Seit zwei Jahren wirkt die Datenschutz-Grundverordnung (DSGVO) in Europa. Sie ist für die Anforderungen der Corona-Pandemie gewappnet. Die Regeln zum Gesundheitsdatenschutz, die von den Mitgliedstaaten umgesetzt werden müssen, erlauben das infektionsrechtlich Erforderliche, müssen allerdings im Detail noch umgesetzt werden. Das geschieht – denkt man an die "Corona-Warn-App" - durchaus unterschiedlich.
In Deutschland setzt man bei der Corona-Warn-App auf ein dezentrales Modell, das sich auf eine Speicherung der notwendigen Daten auf dem Endgerät beschränkt, während man in Frankreich die quasi anonymen Informationen zentral erfasst.
Ein funktionierender Datenschutz ist aktuell wichtiger denn je. Schließlich sind die Augen der Datengiganten aus aller Welt über Webcams, per Homeoffice und Homeschooling in den heimischen Arbeits- und Kinderzimmern allgegenwärtig. Auch die Überwachung des Datenschutzes spielt in der Krise eine wichtige Rolle, weil bei rasant wachsender digitaler Datenverarbeitung bedingt durch Videokonferenzen mahnt, die Privatsphäre zu achten.
Das gilt zum einen für die unabhängigen staatlichen Aufsichtsbehörden im Bund und in den Ländern. Es trifft aber ebenso für die betrieblichen und behördlichen Datenschutzbeauftragten zu, die mit ihrer wichtigen Beratungsfunktion ein Grundpfeiler für die Stabilität des Systems sind.
Was muss die Datenschutzaufsicht leisten?
Die meisten Unternehmen und öffentlichen Stellen sind redlich bemüht, den Anforderungen des Datenschutzes gerecht zu werden und sie leisten viel. Was dürfen sie von der Datenschutzaufsicht erwarten?
Vor allem praktische Hilfe bei der Umsetzung der Pflichten. Gerade jetzt kommt es nicht darauf an, in einer Vielzahl von Stellungnahmen zu erklären, was beim Einsatz von Videokonferenzsystemen und anderen digitalen Anwendungen grundsätzlich zu beachten ist und dafür hohe Hürden aufzustellen.
Entscheidend ist es jetzt, konkret zu erklären und im Dialog mit der Wirtschaft konstruktiv zu erarbeiten, welcher Dienst wie verbessert werden muss, damit er guten Gewissens eingesetzt werden kann. Bis sich diese Praxis etabliert hat, helfen weder Drohungen noch Hinweise auf image- und existenzvernichtende Bußgelder.
Das soll nicht von der Verantwortung der Unternehmen ablenken, die die DSGVO zu Recht diesen überträgt. Die Aufsichtsbehörden sind aber in der Pflicht, die Praxis durch einheitliche und umsetzbare Impulse positiv zu prägen, um Sicherheit zu erzeugen.
Bußgelder sind das letzte Mittel der Aufsicht
Ein Agieren der Aufsichtsbehörden durch das bloße Verhängen eines drakonischen Bußgeldes würde gerade bei unklarer Rechtslage das Gegenteil konstruktiver Begleitung der Umsetzung der DSGVO bewirken. Ein Bußgeld hat nämlich nicht die Funktion zu helfen, sondern es kann nur "bestrafen".
Bußgelder sind nach der Ratio der DSGVO im Rechtsstaat das letzte Mittel der Aufsicht. Sie können in eklatanten Fällen auch neben oder anstelle einer behördlichen Anordnung rechtmäßigen Verhaltens verhängt werden. Das müssen aber eindeutige Fälle unter klaren rechtlichen Verhältnissen sein.
Da zum Beispiel niemand genau weiß, wie eine Software zur Videokonferenz im Detail datenschutzkonform betrieben werden kann, solange unklar ist, wie die Datenschutzaufsicht den Stand der Technik definiert, handeln Behörden und Unternehmen oft im Nebel und können nur so verantwortlich und gewissenhaft agieren, wie die Umstände es zulassen.
Wirtschaft und Behörden brauchen Datenschutzaufsicht als Berater
Die Datenethikkommission hat den Aufsichtsbehörden ins Stammbuch geschrieben, dass sie mit einer Stimme sprechen müssen. Gerade in Zeiten, die Europa zur Digitalisierung zwingen, brauchen Wirtschaft und Behörden die Datenschutzaufsicht in ihrer Beratungsfunktion.
Dann, wenn klar ist, was das Datenschutzrecht im konkreten Fall erfordert und ein Verantwortlicher sich nicht an die Regeln hält, können Sanktionen auch in Form von Bußgeldern etwas bewirken. Das setzt aber voraus, dass die 18 Aufsichtsbehörden auch in komplexen Rechtsfragen mit einer Stimme sprechen.
Wenn man anstelle konkreter Vorschläge nur das Damoklesschwert der Datenschutzbußgelder sieht, dann macht das die schwere Zeit noch schwerer. Wenn es bei Massenanwendungen, wie dem Einsatz digitaler Hilfsmittel, keine einheitliche Linie der Aufsichtsbehörden für rechtmäßiges Verhalten gibt, dann sind Bußgelder ungeeignet, um rechtskonforme Zustände herzustellen, weil auch der nächste Versuch das Recht einzuhalten, ein Glücksspiel ist.
Brot statt Steine - so lautet die Devise
Konkrete und praxisgerechte Anwendungshilfen, nicht nur Leitplanke und Hinweise darauf wie es nicht geht, sind nun erforderlich. "Brot statt Steine". So lautet die Devise.
Die DSGVO verlangt gerade jetzt, nicht nur von Wirtschaft und öffentlichen Stellen Verantwortung zu übernehmen. Sie nimmt die Aufsichtsbehörden ebenso in die Pflicht und setzt auf sie. Die DSGVO weist ihnen mit der Möglichkeit, hohe Bußgelder verhängen zu können, viel Macht zu.
Damit korrespondiert ebenso viel Verantwortung. Nach zwei Jahren DSGVO stehen Reputation und Legitimation der Aufsicht ebenso auf dem Prüfstand, wie die von Unternehmen, öffentlichen Stellen und der DSGVO selbst, die aktuell evaluiert wird.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.