Schutz privater Daten

Datenschutzrecht soll Privatsphäre sichern

Interview mit Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, über den Schutz privater Daten auf Bundes- sowie EU-Ebene sowie mögliche Strafen bei Verstößen gegen das Datenschutzrecht

EEU-Datenschutz: Sicherheit für private Daten

EU-Datenschutz: Sicherheit für private Daten

IT-DIRECTOR: Frau Hansen, welche Maßnahmen sehen die Verhandlungen rund um das neue EU-Datenschutzgesetz (EU General Data Protection Regulation, GDPR) zur Sicherung der Privatsphäre der Bürger vor?
M. Hansen:
Die Grundzüge der Datenschutzgrundverordnung stimmen mit dem bisherigen Ansatz weitgehend überein: Für die Verarbeitung personenbezogener Daten ist weiterhin grundsätzlich eine gesetzliche Regelung oder eine informierte Einwilligung nötig. Nur die für den jeweiligen Zweck erforderlichen Daten dürfen verarbeitet werden. Die Daten müssen vor Missbrauch geschützt werden. Die Verantwortung für die Datenverarbeitung kann nicht einfach abgeschoben werden.

IT-DIRECTOR: Welche geplanten Gesetzesinhalte sind in diesem Zusammenhang lobenswert? Welche Inhalte sind stark verbesserungswürdig?
M. Hansen:
Besonders lobenswert sind die Ansätze, Datenschutzanforderungen schon bei der Gestaltung der Verarbeitungssysteme zu berücksichtigen durch „Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen“. Eine Verbesserung würde ich mir bei der Regelung zu den betrieblichen Datenschutzbeauftragten wünschen, die sich in der Vergangenheit in Deutschland stark bewährt haben, aber vielfach nicht mehr verpflichtend zu ernennen sind. Gespannt bin ich auf die eigentlich guten, aber interpretationsbedürftigen Konzepte zu Datenschutz-Folgenabschätzung und Zertifizierungsverfahren für Datenschutz.

IT-DIRECTOR: Welche Sanktionen sind für Verstöße von Unternehmen gegen das neue Datenschutzgesetz vorgesehen? Welche Höchststrafen könnte es geben?
M. Hansen:
Für schwere Verstöße gegen das Datenschutzrecht werden höhere Bußgelder als bisher diskutiert, nämlich bis zu 100.000.000 Euro oder im Fall eines Unternehmens bis zu fünf Prozent seines weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

IT-DIRECTOR: Aufgrund der bisherigen Datenschutzregelungen war es bereits möglich, Verstöße gegen die Privatsphäre von EU-Bürgen u.a. mit hohen Geldstrafen zu ahnden. In der Praxis wurde dies jedoch so gut wie nie in Anspruch genommen – wodurch die EU-Behörden viel Glaubwürdigkeit verloren haben. Wie soll sichergestellt werden, dass Verstöße gegen das neue EU-Datenschutzgesetz künftig auch angemessen bestraft werden?
M. Hansen:
Ziel ist eine einheitliche Interpretation in allen EU-Ländern. Hier müssen Einigungsprozesse unter den Aufsichtsbehörden (das sogenannte Kohährenzverfahren) so ausgestaltet werden, dass faire Sanktionen durchgesetzt werden können. Dies muss sich erst einspielen.

IT-DIRECTOR: In den Diskussionen um das neue EU-Datenschutzgesetz geht es u.a. um die sogenannte Datensparsamkeit? Was genau ist damit gemeint?
M. Hansen:
Datensparsamkeit bedeutet, dass nur die wirklich erforderlichen personenbezogenen Daten verarbeitet werden. Dies hängt zum einen vom Zweck der Datenverarbeitung ab, zum anderen von der technischen Realisierung, bei der beispielsweise nicht mehr Daten als nötig abgefragt werden dürfen und auch ein Augenmerk auf temporäre Datenspeicherungen gelegt wird.

IT-DIRECTOR: Nicht wenige Kritiker behaupten, dass Datensparsamkeit im Zeitalter von Digitalisierung und „Big Data“ als überholte Methode gilt. Wie schätzen Sie dieses Argument ein?
M. Hansen:
Im Gegenteil: Datensparsamkeit ist besonders wichtig! Da es immer noch ziemlich einfach zu sein scheint, Datenbankserver anzugreifen und Daten abzugreifen, sollte hier schon an Datensparsamkeit gedacht werden: Wenn keine Daten vorhanden sind, sind diese auch nicht gefährdet. Übrigens gibt es datensparsame Lösungen, bei denen der Personenbezug vermieden wird, aber dennoch Informationen von den berechtigten Stellen erfasst und verarbeitet werden können. So könnten beispielsweise medizinische Informationen ausgewertet werden, ohne den Patientendatenschutz zu verletzen.

IT-DIRECTOR: Inwieweit sind die im EU-Datenschutz angedachten Maßnahmen der Anonymisierung bzw. Pseudonymisierung wirkungsvolle Instrumente für den Schutz der Privatsphäre?
M. Hansen:
Anonymisierung und Pseudonymisierung halte ich für sehr wichtige Instrumente, um die Datenschutzrisiken zu minimieren. Beispielsweise kann man oft aggregierte Daten, quasi als statistische Werte, veröffentlichen, wenn dadurch der Personenbezug ausgeschlossen ist – das ist eine Form von anonymisierten Daten.

IT-DIRECTOR: Sollte das neue EU-Datenschutzgesetz tatsächlich in Kraft treten: Welche Auswirkungen hat dies auf das hierzulande geltende Bundesdatenschutzgesetz (BDSG) bzw. die Landesdatenschutzgesetze?
M. Hansen:
Teile werden durch die EU-Datenschutz-Grundverordnung ersetzt werden, die dann ja unmittelbar gelten wird. Aber spezifische Teile werden zunächst bestehen bleiben, z.B. die Regelungen zum Datenschutzaudit im Landesdatenschutzgesetz Schleswig-Holstein.

Bildquelle: Gerd Altmann/Pixelio.de

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok