Nützliches Wissen über Datenschutz

Kapitel 1: Datenschutz. Angst und Ausrede

Deutschland hat die gesetzliche Regelung des Datenschutzes und die Etablierung der Datenschutzbeauftragten als ein Mittel der Durchsetzung von Datenschutz in Unternehmen und Behörden maßgeblich geprägt. Vor dem Hintergrund dieser Gründungsgeschichte gilt Deutschland im internationalen Kontext daher oft als das Land, das besonders viel Wert auf Datenschutz legt und ihn vorbildlich geregelt hat. Gleichzeitig ist es aber das Land, das in Bezug auf die Digitalisierung von Wirtschaft, Verwaltung und Bildungswesen im internationalen Vergleich weit abgeschlagen zurück liegt. Bei näherer Betrachtung dominieren in Deutschland zwei gegenläufige Bilder: die der Datenschutzangst und der Datenschutzausrede.

Datenschutzangst

Datenschutzangst ist der Zustand, in dem sich viele Unternehmen und öffentliche Stellen befinden, die sich mit Compliance5 Anforderungen bezüglich Datenschutz und IT-Sicherheit konfrontiert sehen, aber nicht wissen, wie sie sie praktisch umsetzen sollen. Die Folge: Sie ignorieren das Thema weitgehend und hoffen, dass nichts Negatives daraus folgen möge - wobei »das Negative« in der Regel unbestimmt wahrgenommen wird. Konkret wären das finanzielle Nachteile durch Bußgelder von Datenschutzaufsichtsbehörden, Schadensersatzforderungen von Personen, deren Daten illegal genutzt wurden, oder auch die kostspielige Bearbeitung von Sicherheitsvorfällen, inklusive beispielsweise der Zahlung von Lösegeld für die Freigabe verschlüsselter Daten. Möglicherweise ist die weit verbreitete Datenschutzangst auch eine Folge der Entwicklung des Datenschutzes und der Rolle der Datenschutzbeauftragten in Deutschland, wie ich sie in der Einleitung skizziert habe. Der Anspruch an beides war von Anfang an hoch. Hohe Ansprüche erzeugen eine große Fallhöhe, und da erscheint es einfacher, lieber nichts zu tun. Hinzu kommt, dass Scheitern in Deutschland bisweilen als Makel begriffen wird und nicht als Chance, es beim nächsten Mal besser zu machen.

In dieser Gemengelage verwundert es nicht, wenn einerseits - vor allem in Unternehmen - der Eindruck entsteht, Datenschutz sei lästig und möglicherweise sogar überflüssig, weil er ohnehin nur ein Hindernis in der von uns allen gewünschten technischen Entwicklung darstellt. Paradoxerweise wird Datenschutz dann aber an anderen Stellen doch so ernst genommen, dass teilweise Pläne nicht verwirklicht werden, weil die Angst dominiert, sie seien nicht mit den Datenschutzanforderungen zu vereinbaren.

»Und oft lässt sich tatsächlich beobachten, dass Datenschutz auch sinnvolle Projekte oder Vorhaben verhindert. Nicht, weil sie rechtlich oder technisch nicht umsetzbar sind, sondern weil die Angst, etwas falsch zu machen, dazu führt, dass Projekte vorschnell aufgegeben werden oder die Hürden höher gesehen werden, als sie tatsächlich sind«, schreibt der Hamburgische Beauftragte für Datenschutz und Informationssicherheit in der Einleitung zu seinem Tätigkeitsbericht Datenschutz 2021 und fasst damit zusammen, was Deutschland in der Digitalisierung um Jahrzehnte zurückgeworfen hat.

»Das trägt zu einem Bild bei«, so der Hamburgische Datenschutzbeauftragte weiter, »das den Datenschutz als Innovationsbremse sieht. Dieses Bild ist falsch, aber gleichwohl kann man es nicht ignorieren. Auch falsche Bilder können sich verfestigen«.

. und Datenschutzausrede

Die Datenschutzausrede hingegen findet sich bevorzugt in Behörden, deren Handeln in der öffentlichen Kritik steht. Der Datenschutz wird dann als Begründung dafür genutzt, warum bestimmte Maßnahmen nicht ergriffen wurden. Eine Behörde hat eine andere nicht über den Verdacht der Misshandlung eines Kindes informiert? Nicht erlaubt wegen Datenschutz, so die Ausrede. Das Bundesgesundheitsministerium verteilt großzügig Geld an COVID-19-Schnellteststationen, ohne zu überprüfen, ob auch wirklich die Anzahl an Menschen getestet wurde, die abgerechnet wurden? Geht nicht wegen Datenschutz - angeblich. Im Fall des Kinderschutzes hat man im Jahr 2012 eigens ein neues Gesetz geschaffen, um möglich zu machen, was vorher auch schon gegangen wäre, hätte man die geltenden Datenschutzbestimmungen richtig angewendet. »Das geht nicht wegen Datenschutz« ist auch in der Diskussion um Digitalisierung ein häufig eingesetztes Scheinargument, das beispielsweise Anfang des Jahres 2022 wieder in der Debatte um ein zentrales Impfregister zu hören war. Das zentrale Impfregister sollte für den Fall der Einführung einer Impfpflicht eine Kontrolle und Durchsetzung derselben ermöglichen. Die Debatte war in mancher Hinsicht typisch für die Diskussion über Digitalisierungsprojekte allgemein. Diese wurden (und werden) häufig nicht gut geplant und nicht konsequent verfolgt. Dann wird ein Bedarf festgestellt, aber gleichzeitig erkennt man, dass das Vorhaben nicht schnell zu verwirklichen ist. Anstatt einzugestehen, dass Deutschland gut 30 Jahre Digitalisierung verschlafen hat, die nicht mal eben aufzuholen sind, wird der Datenschutz als Schuldiger vorgeschoben. Die Diskussion endet stillschweigend, das Vorhaben wird nicht realisiert. Ein Verlauf, den wir in Unternehmen ebenso erleben, wenn die Realisierung neuer Projekte infrage steht.

Die Wirklichkeit ist dabei in allen Fällen deutlich weniger kompliziert als angenommen. Weder ist Datenschutz im Alltag von Unternehmen und Behörden unmöglich zu realisieren, noch ist er ein Grund für Nicht-Handeln. Der in der öffentlichen Diskussion oftmals zelebrierte angebliche Zielkonflikt »entweder Datenschutz oder Menschenleben retten«, »entweder wirtschaftlicher Erfolg oder Datenschutz«, »entweder schnelles staatliches Handeln oder Datenschutz« existiert in Wirklichkeit so nicht. Auch in Digitalisierungsprojekten ist Datenschutz, richtig und rechtzeitig geplant, kein Hinderungsgrund. Nur ein Beispiel für einen unnötigen und sehr deutschen Konflikt zwischen einer sinnvollen Neuerung und Datenschutz ist die Einführung einer einheitlichen Personenkennziffer für Verwaltungsangelegenheiten im Rahmen der sog. Registermodernisierung. Österreich hat mit einem anderen Modell gezeigt, wie sich so ein Vorhaben datenschutzkonform gestalten lässt.6 Die Frage ist also nicht ob Datenschutz, sondern wie Datenschutz.

Mut zur Entscheidung

Ein weiterer Aspekt für eine erfolgreiche Digitalisierung tritt dabei hinzu, der in der Regel unbeachtet bleibt: die Definition eines klaren Ziels und der nötige Mut, Entscheidungen zu treffen. Diese müssen begründet und abgewogen werden. Führungskräfte müssen sie verantworten - eine im Grunde selbstverständliche Tatsache, die in der Praxis aber oft nicht gewährleistet ist. Vereinfacht gesagt ist es leichter, eine Nicht-Entscheidung damit zu begründen, dass leider der Datenschutz es nicht möglich machte, als für eine durchdachte Entscheidung einzustehen, auch auf die Gefahr hin, dass sie später angegriffen und ihre Richtigkeit in Zweifel gezogen wird. Mitunter allerdings, auch das zeigt die praktische Erfahrung, wäre es leichter, eine Entscheidung für Datenschutz zu treffen, wären die gesetzlichen Grundlagen vollständiger, einfacher und klarer geregelt. Das offensichtlichste Beispiel dafür ist aus meiner Sicht das Sozialgesetzbuch Fünftes Buch, das die verschiedenen Aspekte des öffentlichen Gesundheitswesens regelt, vom Recht der Krankenversicherungen bis zur Arzneimittelversorgung. Die Datenschutzregeln sind unübersichtlich als Stückwerk nebeneinander gestellt und eine klare Systematik ist nicht erkennbar. Selbst Fachleute haben Mühe, auf dieser Grundlage datenschutzrechtlich erlaubte Vorhaben von nicht erlaubten zu unterscheiden.

Datenschutzbeauftragte, Informationssicherheitsbeauftragte und alle anderen, die in diesem Feld beratend tätig sind, können den Beteiligten viel Nervosität und Stress nehmen. Sofern sie weder die Angst noch die Ausreden verstärken, sondern ihren Mandanten den roten Faden aufzeigen, an dem entlang diese ihre Abläufe dermaßen gestalten können, dass die entsprechenden Risiken so klein wie möglich bleiben.

Ich habe es in all den Jahren meiner Beratungstätigkeit zum Thema Datenschutz und IT-Sicherheit nur ein einziges Mal erlebt, dass eine (Start-up-) Idee aus Datenschutzgründen nicht zu realisieren gewesen wäre. Dabei ging es um den Einsatz von Algorithmen für die Beurteilung der Kreditwürdigkeit eines Menschen und die vollautomatisierte Vergabe von Krediten. Die Inhalte für die Algorithmen, die automatisiert über die Kreditwürdigkeit eines Menschen entschieden, sollten durch einen weitreichenden Zugriff in die IT-Systeme der Kreditantragsteller gewonnen werden. Private Social-Media-Nachrichten sollten dafür genauso ausgewertet werden wie die Schriftart des eingesetzten Laptops, die zuletzt besuchten Webseiten und Dutzende anderer Merkmale. Die Auswertung dieser Informationen sollte dann die Grundlage für eine vollautomatisierte Entscheidung über die Gewährung oder Nicht-Gewährung eines Kredits darstellen. Die Frage, welche Merkmale ausgewertet würden, basierte...