DSGVO

Einleitung

In der aktuellen Ausgabe von c’t wird ein alarmierendes Szenario gezeichnet: Eine kleine Gruppe von US-Technologiekonzernen, die sogenannten „Magnificent Seven“, kontrolliert inzwischen weite Teile der digitalen Infrastruktur – von Cloud-Rechenzentren über Betriebssysteme bis hin zu KI-Plattformen. (heise.de)

Dieser Bericht analysiert, wie diese Machtballung entstanden ist, welche Risiken sie für Gesellschaft, Demokratie und Datenschutz mit sich bringt und warum es ein Fehler ist, die Diskussion einseitig auf China zu lenken. Aus der Sicht eines Journalisten, Aktivisten und Datenschützers wird klar: Diese Abhängigkeiten sind das Ergebnis falscher politischer Entscheidungen – und sie verletzen längst geltendes Recht, insbesondere die DSGVO.

Einführung

Als Journalist, Aktivist und Datenschützer sehe ich in der neuesten Änderung von Microsoft Word mehr als nur ein Software-Update: Mit der neuen Standardoption, Dokumente automatisch in die Cloud (OneDrive) zu speichern, beginnt für viele öffentliche Verwaltungen und Behörden eine gefährliche Entwicklung – der mögliche Verlust der DSGVO-Konformität.

Faktenlage: Was ist passiert?

Microsoft testet derzeit in der Insider-Version Word für Windows (Version 2509, Build 19221.20000), dass neue Dokumente standardmäßig automatisch in OneDrive gespeichert werden – ohne aktives Zutun des Nutzers. Zwar lässt sich diese Funktion über „Datei → Optionen → Speichern“ deaktivieren, doch der Automatismus bleibt besorgniserregend (heise.de, learn.microsoft.com).

Kontrolle über die eigenen Daten – auch im Job

In einer zunehmend digitalisierten Arbeitswelt werden täglich personenbezogene Daten verarbeitet: Leistungsbewertungen, Krankmeldungen, Kommunikationsverläufe oder Verhaltensanalysen. Doch was passiert mit all diesen Daten? Wer hat Zugriff? Und vor allem: Welche Rechte habe ich als Arbeitnehmer?

Ein starkes Werkzeug steht jedem Beschäftigten zur Verfügung – das Auskunftsersuchen nach Art. 15 DSGVO. Was viele nicht wissen: Es geht dabei nicht nur um oberflächliche Informationen. Eine vollständige Auskunft umfasst weit mehr als ein paar Datenkategorien.

Beamte und der öffentliche Dienst: Pflicht zum Widerspruch

Beamte und Angestellte im öffentlichen Dienst unterliegen nicht nur Weisungen, sondern auch einem besonderen Verantwortungsbewusstsein gegenüber dem Rechtsstaat. Eine zentrale Pflicht besteht darin, rechtswidrige oder rechtswidrig erscheinende Anweisungen nicht umzusetzen, sondern Widerspruch einzulegen. Dies ist nicht nur eine moralische Verpflichtung, sondern eine dienstrechtliche Pflicht.

“Der Beamte muss den Dienstvorgesetzten auf die Rechtswidrigkeit von Anordnungen hinweisen.” – § 36 Beamtenstatusgesetz (BeamtStG)

Datenschutz als Pflichtaufgabe

Diese Pflicht betrifft insbesondere auch den Datenschutz. Seit Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) steht die öffentliche Verwaltung in der Verantwortung, personenbezogene Daten rechtskonform zu verarbeiten. Hierbei spielt der Einsatz von Softwarelösungen wie Microsoft 365 oder Google Workspace eine zentrale Rolle.

Das Auskunftsrecht nach Artikel 15 DSGVO: Wann darf geschwärzt werden?

Das Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) ist ein zentrales Instrument zum Schutz personenbezogener Daten. Es gewährt jeder betroffenen Person das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten über sie gespeichert und verarbeitet werden.

Wann darf geschwärzt werden?

In der Praxis kommt es häufig vor, dass Unternehmen oder Behörden bei der Beantwortung einer Auskunftsanfrage Teile der Dokumente schwärzen. Dies ist jedoch nur unter bestimmten Voraussetzungen zulässig:

Das LDI NRW (Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) versteht sich als unabhängige Instanz zum Schutz personenbezogener Daten. Doch ist es wirklich unabhängig – und vor allem: hat es eine wirksame Funktion gegenüber global agierenden Konzernen wie Microsoft und Apple? Oder ist die Behörde bloß ein Papiertiger?

Rechtlicher Rahmen

Laut eigener Aussage ist das LDI NRW eine unabhängige Aufsichtsbehörde, wie sie durch die Datenschutz-Grundverordnung (DSGVO) gefordert ist. Diese Unabhängigkeit schließt politische Einflussnahme aus und soll es ermöglichen, auch mächtige internationale Akteure zur Rechenschaft zu ziehen.

iPads an Schulen – Datenschutz im Fokus

Der 30. Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW, Drucksache 18/3948) enthält klare Aussagen zur Nutzung von iPads an Schulen. Im Mittelpunkt stehen dabei datenschutzrechtliche Anforderungen und Bedenken beim Einsatz sowohl privater als auch schulischer Geräte.

1. Private iPads (BYOD) – nur Übergangslösung

Die Nutzung privater iPads durch Schülerinnen und Schüler im Rahmen von “Bring Your Own Device” (BYOD) wird von der LDI kritisch bewertet:

In seinem aktuellen Beitrag „MS365: Papier schützt keine Daten – Warum juristische Freibriefe in die Irre führen“ beleuchtet Mike Kuketz ein besonders sensibles Thema im Spannungsfeld zwischen Datenschutz, juristischer Interpretation und technischer Realität.

Warum ist dieser Artikel wichtig?

Immer mehr Unternehmen und öffentliche Stellen setzen auf Microsoft 365 – oft in der Annahme, dass entsprechende Verträge und juristische Bewertungen genügen, um die Anforderungen der DSGVO zu erfüllen. Kuketz zeigt auf, dass diese Hoffnung trügerisch ist. Papier – sprich: vertragliche Regelungen – schützt keine Daten, wenn die technische Umsetzung nicht DSGVO-konform ist.

Im November 2021 veröffentlichte der bekannte US-amerikanische Rechtswissenschaftler Prof. Stephen Isaiah Vladeck ein Gutachten, das sich mit Fragen des US-Rechts im Kontext der Datenschutz-Grundverordnung (DSGVO) befasst. Prof. Vladeck, der an der University of Texas School of Law lehrt, ist ein renommierter Experte für Verfassungsrecht, nationales Sicherheitsrecht und die Rolle der Bundesgerichte in den USA. Seine Expertise macht ihn zu einer maßgeblichen Stimme in der Diskussion um die rechtlichen Implikationen internationaler Datenschutzregelungen.

Das Urteil des Europäischen Gerichtshofs (EuGH) vom 4. Mai 2023 (Rs. C-300/21) hat bedeutende Auswirkungen auf die Auslegung von Art. 82 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) im Hinblick auf Schadensersatzansprüche bei Verletzungen des Schutzes personenbezogener Daten. Insbesondere betont der EuGH, dass immaterielle Schäden, die durch Datenschutzverletzungen verursacht werden, nicht weniger schwerwiegend sind als körperliche Schäden. Dieses Urteil hat weitreichende Konsequenzen für die Praxis und erfordert eine sorgfältige Begründung von Schadensersatzansprüchen.