Datenschutz wird für Unternehmen immer wichtiger. Im Zuge der Corona-Krise hat das Thema einen zusätzlichen Schub erfahren. Denn auf einmal richten sich alle Augen auf Onlinedienste wie Zoom – und damit auch auf ihre Sicherheitslücken und Datenschutzprobleme. Zudem bietet auch die geplante Corona-App allerlei Anlass für Privatsphäre- und Datenschutz-Diskussionen. Die Skepsis bei vielen Experten ist groß.
Für die 75. Folge unseres Podcasts hat Nils deshalb Jasmin Lieffering eingeladen. Sie ist selbstständige Datenschutzbeauftragte und Gründerin der Unternehmensberatung LITC, die auf Datenschutz spezialisiert ist.
Im Gespräch mit Nils berichtet Lieffering von den aktuellen Herausforderungen, denen sich Unternehmen gegenübersehen. Außerdem erläutert sie, welche Probleme es mit der Corona-App geben könnte und wie eine datenschutzkonforme App gestaltet sein müsste.
Datenschutz-Probleme der Online-Tools
Seit der Corona-Krise boomen Online-Dienste, mit denen man virtuelle Videokonferenzen führen kann. Zugleich wird immer wieder massive Kritik laut, da Sicherheit und Datenschutz in vielerlei Hinsicht zu wünschen übrig ließen. Vor allem der Anbieter Zoom ist dabei ins Visier der Kritiker geraten.
Auch wenn die Datenschutzprobleme von Online-Tools in den Medien in jüngster Zeit besonders hochgekocht sind – für Lieffering sind diese Themen keineswegs neu. Schon seit Inkrafttreten der DSGVO im Jahr 2018 hat sich die Beraterin mit Diensten wie Zoom, Skype und Google Hangouts befasst. Denn ihre Kunden – häufig Firmen, die selbst stark digitalisiert sind – haben auch damals schon verstärkt auf Videokonferenzen zurückgegriffen.
Für Lieffering hat sich in ihrer täglichen Arbeit durch Corona nicht viel verändert. Eine Sache ärgert sie allerdings bei der aktuellen Diskussion, und zwar „dass sich die Leute so an der Datenschutzerklärung aufgehangen haben.“ Viele hätten kritisiert, dass dort nicht klar vermerkt sei, dass Videos von den Anbietern aufgezeichnet würden. Allerdings: Das müsse laut Lieffering auch gar nicht in der Datenschutzerklärung stehen. Dafür sei nämlich der Auftragsverarbeitungsvertrag da.
Zudem müsse man bei all der Kritik immer bedenken: Bei den meisten dieser Dienste handelt es sich um Systeme, die vor der DSGVO entwickelt worden sind. Deshalb könnten sie gar nicht DSGVO-konform sein und alles berücksichtigen, was in der Datenschutz-Grundverordnung stehe. Und auch nachträgliche Anpassungen seien nicht immer so leicht umzusetzen. Denn darunter würde die Nutzerfreundlichkeit oft extrem leiden. Ohnehin ist das laut Lieffering wohl eine der größten Herausforderungen: den Datenschutz in die User Experience einzubauen.
Zweck und Angemessenheit der Corona-App
Die DSGVO spielt auch bei der geplanten Corona-App eine zentrale Rolle. Denn die Datenschutz-Grundverordnung verlangt eine Zweckbindung bei der Datenverarbeitung. Dabei muss sehr klar definiert werden, warum bestimmte Daten erhoben werden, was also das Ziel ist. Das gilt auch für die Corona- App. Die einfache Erklärung, die Pandemie eindämmen zu wollen, reicht laut Lieffering dafür nicht aus. Auch das Ziel, Menschenleben zu retten, sei zu unkonkret: „Es kann nicht sein, dass der Zweck heißt ‚Wir wollen Leben retten‘, und alles andere bleibt nebulös“, so die Expertin.
Zwar sei das Recht auf Leben und körperliche Unversehrtheit ein Grundrecht. Dieses Grundrecht dürfe aber nicht über alle anderen Grundrechte – etwa das Recht auf informationelle Selbstbestimmung – gestellt werden. Andernfalls könnte man in allen möglichen Situationen argumentieren, Leben retten zu wollen. Auch die Video-Totalüberwachung könnte dann beispielsweise gerechtfertigt werden, indem man erklärt, damit Terroranschläge verhindern und Leben retten zu wollen.
Die Angemessenheit der Datenerhebung ist daher laut Lieffering die eigentliche Frage – und diese könne nur beantwortet werden, wenn man den Zweck der Corona- App eindeutig definiert habe...