Rolle und Einfluss von Datenschutzbehörden

Shane McNamee 13 Apr 2021

Die Beziehung zwischen Aufsichtsbehörden und den beaufsichtigten Unternehmen sollte auf Kooperation beruhen.

Wie Sie vielleicht wissen, habe ich in der Vergangenheit für eine Datenschutzbehörde gearbeitet. Sie können sich also vorstellen, dass ich eine starke Meinung zum Thema des Rechts auf Datenschutz und Privatsphäre von jedem einzelnen habe. Die Diskussion rund um Datenschutzbestimmungen unterliegt oft einem starken Schwarz-Weiß-Denken und ist auf Bußgelder bzw. “antagonistische Beziehungen” zwischen den Behörden und den Unternehmen fixiert. 

Der Fokus auf Strafen ist verständlich, doch Sie können sich sicher vorstellen, dass die Realität deutlich komplexer ist und dass die Reglementierung in diesem Bereich am effektivsten ist, wenn sie auch die Zusammenarbeit seitens der Unternehmen umfasst. Wenn alles richtig gemacht wird, dürften alle Beteiligten vom Datenschutz profitieren, also sowohl die Behörden und der Markt als auch alle Privatpersonen.

Die Aufsichtsbehörde und die Beaufsichtigten

Bußgelder sind ein etwas neues Phänomen. Die meisten europäischen Datenschutzbehörden verfügten vor der Einführung der Datenschutz-Grundverordnung (DSGVO) weniger über wirksame und effektive Durchsetzungsbefugnisse. Mein früherer Arbeitgeber, die irische Datenschutzkommission hatte, genauso wie einige andere Datenschutzbehörden, keine Befugnis, Bußgelder für Verstöße gegen die damals geltenden Datenschutzrichtlinien zu verhängen. Mit der Einführung der DSGVO wurden diesen Behörden neue und harmonisierte Befugnisse erteilt. 

Finanzielle “Strafen” können zwar einen Anreiz für Veränderungen darstellen, doch meiner Erfahrung nach werden Bußgelder im öffentlichen Diskurs oft zu sehr in den Vordergrund gestellt, und manchmal wird dabei übersehen, dass sie (a) nicht immer den effektivsten oder geeignetsten Weg darstellen, um die Einhaltung von Vorschriften zu fördern, und dass (b) andere Befugnisse wie die Anordnung, dass die Datenverarbeitung gemäß den Vorschriften zu erfolgen hat, dass personenbezogene Daten zu löschen sind, oder dass die Verarbeitung solcher Daten gänzlich einzustellen ist, noch weitaus effektiver sein können. Ganz abgesehen davon, dass die Berechnung von effektiven und abschreckenden, aber gleichzeitig fairen und verhältnismäßigen Bußgeldern für Aufsichtsbehörden eine äußerst knifflige Aufgabe ist. Diese Bußgelder werden auch von den betroffenen Unternehmen angefochten, wenn sie annehmen, dass die jeweilige Aufsichtsbehörde falsch liegt. 

Letztendlich haben Aufsichtsbehörden weder das Interesse noch das Budget, sich immer wieder in Dispute mit Unternehmen über die minutiöse Auslegung von Datenschutzgesetzen zu verstricken und in kostspielige und langwierige Anfechtungsklagen und Berufungsverfahren verwickelt zu werden. Dies ist selbstverständlich auch nicht im Interesse der Unternehmen selbst. Manchmal müssen Entscheidungen über die Auslegung und Umsetzung von Datenschutzgesetzen von einem Gericht getroffen werden. Das kann bei strittigen Fragen für die nötige Klarheit sorgen, doch in den meisten Fällen stellt dies keinen effizienten oder effektiven Weg dar, um sicherzustellen, dass das Recht auf Privatsphäre von Einzelpersonen auf kurze Sicht geschützt wird.

Die Bedeutung von Richtlinien

Daher werden bessere Datenschutzpraktiken in den meisten Fällen – und es ist wenig überraschend, dass diese Fälle deutlich weniger dramatisch sind und kaum für Schlagzeilen sorgen – durch (verbindliche oder unverbindliche) Richtlinien seitens der Aufsichtsbehörden vorangetrieben. Diese Richtlinien können aus einer formellen Untersuchung oder einer Konsultation zwischen den Unternehmen und den Aufsichtsbehörden hervorgehen oder von den Aufsichtsbehörden als Leitfaden herausgegeben werden.

Hier und da arbeiten Aufsichtsbehörden mit Unternehmen zusammen, um bestimmte Risiken noch vor der Einführung von neuen Diensten und Produkten zu minimieren –  dies sind erfreulich Beispiele für proaktive Ansätze. 

Ein schönes Beispiel hierfür lieferte die irische Datenschutzkommission in Zusammenhang mit Facebooks neuem „Facebook Dating“-Dienst, als sie während der Planungs- und Entwicklungsphase des Dienstes Bedenken hinsichtlich der Auswirkungen auf die Privatsphäre der Benutzer geäußert und diese mit Facebook diskutiert hat. Dies hat im Endeffekt dazu geführt, dass die Einführung des Dienstes in Europa aufgeschoben wurde, bis diese Bedenken ausgeräumt werden konnten.

 

Unsere Zusammenarbeit mit der tschechischen Datenschutzbehörde

Ein weiteres, für uns noch näherliegendes Beispiel ist die enge Zusammenarbeit von Avast mit der tschechischen Datenschutzbehörde, in deren Rahmen in den letzten paar Jahren die Verarbeitung von personenbezogenen Daten für unsere Antiviren-Software überprüft wurde. Die Empfehlungen der Behörde wurden umgesetzt, um den Datenschutz bei Avast weiter zu verbessern. Im Oktober 2020 entschied die tschechische Behörde, dass diese Datenverarbeitung den von der DSGVO vorgeschriebenen Standards entspricht. 

Noch bevor von der Öffentlichkeit Bedenken über die Art und Weise der Verarbeitung von personenbezogenen Daten durch die Avast-Tochtergesellschaft Jumpshot (in Q1/2020 geschlossen) geäußert wurden, hatte die Zusammenarbeit mit der tschechischen Behörde bereits zu Verbesserungen hinsichtlich der Transparenz und der Entscheidungsmöglichkeiten für Nutzer*innen in Bezug auf diese Datenverarbeitung beigetragen. Ende 2019 beispielsweise wurde unsere Datenschutzerklärung umformuliert und neue Optionen hinzugefügt, um unseren Kund*innen verständlicher zu machen, worum es bei dieser Datenverarbeitung geht.

Somit kann ich ganz ehrlich sagen, dass ich die Reflexionsphase, die mit den zu Jumpshot geäußerten Bedenken und der Entscheidung einherging, die Datenverarbeitungs-Aktivitäten von Jumpshot einzustellen, als große Chance sehe. Eine Chance, mehr Feedback von der Aufsichtsbehörde zu erhalten, über die Reaktionen und Erwartungen unserer Kund*innen nachzudenken und uns bewusst zu machen, dass man selbst mit den besten Absichten (und dem damit einhergehenden Versuch eine datenschutzgerechte Form der Trendanalyse zu entwerfen) nicht unbedingt die richtige Balance finden muss. Das soll nicht heißen, dass ich es für gut befinde, dass eben diese Bedenken überhaupt erst aufkommen mussten. Aber ich bin der festen Überzeugung, dass jede Chance ergriffen werden sollte, Entscheidungen rund um die Verarbeitung von personenbezogenen Daten zu hinterfragen und neu zu bewerten.

Der Einfluss von Behörden - ein weiteres Praxisbeispiel

Vor nicht allzu langer Zeit hat eine von der britischen Datenschutzbehörde ICO (Information Commissioner‘s Office) gegen die Wirtschaftsauskunftei Experian verhängte Geldstrafe für viel Furore in den Medien gesorgt. Das Interessante an der Story waren für mich persönlich die Aspekte, über die nicht ausführlich berichtet wurde. 

Da wäre zunächst einmal der Schritt, den das ICO im Oktober 2020 unternommen hat. So hat es der Wirtschaftsauskunftei eine „Vollstreckungsankündigung“ übermittelt. Hierbei handelte es sich de facto um eine Warnung, dass eine Geldstrafe verhängt werden könnte (und wahrscheinlich auch würde), wenn das Unternehmen die vorgeschlagenen Änderungen an seinen Praktiken nicht umsetzt. Zum anderen – und das ist noch viel interessanter – hat das ICO genau genommen gleich drei Wirtschaftsauskunfteien untersucht, denn neben Experian wurden auch die Unternehmen Equifax und TransUnion genauer unter die Lupe genommen. Hierzu hieß es vom ICO, dass alle drei Wirtschaftsauskunfteien mit den Untersuchungsbeauftragten zusammengearbeitet haben, um die im Zuge der Untersuchung festgestellten Probleme zu beheben. Allerdings sind TransUnion und Equifax bei der Ausräumung der durch das ICO geäußerten Bedenken noch einen Schritt weiter gegangen, da sie beispielsweise bestimmte angebotene Produkte und Dienstleistungen eingestellt haben, um allen Vorschriften gerecht zu werden, weshalb diese Unternehmen auch keine Vollstreckungsankündigung erhalten haben.

Die Tatsache, dass TransUnion und Equifax den Empfehlungen des ICOs gründlicher nachkamen, ist der Grund dafür, wieso keines dieser Unternehmen Gefahr lief, ein Bußgeld zu bekommen. Dies ist ein gutes Beispiel für den beachtlichen Einfluss, den Datenschutzbehörden haben, um positive Veränderungen bzgl. Privatsphäre und Datenschutz herbeizuführen, ohne dabei auf die Verhängung von Bußgeldern zurückgreifen zu müssen. Natürlich trägt die Möglichkeit, ein Bußgeld zu verhängen, dazu bei, dass Empfehlungen von Datenschutzbehörden tatsächlich ernst genommen werden, aber dieser Fall verdeutlicht die Feinheiten in der Zusammenarbeit mit den Aufsichtsbehörden und wie dies zu beiderseitig vorteilhaften Ergebnissen führen kann.

Fazit

Selbst dort, wo Datenschutzprobleme nicht mithilfe von Empfehlungen und guter Zusammenarbeit gelöst werden können und formellere Sanktionen nach sich ziehen, lässt sich im Markt dennoch grundsätzlich eine positive Haltung erkennen. Für Unternehmen, die innerhalb eines Regelwerks operieren müssen, das oft mehrere Interpretationen zulässt, kann dies ein willkommener Schritt in Richtung Klarheit sein. Eine solide behördliche Entscheidung ist umso klarer, wenn ein gerichtliches Urteil dazu gefällt wurde. 

Einige Menschen argumentieren oder machen sich Sorgen, dass potenzielle Bußgelder für Verstöße gegen die DSGVO oder andere Datenschutzgesetze von Unternehmen einfach nur als Betriebsaufwand betrachtet werden; das Schreckgespenst der anderen Befugnisse der Datenschutzbehörden, wie z.B. die grundsätzliche Anweisung an ein Unternehmen, personenbezogene Daten nicht mehr in einer bestimmten Weise zu verwenden, kann jedoch nicht ignoriert werden. Daher halte ich es für klüger und verantwortungsvoller, wenn Unternehmen frühzeitig mit den Aufsichtsbehörden und den eigenen Datenschutzteams zusammenarbeiten. Ziel sollte immer sein, potenzielle Datenschutzrisiken zu beseitigen, anstatt auf schärfere Maßnahmen seitens der Behörden zu warten und dann gezwungen zu sein, betriebsinterne Prozesse von Grund auf neu zu gestalten.

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!

 

--> -->