Wirtschaftsminister Altmaier fordert „lediglich“, neue Belastungen, Abgaben und Meldepflichten, wo immer möglich, zu verhindern, auszusetzen oder zu verschieben.
Daher gilt es, die neu entstandenen Kommunikationswege datenschutzfest zu machen. Als datenschutzkonformere Alternative zu Zoom, Microsoft Teams und Skype bilden sich gerade Jitsi und „Big Blue Button“ heraus, die inzwischen an vielen Schulen und Unis Einzug gehalten haben und auch für Behörden und Unternehmen interessant sein können.
Bereits Anfang des Jahres gab es eine Debatte über den Einsatz von Social Media in Behörden. Seit Langem schwelt der Streit, welche kommerzielle Software öffentliche Stellen einsetzen sollen (und dürfen). Letztes Jahr hatte beispielsweise der hessische Beauftragte für Datenschutz Schulen zwischenzeitlich sogar verboten, das Office-Paket Microsoft 365 zu nutzen. Auch in Baden-Württemberg warnt man vor Zoom und Microsoft-Produkten und rät zu datenschutzfreundlichen Open-Source-Lösungen.
Eigentlich klar, aber der Bundesdatenschutzbeauftragte hat kürzlich auch nochmal darauf hingewiesen, dass die Verwendung von WhatsApp für Behörden verboten ist. In den letzten Wochen hätten sich Beschwerden in dieser Richtung bei ihm gehäuft. Aber: Selbst wenn WhatsApp-Nachrichten Ende-zu-Ende-verschlüsselt sind und der Mutterkonzern Facebook somit nicht auf den Inhalt der Nachrichten zugreifen kann, so kann auch schon aus den Metadaten viel abgelesen werden: Wann kommuniziert wer mit wem, wie oft, von wo, mit welchem Gerät? Hier sei davon auszugehen, dass Facebook diese Daten direkt auswertet und als „Mosaikstein“ in seinen Nutzerprofilen benutzt. WhatsApp widersprach dieser Vermutung des Bundesdatenschutzbeauftragten.
Natürlich: Irgendwie muss man ja miteinander kommunizieren, gerade wenn man die Kollegen seltener sieht und Ämter für Bürger gleich ganz geschlossen bleiben. Auch der Bundesdatenschutzbeauftragte sieht in der Nutzung von WhatsApp vielmehr ein Versäumnis seitens der Behörden, einen datenschutzfreundlichen alternativen Dienst zu etablieren. Im Januar gab es bereits eine Debatte darum, ob und wie gerade Behörden und Bürgermeister in Sozialen Netzwerken aktiv sein dürfen. Da die DSGVO hier neue Unsicherheiten geschaffen hat, haben sich viele Kommunen, die sich ohnehin oft erst spät ins Internet gewagt haben, auch schon wieder zurückgezogen. Hintergrund ist das Gerichtsurteil des Europäischen Gerichtshofs rund um den Betrieb von Facebook-Fanpages, wonach User, die eine solche Fanpage einrichten, gemeinsam mit Facebook zu Verarbeitern von personenbezogenen Daten werden. Und wo es gemeinsame Datenverarbeitung gibt, muss laut Artikel 26 DSGVO auch eine Vereinbarung zwischen den Verantwortlichen geschlossen werden, in der die Pflichten gegenüber Dritten „transparent“ festgelegt werden sollen. Dafür müsste Facebook aber gegenüber allen Usern offenlegen, wann und mit welchen Mitteln Daten verarbeitet werden. Facebook schweigt sich über Art, Umfang und Zweck seiner Datenerhebung aber natürlich aus, so gut es kann.
Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink argumentiert nun wiederum, dass für den Betrieb von Twitter-Accounts ähnliche rechtliche Bewertungsmaßstäbe gelten müssten wie für Facebook-Fanpages. Auch Twitter sammle im Hintergrund Nutzerdaten. Für die User sei aber nicht klar, wie diese verarbeitet würden. Deshalb hat Stefan Brink seinen Account Ende Januar gelöscht. Die zuständigen Bundesministerien für Wirtschaft und Justiz gaben an, den Umgang mit Social Media prüfen zu wollen. Wirklich passiert ist seit der Debatte im Januar aber (noch) nichts. Momentan beruht die Öffentlichkeitsarbeit der Behörden hauptsächlich auf einem Urteil des Bundesverfassungsgerichts von 1977, das staatlichen Stellen erlaubt, Bürgerinnen und Bürger über wichtige Sachfragen zu informieren. Allerdings fehlt ein Gesetz, das einheitlich auf Bundesebene festlegt, welchen Umfang und welche Grenzen die behördliche Öffentlichkeitsarbeit allgemein haben darf.
Die DSGVO legt nur einen groben Rahmen fest. Die EU hat ihre Mitgliedsstaaten deshalb dazu verpflichtet, Datenschutz und Informations- und Meinungsfreiheit in Einklang zu bringen. Nationale Gesetze könnten Ausnahmen oder Abweichungen über die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen und literarischen Zwecken hinaus, also auch für die Kommunikation von Behörden und Unternehmen, formulieren. Das verlief in Deutschland allerdings im Sande, da der geplante Ausgleich durch das Zweite Anpassungs- und Umsetzungsgesetz für die DSGVO das Thema wegen dessen Komplexität in ein separates Gesetzgebungsverfahren ausgelagert hat – bisher ohne konkrete Ergebnisse. So kommt es zu dem Paradoxon, dass die DSGVO, die eigentlich die großen „Datenkraken“ zähmen sollte, bewirkt, dass sich Behörden aus den Netzwerken zurückzuziehen, weil das Internet nun mal zwangsläufig Daten verarbeitet. Das aber stärkt nicht den Datenschutz, es schadet der Akzeptanz der Datenschützer. Und es schwächt die Kommunikation mit den Bürgern, obwohl eine moderne Öffentlichkeitsarbeit von Behörden auf sozialen Netzwerken absolut wichtig ist.
Im Moment ist der dezentrale Microblogging-Dienst „Mastodon“ als Social-Media-Alternative im Gespräch und wird auch schon ausprobiert. Noch nie gehört? Genau das ist das Problem. Auf solch unbekannten Plattformen ist natürlich die Reichweite viel geringer als auf den großen Plattformen, an die sich alle gewöhnt haben. Mastodon ist in seiner Funktionalität Twitter ähnlich: Über eine Länge von 500 Zeichen können User Kurznachrichten absetzen, kommentieren und einander folgen. Anders als Twitter ist Mastodon jedoch dezentral aufgebaut und betreibt ein Netzwerk von mehr als 2.700 Servern. Einen ersten Hype erfuhr die Twitter-Alternative bereits kurz nach ihrer Premiere im Jahr 2016. Binnen kürzester Zeit sprangen damals die Nutzerzahlen auf 200.000 an. Inzwischen verbucht die Plattform knapp 3,8 Millionen aktive User. Im Vergleich zu den 145 Millionen Anhängern von Twitter mag das als wenig erscheinen, jedoch überlegen derzeit noch andere Behörden und Institutionen des Staates zum Anbieter des Jenaer Programmierers Eugen Rochko zu wechseln. Und wenn dann alle da sind, ziehen vielleicht auch die Bürger mit?
Zu guter Letzt will ich nochmal auf Corona-Datenschutz-Themen zu sprechen kommen. Die Corona-App in Deutschland lässt immer noch auf sich warten. Vieles ist rechtlich noch unklar. Selbst die Bundesregierung bewegt sich mit dem kürzlich verabschiedeten zweiten Pandemieschutzgesetz auf wackligem Eis. Denn nun sollen dem Robert-Koch-Institut auch personenbezogene Daten von nicht infizierten Bürgern nach erfolgtem negativen Corona-Test gemeldet und somit staatlich erfasst werden. Der Bundesdatenschutzbeauftragte protestierte und beklagte, dass die staatliche Begründungspflicht für Grundrechtseingriffe faktisch ausgesetzt werde. „Die Zeit“ hat indes zusammengestellt, wie andere Länder in Europa das Virus versuchen zu tracken.
Und natürlich ist der Datenschutz auch bei den nun vielerorts ausliegenden Besucherlisten zu beachten. Wenn Sie sich hierbei unsicher sind, helfen wir Ihnen gerne weiter!