Wie schon beim Artikel über das Gesundheitssystem, muss man in Neuseeland auch beim Datenschutz zwischen Theorie wie im ersten Artikel beschrieben und Praxis unterscheiden.
Als ehemaliges Vorstandsmitglied des Chaos Computer Clubs und jemand, der mit Datenschutzbeauftragten und dem BSI zusammengearbeitet hat, hat der Autor ein besonderes Verhältnis zum Thema Datenschutz und dem Recht der Öffentlichkeit auf Zugang zu Informationen. In Neuseeland lernt man jedoch schnell, dass ein erheblicher Unterschied zwischen Gesetzen und deren praktischer Umsetzung besteht. Dabei kann man sich dem Eindruck nicht erwehren, dass die deutschen und europäischen Datenschutzgesetze – besonders in ihrer praktischen Anwendung – weitaus besser sind, als oft angenommen wird.
Der Datenschutz in Neuseeland: Schutz der Daten vor dem Bürger?
Besonders beim Thema Datenschutz entsteht häufig der Eindruck, dass der Zweck darin besteht, den Bürger vor seinen eigenen Daten zu schützen. Oft erhält man bei Anfragen an staatliche Einrichtungen, die nichts mit personenbezogenen Daten zu tun haben, die Antwort, dass aus Datenschutzgründen keine Details gegeben werden können. Dies erschwert auch Beschwerden, da man oft nicht einmal den Namen des verantwortlichen Beamten erfährt. Zudem wird mit Verweis auf den Datenschutz vorschnell das Fotografieren oder Aufzeichnen von Audioaufnahmen untersagt, selbst wenn es dafür keine klare rechtliche Grundlage gibt. Diese Praxis erinnert an die frühen Jahre des Datenschutzes in Deutschland, als das Gesetz genutzt wurde, um Transparenz zu verringern statt zu erhöhen.
Zugriff auf persönliche Daten: Ein zweischneidiges Schwert
Der Zugriff auf persönliche Daten und medizinische Unterlagen in Neuseeland ist relativ einfach. Meist genügt eine E-Mail – was sowohl Vor- als auch Nachteile hat.
Insbesondere die Bearbeitszeit is bedenklick. Bis man die Daten erhält kann es lange dauern – häufig Monate. Die Informationen werden gesichtet und personenbezogene Daten Dritter werden geschwärzt. Da dies manuell erfolgt, können Fehler passieren. Es kommt vor, dass entweder zu wenig oder zu viel geschwärzt wird – was beides problematisch ist.
Probleme bei der Datenerfassung und -korrektur
Im Umgang mit personenbezogenen Daten treten in Neuseeland folgende Schwierigkeiten auf:
- Fehlende Identitätsprüfung: In vielen Fällen erfolgt keine gründliche Identitätsprüfung bei der Anforderung personenbezogener Daten z.B. via E-Mail. Dies stellt ein erhebliches Risiko dar, da allein mit Namen, Geburtsdatum und Adresse potenziell personenbezogene Daten Dritter abgefragt werden können. Ohne klare Überprüfung besteht die Gefahr, dass Unbefugte Zugriff auf sensible Informationen erhalten.
- Zugriffsbeschränkungen: Man erhält in der Regel nur Zugriff auf seine eigenen Daten, beispielsweise Patientenunterlagen. Doch persönliche Informationen über die eigene Person können auch in den Daten von Angehörigen wie Eltern, Kindern oder Ehepartnern enthalten sein. Diese werden häufig nicht bereitgestellt, selbst wenn man sie explizit anfordert. Oft muss erst der Datenschutzbeauftragte eingeschaltet werden, um zu erfahren was über einen gespeichert ist.
- Korrektur von Fehlern: Theoretisch hat man das Recht, fehlerhafte Informationen löschen oder korrigieren zu lassen. Allerdings lässt die Software, die beispielsweise beim Kapiti Health Team verwendet wird, eine Löschung oder Änderung von medizinischen Unterlagen laut Aussagen eines Mitarbeiters nicht zu. Korrekturen werden am Ende des Dokuments hinzugefügt, was bedeutet, dass falsche Informationen in den ursprünglichen Abschnitten weiterhin bestehen bleiben. Dies kann zu Verwirrung führen, insbesondere wenn die Korrekturen erst nach vielen Seiten erscheinen und dadurch leicht übersehen werden.
- Langsame Bearbeitung: Da die Bearbeitung manuell erfolgt und Daten explizit angefordert werden müssen, können Monate vergehen, bis man seine Informationen erhält und Korrekturen vornehmen kann. So kann es sein, dass eine Korrektur in den Records jahre nach der eigentlichen Fehlinformation eingefügt werden. In der Zwischenzeit können fehlerhafte Daten, beispielsweise in Patientenunterlagen, großen Schaden anrichten. Im Vergleich dazu sind in den USA Notizen und Patientenunterlagen häufig sofort online einsehbar, sodass Fehler schneller erkannt und behoben werden können.
Das Fehlen von Daten oder „Schatten-Systeme“?
Ein besonders problematischer Fall zeigte, dass personenbezogene Daten zwischen zwei Behörden ausgetauscht wurden, obwohl es in keiner der beiden Behörden einen offiziellen Datensatz dazu gab. Dies deutet entweder auf die Existenz eines „Schatten-Systems“ hin, das außerhalb der Datenschutzgesetze betrieben wird, oder darauf, dass Daten nachträglich manipuliert oder gelöscht werden.
Als dieser Fall von einem Ermittler des Datenschutzbeauftragten untersucht wurde, konnte kein Fehlverhalten festgestellt werden. Es war jedoch klar, dass die Behörden Informationen ausgetauscht hatten, was sie gegenüber dem Betroffenen auch mündlich zugaben. Als das Büro des Datenschutzbeauftragten darauf hingewiesen wurde, lautete die Antwort:
“Wie bereits besprochen, verlässt sich unser Büro auf die Zusicherungen der Behörde, ob sie die angeforderten Informationen besitzt oder nicht.”
Dies bedeutet, dass der Datenschutz in Neuseeland im Wesentlichen auf einem „Ehrenwort-System“ basiert, was offensichtlich nicht ausreicht, um die Rechte der Bürger zu schützen.
Fehlende Durchsetzungsmaßnahmen und Sanktionen
Darüber hinaus verfügt der neuseeländische Datenschutzbeauftragte, im Gegensatz zu seinen Kollegen in anderen Ländern, über kaum Möglichkeiten zur Vor-Ort-Inspektion oder über umfassende Sanktionsmöglichkeiten ausser die Einhaltung zu verlangen und Verstösse öffentlich zu machen. Es ist fair zu behaupten, dass der Datenschutz in Neuseeland ein „zahnloser Tiger“ ist. Trotz wiederholter Gesetzesüberarbeitungen fehlen nach wie vor verbindliche Verordnungen und Vorgaben für den Einsatz und die Funktion von Anwendungen, die personenbezogene Daten speichern.
Ein wesentlicher Schwachpunkt des neuseeländischen Datenschutzsystems ist der Mangel an strafrechtlichen Konsequenzen und Sanktionen für Verstöße. Während in Ländern wie Deutschland und der Europäischen Union erhebliche Geldstrafen und Sanktionen bei Verstößen gegen die Datenschutzgesetze verhängt werden können, fehlt es in Neuseeland an ähnlich starken Durchsetzungsmechanismen. So kann der Datenschutzbeauftrage selbst keine Strafen aussprechen, er hat das Human Rights Court anzurufen, aber auch dieses kann nur Strafen bis zu $10,000 aussprechen. Kein Vergleich zu den Millionenbeträgen in der EU.
Es gibt kaum Anreize für Organisationen oder Einzelpersonen, ihre Datenschutzmaßnahmen zu verbessern, da Verstöße nur selten Konsequenzen haben. Hier besteht dringender Handlungsbedarf, um den Schutz der Bürger zu gewährleisten und Organisationen zur Rechenschaft zu ziehen. Neuseeland könnte sich an Ländern orientieren, die bereits ein System implementiert haben, das sowohl abschreckend wirkt als auch effektive Maßnahmen zur Sanktionierung bietet. Auch das Recht, vor Gericht Schadenersatz zu verlangen, ist im Vergleich zu anderen Ländern stark eingeschränkt. So hat auch die USA nur schwache Rechte für Datenschutzbeauftrage, aber jedoch ein ausgeprägtes System um durch Class-Action Lawsuits Schadenersatz in Millionenhöhe zu verlangen. Im Vergleich dazu hat das Human Rights Court bei Datenschutzverstössen nur Schadenersatz im Durchschnitt von $5,000 bis $25,000 ausgesprochen. Der höchste Schadenersatz waren $168,000 im Fall einer Credit Union, wobei $98,000 für den Schaden aus der Verletzung zugesprochen wurden.
Natürlich erfordert dies potenziell auch Investitionen in bestehende Anwendungen – aber Systeme, denen solche grundlegenden Funktionen fehlen, sind wahrscheinlich auch in anderen Bereichen wie Zugriffsschutz, Berechtigungsstrukturen für verschiedene Nutzergruppen und anderen essenziellen Sicherheitsfunktionen veraltet.
Im Prinzip besteht dringend Handlungsbedarf – sowohl seitens des Gesetzgebers als auch in der Arbeitsweise des Datenschutzbeauftragten – um den Datenschutz in Neuseeland auf das Niveau anderer Länder zu heben.
Im dritten Teil gehen wir mehr auf die Erfahrungen mit Auskunftsersuchen nach dem OIA Act ein.
