Die diesjährige Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein fand am 09. September 2019 in Kiel statt. Zahlreiche Datenschutzbeauftragte, Rechtsanwälte sowie Vertreter aus der Politik und von den Aufsichtsbehörden waren bei der eintägigen Veranstaltung vertreten, die in diesem Jahr vor allem den Verbraucherdatenschutz im Blick hatte.
Es standen insgesamt rund 25 Vorträge und Diskussionen auf dem Programm (die Beiträge der ReferentInnen finden sich hier), von denen nachfolgend eine kleine, exemplarische Auswahl präsentiert wird.
Digitale Souveränität für die Nutzer
Das zweite Panel am Vormittag der Veranstaltung begann mit einem Vortrag von Jan Philipp Albrecht (Minister für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung des Landes Schleswig-Holstein) zur „Digitalen Souveränität für die Nutzenden“. Ausgehend vom „Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen“, auch Onlinezugangsgesetz (OZG) genannt, stellte Minister Albrecht die Herausforderungen bei der Umstellung auf eine digitale Verwaltung dar. Hierbei müssen analoge Daten in großem Umfang digitalisiert werden. Die Verwaltung ist jedoch bislang stark auf einen analogen Prozess ausgerichtet, wie Herr Albrecht hervorhob. Ziel der Digitalisierung der Verwaltung sei nach der Darstellung des vortragenden Ministers die Schaffung von Transparenz sowie eine bessere Datenverfügbarkeit. Man möchte hierbei verstärkt auf Open-Source-Anwendungen setzen. Geplant ist u.a. auch der Aufbau eines Messengerdienstes für die Landesverwaltung, damit vertrauliche Informationen nicht auf dafür ungeeigneten Kanälen, wie z.B. per WhatsApp innerhalb der Landesverwaltung ausgetauscht werden, so der Minister. In dem Zusammenhang unterstrich Herr Albrecht noch einmal, dass auch die öffentlichen Stellen an die Datenschutz-Grundverordnung (DSGVO) gebunden sind.
Der Vortrag machte deutlich, dass die Digitalisierung der Landesverwaltung in Schleswig-Holstein ein herausforderndes Projekt darstellt, was aber grds. für alle Bundesländer in gleicher Weise geltend dürfte.
Datenschutz – das neue Bio?!
Hieran schloss sich ein Vortrag von Christian Thorun von der ConPolicy GmbH (Institut für Verbraucherpolitik) zum Thema „Datenschutz – das neue Bio?!“ an. Der zunächst etwas seltsam anmutende Titel des Vortrags setzte bei einem Vergleich zwischen der Nachhaltigkeitsbewegung und dem Streben nach einem besseren Schutz der Privatsphäre in Deutschland an. Ein Paradoxon wurde in beiden Fällen festgestellt, indem die Verbraucher zwar einerseits mehr Privatsphäre und einen ökologisch nachhaltigeren Lebensstil fordern, sich die Umsetzung beider Ziele im Alltag eines jeden jedoch herausfordernd gestaltet und in vielen Fällen nicht konsequent gelebt wird.
Um hier eine Verhaltensänderung herbeizuführen, unterstrich Herr Thorun die Erforderlichkeit von Anreizen durch attraktive Alternativen. Für den Datenschutz nannte er die Schaffung von differenzierten Einwilligungsmöglichkeiten wie auch die Ausgestaltung von Wahlarchitekturen, insbesondere im Bereich der Cookies. Bessere Wahlmöglichkeiten könnten den Nutzern helfen, den Schutz ihrer Privatsphäre konsequenter umzusetzen und damit einen Weg aus dem sog. „Privacy-Paradoxon“ zu finden. Dem Nutzer soll eine Möglichkeit gegeben werden, stärker als bislang beim Erteilen der Einwilligung nachzusteuern und hierbei deutlicher bezüglich der konkreten Datenverarbeitung zu differenzieren. Ebenso warb Christan Thorun für die Einführung standardisierter Piktogramme für die Datenverarbeitung, damit die Nutzer optisch auf einen Blick informiert werden, was mit ihren personenbezogenen Daten geschieht.
Praxis-Erfahrungen zum Auskunftsanspruch nach Art. 15 DSGVO
Ein weiterer Vortrag der Autorin und Bürgerrechtlerin Katharina Nocun widmete sich den „Praxis-Erfahrungen eines Artikel-15-Powerusers“. Im Rahmen eines Buchprojekts hat die Vortragende eine Reihe von Auskunftsanfragen gem. Art. 15 DSGVO zu ihren personenbezogenen Daten an große Unternehmen wie Amazon, Netflix oder Paypal gestellt. Die Reaktionen der Unternehmen auf die Anfragen waren nach Darstellung von Frau Nocun derart verhalten, dass es einer gewissen Hartnäckigkeit bedurfte, bis die Daten der Nutzerin zur Verfügung gestellt wurden. Bei Amazon geschah dies zunächst nur in Form einer pdf-Datei, bevor die Daten auf Nachfrage auf einer passwortgesicherten CD zur Verfügung gestellt wurden. Zu den Daten, die Amazon gesammelt hatte, gehörte neben zahlreichen weiteren Angaben z.B. auch der Link der vom Nutzer zuvor besuchten Webseite. Insgesamt wurde die von Amazon durchgeführte Datenerfassung im Vortrag als sehr kleinteilig beschrieben.
Dies gilt in gleicher Weise für die Nutzerdaten bei Netflix, die allerdings sehr rasch auf den Auskunftsantrag der Vortragenden reagiert haben und ihre personenbezogenen Daten über einen Download-Link zur Verfügung gestellt haben. Auch im Fall von Netflix waren die gesammelten Daten sehr detailliert, bis hin zu den Pausenzeiten und den Vor- und Rückspulzeiten beim Anschauen einer Serie.
Ein Schwachpunkt bei der Beantwortung der Auskunftsansprüche waren aus Sicht von Frau Nocun die unzureichenden Angaben zu den Löschfristen bei den von ihr angeschriebenen Unternehmen. Auch wenn die weitreichende Datenerfassung großer internetbasierter Unternehmen bereits bekannt war, so bot der lebhafte und streckenweise ironisch gehaltene Vortrag von Frau Nocun zu Art. 15 DSGVO reichlich Anlass, die Geschäftspraktiken großer Internetkonzerne kritisch zu hinterfragen.
Podiumsdiskussion
Im Anschluss fand eine Podiumsdiskussion mit den drei vorgenannten ReferentInnen Jan Philipp Albrecht, Christian Thorun, Katharina Nocun sowie mit Marit Hansen und Barbara Körffer vom ULD statt. Hierin wurde das normative Leitbild des mündigen Verbrauchers stärker heraus gearbeitet mit dem Ziel, dass Verbraucher besser auf digitale Angebote im Netz vertrauen können. In dem Zusammenhang wurde auch auf ein psychologisches Profiling der Nutzer hingewiesen, dass von Facebook betrieben wird. Aus dem Publikum wurden Forderungen nach einer klareren und einfacheren Sprache bei den Datenschutzinformationen, aber auch nach einer besseren Infrastruktur für die Verfolgung von Datenschutzverstößen laut. Ebenso wurde von einem Zuhörer angemerkt, dass durch spürbarere Bußgelder seitens der Aufsichtsbehörden ein stärkerer Anreiz für Unternehmen zu einem datenschutzkonformen Verhalten gesetzt werden kann. Diese Forderung blieb jedoch von den bei der Sommerakademie vertretenen Aufsichtsbehörden unkommentiert.
Fazit
Die im Beitrag zusammengefassten Vorträge wie auch die anschließende Diskussionsrunde haben einmal mehr gezeigt, dass viele datenschutzrechtliche Problemfelder im Verhältnis internetbasierter Unternehmen zu den Verbrauchern zwar nicht mehr neu sind (siehe das Privacy-Paradoxon), aber vor dem Hintergrund der DSGVO eine Zuspitzung erfahren. Die Erforderlichkeit einer stärkeren Transparenz bei den Datenschutz-Informationen, beispielsweise durch Piktogramme wurde deutlich. Aus Sicht des Verbraucherschutzes könnten höhere Bußgelder insoweit zu mehr Konsequenz bei der Umsetzung der Transparenzpflichten führen. Nicht zuletzt würde eine spürbare Sanktionierung von Datenschutzverstößen auch diejenigen Unternehmen belohnen, die die Einhaltung der datenschutzrechtlichen Vorgaben aus der DSGVO ernst nehmen.
Die oben dargestellten Beiträge sind selbstverständlich nur als eine Auswahl der eintägigen Sommerakademie mit vielen weiteren spannenden und teilweise kontroversen Beiträgen zu verstehen, deren Inhalte auf der Webseite des ULD verfügbar sind.