Was gerade im
Streit zwischen Facebook und der EU / Bundesregierung abläuft, kann man als ein
Lehrstück in Sachen Datenschutz-Vorschriften betrachten. Sehr wahrscheinlich
wird einem sozialen Unternehmen so etwas nicht passieren – sollte man zumindest
annehmen. Denn das Geschäftsmodell von Facebook basiert auf der Auswertung von
personenbezogenen Daten, um diese zu vermarkten. Soziale Unternehmen haben kein
solches Vermarktungs-Interesse. Sie versuchen nur, den Menschen zu helfen.
Die Kritik an Facebook ist immens. Immerhin soll fast
jeder vierte Mensch auf der Welt bei diesem „sozialen Netzwerk“ engagiert sein.
Das heißt, diese Menschen haben sich mit ihren Daten zu Ihrer Person dort
angemeldet (Name, Wohnort, Geburtstag) und sind mit anderen Teilnehmern, die
das gleiche gemacht haben, verbunden. Aufgrund der Präsenz von Unternehmen,
Organisationen und deren Werbungen sowie den vielen Informationsangeboten und
Aufrufen können die Vorlieben und Interessen der Nutzer erfasst, ausgewertet
und sogar „hochgerechnet“ werden. Damit entstehen Wahrscheinlichkeiten, die als
Wissenspakete einen Marktwert haben.
Der Marktwert dieser Wissenspakete liegt mittlerweile bei
etwa 40,7 Mrd. US-Dollar jährlich.
Dies an sich stellt noch keinen Schaden dar, aber die
Gefahr besteht nun darin, dass die Nutzer „gläsern“ geworden sind und aufgrund von
Vorlieben und Interessen ihre Aufmerksamkeit auf eingeblendete Informationen
richten. Eine Werbung, die genau das anspricht, was einen Nutzer interessiert,
ist erfolgreiche Werbung. Ein Facebook-Teilnehmer entwickelt sich nun zu einem „willenlosen
Konsumenten“, der gar nicht merkt, dass er fremdgesteuert wird. Für den
Werbetreibenden höchst lukrativ, weil dieser nun konkurrenzlos seine
hochpreisigen Produkte anbieten kann. Für Facebook ebenfalls lukrativ, weil
nicht mehr die Qualität von Service und Produkt maßgeblich ist, sondern nur
noch die Werbeetats.
Zusammengefasst: Das Geschäftsmodell basiert darauf, die
Nutzer fremdzusteuern.
Für ein soziales Unternehmen, dass es sich zum Ziel
gemacht hat, die von ihm betreuten Menschen in ihrer Selbstwahrnehmung und Selbstbestimmung
zu stärken, das völlige Gegenteil.
Warum es eine
Folgeabschätzung braucht …
Die Folgen eines Kontrollverlustes über personenbezogenen
Daten können gravierend sein. Darum wird es mit der DSGVO auch die
Erforderlichkeit zur „Folgenabschätzung“ geben (Art. 35). Es soll zuerst einmal
die „spezifische Eintrittswahrscheinlichkeit“ eines Kontrollverlustes über die
Daten eingeschätzt werden. Dies bezieht sich wiederum auf die
datenverarbeitende Stelle. Damit muss von dem Verantwortlichen die Struktur und
Organisation, die Prozesse und die verwendete Technik benannt werden. Erst dann
entsteht ein Verständnis über die Spezifizität oder Besonderheit.
Ein zweiter Punkt betrifft die „Schwere dieses hohen
Risikos“, was sich wiederum auf möglichen Auswirkungen bei den Betroffenen
bezieht. Eine gewisse Rolle spielen natürlich solche Daten, die von den
Betroffenen selbst veröffentlicht worden sind. Man kann hier von einer
implizierten Einwilligung zur Weitergabe der Daten vielleicht sogar sprechen
(dies wäre wahrscheinlich auch die Verteidigung von Facebook). Doch bei Sozial-
und Gesundheitsdaten, Einkommen von Mitarbeitern oder vielleicht sogar
Pfändungsbeschlüsse obliegt die Pflicht zum Schutz der Daten immer der
datenverarbeitenden Stelle und ihrem Verantwortlichen.
Die Folgenabschätzung braucht keine „umfangreiche“ und in
alle Richtungen reichende Arbeit zu sein. Es soll allerdings eine
„Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung und der Ursachen des Risikos“ erfolgen und sie muss immer zum Ziel
haben, dass den Betroffenen die Ausübung ihrer Rechte nicht erschwert wird
(z.B. Freiheitsrechte, die durch eine Videoüberwachung eingeschränkt werden). Konkret
dreht es sich um die Frage, was ein Betroffener für Einschränkungen oder
Schäden erleiden muss, wenn seine Daten „verloren“ gehen.
… oder nicht
braucht
In einigen Fällen ist eine solche Folgenabschätzung wiederum
„nicht zwingend vorgeschrieben“. Patienten- oder Mandanten-Daten, die durch
einen „einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder
Rechtsanwalt“ erfolgen, sind ausgenommen bzw. diese besonderen Berufsträger können
eine gewisse Erleichterung in der Sache für sich beanspruchen. Es handelt sich
um eine Ausnahme, weil gerade diese Berufsträger einfach über „alles“
informiert sein müssen, um ihre Arbeit, sei es die Krankenbehandlung oder
Rechtsvertretung, zum Wohle des Patienten oder Mandanten ausüben zu können.
Natürlich gilt aber auch hier der Grundsatz der Datensparsamkeit bei der
Verarbeitung von personenbezogenen Daten (vgl. Erwägungsgründe zur DSGVO Nr. 90
und 91).
Zu den Gesundheitsberufen könnte man auch die
Leistungserbringer in den sozialen Arbeitsfeldern und der Pflege zählen. Auch
sie müssten weitreichende, sehr intime Kenntnisse über ihre Klienten erlangen,
weil eine effektive Assistenz und Unterstützung nur dann gelingt, wenn man sich
versteht. Bei der Bedarfserhebung könnten somit Wünsche und Hoffnungen bekannt
werden, die unter anderen Umständen zu Scham, Betretenheit und Entwürdigung
werden.
Man muss sich klar machen, dass über solche Dinge geredet
wird, wenn eine Dienstübergabe der Betreuungskräfte stattfindet. Oder es werden
Berichte geschrieben, weil eine Dokumentationspflicht besteht. In jedem Fall
bleiben solche personenbezogene Daten dann nicht wirklich „geheim“. Jedoch
müssen sie weiterhin als „persönlich und vertraulich“ strengstens gehandhabt
werden.
Die Folgenabschätzung richtet sich somit eher ideell auf
die Auswirkungen bei den Betroffenen, weil auch die Rechte eines Menschen mit
besonderen Einschränkungen gewahrt werden müssen. In der Konsequenz heißt es,
dass zwar innerhalb der direkt mitwirkenden Betreuungskräfte ein Austausch
möglich ist, andere Abteilungen, Bereiche oder Personen, die vielleicht nur
indirekt mit der Leistungserbringung zu tun haben, keine Kenntnis über diese
Besonderheiten erlangen.
Was sich in
behördlichen Ermittlungsarbeiten und sogar als Datenschutzpanne findet
Grundsätzlich müssen alle eine besondere Verantwortung
übernehmen bei der Verarbeitung von personenbezogenen Daten – auch Behörden. Es
zeigt sich dennoch immer wieder, dass selbst diese den Umgang damit sehr
nachlässig gestalten. Zum Beispiel sollen Daten erhoben werden, deren
Erforderlichkeit für eine Antragsbearbeitung auf Weiterbewilligung von
Schulbegleitungen / Integrationshelfern nicht gegeben ist; da finden sich
Fragen wie z.B. „Wie ist das Arbeitsverhalten eines behinderten Kindes? Wie
werden Hausaufgaben erledigt? Ist das Schulmaterial immer dabei?“. Oder es wird
eine nicht anonymisierte oder pseudonymisierte Namensliste per Email versendet
(Bericht eines Teilnehmers auf einer Fortbildungsveranstaltung zur DSGVO).
Am 3.11.2011 berichteten die Lübecker Nachrichten
darüber, dass eine Sicherheitslücke bei einem Internetdienstleister in
Rendsburg (Schleswig-Holstein), welcher Datenbanken „für insgesamt fünf soziale
Dienste und Behörden in ganz Deutschland betreibt“ offen war für den Zugriff
auf „Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen“.
Geschädigte waren unter anderem ein lokales Therapie- und Beratungszentrum wie
auch ein Hilfsverein für psychisch kranke Menschen (vgl. Artikel „Datenschutz-Skandal
in Schleswig-Holstein“, Lübecker Nachrichten, letzte Aktualisierung vom 8.1.2013).
Was jetzt mit Facebook geschieht, wird einerseits den
Willen der Aufsichtsbehörden belegen, wie man mit solchen Vorfällen umgehen
will. Aber auch was wirklich ein Vergehen darstellt und deswegen geahndet
werden kann. Wenn man ein Bußgeld verhängen wollte „von bis zu 4 % seines
gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“
(Art. 83 Abs. 5 DSGVO), was natürlich sehr hoch gegriffen ist, dann müsste
Facebook 1,6 Mrd. US-Dollar zahlen –wären aber nur 1/10 des gesamten Gewinns.
Kann man für soziale Unternehmen aufgrund der
vorgenannten Erleichterung bei den „Gesundheitsberufen“ nun eine Entwarnung
geben? – Nein. Es gibt Berichte über Betreuungskräfte, die ihre Termine,
Erkenntnisse, Mitteilungen und sogar Fotos über offene Nachrichtenkanäle, als
Emails oder Veröffentlichungen in sozialen Medien (wieder Facebook)
weitergeben. Die Verwendung solcher Technologien ist sehr heikel und muss
schlichtweg thematisiert werden.
Am besten vom internen Datenschutzbeauftragten mit Bekräftigung
seitens der Geschäftsführung.
CGS
Weitere Informationen:
Henry Krasemann und Stephan Dirks
„Alles neu macht der Mai: Ab dem 25. Mai 2018 wird die
Datenschutz-Grundverordnung (DSGVO) angewendet. Wir geben einen Überblick. Muss
das Internet abgeschaltet werden?“
(letzter Aufruf am 31.3.2018)
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen? Empfehlen Sie ein//gegliedert weiter.
Wollen Sie Ihre Meinung sagen? Ihre Kritik interessiert
mich. Vielleicht können Sie mir sogar eine neue Perspektive aufzeigen. Darüber
würde ich mich freuen. Meine Email-Adresse finden Sie auf der Seite Über mich.
Datenschutz – Mit der DSGVO wird es jetzt anders – Teil 4
– eingegliedert.blogspot.com