Im Gespräch mit dem BREMER erklärt Dr. Imke Sommer, die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen, wie die Verarbeitung persönlicher Daten im Internet wieder mehr in die eigenen Hände genommen werden kann.
Mit welchen Fällen haben Sie in diesem Jahr am meisten zu tun?
Am meisten beschäftigen uns seit dem 25. Mai 2018, also dem ersten Geltungstag der Datenschutzgrundverordnung, DSGVO, Beschwerden von Menschen im Land Bremen. Sie haben sich an uns gewandt, weil sie den, in den meisten Fällen zutreffenden, Eindruck hatten, dass bestimmte Verarbeitungen ihrer personenbezogenen Daten ihr Grundrecht auf informationelle Selbstbestimmung verletzen. Das Monatsmittel der bei uns eingehenden Beschwerden hat sich seitdem um 77 % von 20,25 auf 36 Beschwerden erhöht. Viele Beschwerden kommen aus dem Bereich des Beschäftigungsdatenschutzes. Da geht es beispielsweise um unzulässige Überwachungen von Beschäftigten durch Kameras oder Softwaresysteme und die unzulässige Weitergabe von Beschäftigtendaten.
Wie hoch ist die Akzeptanz der DSGVO in Bremen?
Dass die Datenschutzgrundverordnung bei den Menschen im Land Bremen angekommen ist, wirkt sich bei uns durch einen unglaublichen Anstieg unserer Arbeit aus. Es ist dabei nicht nur das 77%-Plus der Beschwerden, sondern auch der rasante Anstieg der Meldungen von Datenschutzverstößen durch die Verarbeiter selbst (im Jahr 2018 eine vor dem 25. Mai und 44 Meldungen danach, die bestimmt trotzdem nur die Spitze des Eisberges darstellen) und unzählige Beratungsbitten. Wir haben beispielsweise im letzten Jahr 50 Vorträge zum Thema DSGVO gehalten, um die Sensibilität für das Thema zu erhöhen. Daneben gibt es noch viele Aufgaben, die uns die DSGVO zuweist, die wir noch gar nicht erledigen konnten.
Laut dem Recht auf informationelle Selbstbestimmung kann jeder selbst bestimmen, wer wann was über einen weiß. Wie kontrolliert man das denn überhaupt?
Die DSGVO hat den datenschutzrechtlichen Aufsichtsbehörden einen ganzen Koffer an Werkzeugen dafür gegeben. Allerdings muss allen klar sein, dass wir nach dem Willen des europäischen Gesetzgebers eines davon am häufigsten einsetzen sollen: Die Bußgelder. Nach der DSGVO steht jedes Mal, wenn wir eine Verletzung von Datenschutzregeln feststellen, ein Bußgeld im Raum. Und die Höhe der Bußgelder ist im Vergleich zu der Situation vor dem 25. Mai 2018 drastisch erhöht worden. Von einigen Bußgelder wissen wir schon: Ein portugiesisches Krankenhaus erhielt einen Bußgeldbescheid über 400.000 Euro€ und Google in Frankreich einen über 500.000 Euro. Da es sich um komplizierte rechtliche Verfahren handelt, dauern diese in der Regel deutlich länger als die acht Monate, die die DSGVO jetzt gilt. Wir werden also demnächst noch sehr viel mehr in dieser Richtung hören.
Wie helfen Sie Personen, deren Mailaccounts gehackt wurden und sich dann hilfesuchend an Sie wenden?
Wenn der Betroffene noch Zugang zu seinem E-Mail-Account hat, sollte er umgehend das Passwort und alle seine verwandten Passwörter für andere Zugänge abändern. Falls kein Zugang mehr bestehen sollte, muss umgehend der Betreiber kontaktiert werden und der E-Mail-Account gesperrt werden. Anschließend müssen mit dem Betreiber zusammen Maßnahmen getroffen werden, die es ermöglichen, dass der Betroffene wieder Zugang zu seinem E-Mail-Account erhält. Auch in diesem Fall sollten vorsorglich alle weiteren Passwörter, besonders solche, die dem Passwort des E-Mail-Accounts ähneln, geändert werden. Anschließend kann eine Aufnahme der entstandenen Schäden begonnen werden. Wir können bei allen diesen Maßnahmen beratend zur Seite stehen, aber die Maßnahmen veranlassen und/oder ergreifen muss der Betroffene selbst.
Viele Hacker sitzen im Ausland. Wie schwierig ist es, diese dann rechtlich zu belangen?
Innerhalb der EU gilt einheitlich die DSGVO. Dies erleichtert auch die Zusammenarbeit aller datenschutzrechtlichen Aufsichtsbehörden noch einmal. Wenn es um Verantwortliche im nicht-europäischen Ausland geht, arbeiten wir mit den dortigen behördlichen Stellen zusammen. Das ist mühsamer, aber nicht unmöglich.
Sind soziale Medien überhaupt noch nutzbar, wenn man über die Weitergabe seiner Daten selbst bestimmen will?
In diesem Zusammenhang sollte die zunehmende Anzahl kleinerer Unternehmen gelobt werden, die für sich erkannt haben, dass das Siegel ‘DSGVO konform’ durchaus als Markenzeichen gesehen werden kann. Sie können sich nach der DSGVO sogar zertifizieren lassen. Bei den großen Netzwerken sieht es bekanntermaßen nicht so gut aus. Der Europäische Gerichtshof hat hier aber beispielsweise den Betreibern von Facebook-Fanseiten ins Stammbuch geschrieben, dass sie für die Rechtmäßigkeit dieses Netzwerks gemeinsam mit Facebook haften. Auch das hat sicherlich dazu beigetragen, dass die Nutzungszahlen in Europa sinken. Was die Verfolgung von Datenschutzverletzungen bei großen Playern anbelangt, steht fest, dass unsere französische Kollegin mit dem Bußgeld gegen Google nicht allein bleiben wird. Und ich bin überzeugt davon, dass die Nutzerinnen und Nutzer diese Entwicklungen genau verfolgen.
von Ruben Schiefke
(Foto: Arndt Rathjen)
