Die Nachwehen der DSGVO

Datenschutz-Grundverordnung

Seit neun Monaten gilt die europäische Datenschutz-Grundverordnung (DSGVO). Die erste Aufregung hat sich gelegt. Welche Auswirkungen das neue Recht auf die Kommunikationsbranche auf mittlere Sicht haben wird, ist jedoch immer noch nicht absehbar.

Besonders kritisch für die Branche ist das Auskunftsrecht. Auf Anforderung einer Datenschutzbehörde oder aber auch eines einzelnen Bürgers muss jeder Datenverarbeiter Auskunft über gespeicherte Personendaten geben. Zu den Pflichtangaben gehört eine Infor­mation über die Herkunft dieser Daten. Quellenschutz kennt die DSGVO nicht.

Art. 85 DSGVO gibt den EU-Mitgliedsstaaten die Möglichkeit, Ausnahmevorschriften für die journalistische Kommunikation zu erlassen. Die Bundesländer haben diese Möglichkeit genutzt. Das Presserecht der einzelnen Länder sichert Journalisten den Quellenschutz und schränkt auch im Übrigen den Datenschutz im journalistischen Bereich ein.

Keine Ausnahmen gibt es bislang für die Pressesprecher in Unternehmen, Vereinen, Verbänden, Parteien und Organisationen. Für die Pressearbeit gilt kein Landespresserecht. Daher müsste der Bundesgesetzgeber handeln, um Rechtssicherheit herzustellen. Hin­ter den Kulissen wird derzeit darum gerungen, das von der Bundesregierung geplante „Zweite Datenschutz-Anpassungsgesetz um eine Regelung zugunsten der Kommunikationsfreiheit zu ergänzen. Ob sich die Befürworter einer solchen Regelung durchsetzen werden, ist noch nicht absehbar.

Ein wegweisender Streitfall in Rumänien

Dass das neue Datenschutzrecht zu einer Gefahr für die freie Kommunikation und den Quellenschutz werden kann, wird von Datenschutzaktivisten vehement bestritten – zu Unrecht, wie ein Fall aus Rumänien zeigt. Die rumänische Datenschutzaufsicht hat den Investigativreportern des „Rise“-Projekts ein Bußgeld von bis zu 20 Millionen Euro angedroht, da sich die Journalisten weigern, Quellen preiszugeben.

Bei dem „Rise“-Projekt geht es um die Aufklärung von Betrugstaten und Korruption und um schwerwiegende Vorwürfe gegen hochrangige Politiker. Die rumänischen Journalisten haben sich bei ihrer Aufklärungsarbeit nicht einschüchtern lassen und weigern sich standhaft, die geforderten Auskünfte zu erteilen. Dabei werden sie von Nichtregierungsorganisationen wie Reporter ohne Grenzen (ROG) unterstützt.

Der „Rise“-Fall beschäftigt mittlerweile die europäische Datenschutzbehörde. Sie bemüht sich, auf ihre rumänischen Kollegen mäßigend einzuwirken. Der Fall zeigt, welche Sprengkraft datenschutzrechtliche Auskunftspflichten für Journalisten haben können, wenn es nicht – wie in den deutschen Bundesländern – Ausnahmebestimmungen gibt, die den Quellenschutz gewährleisten.

Der „Rise“-Fall hat eine Dimension, die weit über das Spannungsverhältnis zur Kommunikationsfreiheit hinausreicht. Die Datenschutzbehörden sind durch die DSGVO erheblich gestärkt worden. Treten sie Bürgern, Unternehmen, Organisationen oder auch Kommunikatoren gegenüber, so üben sie staatliche Gewalt aus. Damit unterscheiden sie sich nicht von Bau- oder Gewerbebehörden, von Finanzämtern oder der Polizei. Ebenso wie jeder anderen Behörde müssen den Datenschutzbehörden Grenzen gesetzt werden, wenn sie ihre Befugnisse überschreiten. Bürgerrechte müssen auch gegen die Aufsichtsbehörden ver­teidigt werden.

Erste Bußgelder auch in Deutschland

Es ist absehbar, dass es bereits in diesem Jahr hierzulande spektakuläre Bußgelder und Gerichtsverfahren geben wird. Vorreiter ist bislang der baden-württembergische Datenschutzbeauftragte Stefan Brink. Gerade einmal zwei Jahre im Amt, schickt sich Brink an, zum bekanntesten deutschen Datenschützer zu werden. Der meinungsfreudige Beamte verkündete im November vergangenen Jahres per Pressemitteilung, dass seine Behörde das erste deutsche DSGVO-Bußgeld verhängt hatte. Das Bußgeld, das der Betreiber eines Sozi­alen Netzwerks zahlen musste, fiel mit 20.000 Euro moderat aus.

Wesentlich drakonischer war unlängst das Bußgeld, das die französische Datenschutzaufsicht CNIL gegen Google verhängte. Die französischen Datenschützer beanstandeten die Infor­mationspolitik von Google und langten mit 50 Millionen Euro kräftig zu. Google hat angekündigt, gegen dieses Bußgeld vor Gericht zu ziehen. Ein längerer Rechtsstreit durch die europäischen Instanzen ist gewiss.

Das neue Datenschutzrecht hat die Rechte der Bürger gegen Behörden und Unternehmen bei der Datenverarbeitung gestärkt. Datenschutz wird in den oberen Unternehmensetagen und den Behördenspitzen jetzt ernst genommen. Unternehmen aus aller Welt haben sehr viel Geld in DSGVO-Projekte investiert, um Schwachstellen zu beseitigen. Nutznießer sind Datenschutzjuristen, Datenschutzbeauftragte und Berater aller Art. Nie konnte man mit Datenschutz so viel Geld verdienen wie heute.

Wie ein Kollege kürzlich treffend feststellte, bewarben sich auf Datenschutzstellen früher meist Idealisten – seit Inkrafttreten der DSGVO hingegen beherrschen Karrieristen das Feld. Auf Beraterebene ist der Datenschutz eine „Cashcow“ und die Basis manch ehrgeizigen Geschäftsmodells geworden.

Auch die Kommunikationsbranche tut gut daran, den Datenschutz ernst zu nehmen und Verpflichtungen zur Bestellung eines Datenschutzbeauftragten und zur Führung von Ver­arbeitungsverzeichnissen zu beachten, außerdem Datenpannen zu melden und Beschwerden einzelner Bürger nicht links liegen zu lassen.

Auf politischer Ebene gilt es zugleich, eine ausgewogene Balance zwischen Datenschutz und freier Kommunikation einzufordern. Wir brauchen eher heute als morgen ein Bundesgesetz, das die freie Kommunikation auch für Unternehmen, Vereine und Organisationen gegen übergriffige Datenschutzbehörden schützt.

 

 

Dieser Beitrag erschien zuerst in der gedruckten Ausgabe ENDE. Das Heft können Sie hier bestellen.

Weitere Artikel