Ein ereignisreiches Jahr, ach was sage ich, eine ereignisreiche Dekade neigt sich dem Ende zu! (Dekade klingt auch gleich viel dramatischer als Jahrzehnt.) Kurz bevor wir in die neuen 20er einsteigen, folgt hier der letzte Blogartikel des Jahres. Es hat zwar schon einen sehr ausführlichen Jahresrückblick der Artikel gegeben, trotzdem bietet es sich an, ganz allgemein zu reflektieren und gewissermaßen Bilanz zu ziehen.
Der Inhalt im Überblick
Was Ihr eigentlich alle wollt?
Die Frage aller Fragen – sofern sie sich überhaupt beantworten lässt – ihr müsste man sich natürlich am Anfang widmen. Und um das zu tun, muss man noch einen kleinen Schritt zurücktreten. Was hat uns dieses Jahrzehnt denn gebracht? Das Ganze ließe sich vermutlich mit jedem Buchstaben des Alphabets durchspielen, doch typische neuhochdeutsche „Buzzwords“ aus der vergangen Dekade ranken sich immer wieder rund um Begriffe wie App, Big Data, Blockchain, Drohnen, Gesichtserkennung, Künstliche Intelligenz, Profiling, Social Media, Sprachassistenten, Videoüberwachung – gerne in Verbindung mit großen amerikanischen Konzernen. Wo es uns wohl an allem mangelt, an Fachärzten, Handwerkern, Umweltschutz, Wohnraum, an einem mangelt es uns aber sicher nicht, an Daten.
Das ist der Moment, indem der Datenschutz die Bühne des Geschehens betritt, denn sobald personenbezogene Daten verarbeitet werden, möchten die geltenden Regeln den Menschen, der hinter diesen Daten steckt, vor Verarbeitungen schützen. Soweit so verständlich, soweit auch so löblich, stammt dieser Gedanke immerhin aus den ersten zwei Artikeln unseres Grundgesetzes.
Wer spielt mit wem und wer spielt gegen wen?
Schaut man sich die aktuelle Lage im Datenschutz an, ist die Zahl der aktiven Akteure begrenzt und die Rollen scheinen dabei klar verteilt.
In der eine Ecke des Spielfeldes haben wir Unternehmen. Diese sammeln bekanntermaßen gerne Daten zu unterschiedlichen Zwecken. Dabei sei erstmal dahingestellt, ob es sich um sinnvolle oder unnütze Zwecke handelt.
In der anderen Ecke stehen die Aufsichtsbehörden, die zumeist wenig Zweifel daran lassen, dass sie von digitalen Geschäftsmodellen wenig halten und gerne die engste Auslegung der datenschutzrechtlichen Normen für die einzig Wahre halten. Pragmatismus bei Problemen sucht man zuweilen vergeblich.
Dazwischen tummeln sich auf dem Spielfeld unter anderem auch noch die Datenschutzbeauftragten von Unternehmen, die nachfolgend aber nicht weiter beleuchtet werden sollen, da ihre Rolle natur- und gesetzesgemäß neutral gehalten ist und ihr Einwirken daher eher nicht von großem Gewicht ist. Auch Gerichte sind vorerst zu vernachlässigen, da diese zum einen nur die Rechtsstreitigkeiten entscheiden, die an sie herangetragen werden und zum anderen dann auch nur in dem Umfang, den die Streitenden entschieden haben wollen. Das Rechtsgebiet selbst und insbesondere die aktuellen Gesetze sind zu jung, als dass man den Gerichten in diesem Spiel schon eine der Hauptrollen zuweisen könnte.
Sind Aufsichtsbehörden die wirklichen „Big Player?“
Dieser Blog ist voll mit Artikeln zu dem Gebaren von Unternehmen – sei es über ihre Sammelwut, ihre Trickserei dabei oder auch den Pannen, die ihre Schwachstellen aufdecken. Das soll hier nicht weiter vertieft werden. Viel interessanter ist meines Erachtens die Rolle der Aufsichtsbehörden.
Um schon mal wenigstens diese Frage zu beantworten: sie sehen sich zumindest gerne in der Rolle des Big Player. DSGVO sei Dank!
Während sich der hessische Datenschutzbeauftragte noch mit den Worten:
„Wir haben zwar Zähne bekommen, sind aber nicht bissig geworden.“
zitieren lässt, gewinnt man einen eher bissigen Eindruck von den Aufsichtsbehörden. Bußgelder, Millionenbußgelder, Rekord-Bußgelder! Das Jahr 2018 galt noch als Jahr der Beratung und Kulanz. Man hatte Nachsicht aufgrund all der wirren, „neuen“ Normen und deren korrekten Anwendung.
2019 kam dann sehr schnell sehr viel Bewegung und gewissermaßen eine Vergoldung in den Datenschutz. Und was auch auffallend dabei war: Je höher das Bußgeld, desto größer auch die mediale Aufbereitung. Ebenso preschten die Behörden mehr denn je mit ihren Ansichten zu Themen, z.B. Drohnen oder Online-Tracking vor und fühlten sich bei letzterer auch von europäischer Rechtsprechung bestätigt.
Wirklich bissig oder doch eher zahnloser Tiger?
Behördenübergreifend sind es immer wieder Konzerne wie Facebook und Google, die als Zielscheibe ausgemacht werden. Und ja, die sind auch alle furchtbar böse und es ist richtig, dass man hier mal den Finger in die Wunde legt. Weil man an diese aber scheinbar eher schwierig herankommt, wird auf nationaler Ebene auf Unternehmen Druck ausgeübt, die sich solcher Anbieter bedienen.
Dennoch hat man auf der einen Seite ein wenig den Eindruck, dass die Behörden in einer fast utopischen Welt leben, wenn z.B. immer wieder nach mehr Informiertheit/Transparenz geschrien wird. Transparenz ist im Datenschutz kein Allheilmittel. Hinzu kommt, dass doch der einzelne Mensch im Mittelpunkt des Datenschutzes steht, da nur er geschützt werden soll. Und den scheint es sehr wenig zu kümmern, was die Unternehmen mit ihren Daten machen, denn trotz all der präsenten Datenschutz-Skandale ändert der gemeine Nutzer nichts an seinem Verhalten.
Auf der anderen Seite kommt daher bei mir die Frage auf, ob die Behörden mit ihrem Verhalten dem Datenschutz einen Gefallen tun. Es mag sein, dass die Bußgelder jeweils in der Sache nach zu Recht ergangen sind. Was aber auffällig ist: all die Verstöße, die zumindest hier in Deutschland geahndet wurden, waren schon vor Zeiten der DSGVO rechtswidrig. Und nicht nur bei dem Fall der Deutsche Wohnen war es so, dass das rechtswidrige Verhalten bereits vor dem 25. Mai 2018 durch die später Bußgeld-verhängende Behörde kritisiert wurde.
Die Mühlen mahlen langsam
… aber Langsamkeit passt nicht unbedingt in das Umfeld, in dem wir uns hier bewegen. Was ich als sehr misslich empfinde, ist dieses teils drohende Verhalten der Behörden gepaart mit einer teils fast fragwürdigen langsamen Arbeitsweise. Zitat aus einer Pressemitteilung des ULD:
„Vor einigen Jahren hatte ihre Dienststelle, das Unabhängige Landeszentrum für Datenschutz (ULD), vier Fitness-Studios in Schleswig-Holstein geprüft. Für alle vier Fitness-Studios stellte das ULD fest, dass die Videoüberwachung einiger Bereiche gegen das Datenschutzrecht verstieß, und untersagte daraufhin im Juni 2017 die Überwachung dieser Bereiche. Gegen die Anordnungen des ULD erhob der Betreiber der Fitness-Kette Klage. In der Zwischenzeit wurden die Kameras weiterhin eingesetzt. Am 19.11.2019 hat nun das Verwaltungsgericht Schleswig die Fälle verhandelt und die Klagen abgewiesen. Das bedeutet: Sobald das Urteil rechtskräftig ist, muss der Betreiber die Vorgaben der Anordnungen umsetzen. Betroffen sind Videokameras in Umkleiden, auf Trainingsflächen und in Aufenthaltsbereichen.“
Es ging um Videoüberwachung in Umkleidekabinen. Die Missstände waren jahrelang bekannt, es gab scheinbar nichts, was man den Betreibern entgegen setzen konnte oder wollte. Und das Ganze schreibt man auch noch in eine Pressemitteilung – als Erfolg für den Datenschutz. Wow…
Wenn man die Praxis etwas genauer kennt, weiß man, dass bis zum Erlass eines Bescheides einige Zeit ins Land geht und es in diesem Fall nicht allein an der Überlastung der Verwaltungsgerichte gelegen haben kann. Die DSGVO soll den Bürgern die Kontrolle über ihre Daten zurückgeben, doch scheinbar haben nicht mal Behörden ernsthafte Kontrollmöglichkeiten.
Kommt Zeit, kommt …?
2020 wird voraussichtlich nahtlos an 2019 anknüpfen – same, same but different. Die begonnene Bußgeldpraktik wird fortgesetzt werden und es wird sich an ähnlichen Themen wie dieses Jahr abgearbeitet werden. Was ich mir aber wünschen würde, wäre, dass die Behörden mal an den Punkten ansetzen, die wirklich Einfluss auf mein alltägliches Leben haben. Google verhindert eher weniger, dass ich meinen Onlinekauf finanzieren kann, eine Handyvertrag oder die Wohnung bekomme – das Stichwort SCHUFA sei an dieser Stelle mal genannt. Es gibt noch vieles mehr, was ich verbessert sehen wollen würde, aber dazu vielleicht an anderer Stelle mehr.
Nun bleibt abschließend vorerst nur noch der folgende Wunsch: Allen Lesern dieses Blogs einen guten Rutsch in das Jahr 2020! Wir bedanken uns recht herzlich für die vielen Kommentare, Hinweise und Einsendungen und versprechen, dass Sie auch im kommenden Jahr wieder jede Menge interessante, kuriose und hilfreiche Themen aus der Welt des Datenschutzes hier finden werden. Bis dahin, in alter Frische!
Schöne Zusammenfassung!
Bei den Akteuren wollte ich die Aufzählung gern erweitert wissen. Um mal nur für uns zu sprechen, die als freie Datenschutzdienstleister auf den Markt gegangen sind, um den Unternehmen (und hier gerade den KMUs) in der völligen Überforderung und Verunsicherung zu helfen (und am Ende eine win-win-win – Situation schaffen):
Manchmal fühlt man sich von den zahnlosen Papiertigern echt im Stich gelassen, denn mit der Vernachlässigung der Kontrollfunktion und Präsenz vor Ort (bei gleichzeitiger Arroganz), fehlt es bei Unternehmern tw. an Einsicht zur Notwendigkeit, bzw. an Erkennen des eigenen Risikos. Als Ergebnis wird man mit dreisten Lügen mit seinem seriösen und transparenten Dienstleistungsangebot wie so´ dummer Junge abgewimmelt.. (ein Stück weit normal bei Kaltaqkuise -.-)!
Der (scheinbar) hohe Bedarf deckt sich hier bei Weitem nicht mit unseren Erfahrungen -.-
Sehr geehrter Herr Kowalski, Sie sprechen mir aus der Seele. Solange nichts geprüft wird (gerade bei kleineren Organisationen mit Gesundheitsdaten) wird auch nichts umgesetzt. Vor dem Finanzamt hat man mehr Respekt. Ich hoffe, hier ändert sich mal was. Wenn es nicht mehr kontrolliert wird, dann braucht man auch kein Gesetz.