Datenschutz: Innenminister muss Stellung beziehen & Aufsicht ist unterbesetzt
Nachdem Mark Zuckerberg in der vergangenen Woche öffentlichkeitswirksam im US-Senat und -Repräsentantenhaus ausgesagt hat, geht die Befassung mit dem so genannten Facebook-Skandal in anderen Parlamenten der Welt weiter – so auch im Deutschen Bundestag und im Europäischen Parlament. Darüber hinaus rücken die Datenschutz-Aufsichtsbehörden als Garanten für die Durchsetzung der ab Mai verstärkten Datenschutzregeln in der EU in den Fokus. Da bundesweit ein akuter Personalmangel besteht, bleibt wenige Wochen vor dem Stichtag für die Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) unklar, wie die Beauftragten ihre in der Theorie verstärkte Rolle wahrnehmen sollen. Ein angesichts der Enthüllungen um Cambridge Analytica in den Hintergrund gerücktes Gerichtsverfahren gegen Facebook wird erneut am Europäischen Gerichtshof (EuGH) landen – die grundsätzliche Rechtmäßigkeit des Datenaustauschs mit den USA damit wieder auf höchster Ebene verhandelt werden.
Facebook Thema in Bundestag und EU-Parlament
Die Fraktionsvorsitzenden im Europäischen Parlament haben einstimmig beschlossen, Facebook-Chef Mark Zuckerberg zu einer Anhörung vorzuladen – auf Initiative der deutschen Grünen-Abgeordneten Jan Philipp Albrecht und Sven Giegold. Obwohl die Causa Cambridge Analytica im Bundestag zunächst im Digitalausschuss behandelt wurde, steht nach wie vor kein Folgetermin für eine erneute Befassung des Ausschusses Digitale Agenda mit dem Social-Media-Unternehmen fest.
Dafür wird Facebook am 18. April Thema im Innenausschuss sein. Als erster Tagesordnungspunkt am Mittwochvormittag wird Bundesinnenminister Horst Seehofer (CSU) dem Ausschuss zu seinen Arbeitsschwerpunkten in der 19. Legislaturperiode berichten. Der Bundesinnenminister ist formal für den Datenschutz zuständig, hat sich aber vier Wochen nach dem Bekanntwerden der unerlaubten Datenweitergabe- praxis von Facebook nicht öffentlich zu der Thematik geäußert. Auf Anfrage des Tagesspiegel Politikmonitorings erklärte das BMI allerdings, dass es im Hintergrund schon Gespräche mit Facebook gegeben habe, man aber die Bewertung durch die zuständigen Behörden abwartet.
Dennoch dürften sich die Ausschussmitglieder für seine Einschätzungen zu der Notwendigkeit, eine solche Praxis in Zukunft zu unterbinden, interessieren. Eine umfassende Kleine Anfrage der Fraktion Bündnis 90/Die Grünen, die bei der Sitzung am Mittwoch als Tagesordnungspunkt 14 behandelt wird und zu der der Parlamentarische Staatssekretär Günter Krings laut BMI im Ausschuss Stellung nehmen wird, zielt darauf ab, darüber Klarheit zu erlangen.
Grünen-Anfrage im Innenausschuss
Neben den allgemeinen Konsequenzen, die die Bundesregierung aus dem Fall zieht, und den möglichen Sanktionsmöglichkeiten gegenüber dem Unternehmen, erkundigen sich die Grünen in dem neunseitigen Fragenkatalog auch nach der Eignung von konkreten, im Koalitionsvertrag von CDU/CSU und SPD angekündigten Instrumenten für einen besseren Schutz von Bürgerdaten vor Missbrauch. So wollen die Abgeordneten der Fraktion beispielsweise wissen, inwiefern die geplante Musterfeststellungsklage ein Instrument sein kann, Nutzer für die unrechtmäßige Weitergabe ihrer Daten zu entschädigen. Die neue Form der Verbandsklage wird bisher vor allem im Kontext des Diesel-Skandals diskutiert, wäre aber potenziell auch auf die digitale Welt anwendbar. Justiz- und Verbraucherschutzministerin Katarina Barley (SPD) plant, den „Entwurf eines Gesetzes zur Einführung einer zivilprozessualen Musterfeststellungsklage“ am 25. April dem Kabinett vorzulegen.
Des Weiteren erkundigen sich die Grünen nach den Plänen für ein „neues Datenrecht“ bzw. eine „smarte Datenkultur“, die einige Vertreter der Bundesregierung öffentlich befürworten. Die Abgeordneten wollen insbesondere wissen, wie das Konzept des „Dateneigentums“ mit der bestehenden Datenschutz-Gesetzgebung in Einklang gebracht werden soll, ohne dass eine Parallelgesetzgebung entsteht. Ferner geht es den Grünen um die konkreten Pläne für die im Koalitionsvertrag vorgesehene Digitalagentur sowie die Daten-Ethikkommission. Die Grünen geben der Bundesregierung in ihrer Kleinen Anfragen außerdem Gelegenheit, die deutsche Position zu der in Brüssel verhandelten E-Privacy-Verordnung darzulegen. Wettbewerbsrechtliche Hebel gegenüber Unternehmen, die Nutzerdaten missbrauchen, sind ebenfalls Teil des Fragenkatalogs.
Konsequenzen für die Datenschutz-Aufsicht
In den vergangenen Wochen seit Bekanntwerden der Causa Cambridge Analytica wurde vielfach eine bessere Ausstattung der Datenschutz-Aufsichtsbehörden gefordert – nicht nur angesichts der im Mai anwendbar werdenden EU-Datenschutz-Grundverordnung und der damit verbundenen Ausweitung der Aufgaben der Aufsicht, sondern auch vor dem Hintergrund des nun öffentlich gewordenen „Daten-Skandals“. Auch die Grünen verweisen in ihrer Kleinen Anfrage auf ein Gutachten von Professor Alexander Roßnagel von der Universität Kassel, der im Januar 2017 den Personalbedarf der Aufsichtsbehörden von Bund und Ländern angesichts der in Kraft tretenden DS-GVO untersucht hat. Insgesamt vermutete Roßnagel einen Personalbedarf pro Aufsichtsbehörde von zwölf bis 19 Juristen, vier bis fünf Informatikern, zwei Mitarbeitern im Bereich Öffentlichkeitsarbeit und Bildung sowie sechs zusätzlichen Sachbearbeitern.
Eine aktuelle Umfrage des Tagesspiegels unter den Landesdatenschutzbeauftragten hat ergeben, dass diese für die Implementierung der DS-GVO akut etwa 100 zusätzliche Stellen benötigen. In den meisten Ländern wurden die für die neuen Aufgaben beantragten zusätzlichen Stellen nur teilweise bewilligt.
„Vor dem Hintergrund eines massiven Stellendefizits und der mangelnden Bereitschaft der Politik, diese auszugleichen, besteht eine praktische Hürde, weitere Verfahren zu führen“,
sagte der Hamburgische Landesdatenschutzbeauftragte Johannes Caspar, der auch für die in der Hansestadt ansässige deutsche Niederlassung von Facebook zuständig ist, dem Tagesspiegel. Auch seine Kollegin Marit Hansen aus Schleswig-Holstein sagte:
„Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DS-GVO vernünftig nutzen können.“
Die neuen Datenschutzregeln ermöglichen Bußgelder von bis zu 20 Millionen Euro oder anlasslose Kontrollen in Unternehmen. „Ich fürchte, das wird fast gar nicht stattfinden“, sagte Mecklenburg-Vorpommerns Datenschutzbeauftragter Heinz Müller. Ein aktueller Antrag der Grünen-Bundestagsfraktion zu IT-Sicherheit fordert für die Bundesdatenschutzbeauftragte 200 neue Stellen.
Die obersten Datenschutzaufseher in den EU-Mitgliedstaaten, die Artikel-29-Datenschutzgruppe, deren Vorsitz neuerdings die österreichische Bundesdatenschutzbeauftragte Andrea Jelinek innehat, nehmen soziale Netzwerke von nun an stärker ins Visier.
„A multi-billion dollar social media platform saying it is sorry simply is not enough”,
schrieb Jelinek am 11. April in einem Statement. Als Konsequenz aus dem Fall wolle man eine „Social Media Working Group“ ins Leben rufen und die Branche künftig besonders unter die Lupe nehmen:
„What we are seeing today is most likely only one instance of the much wider spread practice of harvesting personal data from social media for economic or political reasons. WP29 is fully aware, however, that the issue is broader and concerns other actors, such as app developers and data brokers.”
Max Schrems zieht erneut vor den EuGH
Eine Gerichtsentscheidung der vergangenen Woche, bei der es um die Datenströme von europäischen Facebook-Nutzern in die USA geht, die aber weitreichendere Folgen für den gesamten transatlantischen Datenverkehr haben könnte, ist angesichts der größeren Facebook-Debatte in den Hintergrund getreten. Der irische „High Court“ hatte entscheiden, dass abermals der Europäische Gerichtshof über die Einschränkung des Austauschs von Nutzerdaten des sozialen Netzwerks entscheiden soll.
Der österreichische Jurist und Privacy-Aktivist Max Schrems hatte ursprünglich gegen den Austausch seiner Daten mit den USA – angesichts der dort stattfindenden Massenüberwachung durch Geheimdienste – unter den Standardvertragsklauseln von Facebook geklagt und damit nicht nur recht bekommen, sondern damit auch indirekt das so genannte Safe-Harbor-Abkommen zwischen der EU und den USA ausgesetzt. Das Nachfolgeabkommen EU-US-Privacy Shield muss bald evaluiert werden. Wenn es zu keiner politischen Lösung komme, droht Facebook eine Teilung des globalen und des europäischen Geschäftsbereichs, befand das irische Gericht laut Schrems.
„Die abermalige Vorlage ist in Wirklichkeit nicht nötig, da die irische Behörde den Datenaustausch den Datentransfer selbst unterbinden könnte, aber politisch ist es extrem hilfreich, wenn der EuGH hier abermals entscheidet“,
schrieb Schrems in einer Reaktion auf das Urteil.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Lina Rusch schreibt über Netzpolitik und beobachtet die Landespolitik. Oliver Voß schreibt beim Tagesspiegel über die Digitalwirtschaft, Star-ups und andere Technologiethemen.