Lücken im Datenschutz können Unternehmen teuer zu stehen kommen. Firmenlenker gehen deshalb oft auf Nummer sicher und tun lieber nichts als das Falsche. Als „Innovationsbremse“ wird der Datenschutz deshalb häufig bezeichnet. Eine grassierende „datenschutzrechtliche Lethargie“ nimmt auch die Datenrechtsprofessorin Louisa Specht-Riemenschneider wahr.
Seit September ist sie die neue Bundesbeauftragte für Datenschutz und Informationsfreiheit und damit in der Wahrnehmung der Öffentlichkeit die oberste Datenschützerin des Landes. Dabei singt sie im vielstimmigen Chor mit 17 weiteren Landesdatenschützern; Bayern leistet sich zwei solcher Ämter. Auch diese Vielstimmigkeit trägt zu einer mitunter lähmenden Rechtsunsicherheit bei.
Diese Lethargie bereitet Specht-Riemenschneider besondere Sorgen, weil damit die eigentliche Rolle des Datenschutzes verkannt werde. „Ich sehe den Datenschutz nicht als Hemmschuh“, betont sie im Gespräch mit der F.A.Z. Probleme mit der Rechtsunsicherheit aber gebe es.
„Die DSGVO will Datennutzung nicht verhindern“
Die Bonner Hochschullehrerin kann man getrost als Verfechterin der europäischen Datenschutz-Grundverordnung, (DSGVO) bezeichnen. Alles andere wäre schwer vorstellbar in ihrer neuen Rolle, die die parteilose Juristin von der Universität Bonn einer seltenen reibungslosen Zusammenarbeit zwischen der FDP- und der Grünen-Fraktion im Bundestag zu verdanken hat. „Wir haben in der DSGVO verschiedene Möglichkeitskorridore“, stellt sie klar. „Die DSGVO ist nie angetreten, um Datennutzung vollständig zu verhindern, sondern sie bietet viele Möglichkeiten, Datenverarbeitung für spezifische Zwecke vorzunehmen, wenn Voraussetzungen eingehalten werden.“ Es seien keine unüberwindbaren roten Linien, die den Unternehmen Schwierigkeiten bereiten.
„Das Problem ist ein anderes: Die DSGVO ist eine technikneutral formulierte Grundverordnung, die viele unbestimmte Rechtsbegriffe und Abwägungsklauseln enthält, die bis heute nicht abschließend definiert sind. Das bereitet Unternehmen verständlicherweise Unbehagen.“
In einem Atemzug mit Cyberangriffen
Das Wort „Unbehagen“ umschreibt die Vorbehalte nur ungenau. Der Versicherungskonzern Allianz formulierte es Anfang Oktober wesentlich drastischer in seinem „Cyber Risk Outlook“. Dort werden die Gefahren durch den Datenschutz in einem Atemzug mit Cyberangriffen von Hackern genannt. Letztere hätten die Unternehmen inzwischen aufgrund ihrer verbesserten Schutzmaßnahmen in der IT-Sicherheit gut unter Kontrolle. Dagegen seien Datenschutzverletzungen deutlich gestiegen.
Tatsächlich gehen beide Risiken häufig Hand in Hand: Wo Cyberangriffe entstehen, lauern datenschutzrechtliche Risiken, wenn dabei personenbezogene Daten abgezogen werden. Das wird zunehmend in den Vereinigten Staaten zum Problem, also außerhalb des Wirkbereichs der DSGVO. Dort, im Land der Sammelklagen, sind auch die Schadensersatzforderungen besonders hoch. Im vergangenen Jahr gehörten Datenschutzverletzungen zum am schnellsten wachsenden Bereich von Sammelklagen in den USA.
In Deutschland ist das Risiko zwar anders gelagert, entfaltet aber trotzdem lähmende Wirkung. Diese müsse aufgebrochen werden, findet Specht-Riemenschneider. Ihre Behörde könne durch Auslegungshilfen unterstützen, und der Gesetzgeber könne an der einen oder anderen Stelle nachschärfen. „So können wir den Status überwinden, dass Datenschutz als großes Hemmnis wahrgenommen wird.“
Die Datenschützer wollen früh mitreden
Viel Ärger könne auch dadurch vermieden werden, dass der Gesetzgeber die datenschutzrechtlichen Hürden schon im Gesetzgebungsprozess beachtet, mahnt Specht-Riemenschneider. „Datenschutz ist eine rechtliche Vorgabe, daran muss sich auch der Gesetzgeber halten.“ Die Rolle ihrer eigenen Behörde dabei umreißt sie klar: „Wir können ihm am besten dabei helfen, wenn wir nicht erst im Nachhinein mit aufsichtsrechtlichen Maßnahmen reagieren müssen, sondern schon bei der Entstehung des Gesetzes so früh wie möglich eingebunden werden.“ Die Juristin hat in verschiedenen Kommissionen schon seit Langem Erfahrung in der Politikberatung gesammelt. „Das ist der Königsweg.“
Ihr fallen sogleich Beispiele aus der jüngeren Vergangenheit ein, in denen das ihrer Ansicht nach noch nicht funktioniert hat. Dazu zählt das Sicherheitsgesetz, das die inzwischen gescheiterte Ampelkoalition noch Anfang Oktober durch den Bundestag gebracht hatte. Kern ihrer Kritik ist der nun mögliche Abgleich von biometrischen Daten mit im Internet gesammelten Informationen. Im Gesetzgebungsprozess habe es nach einer Anhörung Anpassungen gegeben. Aber: „Es hat sich nichts an dem Grundsatz geändert, dass eine große Menge von Daten zusammengeführt und gespeichert werden kann“, kritisiert sie.
Specht-Riemenschneider warnt vor einem Gefühl der potentiellen Überwachbarkeit. „Das führt zu angepasstem Verhalten, und das ist für eine Demokratie nicht gut. Deshalb hätten wir uns gewünscht, dass der Kreis der Personen, die in diesen biometrischen Abgleich einbezogen werden, so eng wie möglich gezogen wird.“