Datenschutz-Aufsicht Bayern: Das Machbare effektiv durchsetzen
21.06.2016
[IITR – 21.6.16] Der Chef des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat sich in den vergangen fünf Jahren seiner Tätigkeit ein ganz eigenes Profil erarbeitet. Auf sein Konto gehen die kreativen anlasslosen Kontrollen von Unternehmen, die er möglichst in Kooperation mit weiteren Aufsichtsbehörden durchführt. Es geht ihm darum, das Machbare möglichst effektiv durchzusetzen. So folgen den gemeinsamen Entschließungen der Datenschutzaufsichtsbehörden Taten. Die nächste kooperative Kontrolle steht für den Herbst an. Sie wird „Wearables“ aus dem Gesundheitsbereich auf das Korn nehmen. Fünf bis sechs Datenschutzbehörden wollen sich der Prüfung anschließen.
16 Mitarbeiter zählt seine kleine Behörde und Thomas Kranig setzt alles daran, mit diesen wenigen Mitarbeitern möglichst viele Unternehmen zu erreichen. Gleichwohl hofft er darauf, dass der Bayerische Landtag ihm im nächsten Haushalt acht neue Stellen zur Verfügung stellt. Als Kranig 2011 gefragt wurde, ob er die Behörde für Datenschutzaufsicht aufbauen wolle, war Datenschutz für ihn ein völlig neues Thema. „Ich hatte davor nichts damit zu tun gehabt“, erzählt er. „Ich wusste nicht, wie spannend das ist. Das hat mich mächtig überrascht. Diese Vielfältigkeit: es gibt keinen Lebensbereich, der nicht betroffen ist.“
Kranig war zuvor Verwaltungsrichter in Ansbach gewesen und hatte sich zum Mediator weitergebildet. Er glaubt, dass man wohl deshalb auf ihn aufmerksam wurde. Als ehemaliger Verwaltungsrichter vermisst er, dass im Datenschutzrecht „vieles nicht so rechtsklar und rechtsbestimmt ist, wie ich das früher hatte“. Aber wenn man entscheidende Fälle mitgestalten könne, sei das „auch etwas Schönes“, fügt er hinzu.
Pragmatischer Umgang mit den Unternehmen
Aus seiner früheren Tätigkeit hat er die pragmatische Denkart mitgenommen, entscheiden zu wollen, ob eine Klage Aussicht auf Erfolg hat. Kranig: „Wenn ich mit Unternehmen spreche, überlege ich mir, wie aussichtsreich ein Bescheid von mir sein könnte. Diese Denkart führt dazu, dass wir in manchen Bereichen sehr zurückhaltend sind, weil wir kaum eine Chance sehen.“ Während man im öffentlichen Bereich auch daran appellieren kann, vorbildlich zu handeln, orientiere sich die Wirtschaft am Wettbewerb und an dem, was das Gesetz verlangt. Dass jemand freiwillig mehr mache, komme aber auch vor.
Sein Verhältnis zur prominenten bayerischen Automobilindustrie beschreibt Kranig als „gut“, da man „häufiger im Gespräch“ sei und gefragt werde. Kranig hat den Eindruck, dass sie keinen Widerstand leistet, sondern „dankbar für unsere Einwendungen“ ist. Bei Prüfungen habe er ganz selten einen Datenschutzverstoß feststellen können. Der Datenschutz nehme offenbar in den Unternehmen einen „deutlichen Stellenwert“ ein.
Sein Verhältnis zu Apple und Microsoft beschreibt Kranig als entspannt: „Wenn es hart auf hart geht, sind die irischen Kollegen zuständig“. Das Verhältnis sei aber „angenehm“, weil man miteinander spreche. Gleichwohl müsse er sich immer wieder seine eigenen Rechtsdurchsetzungsmöglichkeiten vor Augen halten: „Wenn ich etwas anordnen würde, käme das nicht durch. Aber man kann einiges im informellen Gespräch erreichen.“
Markenzeichen: Große anlasslose Prüfungen
Schon recht bald nach seinem Amtsantritt ging Kranig dazu über große anlasslose, strategische Kontrollen mit selbst entwickelten Prüftools durchzuführen. Erstmals kam ein solches Tool bei der Google-Analytics-Prüfung 2012 zum Einsatz, die 13.494 Webseiten untersuchte. 2.371 Unternehmen mit Mängeln mussten danach angeschrieben werden. In Folge verwendeten auch andere Landesaufsichtsbehörden das Tool für eigene Prüfungen.
2014 prüfte das Landesamt 2.236 zufällig ausgewählte Mailserver bayerischer Unternehmen dahingehend, ob sie Verschlüsselung einsetzten. 772 erhielten danach Post, weil ihre Mailserver den Anforderungen nicht genügten. Etliche Unternehmen stellten sich zunächst mit der Begründung quer, dass STARTTLS und damit auch Perfect Forward Secrecy über dem derzeitigen „Stand der Technik“ lägen. Die meisten lenkten dann aber doch ein. Bußgelder wurden in der Sache übrigens keine verhängt. Zum einen sieht das Gesetz dies bei IT-Sicherheitsverstößen noch nicht vor, was sich mit der Datenschutzgrundverordnung ändern wird. Zum anderen folgten alle Unternehmen den behördlichen Anordnungen, was die Behörde mit systematischen Nachprüfungen feststellen konnte.
Thomas Kranig kündigte nach dieser erfolgreichen Prüfung an, „weiterhin automatisierte Onlineprüfungen im Bereich der IT-Sicherheit durchzuführen und unsere Prüfmethoden gezielt auszubauen.“ Er stellte die Prüfsoftware allen anderen deutschen Aufsichtsbehörden zur Verfügung. Es ist allerdings nicht bekannt, ob diese seither zum Einsatz kam.
Inzwischen ist schon wieder eine neue Prüfsoftware in der Pipeline: Im Herbst will Kranig eine Webtracking-Untersuchung machen. Das Tool wird derzeit von der Universität Erlangen entwickelt, die an einer solchen Praxiskooperation großes Interesse zeigt.
Neue Risikoabwägungen in den Unternehmen
Anlasslose Prüfungen hält Thomas Kranig für „sehr wichtig“, „weil wir lernen, wie es im Leben aussieht und wir dann besser beraten können“. Von den Datenschutzbeauftragten in den Unternehmen hat er das Feedback bekommen, „dass die Risikoabwägung im Unternehmen seither etwas durcheinandergekommen ist“. Wie die Rückmeldungen auf die Mailserver- und Google-Analytics-Prüfungen gezeigt hätten, werde nun „eher darauf gehört, was ich als Datenschutzbeauftragter gesagt habe“.
Eine Neuerung, die Kranig seit vergangenem Jahr verfolgt, ist die der kooperativen anlasslosen Prüfung. So stellt er regelmäßig geeignete Prüfprojekte den sechzehn anderen Aufsichtsbehörden vor und lädt sie ein, sich ihnen anzuschließen und gemeinsame Prüfkriterien zu entwickeln. Dies führte unter anderem zu einer gemeinsamen Prüfung von Dating-Portalen und Smart-TV-Geräten.
Der Vorteil liegt auf der Hand: Alle profitieren von der in seinem Haus entwickelten Prüfsystematik samt Prüfwerkzeug. Bisher kam die Initiative für kooperative Prüfungen immer von Kranig. Bei den anlasslosen Prüfungen, die er nicht mit anderen Behörden koordiniert, orientiert er sich an der Höhe der Beschwerden oder an der Sensibilität der Daten, wie etwa bei der Prüfung der Arztpraxen. Jedes seiner Referate muss jährlich zwei Prüfaktionen durchführen, wobei die Referatsleiter Vorschläge machen.
Im Februar haben Kranigs Mitarbeiter wieder eine kleine technische Innovation entwickelt, von der viele Behörden profitieren könnten: Ein Ende-zu-Ende verschlüsselndes Meldeformular, wie es die europäische Datenschutz-Grundverordnung ab 2018 verpflichtend vorsieht. Inzwischen gehen über das Formular mehr Beschwerden ein als per E-Mail. Eine Aufsichtsbehörde hat sich bereits bei Kranig gemeldet, um die Lösung zu übernehmen. In Kürze sollen Unternehmen über ein derzeit in der Entwicklung befindliches entsprechendes Formular auch Datenpannen melden können. „Der Graubereich im Bereich der nicht gemeldeten Datenpannen ist enorm hoch, obwohl die Meldung nicht weh tut“, sagt Kranig.
“Tropfen auf dem heißen Stein”
Bei der Frage nach einer „angemessenen Kontrolldichte“ verweist Kranig auf 680.000 datenverarbeitende Stellen in Bayern, die er kontrollieren müsste: „Da dürfte ich gleich meinen Job aufgeben. Das, was richtig wäre, ist momentan nicht zu schaffen.“ Seine Arbeit sieht er daher nur als „Tropfen auf dem heißen Stein“. Seine Strategie ist es, Prüfungen etwas größer zu stricken und die Ergebnisse über die Industrie- und Handelskammern zu kommunizieren. Die Resonanz sei „nicht schlecht“. Außerdem verweist er darauf, dass die Unternehmen als datenverarbeitende Verantwortliche von sich aus Maßnahmen ergreifen müssten und nicht erst auf die Datenschutzaufsicht warten dürften.
Deutlich wird, dass es Kranig nicht darum geht, Bußgelder einzutreiben, sondern die Unternehmen mit anlasslosen Prüfungen für Datenschutzfragen zu sensibilisieren. Der seit Jahren steigende Beratungsaufwand, den die Behörde für Unternehmen betreibt, ist ein Indiz dafür. Kranig: „Da stecken wir enorm viel Kapazität rein.“ Interessant ist, dass im selben Zeitraum die Anzahl der Bürgerberatungen gesunken ist. Er vermutet, dass viele Bürger eine Antwort für ihr Anliegen auf der Website des Landesamts finden. Eine andere Erklärung könnte darin bestehen, dass die strategischen Massenprüfungen vielleicht Wirkung zeigen. Eine Umsteuerung der Bearbeitungsressourcen habe es jedenfalls nicht gegeben. Kranig betont seinen Anspruch, jede Bürgerbeschwerde „in angemessener Zeit inhaltlich gut zu bearbeiten“. Erfahrungsgemäß sei die Hälfte der Beschwerden berechtigt.
An dieser Stelle sollte erwähnt werden, dass die Tätigkeitsberichte des BayLDA Statistiken zum Eingang der Beschwerden, der durchgeführten Beratungen von Bürgern und Unternehmen und Bußgeldbescheide enthalten, die die Entwicklung im Jahresverlauf enthalten. Dies ist vergleichsweise ungewöhnlich. Ein annähernder Vergleich der Aufsichtsbehörden ist derzeit aus vielerlei Gründen unmöglich. So nennt beispielsweise Rheinland-Pfalz die Anzahl der Kontrolltermine, verschweigt aber die Anzahl der Kontrollobjekte. Ein Vergleich mit Bayern wäre damit nicht möglich. Kranig will sich dafür einsetzen, dass die deutschen Aufsichtsbehörden einen vergleichbaren Statistikteil in ihre Tätigkeitsberichte aufnehmen, denn „gewisse Entwicklungen transparent zu machen, ist wichtig“.
Kontrollen
Apropos „gemeinsames Verständnis“: Das gibt es mitunter auch in Sachfragen nicht. Doch die Auseinandersetzungen darüber werden intern geführt. Eine öffentlich eskalierende Situation wie der Streit mit dem ehemaligen schleswig-holsteinischen Landesdatenschützer Thilo Weichert um die Anonymisierung von Rezeptdaten in Apotheker-Rechenzentren hat es in den letzten Jahren nicht mehr gegeben. Gleichwohl wird sich in Zukunft wieder der Druck erhöhen, wenn sich die 18 Datenschutzaufsichtsbehörden in Brüssel einstimmig aufstellen wollen. Da sich die Aufsichtsbehörden untereinander nicht auf eine Vertretung oder ein Bestellungsverfahren einigen konnten, wird der Gesetzgeber nun die Vertretung in Europa und die Zusammenarbeit in Deutschland festlegen müssen.
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.