Netzpolitik
23.11.2016

Datenschutzbehörde: "Wir sind keine entmündigten Wesen"

Andrea Jelinek, Leiterin der österreichischen Datenschutzbehörde, fordert Internet-Nutzer im futurezone-Interview dazu auf, sich stärker um ihre eigene Daten zu kümmern.

Die Verknüpfung und Auswertung von unseren Daten wird für viele Firmen immer wichtiger für ihre Geschäftsmodelle. Die futurezone sprach mit Andrea Jelinek, Leiterin der Datenschutzbehörde, über Big Data und Datenschutz.

futurezone: Sind Daten aus Ihrer Sicht das Öl der nächsten Jahrzehnte und so wichtig wie Rohstoffe, Arbeit und Kapital?
Andrea Jelinek: Ja, das wird überall propagiert. Ich denke auch, dass es stimmt. Umso wichtiger ist es für Unternehmen, konform auch im Bereich des Datenschutzes zu sein.

Derzeit überlegen sich zahlreiche Firmen, wie sie im Zuge der Digitalisierung Daten nutzen können, um daraus ihre Geschäftsmodelle zu adaptieren. Wird der richtige Umgang mit Daten für Firmen zu einem entscheidenden Wettbewerbsfaktor?
Der gesetzeskonforme Umgang mit Daten sollte selbstverständlich sein, die Einhaltung der datenschutzrechtlichen Bestimmungen und die Datensicherheit sind wichtig und sicher ein Wettbewerbsfaktor, wenn ein Unternehmen da sehr gut aufgestellt ist.

Viele internationale Big Data-Unternehmen sind der Meinung, dass man längst Fakten geschaffen haben wird, bevor es überhaupt Gesetze zu dem Thema geben wird.
Wenn Sie damit die üblichen Suchmaschinenbetreiber oder große E- Commerce Unternehmen meinen, fällt die Antwort differenziert aus. Viele Menschen sind sich gar nicht im Klaren, dass sie bestimmten Übermittlungen und auch Verknüpfungen ihrer Daten zustimmen. Die Datenschutzerklärung wird sehr oft einfach angeklickt, sie wird nicht durchgelesen oder auch nur in irgendeiner Weise zur Kenntnis genommen. Ich weiß, dass dies manchmal mühsam sein kann, aber jeder Einzelne sollte doch daran interessiert sein, was er unterschreibt und welchen Übermittlungen er zustimmt.

Nutzer müssen aus Ihrer Sicht selbst wieder mehr Verantwortung nehmen?
Wir sind keine entmündigten Wesen. Wir haben hier Eigenverantwortung und jeder sollte sich bewusst sein, was er tut. Darüber hinaus ist es eine Frage, die jeder Konsument für sich beantworten muss, ob die Übermittlung der Daten an das Unternehmen durch etwaige Vorteile einer Kundenkarte ausreichend kompensiert werden oder nicht.

Eine Studie hat etwa die Verwendung von Instagram-Filtern analysiert und dabei festgestellt, dass Depressive vermehrt auf andere Foto-Filter zurückgreifen als Nicht-Depressive. Während Wissenschaftler sich eine Nutzung zur Früherkennung von Depressionen erhoffen, könnten diese Daten auch dafür missbraucht werden, dass diese Menschen möglicherweise dadurch keine Jobs mehr bekommen. Was für Regeln, Verbote, Guidelines müsste es in so einem Fall geben?
Ihr Beispiel ist nicht ausschließlich mit dem Datenschutzrecht zu lösen. In die Beantwortung fallen Arbeitsrecht, Ethik in der wissenschaftlichen Forschung, Zustimmung bei Versuchsreihen. In vielen Fällen ist nicht nur das Recht, sondern auch die Unternehmensethik und –Kultur gefragt.

Anderes Beispiel: Darf eine Versicherungsgesellschaft etwa wissen, warum und ob ich nächstes Jahr ins Spital muss?
Bei Versicherungen kommt es auf den Vertrag an, was diese wissen darf oder muss. Diese Fragen stellen sich aber nicht anders als früher.

Datenschützer zitieren immer wieder, dass die Datenschutzbehörde nicht genügend Geld hat, um Techniker einzustellen.
Die Frage der Implementierung von Technikern in der Behörde ist keine Frage des Geldes, sondern eine der Sinnhaftigkeit und der Erforderlichkeit. Die Datenschutzbehörde bestellt, wenn sie es braucht, technische Sachverständige aus den unterschiedlichsten Teilgebieten, denn auch und gerade in diesem Bereich ist das Wissen extrem schnelllebig und spezialisiert.

Mit der EU-Datenschutzgrundverordnung kommen auch technischere Themen wie "Privacy by Design" und "Privacy by Default" auf die Behörde zu. Sehen Sie sich hier auch ohne Techniker ausreichend vorbereitet?
Das sind keine Geheimwissenschaften. Wir wissen, dass die Halbwertszeit des Wissens immer kürzer wird und auch aus diesem Grund halte ich es für sinnvoller, diese Expertise zuzukaufen, wenn erforderlich. Wenn ich wirklich Techniker brauche, dann reicht kein landläufiges Allgemeinwissen, sondern es ist hochspezialisierte Expertise gefragt. Wenn man weiß, dass man ein Herzproblem hat geht man auch zum Kardiologen, und nicht zum Allgemeinmediziner. Wenn die Behörde Techniker brauchte, habe ich das erforderliche Budget dafür bisher immer bekommen.

Big Data ist stark technologiegetrieben. Wäre es daher nicht sinnvoll, die Datenschutzbehörde mit mehr finanziellen Mitteln auszustatten?
Die Ausstattung der Datenschutzbehörde ist den derzeitigen Aufgaben entsprechend. Dies zeigt sich daran, dass die Verfahren innerhalb der gesetzlich normierten Frist abgeschlossen werden können und dass die Bescheide der Datenschutzbehörde durch das Bundesverwaltungsgericht in hoher Zahl bestätigt werden. Mit der Datenschutzgrundverordnung fallen Aufgabengebiete weg, es kommen aber auch sehr viele hinzu und dies werde ich zu gegebener Zeit mit dem für das Budget in diesem Bereich Verantwortlichen besprechen und klären.

In Deutschland hört man bei vielen Datenschutz-Verstößen regelmäßig etwas von den regionalen Datenschützern, die etwa Abmahnungen an Facebook verschicken. Warum ist die österreichische Datenschutzbehörde hier vergleichsweise ruhig?
Die österreichische Datenschutzbehörde legt ihren Fokus wie jede andere unabhängige Behörde dorthin, wo sie es als sinnvoll erachtet. Gerade in diesem Kontext ist die gemeinsame europäische Vorgangsweise sehr wichtig, weshalb die europäischen Datenschutzbehörden hier auch gemeinsam vorgehen. Abgesehen davon kann die Datenschutzbehörde nur dann einschreiten, wenn ein Unternehmen seinen Sitz im Inland hat. Dies ist bei vielen Internetunternehmen aber nicht der Fall.

Wohin legt die österreichische Behörde ihren Schwerpunkt konkret?
Einerseits bearbeiten wir Verfahren, die von außen kommen. Andererseits leiten wir selbst Verfahren ein und zwar in jenen Branchen, bei denen wir glauben, dass viele Menschen von den jeweiligen Datenanwendungen betroffen sind.

Zur Person
Andrea Jelinek ist seit Anfang 2014 Leiterin der heimischenDatenschutzbehörde. Sie wurde für fünf Jahre bestellt. Davor war Jelinek Leiterin einer Abteilung der Landespolizeidirektion Wien und Chefin der Fremdenpolizei. Die Datenschutzbehörde dient als Kontrollstelle zur Überprüfung der Einhaltung von Datenschutzvorschriften.

Veranstaltungshinweis
Jelinek wird am Freitag, den 25. November, ab 18 Uhr im Raiffeisen Forum (Friedrich-Wilhelm-Raiffeisen-Platz 1, 1020 Wien) beim KURIER-Gespräch „Big Data: der gläserne Mensch“ unter der Moderation von Martina Salomon, stellvertretende Chefredakteurin des KURIER, mit Facebook-Kläger Max Schrems und Buchautor Rudolf Klausnitzer über das Thema diskutieren. Der Eintritt ist frei, um Anmeldung per E-Mail unter events@kurier.at wird gebeten.