Baden-Württembergs Datenschützer sind bundesweit am schlechtesten ausgestattet: lediglich 19 Cent hat die Behörde pro Einwohner zur Verfügung. Vorreiter Bremen steht mit 1,46 Euro besser da. Dennoch reichen die Kapazitäten bundesweit nicht aus, um die Daten der Bürger effektiv zu schützen.

Die europäische Datenschutzreform wird Ende des Jahres verabschiedet, in zwei Jahren soll sie in Kraft treten. Doch wird sie auch in der Praxis ankommen? Das wird nicht zuletzt davon abhängen, ob auch die Datenschutz-Kontrolle in der Lage sein wird, das Recht durchzusetzen.

 

In Irland wurde das Budget der Datenschutzaufsicht in diesem Jahr schon einmal verdoppelt. Immerhin kontrolliert sie Apple, Facebook und Twitter. In Deutschland hingegen sollen Datenschützer die europäische Großreform ohne mehr Personal stemmen können. Dabei sind auch hierzulande Aufstockungen durchaus möglich: So wurde mit Blick auf das neue IT-Sicherheitsgesetz das Personal des Bundesamts für Sicherheit in der Informationstechnik (BSI) um ein Drittel erhöht. Die Datenschutzkontrolle ging allerdings leer aus, obwohl auch sie Unternehmen und Behörden in Sachen IT-Sicherheit prüfen soll.

Lesen Sie auch

Die europäische Datenschutzreform will, dass Kunden leichter als bisher feststellen können, wie ernst es ein Unternehmen mit dem Datenschutz nimmt. Interessiert sich beispielsweise ein Nutzer für Cloud-Dienste, kann er sich nicht selbst vor Ort im Rechenzentrum ein Bild davon machen, wie mit seinen Daten umgegangen wird. Ein Zertifikat gibt ihm aber die notwendige Orientierung. Mit einem Zertifikat weist nämlich ein Unternehmen nach, welche Datenschutzanforderungen es erfüllt. „Ein Zertifikat kann ein Marktvorteil sein“, sagt der baden-württembergische Landesdatenschützer Jörg Klingbeil.

Zertifizierungen nicht zu schaffen

Nach gegenwärtigem Verhandlungsstand sollen die Datenschutz-Aufsichtsbehörden die dafür notwendigen Prüfungen durchführen. Das aber ist nur möglich, wenn sie dazu personell in der Lage sind. Bislang führen nur die Datenschutz-Behörden in Schleswig-Holstein und Mecklenburg-Vorpommern freiwillig Zertifizierungen durch. Die anderen Behörden winkten ab, da die Arbeitsbelastung schon hoch genug ist.

Weil die Datenverarbeitungen immer komplexer werden und das Datenschutzrecht keineswegs einfach zu verstehen ist, steigt seit Jahren der Beratungsbedarf von Unternehmen und Behörden: Während sich 2010 in Baden-Württemberg noch 712 Unternehmen von der Kontrollbehörde beraten ließen, waren es im vergangenen Jahr bereits 1050. Auch die behördliche Nachfrage steigt enorm: Während 2010 sich 256 Stellen beraten ließen, war es im vergangenen Jahr schon über Tausend.

Kontrollen hingegen sind so selten wie ein Lottogewinn: In Baden-Württemberg prüfte die mit 32,5 Stellen ausgestattete Aufsichtsbehörde im Jahr 2013 gerade einmal 11 Unternehmen und 16 Behörden. Das heißt, dass ein IT-Unternehmen in Baden-Württemberg gerade einmal in 1.500 Jahren geprüft werden kann. Nimmt man an, dass mittlerweile fast jedes Unternehmen personenbezogene Daten verarbeitet, bedeutet das gegenwärtig, dass ein Unternehmen nur einmal in 45.000 Jahren kontrolliert wird.

Kaum noch anlasslose Kontrollen möglich

Wenn der Beratungsbedarf ansteigt, die Kontrollen aber auf sehr niedrigem Niveau stagnieren, entsteht aber eine Schieflage: Die Behörde kann kaum noch strategische Themen wie etwa die Versicherungswirtschaft oder die Sicherheitsbehörden mit anlasslosen Kontrollen angehen.

Als das Bundesverfassungsgericht von den Datenschutz-Aufsichtsbehörden verlangte, zumindest einmal im Jahr die Anti-Terror-Datei zu prüfen, zeigte sich dazu kaum eine in der Lage. Auch in Baden-Württemberg musste dafür extra eine neue Stelle geschaffen werden. Legt man das Urteil konsequent aus, müsste aber nicht nur die Anti-Terror-Datei, sondern jede Datenbank, die eine Sicherheitsbehörde unterhält, regelmäßig kontrolliert werden.

Im bundesweiten Vergleich ist Baden-Württemberg übrigens äußerst sparsam aufgestellt: Rechnet man das Budget der Aufsichtsbehörde auf die Einwohnerzahl um, gibt die Landesregierung gerade einmal 19 Cent pro Einwohner für den Datenschutz aus. In Hessen sind es hingegen 75 Cent. Der dortige Behördenleiter hat mit 53 Stellen auch rund 20 Stellen mehr als Klingbeil.

Der baden-württembergische Landesdatenschützer Jörg Klingbeil will angesichts der angespannten Personallage Verbesserungen „systematisch“ in kleinen Schritten angehen, beispielsweise mit anlasslosen Kontrollen von Internetauftritten. „Das ging vor ein paar Jahren los mit den Facebook-Like-Buttons und Google Analytics“, sagt Klingbeil. In diesem Jahr konnte er einen Informatiker einstellen, um weitere kritische Anwendungen prüfen zu können. Auch wurden bereits Branchen wie die Marktforschungsinstitute mit Fragebögen abgefragt. Kritischen Antworten will er in Beratungsgesprächen nachgehen.

Größere Prozesse können Behörden lahmlegen

Eine weitere Baustelle ist das Datenschutzrecht selbst: Es gibt kaum ein Rechtsgebiet, in dem es so wenig Rechtsprechung gibt. Das liegt daran, dass viele Aufsichtsbehörden zwar Beratungen durchführen, aber rechtsverbindliche Aussagen scheuen. Bis heute ist beispielsweise der Update-Mechanismus rechtlich nicht geklärt, über den Software-Hersteller oftmals ihre Systeme beim Kunden aktualisieren. Auch das Safe-Harbor-Abkommen zwischen Europa und den USA wurde erst jetzt nach fünfzehn Jahren von der Bremer Aufsichtsbehörde in einem Fall in Frage gestellt. Eine weitere Baustelle ist der Transfer von Bankdaten nach Großbritannien, weil dieser möglicherweise durch den Geheimdienst GCHQ überwacht wird. Größere Gerichtsprozesse könnten die kleinen Behörden aber rasch lahm legen. Klingbeil dazu: „Prozessfähig zu sein, das ist noch mal eine andere Hausnummer.“

Noch gibt es keine Anzeichen dafür, dass die Datenschutzbehörden angemessen ausgestattet werden sollen. Die EU-Reform verlangt im Übrigen auch, dass bereits bei der Entwicklung von Produkten und Dienstleistungen alle Datenschutzvorgaben beachtet werden sollen. Bei der Deutschen Telekom beispielsweise werden seit der Spitzelaffäre von 2008 Entwicklungsbudgets erst dann freigegeben, wenn der betriebseigene Datenschutzbeauftragte beteiligt ist und sein Okay gegeben hat. Auch Daimler hat jetzt den Datenschutz im Konzern strategisch besser aufgestellt.

Weil jedoch in anderen EU-Mitgliedsländern bislang kein betrieblicher oder behördlicher Datenschutzbeauftragter zwingend bestellt werden muss, sieht der aktuelle Verhandlungsstand vor, dass die Länder selbst über die Bestellungspflicht entscheiden dürfen. Jörg Klingbeil meint: „An dieser Stelle entscheidet sich viel. Wenn jetzt mit der Reform auch die betrieblichen Datenschutzbeauftragten kassiert werden, bricht der Laden wirklich zusammen.“