branchenriesen immer größere Datenbestände aneigneten. Facebook habe seine Nutzer bei der Umstellung auf die Datenschutz-Grundverordnung erfolgreich darum gebeten, Funktionen wie die Gesichtserkennung freizuschalten. Dieser Vormacht könne man nur begegnen, wenn sich europäische Unternehmen endlich auf eine gemeinsame Lösung einigten.
Betriebliche Datenschutzbeauftragte nicht bedroht
Unterdessen ist auch die Gesetzgebungsarbeit in Deutschland noch lange nicht abgeschlossen. Der für Datenschutz zuständige Referatsleiter im Bundesinnenministerium Stefan Sobotta dämpfte die Hoffnung, dass der Bundestag noch in diesem Jahr das zweite Datenschutzanpassungs- und Umsetzungsgesetz verabschieden werde, mit dem 154 deutsche Gesetze an die Neuerungen der Datenschutzgrundverordnung angepasst werden sollen. Gleichzeitig sei nicht zu erwarten, dass in dem Gesetz die Pflicht zur Einsetzung eines betrieblichen Datenschutzbeauftragten wesentlich geschwächt werde. Es seien zwar entsprechende Änderungsanträge im Bundesrat eingereicht worden – diese seien aber im Plenum durchgefallen. (anw)
