DIVSI wurde am 31.12.2018 aufgelöst. Diese Website dient ausschließlich als Archiv und wird nicht mehr aktualisiert.
DIVSI wurde am 31.12.2018 aufgelöst
und wird nicht mehr aktualisiert.

zurück zur Übersicht

Wider die deutsche Kleinstaaterei im Datenschutz!

24. Oktober 2016

Wider die deutsche Kleinstaaterei im Datenschutz

Foto: Igor Lateci | Shutterstock / TunedIn by Westend61 | Shutterstock

Höchste Zeit, den Streit für Änderungen zu beginnen – das Thema darf kein Tabu bleiben.

Von Göttrik Wewer

Wir regen uns gerne darüber auf, dass die Amerikaner ein ganz anderes Verständnis von Privatheit und Datenschutz haben und es deshalb so schwierig ist, mit ihnen zu einer Verständigung zu kommen. Wer für sich in Anspruch nimmt, das höchste Datenschutzniveau der Welt zu haben, für den ist es natürlich nicht ganz einfach, irgendwo anders einen „sicheren Hafen“ zu finden. Dabei muss man gar nicht nach China oder Russland gucken, das fängt schon in Europa an. Was die Geheimdienste in Großbritannien (und Frankreich und anderswo) treiben, unterscheidet sich allenfalls graduell, aber nicht grundsätzlich von dem, was ihre Kollegen in Amerika so alles machen.

Die Kritik an den USA wäre glaubwürdiger, wenn wir wenigstens in Europa das gleiche Verständnis von Privatheit und Datenschutz hätten. Das ist aber keineswegs der Fall, wie nicht nur Umfragen zeigen. Hätten alle EU-Mitglieder die Datenschutzrichtlinie aus dem Jahre 1995 in gleicher Weise in nationale Gesetze umgemünzt und hätten alle nationalen Aufsichtsbehörden das Regelwerk in gleicher Weise interpretiert, dann hätten sich die meisten amerikanischen „Datenkraken“ (Constanze Kurz) wohl kaum in Irland niedergelassen. 28 Mitgliedsstaaten der Europäischen Union, das hieß bisher auch: 28 unterschiedliche Auffassungen von Datenschutz! Es konnte also nicht die Rede davon sein, dass Europa gegenüber den USA mit einer Stimme sprechen würde.

Mit der neuen Datenschutzgrundverordnung, die ab 2018 in ganz Europa gilt, soll sich das ändern. Ob das auch so kommt, ist derzeit offen. Zwar ist eine Verordnung im Unterschied zu einer Richtlinie unmittelbar geltendes Recht in allen EU-Staaten, aber sie enthält ca. 60 Klauseln, die Ausnahmen und Abweichungen zulassen. Dass der europäische Flickenteppich im Datenschutz wirklich beseitigt wird, muss sich insofern erst noch zeigen. Nach dem „State of Privacy Report 2015“ sind übrigens 57 Prozent der Europäer besorgt darüber, dass ihre Daten nicht sicher sind – kein schöner Wert nach mehr als vier Jahrzehnten Datenschutz.

Föderale Kleinstaaterei

Bevor wir mit dem Finger auf andere zeigen, sollten wir allerdings sicher sein, unsere eigenen Hausaufgaben gemacht zu haben. Auch das trifft leider nicht zu: Denn nicht einmal innerhalb Deutschlands haben wir immer eine einheitliche Auslegung der einschlägigen Gesetze und Richtlinien. Unternehmen, die bundesweit unterwegs sind, müssen mit 16 Landesbeauftragten für den Datenschutz reden, wenn sie ihre Produkte und Dienstleistungen in dem jeweiligen Land anbieten wollen, und zur Sicherheit vielleicht auch noch mit der Bundesbeauftragten. Dass alle zu der gleichen Bewertung kommen, ist dabei keineswegs gesagt. In dieser Form kommt das zwar selten vor, aber potenziell muss man mit 17 Interpretationen der Rechtslage rechnen, die sich mehr oder weniger deutlich unterscheiden.

Die datenschutzrechtliche Kleinstaaterei, die wir uns im deutschen Föderalismus gönnen, bedeutet nicht nur eine Menge unproduktiver Doppel-, Dreifachund Vielfacharbeit in den Behörden, die sinnvoller eingesetzt werden könnte, sondern behindert auch die Wirtschaft – übrigens ohne auch nur einen Deut mehr Datenschutz zu bringen. Im digitalen Zeitalter, in dem Schnelligkeit, Flexibilität und Wettbewerb dramatisch zunehmen, ist diese datenschutzrechtliche Kleinstaaterei zudem ein erheblicher Standortnachteil.

Wenn unsere Daten und unser Privatleben in Deutschland weitaus besser geschützt wären als anderswo, dann könnte man den bürokratischen Mehraufwand vielleicht hinnehmen. Aber auch hier lügen wir uns in die Tasche. Formal mögen wir das strengste Datenschutzrecht der Welt haben, aber wer wollte ernsthaft behaupten, dass unsere persönlichen Daten heute tatsächlich besser geschützt sind als vor zehn, 20 oder 40 Jahren oder unsere Privatsphäre stärker beeinträchtigt ist als die der Bürger von Australien, Dänemark oder Estland? Dass wir nicht nur auf dem Papier, sondern auch faktisch das beste Datenschutzregime der Welt haben, ist nicht mehr als eine Lebenslüge von Datenschützern.

Erneuerungsbedarf

Datenschutz in Deutschland ist ineffizient und ineffektiv. Man muss sich nur einmal die Jahresberichte der Landesbeauftragten anschauen: nirgendwo klare Ziele, nirgendwo harte Zahlen, nirgendwo Impact Assessment. Stattdessen überall einzelne Fälle und viele kleine nette Geschichten. Und der stolze Abdruck von Beschlüssen mit den Kollegen anderer Bundesländer, die an studentische Resolutionen erinnern, die man früher auf Mensatischen finden konnte („Weg mit …!“). Wer aber gar nicht messen kann, ob er erfolgreich arbeitet, kann auch nicht besser werden. Kein Datenschützer würde leugnen, dass es erhebliche Vollzugsdefizite gibt. Das läge aber nur daran, dass die eigenen Ressourcen nicht ausreichen würden, bessere Arbeit abzuliefern, heißt es. Mehr Ressourcen in ein System zu stecken, das offenkundig ineffektiv und ineffizient ist, wäre jedoch nicht sinnvoll. Stattdessen sollte darüber nachgedacht werden, wie Datenschutz in Deutschland mit begrenzten Ressourcen im digitalen Zeitalter besser organisiert werden könnte. Diese Debatte ist überfällig. Die Datenschützer schmoren zu sehr im eigenen Saft, als dass sie ihre Arbeitsweise und ihre Arbeitsergebnisse selbst kritisch hinterfragen könnten. Wir müssen ihnen helfen.

Konsolidierung

Die Landesbeauftragten haben in ihren Dienststellen zwischen einem Dutzend und drei Dutzend Mitarbeiterinnen und Mitarbeiter. Dabei dürfte unstrittig sein, dass es eine „kritische Masse“ braucht, um sämtliche Facetten des Themas kompetent bearbeiten zu können. Manche Behörden sind schlicht zu klein, als dass von ihnen eine besondere Schlagkraft erwartet werden könnte. Eine radikale Lösung läge aber nicht darin, diese Minibehörden in den kleinen Bundesländern aufzublähen, sondern in ihrer Zusammenlegung mit den Schwesterbehörden aus den anderen Ländern und mit der Bundesbehörde zu einer einzigen gesamtstaatlichen Datenschutzaufsicht. Mit anderen Worten: in der Beendigung der deutschen Kleinstaaterei im Datenschutz! Eine solche Bund-Länder-Anstalt hätte nicht nur genügend Ressourcen, um ihre Aufgaben besser erfüllen zu können, sondern für die Wirtschaft auch den Vorteil, nur noch einen Ansprechpartner zu haben und nur noch eine Rechtsauskunft zu bekommen. Der Wegfall der Mehrfacharbeit würde auch in der Behörde erhebliche Ressourcen freisetzen. Wem diese Lösung zu groß erscheint, der könnte auch an einzelne Länder denken, die vorangehen und ihre Datenschützer fusionieren: Das gibt es nicht nur bei Statistischen Landesämtern, sondern auch beim IT-Dienstleister Dataport.

Wer an der Fähigkeit des deutschen Föderalismus zu solch radikalen Reformen zweifelt, obwohl sie im globalen Wettbewerb dringend erforderlich sind, könnte auch daran denken, dass die Landesbehörden sich untereinander darauf verständigen, Vorgänge nicht erneut zu prüfen, sondern regelmäßig deren rechtliche Einschätzung zu übernehmen, wenn eine Schwesterbehörde das Produkt oder die Dienstleistung bereits geprüft und abgesegnet hat. Schon eine solche Vereinbarung könnte mehr Rechtssicherheit schaffen und unnötige Mehrfacharbeit in den Behörden und in den Unternehmen deutlich verringern. Solche Beschlüsse, die darauf zielen, die eigenen Aufgaben besser zu erfüllen, würden den Düsseldorfer und ähnliche Kreise weitaus mehr schmücken als die politischen Resolutionen, die dort sehr beliebt sind, aber weitgehend folgenlos bleiben.

Hausaufgaben

Ob eine Vereinbarung der Landesbehörden genügt oder gesetzliche Regelungen oder gar ein Staatsvertrag der Länder nötig sind, um eine konsequente Arbeitsteilung rechtlich abzusichern, ist eine nachrangige Frage, die sich lösen lässt. Entscheidend ist der politische Wille, die bürokratische Kleinstaaterei im deutschen Datenschutz endlich zu beenden oder zumindest wirksam einzudämmen. Solange wir unsere eigenen Hausaufgaben nicht erledigt haben, sollten wir jedenfalls nicht mit dem Finger auf unsere europäischen Nachbarn oder auf die Amerikaner zeigen. Wenn man das macht, zeigen bekanntlich immer drei Finger auf einen selbst zurück.

Dieser Beitrag stellt ausschließlich die persönliche Ansicht des Autors dar.

vorheriger Beitrag nächster Beitrag

Der Autor

Dr. Göttrik Wewer

Dr. Göttrik Wewer

Seit 2010 ist Wewer Vice President E-Government bei der Deutsche Post Consult GmbH.

nach Oben