Deutschlands Datenschutzbehörden haben getagt. Vier Punkte stehen aktuell im Vordergrund: mehr Forschung mit Daten, die Überprüfung von Parlamentsgremien, Betreiber von Facebook-Fanpages kontrollieren und Gastzugänge für Onlineshops. Das hat es damit auf sich.
Datenschutz ist Menschenrechtsschutz. Europa steht unter Druck durch Pandemie und Krieg und die Bedeutung von Bürger- und Wirtschaftsrechten wird besonders deutlich.
Datenschutz ist in Europa Sache der datenverarbeitenden Stellen in Wirtschaft und Staat. Sie sind verantwortlich und stehen unter unabhängiger, behördlicher Aufsicht. Sie wird in Deutschland durch zahlreiche unabhängige Behörden wahrgenommen.
Was ist die Datenschutzkonferenz?
Ein Teil dieser Behörden, nämlich die unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich in der Datenschutzkonferenz (DSK) zusammengeschlossen. Das Gremium ist gesetzlich nicht vorgesehen, rechtlich nicht erforderlich und dennoch sinnvoll.
Schließlich koordinieren und organisieren die vielen Datenschutzbehörden sich hier selbst, um ihre Unabhängigkeit in einheitliche Positionen zu gießen. Sie sind beim Vollzug des Rechts – jede Behörde für sich und in ihrer Gesamtheit als DSK - im europäischen Verwaltungsverbund an die Positionen ihrer europäischen "Dachorganisation" den Europäischen Datenschutzausschuss gebunden. So will es die Datenschutz-Grundverordnung (DS-GVO).
Im März 2022 hat die DSK ihre aktuelle Agenda vorgestellt. Die Pressekonferenz des amtierenden Vorsitzenden, des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, zur 103. Datenschutzkonferenz ist ein begrüßenswertes Novum. Die DSK steht Rede und Antwort, so wie es sich im transparenten Staat für Behörden gehört. Auf der aktuellen Agenda stehen vor allem vier Themen.
Erstens: Forschungsdatenverarbeitung fördern
"Wissenschaftliche Forschung – selbstverständlich mit Datenschutz", lautet das erste Thema. Die Datenschützer fordern mehr Verarbeitung auch personenbezogener Daten für die Forschung und berufen sich zu Recht auf das Forschungsprivileg der DS-GVO.
Der Gesetzgeber müsse hier Rechtsgrundlagen schaffen. Die Mittel zur Ermöglichung sind Anonymisierung, Pseudonymisierung und Datentreuhänderschaften. Hier trifft die DSK einen wichtigen Kern, insbesondere in der nicht enden wollenden Pandemie und verdient Zustimmung.
Lesen Sie auch: Digitalisierung des Gesundheitswesens: Daten sind unverzichtbar
Zweitens: Rechtswidrige Soziale Netzwerke abschalten
Die DSK will sich um die Betreiber von Facebook-Fanpages kümmern. Auf Grundlage der Rechtsprechung zweifelt das Gremium die rechtliche Zulässigkeit der Facebook-Auftritte von Behörden und Unternehmen an. Die DSK will wegen ihrer Vorbildfunktion zunächst staatlichen Stellen auf den Zahn fühlen und hat nächste Schritte für ein koordiniertes Vorgehen angekündigt.
Das Thema steht rechtlich betrachtet in der Tat seit Jahren an. Die DSK hat dazu ein Gutachten vorgelegt. Behörden auf allen Ebenen des Staates, einschließlich Gerichten, in Krisenzeiten einen zentralen Kommunikationskanal abzuschneiden, ist politisch ausgesprochen ambitioniert.
Von der Wirtschaft, die ohne soziale Netzwerke kaum kommunizieren kann und die Angebote für das Marketing nutzt, ganz zu schweigen. Hier wäre es interessant zu wissen, welche Alternativen die DSK sieht. Steine statt Brot wäre ja kein gutes Motto. Bei Licht betrachtet müssten übrigens auch Dienste wie Instagram, TikTok und Twitter auf den Prüfstand.
Wichtig scheint es in dieser Situation insbesondere zu sein, dass die Aufsichtsbehörden sich nicht nur um Behörden und Unternehmen kümmern. Diese sind ja, wenn man so will, nur Geiseln der faktischen Alternativlosigkeit und Abhängigkeit. Der BfDI ist für den Onlinedatenschutz bei Facebook & Co zuständig.
Da läge es nahe und wäre der ratlosen Wirtschaft gegenüber nur fair, sich trotz aller Sperrigkeit der Gegner aus Silicon Valley und aller europarechtlicher Grenzen um die Wurzel des Übels zu kümmern. Allerdings kann man das Problem nicht in Deutschland lösen. Mangels Zuständigkeit in Deutschland muss der Weg über den Europäischen Datenschutzausschuss gehen, wo der BfDI für ein konzertiertes Vorgehen sorgen kann.
Drittens: Untersuchungsausschüsse kontrollieren
Ein anderes politisch heißes Eisen ist das Speichern von Daten von parlamentarischen Untersuchungsausschüssen. Hier ist nicht das begrüßenswerte Sachanliegen bemerkenswert, denn auch Untersuchungsausschüsse unterliegen dem Datenschutzrecht.
Die entscheidende Frage lautet, ob Datenschutzaufsichtsbehörden die Kompetenz besitzen, parlamentarische Gremien zu prüfen, wie der EuGH das für einen parlamentarischen Untersuchungsausschuss in Hessen ohne Begründung angenommen hat. Mit parlamentarischen Kontrollrechten wird der Europäische Gerichtshof sich bald erneut befassen müssen.
Unter Verweis auf mangelnde Kompetenz und den EuGH könnten zumindest Parlamente in Bund und Ländern den Aufsichtsbehörden die Tür weisen, wenn sie ihnen Facebook verbieten wollen. So könnten Parlamentarier und Parlamentarierinnen in Bund und Ländern auch weiter bei Facebook bleiben. Ministerien und Gerichte sind aber auch ein interessanter Prüfgegenstand.
Viertens: Gastzugänge für Bestellungen beim Onlinehandel
Wer online shoppen möchte, der muss häufig ein Kundenkonto erstellen. Dass man mit der Anmeldung dauerhaft Gegenstand der Datenverarbeitung für ein Unternehmen wird, stört die DSK. Wer den Shop digital nur als Gast nutzen wolle, müsse nicht in dieselben Datennutzungen einwilligen wie ein Stammkunde.
Die DSK erwartet deshalb von der Wirtschaft die Möglichkeit, einen datensparsamen Gastzugang anzubieten. Die Onlinewirtschaft könnte sich dadurch in schweren Zeiten gegängelt fühlen.
Das neue deutsche Onlinerecht sieht übrigens schon eine andere gute und zukunftsweisende Lösung für rechtskonforme Logins vor. Sie liegt im treuhänderreichen Einsatz von Diensten zur Einwilligungsverwaltung, die mit Logins verbunden sind. Der Gesetzgeber hat hier eine Idee der Datenethikkommission der Bundesregierung im Sinne von Bürgerinnen und Bürgern und Wirtschaft umgesetzt.
Wer beim Gastzugang Recht hat, ist offen. Die Erwartung der DSK ist bürgerrechtlich verständlich. Ob sie wirtschaftlich sinnvoll ist, müssen die Unternehmen entscheiden. Ob der Wunsch der DSK rechtlich gestützt werden kann, entscheiden die Gerichte.
Lesen Sie auch:
- Cookies als Auslaufmodell – Bald könnte es eine Alternative zu Cookie- Bannern geben
- Umfrage zu Krieg: Jeder Vierte fürchtet persönlichen Cyberangriff
- Sicherheitsproblem: Warum Sie jetzt Ihren Chrome-Browser aktualisieren sollten
Die DSK muss sich an ihre Entschließungen halten. Bürgerinnen und Bürger sowie die Wirtschaft binden die Positionen wie alle Behördenentscheidungen erst und nur dann, wenn sie von der Behörde in einen konkreten Bescheid gegossen worden sind, den ein Gericht bestätigt hat. Bis dahin sind sie Impulse für Diskussionen.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.