Einer breiteren Öffentlichkeit dürfte eine Strafe gegen Google in Höhe von 50 Millionen Euro bekannt sein. Diese wurde allerdings in Frankreich verhängt. Gibt es eine Strafe, die Ihre Behörde ausgesprochen hat, die man kennen muss?
Nein. Wir prüfen jedoch gerade zwei gegen kleinere Telekommunikationsunternehmen. Allerdings werden wir gegen einen kleinen Postdienstleister zum Beispiel keine Strafe von 50 Millionen verhängen. Bei der Aufsicht über öffentliche Stellen, die einen Großteil unserer Arbeit ausmacht, können wir ohnehin keine Bußgelder verhängen. Gleiches gilt leider auch bei den gesetzlichen Krankenversicherungen. Hier wäre eine solche Sanktionsmöglichkeit allerdings richtig und wichtig, da diese in Teilen ja wie Unternehmen agieren
Wie bewertet man das nun, dass die vielen Strafen bislang ausgeblieben sind – anders als vor einem Jahr befürchtet?
Für eine Bewertung ist es schlichtweg noch zu früh. Außerdem bemesse ich in keiner Sekunde die Arbeit meiner Behörde anhand der verhangenen Bußgelder.
Da Facebook nun noch keine Strafe in Europa erhalten hat, darf die Frage erlaubt sein: Hält sich das Unternehmen etwa an die Spielregeln?
Das untersucht zwar derzeit die irische Aufsichtsbehörde, sie hat aber noch keinen Fall abgeschlossen. Weil wir das kritisch sehen, versuchen wir im Europäischen Datenschutzausschuss zu erreichen, dass mehr über diese Fälle gesprochen wird.
Machen wir das: Verstoßen Facebook, Google und Co. zurzeit gegen die DSGVO?
Ja, ich bin der festen Überzeugung, dass das Verhalten von manchen der großen Internetkonzerne in einigen Fällen nicht kompatibel mit dem europäischen Datenschutzrecht ist.
Nennen Sie gerne ein paar Namen.
Ich denke zum Beispiel an Facebook und an Google. Auf Amazon trifft das wegen der Berichte über Alexa vermutlich ebenso zu und eventuell auch auf Microsoft.
Können Sie auf all diese Dienste denn hier in der Behörde verzichten?
Unsere Rechner laufen mit Windows-Betriebssystemen, also verwenden wir zum Beispiel Outlook. Allerdings setzen wir ein Produkt wie WhatsApp ganz bewusst nicht ein. Meine Facebook-Fanpage habe ich vor Amtsantritt geschlossen, obwohl ich davor als Politiker auch ein echter „Reichweiten-Missbraucher“ war.
Allerdings haben Sie ein Twitter-Profil. Wo ziehen Sie da die Grenze?
Das ist bisher ein privater Account, was ich dort auch ganz bewusst betone. Alles Weitere folgt in Kürze. Parallel betreibe ich ja auch einen Account bei Mastodon, das ist datenschutzrechtlich natürlich viel schöner.
Was ist denn Mastodon?
So etwas ähnliches wie Twitter. Mit dem Unterschied, dass es wie E-Mail aufgebaut ist: Einzelne Server kommunizieren miteinander und sammeln dabei nur wenige Daten und das eben nicht zentral an einem Ort. So gibt es den Betreiber eines Servers hier in Bonn, der dann vielleicht 50 Nutzer kennt – unter anderem mich. Dieser dezentrale Ansatz hat aus Datenschutzsicht einige Vorteile. In Frankreich hat sich zum Beispiel der gesamte Staat für die Kommunikation über einen dezentralen Messenger entschieden. Ich würde mir wünschen, dass wir über einen solchen Schritt auch in Deutschland nachdenken.
Tatsächlich gibt die DSGVO jedem Bürger das Recht, Verstöße anzuzeigen oder bei Konzernen wie eben Facebook oder Google Informationen über die eigenen Daten einzufordern. Weiß eigentlich jeder EU-Bürger von diesem Recht?
Nein. Wie von vielen anderen Rechten übrigens auch nicht. Aber die Zahl der Nutzer, die davon gebrauchen machen, steigt. Genug Menschen wissen erst dann von diesem Recht, wenn es wirklich ein jeder kennt.
Wie wollen Sie es populärer machen?
Die DSGVO zwingt Unternehmen ja eigentlich dazu, das prominent zu kommunizieren. Skandale bewirken, dass Nutzer auf einmal wissen wollen, welche Daten eigentlich so bei riesigen Konzernen gespeichert sind. Aber natürlich müssen auch wir Aufsichtsbehörden noch mehr Aufklärungsarbeit leisten.
Diese Rechte haben Bürger dank der DSGVO
Wenn Organisationen Daten verarbeiten, müssen sie Informationen zur Verfügung stellen, zu welchen Zwecken Daten verarbeitet werden, auf welcher Rechtsgrundlage die Verarbeitung beruht, wie lange die Daten gespeichert werden und vieles mehr. Diese Informationen müssen die Unternehmen auf Anfrage herausgeben und in der Datenschutzerklärung bereitstellen.
Jeder hat das Recht, kostenfrei Datenauskunft zu beantragen. So können Sie auch erfahren, was ein Online-Shop oder ein soziales Netzwerk über Sie weiß.
Wenn eine Website Sie mit Werbung bombardiert, haben Sie das Recht, die Firma dazu aufzufordern, dies zu unterlassen. Dem Wunsch muss das Unternehmen dann nachkommen.
Wenn eine Organisation möglicherweise falsche personenbezogene Daten gespeichert hat, können Sie eine Berichtigung verlangen. Ein Beispiel kann sein, dass eine Lebensversicherung eine Person irrtümlicherweise als Raucher führt und die Kosten für die Police dadurch höher sind.
Solange eine Person nicht von öffentlichem Interesse ist, hat sie das Recht, dass öffentlich zugängliche Informationen gelöscht werden. Eine Suchmaschine kann beispielsweise aufgefordert werden, Links über die Person zu löschen, wenn diese das wünscht.
Wenn jemand den Stromanbieter wechseln möchte, hat er das Recht, dass der alte Anbieter dem neuen alle relevanten Daten übermittelt. Sollte dies technisch nicht möglich sein, muss der Anbieter dem Betroffenen die Daten in einem maschinenlesbaren Format zurückgeben.
Kam der Datenschutz im Europawahlkampf möglicherweise zu kurz?
Nun ja, da gab es die Debatte um Uploadfilter – auch eine Datenschutzfrage.
Das stimmt. Wie bewerten Sie die Zustimmung des EU-Parlaments?
So wie sie gefallen ist, hat sie Uploadfilter zur direkten Folge und das halte ich für hochproblematisch. Allein deshalb hätte ich dagegen gestimmt. Das Parlament ist leider weit über das Ziel, Urheber besser zu schützen, hinausgeschossen.
Was passiert denn nun im zweiten Jahr der DSGVO?
Das Kind ist aus dem Krabbelalter heraus und läuft. Es dringt so in immer mehr Bereiche vor und wir müssen deshalb zusätzliche Absicherungen treffen, zum Beispiel Einigungen im Europäischen Datenschutzausschuss über die Auslegung. Die Arbeit ist also nicht abgeschlossen, die DSGVO hat dank der Digitalisierung Konjunktur und steht vor immer neuen technologischen Herausforderungen.
Aber gibt es bei voranschreitender Digitalisierung denn Abschwünge in der Konjunktur der DSGVO?
Es gibt ja auch Dauerkonjunkturen – die Datenschutzrezession steht zumindest keinesfalls bevor.