frederick richter

Viel ist bereits geschrieben und gesagt worden zum fünfjährigen Geburtstag der Datenschutz-Grundverordnung (DSGVO). Dieser Geburtstag ging natürlich auch am c't-Datenschutz-Podcast nicht spurlos vorüber, in dem sich Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Episoden mit den praktischen Folgen der Verordnung erklärend auseinandersetzen. Es wurde Zeit für ein Resümee, ein kleines Zwischenfazit. Zum Auftakt der Privacy-Ring-Konferenz in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde um ihre Expertise zur Entwicklung der DSGVO: Die Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät Unternehmen bereits seit 2002 im IT- und Datenschutzrecht und ist vielfältig in diesen Bereichen aktiv. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die satzungsgemäß als "unabhängige Informations- und Diskussionsplattform" fungiert. Nachdem die muntere Runde sich zunächst mit dem "Bußgeld der Woche" - diesmal der 1,2-Milliarden-Strafe für Facebook - beschäftigte, kam sie auf die Befürchtungen zu sprechen, die 2018 mit der DSGVO einhergingen. Während Massenabmahnungen ausgeblieben waren, hatte der "One size fits all"-Ansatz zu viel Unsicherheit geführt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich darüber verärgert, dass Aufsichtsbehörden zum Start der DSGVO "kaum Hilfestellung oder Handreichnungen" parat hatten und damit zur Unsicherheit beigetragen hätten. Und wenn es mal Handreicungen gebe, enthielten sie eher Verbote als Anleitungen zum rechtmäßigen Vorgehen. Die Runde war sich allerdings auch einig, dass die DSGVO dem Datenschutz ziemlich schnell zu mehr Aufmerksamkeit verhalf: "Es gab hier auch schon ein Datenschutzgesetz, das ähnlich der DSGVO war, nur eben keine ernstzunehmende Sanktionierung. Vieles war vorher auch schon verboten, es hat sich nur niemand dafür interessiert", konstatierte Auer-Reinsdorff. Die gesteigerte "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutz-Niveau geführt, da zeigten sich die Gesprächspartner einig. Dies könne man als positiven Effekt der DSGVO verbuchen. Konsens herrschte auch dazu, dass unter den Aufsichtsbehörden zu wenig Konsens herrscht. Frederick Richter hält dies zumindest auf internationaler Ebene für unausweichlich: "Die unterschiedlichen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben eine jeweils andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch ibnnerhalb deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter meinte: "Hohe Bußgelder helfen aber in der Breite nicht, abschreckend wäre, wenn es sehr viele kleine Bußgelder gäbe, dafür aber fehlt die Kapazität."

Das Jahr 2022 startet die neue Bundesregierung im Krisenmodus. Dabei gerät aus dem Blick, dass sich die Ampel-Koalition aus SPD, Grünen und FDP auch digitalpolitisch jede Menge vorgenommen hat. Joerg und Holger diskutieren in Episode 54 des c't-Datenschutz-Podcasts die wichtigsten Pläne für Änderungen im Datenschutz, soweit sie sich bereits aus dem Koalitionsvertrag herauslesen lassen. Dazu haben sie einen Gast eingeladen, der die deutsche Datenschutz-Regulierung nicht nur intensiv verfolgt, sondern auch mit Input begleitet: Frederick Richter ist Jurist und Vorstand der Stiftung Datenschutz, die unabhängige Expertise leistet und zur öffentlichen Diskussion beiträgt. Die Stiftung wurde 2012 von der damaligen Bundesregierung ins Leben gerufen und soll die Stellung des Datenschutzes in der Gesellschaft stärken. Die Ampel hat sich zum Ziel gesetzt, den Beschäftigtendatenschutz mit neuen Regelungen zu modernisieren. Das hält Richter für wichtig, da angesichts der Verlagerungen von Arbeit ins Homeoffice Überwachungsbestrebungen und Leistungskontrolle boomen. Er begrüßt auch, dass bundesweit gültige Positivlisten für "datenschutzkonforme Lern- und Lehrmittel" erstellt werden sollen. Unis und Landesschulbehörden seien hier etwas alleine gelassen, aber "man muss das Gemeinwesen dauerhaft am Laufen halten". Schwammig fanden alle drei Diskutanten die Formulierungen zur Fortsetzung der "Datenstrategie". Richter bemängelt Buzzwords, die noch nicht mit Leben gefüllt sind, etwa das "Dateninstitut", das geschaffen werden soll. Geht es hier um den Umgang mit anonymisierten Daten im Sinne von Open Data, oder um personenbezogene Daten im Sinne der DSGVO? Ähnlich verhält es sich mit den "Datentreuhändern" und den "Datendrehscheiben", die im Koalitionsvertrag erwähnt sind. Noch ist überhaupt nicht klar, welche Konzepte die Regierung hier genau verfolgen will. Positiv hebt Richter hervor, dass die Bundesregierung Standards für die Anonymisierung von Daten entwickeln will. Open Data werde eine immer größere Rolle spielen, und bislang gebe es keine Leitlinien, wie der Personenbezug in Daten DSGVO-konform entfernt werden soll, bevor sie freigegeben werden können. Richter bemängelt, dass die DSGVO hier eine Leerstelle enthält, die die EU noch immer nicht gefüllt hat.

Niko Härting unterhält sich mit Frederick Richter (Vorstand der Stiftung Datenschutz und Ständiger Autor Autor der PinG) darüber, wekche Aktivitäten die Stiftung in Krisenzeiten entfaltet, über den für den 30.4. mit zahlreichen Experten geplanten "DatenTag". Und es geht natürlich um die "App", um die Frage der Geeignetheit einer solchen App, um die rechtlichen Rahmenbedingungen des Einsatzes: Was heißt eigentlich "freiwllig"? Und kann man jetzt schon etwas zur Datenschutzkonformität einer App sagen, die es noch gar nicht gibt? Und was denkt Frederick Richter, wenn von einer "Öffnungsdiskussionsorgie" die Rede ist?