Manfred Kloiber: Es ist ein zweischneidiges Schwert: Wenn der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit einen dramatischen Anstieg der Beschwerden meldet, wie letzte Woche geschehen, dann kann das mit zunehmender Schlamperei in Firmen und Behörden zu tun haben. Es kann aber auch mit strengeren Regeln durch die Datenschutz-Grundverordnung und einem gleichzeitig gestiegenen Bewusstsein für die Problematik an sich zu tun haben. Wo also genau drückt der Schuh, warum bereitet ihm der deutliche Anstieg große Sorgen, das habe ich vor der Sendung Stefan Brink gefragt.
Stefan Brink: Wir sehen, dass die Zahl der bei uns gemeldeten Datenpannen, also wenn uns sogenannte verantwortliche Datenverarbeiter mitteilen, "Oh, da ist bei uns etwas schief gegangen", dass diese Zahl wirklich sprunghaft nach oben gegangen ist, sich mehr als verzehnfacht hat seit dem Mai 2018, also seitdem wir die Datenschutz-Grundverordnung haben. Das ist zum Einen natürlich ein Signal dafür, dass wir tatsächlich inzwischen in einer digitalen Welt leben und sehr viele Fehler dort eben auch passieren. Es zeigt aber eben auch, dass die Aufmerksamkeit in Sachen Datenschutz viel größer geworden ist und dass es eine gewisse Meldefreudigkeit gibt, sage ich mal.
Kloiber: Das heißt also, es gibt auf der einen Seite eine erhöhte Sensibilität, auf der anderen Seite auch verstärkte gesetzliche Anforderungen - aber wenn ich Sie richtig verstanden habe, geht es hier nicht um die Meldung von vorsätzlichen Datenschutzverletzungen, sondern eher um versehentliche?
Brink: Richtig, genau. Es geht um Pannen, also um Nachlässigkeiten, um den Umstand, dass man schlecht aufgestellt ist im technisch-organisatorischen Bereich. Dass man sich zum Beispiel hat hacken lassen, weil die eigene Firewall nicht funktioniert hat oder die Sicherungsvorkehrungen nicht gegriffen haben; um die Fragestellung geht es, und das nimmt ganz offensichtlich immer weiter zu.
Pannen-Meldungen werden automatisiert erfasst
Kloiber: Was bedeutet das denn für Ihre Behörde, belastet Sie das arg?
Brink: Na klar, das belastet uns so stark, dass wir das gar nicht mehr händisch entgegennehmen können, das sind zum Teil am Tag zehn oder 20 Meldungen, sondern wir haben uns ein eigenes Tool gebastelt, wo diese Datenpannenmeldungen entgegengenommen werden und wo wir die dann en bloc sichten können. Da schildern dann die Verantwortlichen, was für ein Fehler ihnen passiert ist und insbesondere auch, welche Maßnahmen sie getroffen haben, um den Schaden einzudämmen. Und das muss bei uns dann sozusagen im Akkord gehen, das heißt wir haben nicht viel mehr Zeit, als über die Meldung drüberzuschauen, zu schauen, welche Gegenmaßnahmen getroffen sind. Und wenn uns nichts Besonderes auffällt, dann kommt schon der nächste Fall dran.
Kloiber: Heißt das auch, dass sich das Datenschutzrecht ein wenig abschleift, weil einfach die Fälle zu viel werden?
Brink: So weit würde ich nicht gehen. Es ist tatsächlich so, dass wir, was unsere Inanspruchnahme angeht, in die Knie gehen. Wir kriegen ja nicht nur solche Datenpannenmeldungen, wir kriegen auch ganz normale Beschwerden von Bürgerinnen und Bürgern. Und wir kriegen vor allen Dingen sehr viele Beratungsanfragen, wo uns gesagt wird, "Dann helft uns mal weiter gefälligst", dass wir das in dieser Breite so nicht leisten können.
Dass wir also sehr, sehr stark in Anspruch genommen werden und trotz einer in Baden-Württemberg jedenfalls erfreulich guten Ausstattung - bei uns ist die Zahl der Mitarbeiter binnen zwei Jahren von 30 auf 65 gestiegen - dass wir trotz dieser besseren Ausstattung die Vielzahl von Aufgaben nicht mehr gleichzeitig erledigen können.
Seit der DSGVO "wird Datenschutz anders gespielt"
Kloiber: Ist das denn auch tatsächlich eine Folge, wo Sie sagen würden, "Ja, okay, wir wollten eine bessere Datenschutz-Grundverordnung - jetzt haben wir den Salat"?
Brink: Nein, eigentlich sind wir trotz dieser hohen Belastung immer noch sehr zufrieden mit der Datenschutzgrundverordnung. Sie war ein echter "Game Changer", also seitdem wird Datenschutz anders gespielt, auch in den Unternehmen, auch in den Behörden. Das hängt ganz wesentlich damit zusammen, dass die Strafen eminent höher geworden sind. Und zwar nicht nur die Strafen, die im Gesetz stehen, also die Bußgeldrahmen, bis zu 20 Millionen Euro kann ein einzelner Datenschutzverstoß kosten, sondern dass auch insgesamt die Aufmerksamkeit massiv größer geworden ist. Und das sehen wir natürlich als sehr positiv an.
Kloiber: Auf jeden Fall ist die Sensibilisierung so hoch, dass sich Unternehmen überlegen, daraus auch Geschäftsmodelle zu machen - just hat eine Firma den Geschäftsbetrieb aufgenommen, die Datenschutzvergehen für ihre Kunden rechtlich verfolgt; gegen Erfolgsbeteiligung. Was halten Sie davon?
Brink: Das ist ein zweischneidiges Schwert. Auf der einen Seite ist das eine aus meiner Sicht ganz normale Entwicklung, dass ein Bereich, der nicht nur in der öffentlichen Wahrnehmung, sondern auch im wirtschaftlichen Umfeld eine größere Bedeutung erlangt, auch mit solchen sagen wir mal innovativen Geschäftsmodellen erobert wird. Auf der anderen Seite wollen wir aber natürlich nicht, dass Datenschutz sozusagen zu Geld gemacht wird. Wir verstehen uns als Bürgerrechtler, wir verstehen uns als Stellen, die die Bürgerinnen und Bürger in der Wahrnehmung ihrer Rechte unterstützen. Und das heißt in erster Linie zu versuchen, dass diese Rechte nicht verletzt werden. Dass man aus solchen Verletzungen von Rechten auch möglicherweise Ansprüche auf Schadensersatz oder Schmerzensgeld herausziehen kann, das ist richtig und das ist auch ein wichtiger Gesichtspunkt. Aber das sollte nicht zu stark ins Zentrum rücken.
Datenschutz-Rechteverfolgung durch private Firmen
Kloiber: Aber wenn bei der Rechteverfolgung sozusagen private Firmen tätig werden und nicht der Datenschutzbeauftragte tätig werden muss, dann ist das ja auch eine Art Entlastung für Sie?
Brink: Ja, könnte man so sehen. Ich würde allerdings sagen, dadurch wird natürlich vieles von den Themen verlagert, nämlich am Ende vor Gerichte verlagert. Wir sehen, dass das neue Datenschutzrecht nicht so einfach zu verstehen ist. Das merken ja auch alle Verantwortlichen, die damit zu tun haben, dass es da viele Zweifelsfragen gibt. Und da jetzt mit dem Mittel der Schadensersatzforderung einzusteigen, ist ein relativ scharfes Schwert auf einem Terrain, das eben noch in vielen Bereichen nicht klar bestellt ist. Deswegen; natürlich hat der Einzelne Ansprüche darauf, seine Rechtsverletzungen auch sich erstatten zu lassen. Aber weder private Anbieter, noch, muss man auch deutlich sagen, die Gerichte sind aktuell in der Lage, die volle rechtliche Bandbreite der Datenschutz-Grundverordnung zu erfassen und dort wirklich jetzt schon substanziell beizutragen.
Kloiber: Bei den Fluggastrechten, die man ja als Blaupause für dieses Geschäftsmodell sehen muss, da geht es ja auch um Verbraucherrechte. Beim Datenschutz geht es um Grundrechte, das könnte auch eine problematische Kommerzialisierung dieses doch ziemlich hohen Rechtsgut sein?
Brink: Ja, das ist richtig. Man könnte jetzt sagen, so funktioniert unsere Marktwirtschaft, dass eben auch ganz zentrale Rechte am Ende finanziell bewertet werden. Aber es ist schon ein elementarer Unterschied, und wir sollten in erster Linie darauf achten, dass Grundrechte nicht verletzt werden. Und über Schadensbeseitigung muss man reden, aber immer erst an zweiter Stelle.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
