Einführung
Der 27. Tätigkeitsbericht umfasst mit den Jahren 2017
und 2018 einen Zeitraum, in dem meine Vorgängerin,
Frau Andrea Voßhoff, die Bundesbeauftragte für den Da‑
tenschutz und die Informationsfreiheit war. Ich möchte
mich bei Frau Voßhoff herzlich für ihre wichtige Arbeit
bedanken.
Beide Jahre waren in meiner Behörde selbst, bei den Be‑
hörden des Bundes, sowie den von mir beaufsichtigten
Unternehmen und sonstigen Behörden geprägt von den
Vorbereitungen auf die im Mai 2018 wirksam gewordene
Datenschutz-Grundverordnung (DSGVO) und den ersten
Schritten unter neuem Recht. Schon jetzt wird deutlich,
dass sich die DSGVO in kurzer Zeit zu einem Standard
entwickelt hat, an dem sich auch andere Weltregionen
orientieren, wie die Entwicklungen in Kalifornien,
Japan, aber auch das hohe Interesse weiterer Staaten in
Lateinamerika und Asien zeigen.
Jetzt geht es darum, die DSGVO in der Praxis um- und
durchzusetzen, möglichst einheitlich in Deutschland
und in Europa. Staatliche Stellen müssen beim Daten‑
schutz Vorbild sein. Sie dürfen nicht kurzsichtig das
Grundrecht der Bürgerinnen und Bürger auf Privatsphäre,
informationelle Selbstbestimmung und das Gefühl der
Unbeobachtetheit neuen Möglichkeiten zur Erhebung,
Verarbeitung und Verknüpfen von Daten unterordnen,
weder im Bereich der inneren Sicherheit, noch bei der
Erbringung staatlicher Dienstleistungen und auch nicht
zur Steuerung von Infrastrukturplanung oder statisti‑
schen Zwecken.
Gänzlich erfolgreich wird die DSGVO erst dann zu
nennen sein, wenn Gesellschaft und unabhängige
Datenschutzaufsichtsbehörden es auf ihrer Grundlage
schaffen, den Appetit vor allem der großen Internetgi‑
ganten auf die Daten der europäischen Bürgerinnen und
Bürger auf das erlaubte, zur Durchführung der angebo‑
tenen Dienstleistungen benötigte Maß zu reduzieren.
2017 und 2018 wurde immer deutlicher, in welchem Aus‑
maß Konzerne wie Facebook gegen europäisches Recht
verstoßen und in welchem Maß sie Daten europäischer
Bürgerinnen und Bürger auch aus Quellen sammeln,
8
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
für die sie niemals eine Einwilligung der Betroffenen
erhalten haben.
Meine Behörde und ich werden unsere eigenen Kompe‑
tenzen in der Aufsicht nutzen, um die Ziele der DSGVO
zu erreichen. Wir arbeiten außerdem in der Daten‑
schutzkonferenz mit den Datenschutzaufsichtsbehörden
der Bundesländer und im Europäischen Datenschutz‑
ausschuss (EDSA) mit den entsprechenden Behörden
der anderen EU- und EWR-Staaten eng zusammen.
Gerade im EDSA wünsche ich mir dabei eine erhebliche
Beschleunigung der Unterbindung und Sanktionierung
großer Datenschutzverstöße.
Aktuell hat bereits eine Debatte über eine Novelle der
DSGVO begonnen. Aus meiner Sicht muss diese No‑
velle Lücken beim Datenschutz schließen, z. B. durch
klare Vorgaben beim Profiling und beim Scoring, die
die Grundlage der Datenverarbeitung darstellen. Ich
bin überzeugt, dass man den Aufwand für Bürgerinnen
und Bürger, Vereine, sowie kleinere Unternehmen beim
Datenschutz durch Veränderung bei den Informationsund Dokumentationspflichten deutlich reduzieren kann,
ohne das Datenschutzniveau damit zu senken. Die EU
muss außerdem endlich eine ambitionierte E‑Privacy‑Ver‑
ordnung zum Schutz der besonders sensiblen Kommuni‑
kationsdaten beschließen.
Auch in Deutschland bedarf es weiterer Verbesserungen
beim Datenschutz: Wir brauchen ein umfassendes Ge‑
setz zum Schutz der Daten von Beschäftigten sowie Be‑
werberinnen und Bewerbern. Außerdem benötigt meine
Behörde Sanktionsmöglichkeiten bei der Datenschut‑
zaufsicht über die gesetzlichen Krankenkassen (Bußgel‑
der) und die Sicherheitsbehörden (Anordnungen).
Datenschutz dient nicht dem Schutz von Daten, er
dient dem Schutz der Grundrechte der Bürgerinnen
und Bürger in unserer freiheitlichen Demokratie.
Und deswegen gibt es Geschäftsmodelle, die wegen der
damit verbundenen Verletzungen der Prinzipien des
Datenschutzes in Europa nicht möglich sind und nicht
möglich werden dürfen. In der Regel ist Datenschutz