Datenschutz wandert aus kleinen Staaten ab
Datenschutz wandert aus kleinen Staaten ab
© Benjamin Haas, fotolia

Österreich

Datenschutzbehörde ohne Technik-Experten

Christiane Schulzki-Haddouti

Gegen Überwachung hilft Kontrolle. Die Grundrechte der Bürger soll die Datenschutzaufsicht verteidigen. Doch wie ist es um sie wirklich bestellt?

Dieser Artikel ist älter als ein Jahr!

Am Dienstag läuft die letzte Verhandlungsrunde für die europäische Datenschutzreform, die einen effektiveren Datenschutz verspricht. Doch wie wird die Reform in der Praxis ankommen? Letztlich wird dies davon abhängen, ob die Datenschutz-Kontrolle das neue Recht auch durchsetzen kann. Die irische Aufsichtsbehörde erhielt in diesem Jahr bereits doppelt so viel Budget. In Deutschland billigte der Bundestag eben der Bundesdatenschutzbeauftragten ein Fünftel mehr zu. Dagegen ist es recht still um die Österreichische Datenschutzbehörde.

„Zwei Drittel der Österreicher wissen bis heute nicht, dass es die Behörde überhaupt gibt“, sagt Datenschützer Andreas Krisch, der auch Mitglied des Datenschutzrats ist, der die Politik in Sachen Datenschutz berät. Seit Mai 2013 ist die Datenschutzbehörde unabhängig: Keine Behörde, keine Interessensgruppe darf ihr vorschreiben, wie sie ihr Amt auszuüben hat. Wie aber versteht die Behördenleiterin Andrea Jelinek ihr Amt, das zwei Drittel der Österreicher bis heute nicht kennen?

© Christiane Schulzki-Haddouti

Die leisen Prüfer

Auf der Homepage, die derzeit überarbeitet wird, findet sich aus ihrer Amtszeit keine einzige Presseaussendung. Dafür jede Menge Fachinformation und ein Newsletter, den jeder Interessierte per Mail abonnieren kann. Die Arbeit der Datenschutzaufsicht erfolgt nach dem Motto „viel leisten, wenig hervortreten“, betont ihr Stellvertreter Matthias Schmidl.

Nachzulesen ist das in der aktuellen Statistik: Alle Beschwerden wurden im vergangenen Jahr abgearbeitet, nichts blieb liegen. „Rund 90 Prozent der Beschwerden betreffen Videoüberwachung“, erklärt Schmidl. Aber nur einige wenige Fälle mussten vor Ort überprüft werden. Die Behördenleitung ist angesichts dessen im Moment mit ihrer Personalausstattung noch zufrieden.

Ganz anders tönte noch die Vorgängerbehörde, die Datenschutzkommission: Wiederholt wies sie darauf hin, dass sie im Vergleich mit den anderen europäischen Mitgliedstaaten eher dürftig ausgestattet sei. Und auch Andreas Krisch sagt: „Die Personalressourcen war schon 1993 zu knapp, als die Behörde ihren ersten Bericht vorlegte.“

Jelinek hat außerdem im vergangenen Jahr erstmals eine strategische Kontrolle durchgeführt: Aufgrund vieler Beschwerden prüfte sie im vergangenen Jahr die wesentlichen Kreditauskunfteien, die Bonitätsbewertungen von Konsumenten automatisiert erstellen. Dafür berücksichtigen diese zum Großteil die Konsumentenanschrift und reichern sie mit Daten von Inkassofirmen an, beispielsweise offenen Forderungen. Nach der Prüfung mussten die Auskunfteien einige Korrekturen vornehmen: So dürfen Konsumentendaten beispielsweise erst dann weitergemeldet werden, wenn sie bereits dreimal gemahnt wurden. In diesem Jahr prüft die Datenschutzbehörde Krankenanstalten.

Die Aufsicht: Ausgeschmiert – oder souverän?

Die strategischen Kontrollen sind ein qualitativer Sprung der Rechtsdurchsetzung: „Wenn man Bürgerbeschwerden nur im Briefverkehr in der gemütlichen Verwaltungstradition abwickelt, wird der Datenschutz schnell ausgeschmiert“, erklärt der ehemalige schleswig-holsteinische Landesdatenschützer Helmut Bäumler. Bäumler reformierte Ende der 90er Jahre den Datenschutz in Schleswig-Holstein und etablierte Elemente wie den „Datenschutz durch Technik“ und die Zertifizierung von IT-Produkten, die jetzt mit der Datenschutzreform europaweit eingeführt werden. Er sagt: „Bei den strategischen Kontrollen bestimme ich das Thema und bin vor Ort.“

Der Hamburgische Datenschutzbeauftragte Johannes Caspar stellte wohl deshalb jetzt in einem ersten Defizit-Bericht an die Bürgerschaft fest, dass er eine unabhängige Wahrnehmung seines Amtes nicht mehr möglich sei, wen die Durchführung anlassfreier Kontrollen durch mangelnde Ressourcen massiv eingeschränkt sei. Im Vergleich zu den deutschen Kollegen sind die österreichischen Datenschützer allerdings nur halb so gut aufgestellt. Dabei müssen sie aufgrund der etwas anderen Rechtslage noch mehr Aufgaben übernehmen: Neben den 13 Juristen gibt es 13 Verwaltungsangestellte, die sich um Verwaltungsangelegenheiten kümmern müssen. Die entstehen vor allem dadurch, dass es bislang keine betrieblichen Datenschutzbeauftragten gibt.

Überdies ist zu bezweifeln, ob eine einzige strategische Kontrolle pro Jahr genügt. Rein rechnerisch ist diese für die rund 400.000 österreichischen Unternehmen so selten, dass sie einem Fünfer im Lotto gleichkommt. Und ein IT-Unternehmen muss gerade einmal alle 11.000 Jahre mit einer Prüfung rechnen. Immerhin besser als nichts: Die alte Datenschutzkommission führte überhaupt keine strategischen Kontrollen durch. Dass die Prüfzyklen häufiger sein sollten, zeigt die europarechtliche Regelung für das Schengensystem: Es muss mindestens alle vier Jahre geprüft werden.

Die EU-Reform fordert die Aufsicht heraus

Mit der Europäischen Datenschutzgrundverordnung wird Bewegung in die stille Behörde kommen. So fällt etwa das Datenverarbeitungsregister künftig weg. „Wir können uns dann verstärkt um Prävention und Beratung kümmern“, sagt Schmidl. Das ist auch nötig: So musste die Behörde in den letzten Jahren zunehmend mehr Rechtsauskünfte erteilen, während die Beschwerden und Kontrollen weit weniger deutlich anstiegen. (vgl. Grafik)

Mit der Reform kommen auch neue Aufgaben und Befugnisse: Vor allem wird die Datenschutzaufsicht mehr technischen Sachverstand benötigen, da die EU-Reform Zertifizierungen ermöglicht und in Artikel 23 „Datenschutz durch Technik“ verlangt. Das heißt, dass Unternehmen Prozesse und Produkte so gestalten müssen, dass sie von vornherein datenschutzfreundlich sind. Keine Geschichte zeigt dies besser als die des niederländischen Juristen John Borking, der in den 90er Jahren den Begriff PET, nämlich „Privacy enhancing Technologies“, prägte. Nur weil er wusste, dass der amerikanische Kryptologe David Chaum Anonymitätstechniken entwickelt hatte, konnte er überhaupt Vorgaben für die Entwicklung eines Krankenhaussystems machen.

Ein Jurist, der solche technische Möglichkeiten nicht kennt, sieht die Lösung darin, vom Nutzer eine Einwilligung einzuholen – oder eine gesetzliche Änderung einzufordern. Sind die technischen Optionen aber bekannt, kann das Verfahren selbst datenschutzfreundlich gestaltet werden. Derzeit verfügt die österreichische Datenschutzaufsicht über keinen Technik-Experten – und ist damit zufrieden. Weil die Reform aber auch den Unternehmen nicht die Bestellung von Datenschutzbeauftragten vorschreibt, die die Systeme und Prozesse von Grund auf kennen und mitgestalten, ist es völlig rätselhaft, wie „Datenschutz durch Technik“ ohne Techniker Realität werden soll.

Ein Jurist – ein Techniker

In Deutschland kommt in den Behörden im Schnitt auf drei Juristen ein Techniker, wobei in Fachkreisen bereits die Diskussion geführt wird, jedem Juristen mindestens einen Techniker zur Seite zu stellen. Gerade bei Kontrollen reichen den Juristen dort Befragungen nicht mehr aus, sie wollen in die zunehmend komplexer werdenden Systeme hineinsehen. Caspar etwa beklagt, dass er mit seinem wenigen Personal nur ausnahmsweise die Datenverarbeitung vor Ort prüfen könne. Deshalb müsse er „die Angaben der Unternehmen häufig als wahr hinnehmen.“ In Österreich kann die Datenschutzaufsicht auf externe Sachverständige zurückgreifen – in der Praxis geschieht dies jedoch sehr selten.

Dass den europäischen Aufsichtsbehörden in der Regel das technische Prüfwerkzeug fehlen dürfte, zeigt sich daran, dass Hamburg selbst einen so genannten „Hamburger RaspberryPi Datenschutz-Router“ (HRDR) entwickeln musste, der den tatsächlichen Datenverkehr von Smartphones, Tablets oder anderen WLAN-Geräten analysiert. Das mobile Jackentaschen-Gerät kann sogar verschlüsselten Datenverkehr im Klartext aufzeichnen. Damit könnten die Prüfer neueste Marketingsysteme in Kaufhäusern untersuchen, die Kunden mittels ihrer Handydaten orten und überwachen. Eine andere Aufsichtsbehörde hingegen entwickelte eine Prüfsoftware für Websites, um deren Datenflüsse zu untersuchen. Solche Privacy-Prüftools sollten eigentlich Standard sein, sie sind aber die Ausnahme.

Kein demokratisches Gleichgewicht ohne Kontrolle

Die gegenwärtige Diskussion dreht sich vor allem um die Entwicklung neuer Technologien, ihr Überwachungspotenzial und wie sie zu kontrollieren wären. Die staatliche Datenschutzaufsicht ist das einzige Gegengewicht, das der Staat dem Bürger angesichts der zunehmenden Überwachung seitens Sicherheitsbehörden und Unternehmen bietet. Sie kann Regelbrüche sanktionieren lassen.

Allein auf Bürgerbeschwerden abzustellen genügt nicht, da die Bürger in viele Bereiche gar keinen Einblick haben und nur erahnen können, dass etwas nicht richtig läuft. Das kann nur die Aufsicht mit strategischen Kontrollen überprüfen. Weil allein schon nur die IT-Unternehmen höchstens alle 11.000 Jahre mit einer Kontrolle rechnen müssen, darf bezweifelt werden, dass die Datenschutzkontrolle angemessen funktioniert. Die Frage ist, ob das auch gewollt ist.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 15.12.2015, 12:11 Uhr

Christiane Schulzki-Haddouti

Christiane Schulzki-Haddouti berichtet seit 1996 als freie IT- und Medienjournalistin über das Leben in der Informationsgesellschaft. Wie digitale Bürgerrechte bewahrt werden können, ist ihr Hauptthema. Die europäische Perspektive ist ihr wichtig – da alle wichtigen Entscheidungen in Sachen Internet in Brüssel fallen.

mehr lesen
Christiane Schulzki-Haddouti

Kommentare