Tätigkeitsbericht vorgestellt: Daten schützen ist zäh

Den Hamburgischen Datenschutzbeauftragten erreichen immer mehr Beschwerden. Aber oft fehlen ihm die Mittel, um wirklich etwas auszurichten.

Kinder sitzen um einen Tisch mit Suppentellern

Datenschutztechnisch zumindest privat weniger heikel als oft gedacht: Fotografieren in der Kita Foto: dpa

HAMBURG taz | Die gute Nachricht nannte der Hamburgische Datenschutzbeauftragte Johannes Caspar zuerst: Die Zahl der Beschwerden wegen Verstößen gegen den Datenschutz ist 2019 gegenüber dem Vorjahr um ein Viertel auf 2.360 gestiegen. Für Caspar ist das ein Zeichen für ein „neues Bewusstsein von Bürgerinnen und Bürgern über ihre Datenschutzrechte“, so sagte er bei der Vorstellung seines Tätigkeitsberichts.

Die schlechte Nachricht kam gleich hinterher: Mit den gegenwärtig 27 festen und sieben befristeten Stellen habe die Dienststelle eine „lange Lieferzeit“. Als Beispiel nannte Caspar, der nicht von ungefähr bald Gespräche über das Budget für den Haushalt 2021/22 führt, eine Wartezeit von „mehreren Monaten“ für Menschen, die sich aus Google-Ergebnislisten streichen lassen möchten.

Aber auch aus einem weiteren Grund fiel die Bilanz des Datenschutzbeauftragten gemischt aus: Angesichts der „dramatischen Unterschiede“ im europäischen Vollzug des Datenschutzes verfestigten sich „nationale Biotope“ für große Digitalkonzerne, die darüber ihre Vormachtstellung gegenüber Konkurrenten, die datenschutzkonform handelten, ausbauen könnten. Die Möglichkeiten, dies von Hamburg aus zu beeinflussen, scheinen überschaubar. „Wir versuchen, uns politisch auszutauschen“, erklärt der Datenschutzbeauftragte, der eine gewisse Hoffnung in die Evaluation der Europäischen Datenschutzgrundverordnung im Mai setzt.

Aber auch vor Ort sind die Bemühungen, den Datenschutz praktisch umzusetzen, zuweilen zäh. Als „paradigmatischen Fall“ stellte Caspar die schleppende Umstellung der Hamburgischen Feuerwehr auf eine datenschutzgerechte Notfallalarmierung vor. Bereits 2016 war bekannt geworden, dass die unverschlüsselten Notfallmeldungen mit Namen und Adressen der Betroffenen sowie dem Anlass des Einsatzes illegal abgehört wurden. Zwar wurden die Daten kurzfristig reduziert – dennoch sind noch immer sensible Daten darunter.

Nur Verwarnungen, keine Bußgelder

Die angekündigte Umstellung auf eine neue App ist bis heute nicht geschehen. Laut Caspar ist dies einer mangelnden Priorisierung geschuldet, auf die er lediglich mit Verwarnungen reagieren kann. Bußgelder kann er nach deutschem Recht nicht gegen eine andere Behörde verhängen.

Auch an einer anderen Stelle braucht der Datenschutzbeauftragte, dem man nicht nachsagen kann, dass er starke Kontrahenten scheut, einen langen Atem. Im Oktober letzten Jahres hatte das Verwaltungsgericht Hamburg der Innenbehörde im Streit gegen den Datenschutzbeauftragten Recht gegeben. Der hatte angeordnet, dass die Polizei die im Rahmen der Ermittlungen zu den G20-Ausschreitungen gesammelten biometrischen Daten löschen sollte – die Innenbehörde wollte das nicht hinnehmen.

Mit der Niederlage will sich Caspar nicht abfinden, seine Dienststelle hat nun einen Antrag auf Zulassung einer Berufung gegen das Urteil gestellt, unter anderem, weil das Urteil „eine Reihe grundsätzlicher Fragen“ aufwerfe, etwa die nach der gesetzlichen Legitimierung solcher Maßnahmen, aber auch die nach den Kompetenzen seines Amtes.

Ein weiteres „dickes Brett“ sind laut Ulrich Kühn, der den Bereich Medien, soziale Netzwerke und E-Privacy leitet, die Tracking-Dienste auf Websites. Das Geschäft mit den Cookies habe sich über lange Jahre etabliert, nun gehe es den DatenschützerInnen darum, das einwilligungsbasierte Tracking zum Standard zu machen. Einige Banken und spiegel.de hätten sich bereits umgestellt.

Kräfte sparen könnten die DatenschützerInnen theoretisch bei dem Thema Fotografieren in Schulen und Kitas – das ist nämlich für den privaten Gebrauch jenseits sozialer Netzwerke völlig legitim. Sollte sich das herumsprechen, hätten die MitarbeiterInnen noch mehr Zeit, sich dem neuesten Fall zu widmen: dem H&M-Kundenzentrum in Nürnberg, das wegen des Firmensitzes in Hamburg in Caspars Zuständigkeit fällt, und das MitarbeiterInnen ausspioniert hat. Ein Bußgeldverfahren läuft bereits.

Einmal zahlen
.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de