Sieht Bürgerrechte gestärkt: Bremens Datenschutzbeauftragte Imke Sommer. (Frank Thomas Koch)

Altstadt. Was ist bei der Datenverarbeitung erlaubt und was kostet Strafe? Die Europäische Datenschutz-Grundverordnung (DSGVO) hat im Frühjahr dieses Jahres bundesweit für einige Aufregung bei Websitebetreibern, Unternehmen und Vereinen gesorgt. Zum Jahresabschluss gab Imke Sommer, Bremens Landesdatenschutzbeauftragte, im Haus der Wissenschaft einen Überblick über die wichtigsten Neuerungen. „Wir haben uns daran gewöhnt mit kritischem Blick auf die Europäische Union (EU) zu schauen, doch die EU kümmert sich um etwas ganz Wesentliches – den Schutz unserer Grundrechte“, leitete sie ihren Vortrag ein. Denn genau so sei die Datenschutz-Grundverordnung zu verstehen: als eine Stärkung der Bürgerrechte.

Die Initiative dafür ging vom Europaparlament aus, die damit ein Kräftemessen mit EU-Kommission und Rat startete. Das Parlament setzte sich durch und profitieren würden davon nicht nur die Staatsangehörigen der einzelnen Mitgliedsländer, sondern alle, die sich in der EU aufhalten. „Auch für sie gilt die DSGVO“, machte Sommer den erweiterten Geltungsrahmen klar.

Doch vor allem die Bürger übten Kritik. Viele Datenverarbeiter sahen sich überfordert, die Vorgaben umzusetzen und Verbraucher stöhnten über die zahlreichen Formulare, die zur Unterschrift ins Haus flatterten. „Inhaltlich hat sich aber fast nichts geändert“, sagte Sommer. Der bestehende Rahmen, den Bundes- und Landesdatenschutzgesetze vorgeben, sei weiterhin gültig. „Unser Datenschutz-Kompass ist gleich geblieben. Neu ist, dass wir uns auf europäischer Ebene darauf berufen können.“

Die rechtliche Veränderung sei weniger ein Grund zur Sorge gewesen, sondern vor allem Anlass, das eigene Verhalten zu hinterfragen. In der Vergangenheit hätten die meisten Menschen bereits ein gutes Gefühl dafür entwickelt, was okay ist und was nicht, sagte Sommer. Und in den meisten Fällen lägen sie damit auch richtig.

Eine gute Hilfestellung für Unternehmen und Organisationen seien darüber hinaus die Leitfragen: „Welche Daten brauchen wir für welchen Zeitraum? Und wer erhält den Zugriff auf welche Daten?“ Oftmals würden Informationen über Kunden oder Mitglieder länger gespeichert, als es für den jeweiligen Auftrag oder den steuerrechtlich begründeten Nachweis für das Finanzamt tatsächlich notwendig ist. Auch interne Zugriffsrechte seien ein häufig nachgefragtes Thema.

Als Negativ-Beispiel nannte Sommer den Fall eines Krankenhauses in Portugal. Dort hatten Nutzer mit dem Profil „Techniker“ in den IT-Systemen Zugriff auf Patientendaten, die eigentlich nur für Ärzte sichtbar sein dürfen. Des Weiteren sollen fast tausend aktive Benutzer mit einem Profil „Arzt“ registriert gewesen sein, obwohl im betreffenden Zeitraum lediglich knapp 300 Ärzte im Krankenhaus Dienst hatten. Diese und weitere Vorwürfe führten zu einer Strafzahlung von 400 000 Euro.

Die Höhe des Betrags ist eine Horrorvorstellung – vor allem für kleine Unternehmer und Vereine. Die Angst vor Strafen trieb Anfang des Jahres viele um. „Falschparken von Daten kann mehr kosten als früher“, räumt die Datenschutzbeauftragte ein. In der Regel bleibe es aber bei Bußgeldern. Und wer sich zu Unrecht belangt sehe, könne gerichtlich dagegen vorgehen. So auch in Portugal geschehen: Der Krankenhausbetreiber widersprach der Forderung. Das Gerichtsurteil wird nun ein erster Schritt sein, eine Rechtsunsicherheit zu beenden, von der häufig die Rede war, als die Verordnung wirksam wurde.

Auch zu den von überall an die Verbraucher gesendeten Aufforderungen, eine Datenschutzerklärung abzugeben, gab es eine erste Bilanz: Die einen formulierten ihre Einwilligungstexte vorschriftsmäßig, andere schossen über das Ziel hinaus und wollten sich weit mehr bestätigen lassen, als erforderlich. Wer im Nachhinein Zweifel habe, der könne die abgegebene Einwilligung jederzeit zurücknehmen, machte Sommer klar. Jede Zustimmung gilt nur solange, bis sie widerrufen wird. Das wiederum kann auf der Seite der Verarbeiter schnell für Chaos sorgen und so empfahl die Datenschutzbeauftragte, sich nicht zu sehr auf das Instrument der Einwilligung zu verlassen.

Beide Vertragspartner könnten sich bei der Einschätzung dessen, was im Einzelfall notwendig ist, vor allem nach einem Grundsatz richten: „Entscheidend ist immer die Verhältnismäßigkeit von Zweck und Mittel“, stellte Sommer klar und erläuterte das Gesagte am Beispiel einer Tür. Wer auf die andere Seite gelangen wolle, für den sei eine Spitzhacke ein geeignetes Mittel. Angemessen sei es aber, einen Schlüssel zu verwenden. Anders gesagt: „Wenn ein Verarbeiter von Daten legitime Zwecke verfolgt, müssen Sie das dulden. Das heißt aber nicht, dass er dafür die Spitzhacke ansetzen darf“, formulierte es die Juristin.