BC: Herr Sendera, gesundheitliche Daten sind ja besonders heikel, ist der Datenschutz hier Ihrer Meinung nach (noch) strikter anzuwenden als in der DSGVO gefordert?
Sendera: Das Verarbeitungsverbot des Art.9 DSGVO ist recht weitreichend. Die davon umfassten Datenkategorien, die sog. „sensiblen“ Daten wie eben Gesundheitsdaten, erfahren dadurch besonderen Schutz. Ausnahmen im öffentlichen Interesse von Mitgliedsstaaten sind vorgesehen, im aktuellen Kontext beispielsweise aus Gründen der öffentlichen Gesundheit. Der nationale Gesetzgeber ist jedoch schon durch die Verordnung selbst aufgefordert, eine Verarbeitung solcher Daten nur unter „angemessenen und besonderen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen“ durchzuführen. Die daraus entstehenden Interessens- und Zielkonflikte zeigen sich in den Ergebnissen der Umsetzung dieser Vorgaben. Inwieweit die Bemühungen um einen Konsens erfolgreich sind, ist eine offene Frage und Gegenstand des derzeitigen Diskurses.
BC: Gab es neue Anwendungs- und Interpretationsfragen?
Sendera: Jein. Neu nicht unbedingt, aber sicherlich wesentlich greifbarer, da sie in einen Kontext mit Alltagsbezug gesetzt wurden. Ohne hier zu sehr ins Detail gehen zu wollen: Beispielsweise wurde im Zusammenhang mit Contact Tracing und damit der Erhebung, Verwaltung und Speicherung von Daten der Diskurs zu Vor- und Nachteilen zentraler oder dezentraler Datenspeicherung angestoßen. Auch im Zusammenhang mit dem mobilen Arbeiten gibt es vielleicht nicht völlig neue Fragen zum Datenschutz und damit natürlich verbunden der Informationssicherheit, sie sind jedoch in kurzer Zeit für ein wesentlich breiteres Publikum relevant geworden.
BC: Krisen wirken ja auch als „Stresstest“ für bestehende Regeln und Normen. Sollte in der DSGVO im Lichte der Corona-Krise noch etwas nachgebessert werden?
Sendera: Die DSGVO ist sicherlich kein perfektes Regelwerk, aber das beste ¬– und einzige – das uns derzeit zur Verfügung steht. Dass sich in der Umsetzungspraxis schwierige oder unangenehme Fragen stellen, ist mir dabei vollkommen bewusst. Die internationale Signalwirkung der Verordnung ist jedoch beachtlich, viele Staaten haben inzwischen ebenfalls Datenschutzregelwerke entworfen oder diese bereits in Kraft gesetzt. Eine Nachbesserung der Verordnung wäre vermutlich weder effizient noch zielführend, wenn man ihren langwierigen Entstehungsprozess oder die nach wie vor unfertige ePrivacy-Verordnung betrachtet, die ja ursprünglich relativ zeitnah mit der DSGVO in Kraft treten hätte sollen.
BC: Andererseits wirken Krisen auch als Innovationstreiber, hat sich Ihres Erachtens im Spannungsfeld zwischen den Interessen des Unternehmens und jener der Mitarbeiter etwas geändert?
Sendera: Fortschrittliche Arten, Arbeitsleistung zu erbringen – Stichwort Home Office und mobiles Arbeiten – haben in diesem Jahr sicherlich einen Innovationsschub erfahren. Einerseits ist diese Flexibilisierung im Interesse vieler Beschäftigter, andererseits verschwimmen die Grenzen zwischen Freizeit und Arbeitszeit, Privat- und Berufsleben immer leichter. Der Druck, immer erreichbar zu sein, wird noch größer, als er beispielsweise durch die Bereitstellung von Mobilgeräten durch Unternehmen, bereits ist. Besonders wichtig wäre, hier durch die Herstellung fairer Rahmenbedingungen – beispielsweise durch Betriebsvereinbarungen – einen Interessensausgleich herbeizuführen.
Datenschutz unter falschen Grundannahmen
BC: Daran anschließend: bemerken Sie jetzt eine stärkere „Awareness“ in Bezug auf den Schutz der eigenen Daten?
Sendera: Ja, wobei hier aus meiner Sicht Risiken oft nicht rein rational betrachtet werden, sondern eher emotional argumentiert wird. Sehr viele Menschen in Österreich und in der EU besitzen mittlerweile ein Smartphone mit einem von zwei marktüblichen Betriebssystemen und Internetanbindung, fast alle konsumieren Online-Medien (wie dieses), sehr viele sind in sozialen Medien aktiv, sie besitzen vielleicht einen Smart-TV- oder andere „smarte“ Geräte. Viele sind dabei nach wie vor erstaunlich sorglos im Hinblick darauf, welche Daten sie von sich preisgeben oder gar ahnungslos, welche Datenflüsse überhaupt stattfinden. Andererseits kocht bei einem Thema wie dem Contact Tracing via App sofort die Angst vor staatlicher Überwachung hoch. Beinahe jede Person ist bereits aufgrund der oben genannten Aktivitäten identifizierbar, ein Standort ist durch die Möglichkeit der Handyortung für Diensteanbieter oder staatliche Akteure kein Geheimnis und Datenhändler verfügen bereits über teils sehr detaillierte Personenprofile von Milliarden Menschen. Ja, so gesehen ist die Awareness sicherlich größer geworden, oft allerdings unter falschen Annahmen.
BC: Etwas Allgemeines: Gerade bei der PriSec sprechen wir auch die „next generation“ an, sehen Sie in Österreich die (universitäre) Ausbildung im Bereich Datenschutzrecht gut aufgestellt?
Sendera: Das ist eine schwierige Frage. Ich bin grundsätzlich der Meinung, dass es inzwischen doch einiges an universitären Aus- und Fortbildungsangeboten zum Datenschutz gibt. Wer jedoch eine strukturierte Ausbildung sucht, ist meist auf Privatuniversitäten, Fachhochschulen oder sonstige kostenpflichtige Fortbildungen und Kurse kommerzieller Anbieter angewiesen. Und natürlich auf jede Menge Eigeninitiative. Wie bereits erwähnt, stellen sich viele Datenschutzfragen im Kontext von fortschrittlichen oder neuen Technologien. Neben rein juristischem Fachwissen sind hier technisches Verständnis, Kenntnisse aus der Informationssicherheit und natürlich Einfühlungsvermögen in die jeweils betrachtete Organisation gefordert. So gesehen wird Datenschutz auf einmal eine sehr interdisziplinäre Angelegenheit. Lebendig wird die beste Ausbildung jedenfalls nur durch die praktische Arbeit mit dem Thema und den Austausch mit Kolleginnen und Kollegen.
Gerald Sendera ist Data protection Supervisor und Legal Counsel bei SBA Research in Wien.
