Laut einer Umfrage der Berliner Tageszeitung Tagesspiegel unter allen 16 Landes-Datenschutzbehörden beschweren diese sich über fehlendes Personal. Bundesweit gebe es ein Defizit von fast 100 Mitarbeiterinnen und Mitarbeitern.
In Deutschland ist Datenschutz normalerweise Ländersache. Für Facebook beispielsweise ist der Hamburger Datenschutzbeauftragte Johannes Caspar zuständig, da das deutsche Tochterunternehmen des IT-Giganten seinen Firmensitz in der Stadt hat. Von Caspar stammt etwa die Anweisung, dass das Unternehmen die Daten von Facebook und dem Messenger WhatsApp nicht zusammenführen darf. Dagegen versucht Facebook sich vor verschiedenen Gerichtsinstanzen zu wehren, bisher erfolglos.
Klage: Personalmangel gefährdet Durchsetzung
Gegenüber dem Tagesspiegel meinte Johannes Caspar, dass er wegen der Personalsituation verschiedene Missstände gar nicht angehen könne:
„Vor dem Hintergrund eines massiven Stellendefizits und der mangelnden Bereitschaft der Politik, dieses auszugleichen, besteht eine praktische Hürde, weitere Verfahren zu führen.“
So könne er sich zur Zeit beispielsweise nicht um den Skandal kümmern, dass Facebook bei Nutzern der Android-Apps jahrlang Telefondaten gespeichert hatte, wie Ende März bekannt wurde.
Auch Kolleginnen und Kollegen von Caspar beschweren sich über zu schwache Ressourcen. Das könne dazu führen, dass die Behörden zu wenig auf die Durchsetzung der anstehenden Datenschutz-Grundverordnung (DGSVO) der EU achten könnnen. Das erklärt Marit Hansen, Datenschutzbeauftragte von Schleswig-Holstein:
„Ich bezweifle stark, dass wir mit der jetzigen Ausstattung die Instrumente der DSGVO vernünftig nutzen können.“
DSGVO: mehr Datenschutz qua Verordnung
Die Datenschutz-Grundverordnung schreibt in Ländern der Europäischen Union verbesserte Auskunftsrechte für Nutzerinnen und Nutzer vor. Zudem verpflichtet sie Anbieter zu mehr Transparenz und zu datenschutzfreundlichen Grundeinstellungen. Bei Verstößen sieht sie empfindliche Strafen vor.
Formal gilt die Verordnung bereits seit dem Jahr 2016. Unternehmen müssen sie aber erst ab dem 25. Mai 2018 tatsächlich anwenden. Offen ist, inwiefern die großen globalen Internetkonzerne die Regeln tatsächlich umsetzen oder ob die Datenschutzbehörden in eine aktive Auseinandersetzung gehen müssen.