„Datenschutz wird manchmal auch nur vorgeschoben”
Experte sieht beim Datenschutz keinen großen Unterschied zwischen chinesischen und amerikanischen Social-Media-Plattformen.
Dornbirn Der Dornbirner Anwalt Christian Wirthensohn legt sich mit den Großen an. Am Landesgericht Feldkirch streitet er etwa momentan gegen Apple. Es geht dabei um die Daten Wirthensohns – und darum, was damit geschieht. Auch öffentliche Stellen sammeln viele Daten. Vor einigen Jahren ist die Datenschutzgrundverordnung in Kraft getreten. Sie soll den Umgang mit unseren Daten stärker reglementieren. Im Interview erklärt Wirthensohn, ob die EU damit ihr Ziel erreicht hat und wie der Staat mit unseren Daten umgeht.
Wie ist es um den Datenschutz in Österreich bestellt?
Wirthensohn: In der Theorie hat sich der Datenschutz seit der Datenschutzgrundverordnung (DSGVO) tatsächlich verbessert. Wobei sich eigentlich das Datenschutzrecht seit den 80er-Jahren nicht grundlegend verändert hat. In der Praxis ist das Problem, dass der rechtliche Schutz nicht ganz so umgesetzt wird. Die DSGVO gibt mir etwa eine Reihe von Rechten. Bei der Durchsetzung hapert es aber oft. In manchen Fällen ist der Datenschutz also eher auf dem Papier.
Als die DSGVO eingeführt wurde, liefen Teile der Politik und der Verwaltung dagegen Sturm. Auch in der Wirtschaft fürchteten sich viele vor großen Einschränkungen. Hat sich das bewahrheitet?
Wirthensohn: Die DSGVO bringt sicher bürokratischen Aufwand mit sich. Über manche Verpflichtungen kann man streiten. Aber das sind Begleiterscheinungen. Es wurde klargestellt, dass man sich nicht einfach schablonenhaft dafür rechtfertigen kann, wie und welche Daten verwendet werden. Man kann sie nicht beliebig verwenden, sondern muss sich einen genauen Zweck überlegen. Und es dürfen nur die Daten erfasst werden, die für diesen Zweck nötig sind. Wenn ich sie nicht mehr brauche, muss ich sie wieder löschen. Aber die DSGVO sagt nicht, dass man Daten nicht verwenden darf. Der Datenschutz wird manchmal einfach nur vorgeschoben.
Warum hapert es bei der Durchsetzung des Datenschutzes?
Wirthensohn: Es gibt mehrere Gründe. Ein Grund ist die Überlastung im Behörden- und Verwaltungsapparat. Eine Beschwerde einzureichen, ist für einen Betroffenen zwar recht einfach. Im Gesetz ist vorgesehen, dass innerhalb von sechs Monaten darüber entschieden wird. Aus meiner Erfahrung dauert es eher ein bis zwei Jahre. Danach können Rechtsmittel am Bundesverwaltungsgericht erhoben werden – das ist bekanntermaßen überlastet. Dort dauert es also noch einmal zwei Jahre. Und die dritte Instanz ist in manchen Fällen der Verwaltungsgerichtshof. Dort dauert die Bearbeitungszeit in Datenschutzfällen bis zu fünf Jahre. Das von Max Schrems geführte Verfahren gegen Facebook dauert tatsächlich schon mehr als zehn Jahre und liegt bei vielen Behörden, Gerichten und beim Europäischen Gerichtshof.
Wie beurteilen Sie insgesamt den Umgang des Staates mit Datenschutz?
Wirthensohn: Ich bin der Meinung, dass in vielen Bereichen die Verarbeitung von Daten wichtig und sinnvoll ist. Das Datenschutzrecht ist kein Verhinderungsinstrument. Verbesserungsbedarf gibt es aber bei der Transparenz, also dass man offenlegt, wofür Daten verwendet, wie lange sie gespeichert und wann sie gelöscht werden. Und manchmal fehlt etwas die Sensibilität. Es werden recht rasch große Datenbestände im Hintergrund einfach miteinander verknüpft. Das bringt sicher Vorteile, aber bei großen verknüpften Datenmengen muss ich wachsam sein.
Sie haben das kürzlich in den VN anhand der automatischen Spendenabsetzbarkeit erklärt. Haben Sie noch weitere Beispiele?
Wirthensohn: Ein weiteres Beispiel ist das Bildungsdokumentationsgesetz. Die Bildungsverläufe einzelner Personen werden nachverfolgt. Das ist legitim. Ursprünglich war das dafür gedacht, um eine bessere Planung zu ermöglichen. Man hat immer gesagt, diese Daten sollen nicht mit anderen Daten verknüpft werden. Im Rahmen der Registerzählung, die die ursprüngliche Volkszählung ersetzt hat, ist das dann aber doch geschehen. So war es auch beim Zentralen Melderegister, das mittlerweile mit allen möglichen Daten verknüpft ist. Immer wieder heißt es: Wir haben die Daten eh schon, also verwenden wir sie auch woanders. Das ist eine allgemeine Tendenz. Der beste Datenschutz wäre, keine Daten zu erheben.
Aufgrund Ihrer Datenschutzeinstellungen wird an dieser Stelle kein Inhalt von Iframely angezeigt.
Was halten Sie aus Datenschutzsicht von der Gesundheitsdatenbank Elga?
Wirthensohn: Positiv ist, dass man sich entscheiden kann, ob man sich beteiligt. Ich bin der Meinung, dass man beim Datenschutz da auch immer recht locker war. Bei der Einführung ist mit dem Nutzen und der Vereinfachung argumentiert worden, weil Ärzte auf alle Befunde zugreifen können. Das ist mehr als zehn Jahre her. Man muss ehrlich sagen: Bis heute funktioniert das nicht richtig. Klar ist es einfacher, wenn der Patient seinen Befund nicht von A nach B bringen muss. Aber technisch würde es heute Lösungen geben, um die Daten dezentral zu speichern. Ein Röntgenbild könnte beim Radiologen bleiben und andere könnten nur darauf zugreifen, wenn man es freigibt. Dann kann der behandelnde Arzt direkt zugreifen, aber eben nicht auf eine zentralisierte Datenbank. Die Vereinfachung wäre gegeben, aber ohne zentrale Datenspeicherung. Das Recht auf Datenschutz ist ein Grundrecht. Und wenn es möglich ist, mit gelinderen Mitteln die Ziele zu erreichen, dann müssen insbesondere die staatlichen Behörden die gelinderen Mittel nutzen.
Aufgrund Ihrer Datenschutzeinstellungen wird an dieser Stelle kein Inhalt von Iframely angezeigt.
Wir sprechen über Datenschutz, haben eine Smartwatch an, stellen Gesundheitsdaten ins Netz und sind auf Facebook. Wie glaubwürdig sind wir, wenn wir Datenschutz fordern?
Wirthensohn: Wenn ich mich selbst dafür entscheide, eine Smartwatch zu tragen, dann ist es völlig legitim, dass das Unternehmen auch gewisse Daten von mir nutzt. Der springende Punkt ist, das muss transparent passieren. Und das ist ein großes Manko, gerade bei internationalen IT-Konzernen.
Sie sprechen von der Weitergabe der Daten?
Wirthensohn: Meine Daten dürfen ohne meine explizite Einwilligung nicht an Dritte verkauft werden. In manchen Fällen passiert das trotzdem. Da sind wir beim Problem der Durchsetzung, hier gibt es den größten Verbesserungsbedarf. Wenn die Datennutzung grundsätzlich transparent erfolgt, würde ich das nicht als großes Problem sehen. Nur: Ich weiß gar nicht, ob ich Apple zugestimmt habe, ob sie meine Gesundheitsdaten verwenden dürfen, weil sie alle zwei Monate die AGBs ändern und ich im ungünstigsten Moment schnell zustimmen muss, weil ich gerade das Handy brauche.
Ich verstehe die AGBs teilweise gar nicht.
Wirthensohn: Das hat wahrscheinlich jeder schon festgestellt. Selbst als Jurist ist es fast unmöglich, alle Datenschutzerklärungen oder Nutzungsbedingungen überhaupt zu lesen, geschweige denn im Detail nachzuvollziehen. In Verfahren stellt sich dann leider auch immer wieder heraus, dass die Angaben zumindest ungenau, wenn nicht absichtlich unrichtig sind. Aus reiner Datenschutzsicht macht es übrigens keinen Unterschied, ob das Unternehmen wie Apple in den USA oder wie TikTok in China sitzt.
Ist TikTok nicht böser als die anderen? In der öffentlichen Verwaltung hat man die App von Diensthandys verbannt.
Wirthensohn: Aus rein datenschutzrechtlicher Sicht macht es keinen großen Unterschied. Natürlich kann es sein, dass der Zugriff auf Daten regierungsnaher Unternehmen in China noch einfacher ist als in den USA. Aber auch in den USA gibt es mehrere Stellungnahmen, die eine Zusammenarbeit von Unternehmen mit dem Geheimdienstsektor nahelegen.
