ULD-Engagement in Sachen Datenschutz
Hinsichtlich des Datenschutzes bei Facebook zielten die ersten ULD-Aktivitäten darauf, in Schleswig-Holstein ansässige Stellen im Rahmen des rechtlich Möglichen zur Verantwortung zu ziehen
Aufgaben einer Datenschutzbehörde können nicht darauf beschränkt werden, das geltende Recht durchzusetzen
(10.04.13) - Der Landesbeauftragte für Datenschutz Schleswig-Holstein legt seinen 34. Tätigkeitsbericht für den Zeitraum 2011 bis 2013 vor. Auf 169 Seiten wird darin beschrieben, was die Dienststelle des Unabhängigen Landeszentrums für Datenschutz (ULD) in den letzten zwei Jahren tat, um angesichts globaler technischer Herausforderungen und ökonomischer Interessen dem Grundrecht auf informationelle Selbstbestimmung in Schleswig-Holstein Geltung zu verschaffen.
Facebook
Exemplarisch für diesen Versuch ist die Auseinandersetzung des ULD mit der sich als soziales Netzwerk präsentierenden globalen Werbeplattform Facebook. Diese prägte stark die öffentliche Wahrnehmung der Tätigkeit des ULD im Berichtszeitraum (Tz. 1.5, Tz. 4.7.1, Tz. 7.1). Die Auseinandersetzung begann damit, dass das ULD nach entsprechenden Beschwerden von Bürgerinnen und Bürgern aus Schleswig-Holstein sogenannte Social-Plugins wie den "Gefällt mir"-Button und Fanpages bei Facebook aus Datenschutzsicht überprüfte. Viele Stellen in Schleswig-Holstein nutzen das Angebot, entziehen sich aber bis heute der daraus resultierenden datenschutzrechtlichen Verantwortlichkeit. Das ULD befasst sich seitdem – in enger Kooperation mit anderen Aufsichtsbehörden in Deutschland und in Europa – mit den datenschutzrechtlich relevanten Sachverhalten dieser Plattform. Dazu gehören u.a. die Änderung von Nutzungsbedingungen und Datenschutzregeln, der Einsatz von Algorithmen zur Gesichtserkennung oder die Erzwingung der Angabe von Klarnamen bei der Anmeldung und der Präsentation in dem Netzwerk.
Es geht dem ULD nicht um ein kompromissloses Durchsetzen materiell-rechtlicher Datenschutzregelungen. Vielmehr berücksichtigt das ULD in seiner Bewertung und seinen Vorschlägen auch die ökonomischen Wettbewerbsbedingungen schleswig-holsteinischer Unternehmen, das Datenschutzbewusstsein der Nutzerinnen und Nutzer, in Politik, Wirtschaft und Verwaltung und generell in der Öffentlichkeit sowie die Funktionalität von Diensten und den Mangel an datenschutzkonformen Alternativen.
Instrumentenmix: von der Prävention bis zur Repression
Hier wie auch in allen anderen Bereichen der Tätigkeit des ULD zeigt sich, dass die Aufgaben einer Datenschutzbehörde nicht darauf beschränkt werden können, das geltende Recht durchzusetzen, sondern dass ein Ansatz verfolgt werden muss, der unterschiedliche Disziplinen wie Pädagogik, Psychologie, Kultur, Ökonomie und Politik ebenso einschließt wie Recht und Technik.
Demgemäß engagiert sich das ULD in Sachen Datenschutz – und natürlich auch im Bereich der Informationsfreiheit – in der Öffentlichkeitsarbeit und Beratung, in der Datenschutzakademie Schleswig-Holstein, mit dem Innovationszentrum ULD-i im Rahmen der Erstellung von Gutachten und der Teilnahme an internationalen und nationalen Forschungsprojekten sowie über die Durchführung von Audit- und Gütesiegelverfahren. Diese präventiven Aktivitäten entbinden eine Datenschutzaufsichtsbehörde wie das ULD im Rahmen seiner Opportunitätserwägungen aber nicht von der Durchführung von Datenschutzkontrollen und im Bedarfsfall von der Durchsetzung mit Hilfe von Sanktionen. Dies bleibt wesentlicher Bestandteil des gesetzlich vorgesehenen Instrumentenmixes.
Hinsichtlich des Datenschutzes bei Facebook zielten die ersten Aktivitäten darauf, in Schleswig-Holstein ansässige Stellen im Rahmen des rechtlich Möglichen zur Verantwortung zu ziehen. Die drei im Dezember 2011 erhobenen Anfechtungsklagen gegen Untersagungsverfügungen des ULD hinsichtlich des Betriebs von Facebook-Fanpages sind weiterhin anhängig und noch nicht terminiert (Tz. 7.1.1).
Eine Verfügung wegen des Einsatzes biometrischer Gesichtserkennungssoftware gegen die Facebook Inc. in den USA, die in Kooperation insbesondere mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erlassen wurde, war im Ergebnis im Wesentlichen erfolgreich: Im Oktober 2012 wurde in Europa dieser Dienst abgestellt (Tz. 7.1.2). Ein im Oktober 2012 eingeleitetes Verfahren gegen Facebook Inc./USA und Facebook Ireland Ltd. wegen der Erzwingung der Nutzung von Klarnamen und dem Verbot von Pseudonymen durch das Unternehmen führte zu zwei Verbotsverfügungen, deren sofortige Vollziehbarkeit jedoch vom Verwaltungsgericht Schleswig mit nicht rechtskräftigen Beschlüssen vom 14. Februar 2013 aufgehoben wurde (Tz. 7.1.3).
Facebook ist zwar heutzutage das größte und einflussreichste soziale Netzwerk; viele andere Web 2.0-Angebote ignorieren aber ebenfalls den Datenschutz. Die Musterverfahren des ULD zu Facebook sollen im Ergebnis auch zu einer Klärung von bisher nicht beantworteten grundlegenden Rechtsfragen das Internet betreffend führen, und haben Bedeutung über Facebook hinaus für die alltäglichen Datenschutzkontrollen von Web-Diensten. Die öffentliche Wahrnehmung des ULD konzentriert sich, ja reduziert sich teilweise auf dessen Aktivitäten zu Facebook. Tatsächlich nahmen diese Aktivitäten innerhalb des ULD nur einen äußerst geringen Anteil ein. Der Schwerpunkt der ULD-Aktivitäten liegt auch nicht bei Kontrollen und Sanktionen, sondern vielmehr auf der Beratung, der Ausbildung, der Forschung und Entwicklung in Bezug auf datenschutzgerechte Lösungen sowie der Auditierung und Zertifizierung.
Beratung, Ausbildung, Forschung, Zertifizierung
Für den Bereich der Aus- und Fortbildung nutzt das ULD die gemeinsam mit dem Deutschen Grenzverein e. V. betriebene Datenschutzakademie, in der in 30 regulären Kursen 355 Teilnehmende im Jahr 2012 (2011: 379) geschult wurden sowie in weiteren Inhouse-Sonderkursen 325 Personen an Schulungen teilnahmen (2011: 419). Mit dem Schulangebot "Entscheide DU – sonst tun es andere für Dich" erreichte das ULD 2012 ca. 900 Schülerinnen und Schüler (2011: ca. 500).
Insbesondere durch Gelder der Europäischen Union gefördert, wurden im Berichtszeitraum wieder einige wissenschaftliche Projekte abgeschlossen, fortgeführt oder begonnen. Themen der Projekte waren Identitätenmanagement (PrimeLife, Tz. 8.1; FutureID, Tz. 8.3), attributbasierte Nachweise (attribute-based credentials, ABC4Trust, Tz. 8.2), vertrauenswürdige Cloud-Dienste (TClouds, Tz. 8.4), ein Prototyp eines Datenschutzauskunftsportals (Tz. 8.5), Akzeptanz von Sicherheitsmaßnahmen (SurPRISE, Tz. 8.8), dreidimensionale Gesichtserkennung (GES-3D, Tz. 8.8) und Erkennung und Bekämpfung von Cyber-Angriffen (MonIKA, Tz. 8.9). Die dabei gewonnenen Forschungserkenntnisse kommen sowohl der praktischen Aufsichts- und Beratungstätigkeit des ULD als auch der Gestaltung datenschutzfreundlicher Verfahren in Verwaltung und Wirtschaft zugute.
Die Durchführung von Auditverfahren für die öffentliche Verwaltung ist inzwischen ein in Schleswig-Holstein etabliertes Angebot zur Qualitätsverbesserung und -sicherung des E-Government im Land (Tz. 9.1). Die Auditierung eines sicheren E-Mail-Dienstes der Kassenärztlichen Vereinigung Schleswig-Holstein (KV SH) gewährleistet der teilnehmenden Ärzteschaft die Wahrung des Patientengeheimnisses bei Nutzung der elektronischen Kommunikation (Tz. 9.1.1).
Mit den ULD-Audits wird das umfassende Beratungsangebot des ULD gegenüber der schleswig-holsteinischen Verwaltung zu Datenschutz und Datensicherheit (z. B. Geodaten, Tz. 4.1.4; KoPers, Tz. 4.1.6 u. Tz. 6.4.2; @rtus, Tz. 4.2.1; gemeinsames TKÜ-Zentrum Nord, Tz 4.2.3; MESTA, Tz. 4.3.3; LAN BSH, Tz. 4.7.2; forumstar, Tz. 6.4.4) ergänzt und qualifiziert. Etabliert und über Schleswig-Holstein hinaus angesehen sind die Angebote der Zertifizierung von IT-Produkten und -Dienstleistungen über ein Datenschutz-Gütesiegel Schleswig-Holstein (Tz. 9.2) und ein Europäisches Gütesiegel (European Privacy Seal – EuroPriSe, Tz. 9.3).
Schwerpunkte und Trends
Neben der Beratung und Unterstützung von Einzelprojekten erfolgte die kritisch-konstruktive Auseinandersetzung mit bundesweiten strategischen Projekten. Zu nennen ist hier an erster Stelle der erfolgreiche Abschluss der Verhandlungen mit dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) über die gesamte Branche erfassende Verhaltensregeln, die auf Datenschutzseite vom ULD geleitet wurden. Die Regeln wurden am 2. November 2012 förmlich vom Berliner Beauftragten für Datenschutz und Informationsfreiheit gebilligt und sind damit die ersten Verhaltensregeln überhaupt in Deutschland gemäß § 38a BDSG (Tz. 5.1.3).
Weniger erfolgreich waren bisher die Versuche des ULD, gemeinsam mit Aufsichtsbehörden in anderen Bundesländern Verbesserungen des Datenschutzes im Rahmen der in Deutschland durchgeführten Dopingkontrollen bei internationalen Leistungssportlerinnen und -sportlern zu verwirklichen. Während innerhalb von Deutschland insofern teilweise von den Verantwortlichen Verständnis gezeigt wird, scheinen die internationalen Strukturen derart verkrustet, dass nur eine langatmige Strategie sichtbare Veränderungen verspricht (Tz. 5.8).
Frustrierend waren bisher unsere Versuche, den Einsatz von Funkchips in EC- und Kreditkarten datenschutzkonform zu gestalten. Es werden bundesweit Karten ausgegeben, die problematisch und damit nicht im Ansatz zukunftssicher sind, weil sie mit einfachen Mitteln ausgelesen werden können und keinen ausreichenden Schutz gegen Missbrauch bieten (Tz. 5.2).
Es zeigt sich in vielen Bereichen, dass die technische Entwicklung und die damit verbundenen Möglichkeiten zur Überwachung oft dazu führen, dass ohne Einsicht in die Gefahren für das Persönlichkeitsrecht und teilweise unter bewusster Inkaufnahme dieser neuen Risiken informationstechnische Verfahren eingeführt und genutzt werden. Das gilt bis hinein in den privaten Bereich für die Nutzung der Videoüberwachung, für das immer exzessiver genutzte Internet-Tracking (Tz. 7.3), das rasant sich ausbreitende Internet-Fernsehen (IPTV, Tz. 7.2) oder für das schon weltweit etablierte, aber bisher nicht ansatzweise datenschutzkonforme Cloud Computing (Tz. 5.7, Tz. 8.4, Tz. 11.3) bei Nutzung fremder Datenverarbeitungsressourcen.
Gesetzgebung Schleswig-Holstein
Die Modernisierung des Rechts des Datenschutzes und der Informationsfreiheit hat in Schleswig-Holstein große Fortschritte gemacht. Nachdem die europäische Rechtsprechung eine gesetzliche Änderung zur Sicherung der Unabhängigkeit der Datenschutzkontrolle notwendig gemacht hat, haben wir seit Anfang 2012 im Land wieder ein modernes Datenschutzrecht. Die bisherigen Erfahrungen sind großenteils positiv, es besteht aber kurzfristig weiterer Änderungsbedarf. So zeigt sich, dass die Regelung zu gemeinsamen Verfahren bei Landesbehörden, die zu einer Verfahrensvereinfachung und Entbürokratisierung führt, auf den kommunalen Bereich ausgeweitet werden sollte (Tz. 1.1).
Bundesweit einzigartig und richtungweisend ist die Zusammenführung des Informationsfreiheitsgesetzes (IFG) und des Umweltinformationsgesetzes (UIG) des Landes zu einem Informationszugangsgesetz (Tz. 1.2). Doch auch auf dieser Errungenschaft kann sich die Landespolitik nicht ausruhen. Mit Open-Data-Ansätzen geben die Stadtstaaten Bremen, Berlin und Hamburg den Takt vor, indem sie Verwaltungsdaten nicht nur auf Anfrage, sondern zum Abruf im Internet der Öffentlichkeit bereitstellen. Das ULD begrüßt es, dass aus der Landespolitik Signale kommen, sich dem insofern fortschrittlichsten Transparenzgesetz unseres südlichen Nachbarn Hamburg anschließen zu wollen (Tz. 1.3).
Gesetzgebung im Bund und in Europa
Das ULD ist eng eingebunden in die nationalen und europäischen Diskussionen zur Modernisierung des Datenschutzrechts. Anders als auf Landes- und auf europäischer Ebene herrschen beim Bund Untätigkeit und Blockaden vor. Dies gilt für die überfällige nationale Internetgesetzgebung (Tz. 2.1), für den Beschäftigtendatenschutz (Tz. 2.4) und für das dilettantische Vorgehen bei der Einrichtung einer Stiftung Datenschutz (Tz. 2.3).
Optimistisch stimmen können Datenschützer dagegen die Bestrebungen für einen neuen EU-Rechtsrahmen zu Datenschutz. Zwar bleiben die bisherigen Vorschläge für eine Richtlinie zum Datenschutz in den Bereichen Sicherheit und Justiz hinter den Möglichkeiten und Notwendigkeiten zurück; die Vorschläge der EU-Kommission sowie die Änderungsvorschläge des Berichterstatters des Europäischen Parlaments für eine Datenschutz-Grundverordnung gehen aber in die richtige Richtung und lassen hoffen, dass zeitnah ein europaweit einheitlicher hoher Datenschutzstandard in Wirtschaft und Verwaltung festgelegt wird (Tz. 2.5, Tz. 11.1).
Erfreulich ist, dass diese Bestrebungen selbst von Teilen der Wirtschaft unterstützt werden. Bedauerlich ist dagegen, dass die Bundesregierung sich eher als Bremser betätigt und teilweise in dasselbe Horn stößt, mit dem die US-Wirtschafts-Lobby den Verordnungsvorschlag der EU zu Fall bringen möchte. Das Ziel dieser Lobby ist es, die bisherige praktische Privilegierung von deren datenschutzwidrigen Geschäftsmodellen insbesondere von Internet-Unternehmen auf dem europäischen Markt zu verteidigen. In diesem Zusammenhang sind auch die Aktivitäten des ULD zu US-Unternehmen wie Google und Facebook zu sehen, die als Nebeneffekt neben der Verwirklichung eines besseren Datenschutzes im Internet auf die Herstellung gleicher Marktbedingungen für europäische Unternehmen abzielen. (ULD: ra)
ULD: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>