LUXEMBURG
DANIEL OLY

Zum heutigen Datenschutztag gibt es eine positive Bilanz dank GDPR - aber es bleibt viel zu tun

Am heutigen 28. Januar steht der Datenschutz noch stärker im Fokus als sonst; zum vom Europarat ins Leben gerufenen Europäischen Datenschutztag, der seit 2007 jährlich begangen wird, sollen Bürger, Unternehmen und Institutionen erneut stärker sensibilisiert werden. Eine Besonderheit hat der Datenschutztag dieses Jahr trotzdem: Es wird der erste Tag dieser Art  seit der Umsetzung der Datenschutzgrundverordnung GDPR zum Stichdatum des 25. Mais 2018 sein. Eine positive Entwicklung, und dennoch bleibe viel zu tun, meinen Experten - entsprechend wichtig ist die Aufklärung. In die Pflicht genommen werden dafür am „Data Protection Day“ auch die nationalen Datenschutzkommissionen wie die CNPD, die an diesem Montag denn auch an mehreren Orten präsent sein wird - unter anderem auch in Schulen, um den kommenden Generationen die Wichtigkeit eines konkreten Datenschutzes mit auf den Weg zu geben, wie CNPD-Präsidentin Tine A. Larsen erklärt.

„Die Bürger haben seit der Einführung der Datenschutzgrundverordnung mehr Rechte und die bestehenden Rechte wurden verstärkt“, betont Larsen. „Unternehmen haben mehr Pflichten, aber auch mehr Chancen, um wirklich zu innovieren.“ Und auch für die Datenschutzkommission hat sich viel geändert, steht die CNPD doch nicht mehr vor der Arbeit, andere Maßnahmen spezifisch zu autorisieren; stattdessen soll sie jetzt Überschreitungen prüfen, im Ernstfall Strafen aussprechen und bei der Umsetzung der Datenschutzgrundverordnung helfen. „Wir stellen deshalb fest: Es gibt insgesamt mehr Bewusstsein für das Thema - und das auf allen Seiten.“ Entsprechend positiv wurde der Paradigmenwechsel durch die Datenschutzgrundverordnung GDPR wahrgenommen.

Demnach treiben die Bürger durch ihre eigene Nutzung und ihr Verhalten die Unternehmen aktiv dazu an, ihre Geschäftsmodelle zu überdenken. „Wer nicht gut genug vorbereitet war, bekam eindeutig einen Denkzettel“, meint sie mit Blick auf die um 100 Prozent angestiegene Zahl an Beschwerden, die gegenüber der CNPD geäußert wurden - von 200 auf immerhin 400 einzelne Fälle. Oft scheitere es dabei bei einfachen Sachen wie dem Zugang zu personenbezogenen Daten. „Das ist natürlich eine große Herausforderung für alle, aber besonders für kleinere Unternehmen oder Organisationen“, meint Larsen.

Bürger müssen ihren Teil der Verantwortung übernehmen

Damit das vermieden werden kann, arbeite die CNPD sehr stark an der Aufklärung und Ausbildung; so brauche zwar nicht jede Firma und Organisation verpflichtend einen „Data Protection Officer“, es sei aber wichtig, dass sich die Verantwortlichen zumindest mit dem Thema auseinander setzen. „Wir bieten hier eine beratende Funktion, indem wir bei Nachfragen zu Datenschutzthemen aushelfen und erklären, welche Maßnahmen gut wären“, erklärt sie. Deshalb ist die CNPD derzeit viel auf dem Terrain unterwegs, um etwa bei Sportföderationen, beim SNJ oder bei Seniorenheimen aufzuklären. „Zudem haben wir das ,Compliance Support Tool‘ zusammen mit dem LIST ausgearbeitet“, sagt Larsen. Das hat Schule gemacht, denn inzwischen bietet auch die CLC ein entsprechendes Tool an, das sich direkt an kleine und mittelständische Unternehmen richtet.

Das heiße aber nicht, dass es keine Zwischenfälle gebe - im Gegenteil: „Seit dem 25. Mai haben wir 172 unterschiedliche Fälle registrieren müssen“, erklärt Larsen. „In den meisten Fällen gehen persönliche Daten an die falsche Adresse, 35 Mal war ein Hacking-Angriff oder Ähnliches im Spiel.“ In diesen Fällen kann die CNPD jetzt bei den Unternehmen direkt vor Ort intervenieren und Empfehlungen - oder Strafen - aussprechen. Zudem laufe derzeit ein Audit von rund 25 großen Firmen, Organisationen und Behörden, um die Performance der Datenschutzbeauftragten zu ermitteln. „Es ist also sehr viel geschehen und die Entwicklung ist bislang positiv“, resümiert sie. Aber es müsse eben klarerweise noch besser werden. Ein Teil davon sei denn auch der Bürger selbst, der ebenfalls mehr Verantwortung übernehmen müsse. „Das darf man nicht vergessen“, betont sie.

Zum heutigen „Data Privacy Day“ (DPD) wird die CNPD deshalb auch wieder verstärkt aktiv sein, Informationsmaterial austeilen und in den Schulen für Aufklärungsarbeit sorgen. „Man muss die Menschen möglichst früh erreichen“, weiß Larsen. Dabei arbeite die CNPD eng mit Partnern zusammen. Einen spezifischen Fokus für den DPD gibt es aber nicht. „Information und Sensibilisierung werden im Vordergrund stehen“, meint sie.

Für die Zukunft sieht sie aber auch sehr viel Arbeit auf die CNPD zukommen. „Es gibt immer mehr Daten, die gesammelt werden - nicht zuletzt wegen der Digitalisierungsinitiative der Regierung“, meint Larsen. „Projekte wie vernetztes, autonomes Autofahren werden da eine weitere große Herausforderung werden.“ Es fehle deshalb nicht unbedingt an Regeln - hier hält sie das GDPR-Werk für durchaus gut - sondern eher am Bewusstsein. „Eine wichtige Frage wird so etwa sein, inwiefern eine solche Datenverknüpfung noch ethisch vertretbar ist“, sagt sie abschließend. „Nur, weil es im Rahmen von GDPR machbar ist, heißt das nicht, dass es unbedingt gemacht werden sollte.“