Wo können Unternehmen sich über Standards informieren, wenn es noch keinen Gerichtsentscheid gab?
Lauber-Rönsberg: Die Datenschutzaufsichtsbehörden haben in den vergangenen Monaten einige Beschlüsse erlassen und Handlungsanweisungen sowie Kurzpapiere herausgegeben, aber in strittigen Fragen können nur die Gerichte verbindlich entscheiden. Zum Teil enthält die DSGVO interpretationsbedürftige Vorgaben, die durch die Rechtsprechung geklärt werden müssen.
Kennen Sie ein Beispiel für so einen Fall?
Lauber-Rönsberg: Der Artikel sechs der DSGVO regelt die Frage, wann eine Datenverarbeitung rechtmäßig ist. Das ist der Fall, wenn der Betroffene eingewilligt hat oder die Datenverarbeitung für die Erfüllung eines Vertrages erforderlich ist. Das ist soweit unstrittig. Doch es gibt auch einen sehr vagen Erlaubnistatbestand, der besagt, dass die Datenverarbeitung dann rechtmäßig ist, wenn nicht die Interessen des Einzelnen die Interessen des Unternehmen überwiegen.
Was ist ein typischer Anwendungsfall?
Lauber-Rönsberg: Unternehmen versuchen beispielsweise, Kunden durch Online-Marketingmaßnahmen anzusprechen. Bisher ist nicht geklärt, inwieweit die Datenverarbeitung zu diesem Zwecke legal ist, unter welchen Voraussetzungen zum Beispiel ein Tracking oder die Verwendung von Nutzungsprofilen zulässig ist. Es bleibt spannend, welches Interesse der Europäische Gerichtshof als gewichtiger ansieht: das der Bürger oder das der Unternehmen.
Angenommen, es wäre alles entschieden: sind die technischen Systeme reif für die DSGVO?
Strufe: Es gibt in der Tat Anforderungen in der DSGVO, von denen wir noch nicht wissen, wie wir es technisch umsetzen können. Es muss noch einiges entwickelt werden. Ein Beispiel: Die DSGVO sieht eine Rechenschaftspflicht vor, bei der technisch nicht vollkommen klar ist, wie sie mit heutigen Systemen zu erreichen wäre.
Werden Systeme, die von nun an entwickelt werden, sicher sein?
Strufe: Ingenieure, zu denen ich auch zähle, bauen gerne neue Sachen ohne ausreichend über die Konsequenzen nachzudenken. Viele Kunden freuen sich darüber, etwas noch bunteres oder schnelleres zu besitzen. Ich vermute, dass wir schon aus diesem Grund auch in Zukunft immer mal wieder unsichere Systeme sehen werden.
Ist es denn nun eigentlich – wie häufig behauptet – aus Datenschutzsicht kritisch, Namen aufs Klingelschild zu schreiben?
Lauber-Rönsberg: Ich halte das für eine unnötig aufgebauschte Diskussion. Klingelschilder sind in der Regel von der Zustimmung der Betroffenen gedeckt. Und wenn jemand seinen Namen nicht auf dem Schild haben möchte, dann wird der Vermieter nur Initialen aufs Schild schreiben – so war es schon vor der DSGVO.
Ein anderes Thema war, dass Fotos nicht ohne Zustimmung der Betroffenen aufgenommen und verbreitet werden dürfen. Wieso ist das so kritisch?
Lauber-Rönsberg: Wenn auf einer privaten Feier Fotos gemacht werden, die nicht im Internet gepostet werden, ist das Recht am eigenen Bild relevant, da das Datenschutzrecht für ausschließlich persönliche oder familiäre Tätigkeiten nicht gilt. Wenn aber beispielsweise Lehrer in einer Schule Fotos machen , die über eine pädagogisch erforderliche Dokumentation hinausgehen, dann müssen alle Eltern und gegebenenfalls auch die Kinder zugestimmt haben. Das war auch schon vor der DSGVO so – allerdings sind die Anforderungen an die Informationen gestiegen, die den Betroffenen im Vorfeld zur Verfügung gestellt werden müssen, und möglicherweise auch das Bedürfnis des Einzelnen nach Privatsphäre.
Was ist so schlimm an einem Foto?
Strufe: Kaum jemand kann heute abschätzen, welche Risiken durch eine Datenverarbeitung entstehen. Wenn jemand aus der Schule beispielsweise das Klassenfoto bei Facebook hochlädt, erkennt Facebook die Gesichter und kann diese den jeweiligen Profilen zuordnen. Nur als Beispiel, wenn dann jemand in einem sehr reichen, oder vielleicht eher armen Stadtteil zur Schule gegangen ist, können dadurch Rückschlüsse auf die Person gezogen werden. Es gibt diverse Beispiele, in denen auf Fotos von Personen zum Beispiel Krankheiten erkannt werden können. Mithilfe künstlicher Intelligenz können schon aus scheinbar unverfänglichen Datenschnipseln Informationen zum Bildungsgrad, der politischen Haltung oder sogar sexuellen Orientierung gewonnen werden. Im einfachsten Fall können sie einem im Berufsleben später zum Verhängnis werden.
Hat die DSGVO die EU also vorangebracht?
Strufe: Wir hätten uns manches anders gewünscht und wir beklagen die Rechtsunsicherheit. Aber die DSGVO hat das Bewusstsein für den Datenschutz geschärft. Bisher kommen viele noch völlig straffrei oder mit einem blauen Auge davon, weil es zu wenig Personal gibt, um sie richtig zu überprüfen. Aber grundsätzlich denke ich, ist sie ein guter Schritt in die richtige Richtung.
Kann Europa trotz all der Schwächen der DSGVO ein Vorbild für andere Länder sein?
Lauber-Rönsberg: In den USA gibt es Tendenzen, vergleichbare gesetzliche Regelungen einzuführen. In Kalifornien wurde ein Bundesstaatsgesetz verabschiedet, das 2020 in Kraft treten soll und zum Teil den Standards der DSGVO entspricht. Unter dem Druck verschiedener Datenschutzskandale fordert nun auch Mark Zuckerberg eine international abgestimmte Regulierung nach dem Vorbild der DSGVO. Das wäre politisch und gesellschaftlich ein großer Erfolg.
Strufe: So gesehen hat die DSGVO sogar das Zeug zum Exportschlager zu werden!
