Datenschutzbeauftragte Brandenburg: Zäh, aber kompromissbereit
26.07.2017
[IITR – 26.7.17] Die brandenburgische Landesdatenschutzbeauftragte Dagmar Hartge ist Ende Juni zum zweiten Mal wiedergewählt worden und tritt nun ihre dritte Amtsperiode an. Hartge ist es „wichtig, dass wir für die Betroffenen die Rechte besser durchsetzen können.“ Wenn große Unternehmen wie Facebook unverständliche Dinge in Einwilligungen verlangen, die kaum einer lese, müsse es darum gehen, eine faire Unterrichtung zu erreichen. Auch müssten die Nutzer über Wahlmöglichkeiten verfügen. Hartge: „Meine große Hoffnung ist, dass die Unternehmen ein Nein akzeptieren. Diejenigen, die sich gerne bewerben lassen, sind dann wohl auch gute Partner. Aber gegen meinen Willen beworben zu werden, ist nicht gut.“
Zäh in Berlin
Die Juristin Dagmar Hartge ist seit 1994 in Sachen Datenschutz unterwegs. Damals bewarb sie sich auf eine Stellenausschreibung beim Berliner Datenschutzbeauftragten, „weil die Themenauswahl Justiz, Wirtschaft, Verkehr und Finanzen so vielfältig war.“ In Berlin befasste sie sich später auch mit Fragen der Inneren Sicherheit. So prüfte sie beispielsweise 1994 drei Wochen lang die JVA Tegel. Die Mängel waren dermaßen umfangreich und tiefgreifend, dass die Verwaltung erst zehn Jahre später die letzten Kritikpunkte beseitigen konnte. Auch befasste sich Hartge damals schon früh mit Themen wie dem Verbrechensbekämpfungsgesetz oder Vorratsdatenspeicherung, zu denen später Verfassungsbeschwerden eingereicht wurden.
In den 1990er Jahren war die Kommunikation mit der Berliner Polizei alles andere als einfach, wie die damalige Behördenmitarbeiterin Claudia Schmid in einem Beitrag in dem von Helmut Bäumler herausgegebenen Band „Polizei und Datenschutz“ 1999 eindrucksvoll illustrierte. Hartge erzählt: „Wir brauchten gute Arbeitskontakte in den Behörden. Die schriftliche Kommunikation war sehr zäh, aber nach Jahren haben wir auch etwas erreichen können.“ Ihre Strategie: „Man muss dranbleiben, darf nicht aufgeben, auch Kompromisse schließen, um zu einer Zwischenlösung zu kommen.“
„Wir möchten nicht vor dem Bundesverfassungsgericht landen“
Als Hartge 2005 als Nachfolgerin von Alexander Dix nach Brandenburg kam – Dix wechselte zeitgleich nach Berlin – erlebte sie eine ganz andere, leichtgängigere Verwaltung. Denn während sie es in Berlin mit jahrzehntelang eingespielten Ablaufverfahren zu tun hatte, war die Verwaltung in Brandenburg erst in den 1990er Jahren völlig neu aufgesetzt worden.
Hartge: „Ich habe heute ein Gegenüber, das auf Verfassungsgemäßheit bedacht ist. Allen Beteiligten ist klar: Wir möchten nicht vor dem Bundesverfassungsgericht landen. Wie kriegen wir das hin, dass das klappt.“ Als Beispiel dafür zitiert sie die Kennzeichenfahndungsregelung im Polizeigesetz, welche das Bundesverfassungsgericht in seiner Entscheidung vom 11. März 2008 zu den hessischen und schleswig-holsteinischen Vorschriften zur Erfassung von KFZ-Kennzeichen als zulässig zitiert hatte.
„Privacy by Design“
Motivierend findet Hartge die Handlungsmöglichkeiten einer Datenschutzbehörde, im Vorfeld beratend und auch prüfend tätig zu sein. Als Prüfbehörde könne sie zudem vor Ort sein und zum anderen auch noch nachträglich beraten.“ Die geprüften Stellen könnten eine Prüfung somit am Ende durch die sich anschließende Beratung auch als Gewinn wahrnehmen. Gleichwohl legt Hartge Wert darauf, bereits im Vorfeld eines Vorhabens präsent zu sein: „Wenn wir in den einschlägigen Arbeitsgremien der Landesregierung sitzen, sehen wir, was sich entwickelt und können unsere Vorstellungen viel früher einbringen.“ Sie habe „immer wieder erlebt, dass gesagt wurde, wir haben für die Umsetzung kein Geld. Doch man muss begreifen, dass eine Investition am Anfang einfacher und günstiger ist.“
In der brandenburgischen Datenschutzbehörde sollen sich die Mitarbeiter aus dem technischen Bereich künftig verstärkt mit „Privacy by Design and Default“ und den Bereichen Akkreditierung und Zertifizierung befassen. Für Hartge ist klar, dass mit einer qualitativ hochwertigen Zertifizierung diejenigen entlastet werden, die auf eine Auftragsdatenverarbeitung setzen: „Das ist besonders wichtig, da die Auftraggeber heute oft nicht in der Lage sind, den Auftragnehmer ordnungsgemäß zu kontrollieren und die Zertifizierung sie in Zukunft entlasten kann.“
Außerdem war Hartges Behörde im Zertifizierungsprojekt des Bundesministeriums für Wirtschaft und Energie „Trusted Cloud“ dabei. Ihr Mitarbeiter führte dabei zusammen mit einem Co-Prüfer Kontrollprüfungen der Pilotzertifizierungsprüfungen durch. Hartge: „Das ist spannend, weil bei der Trusted-Cloud-Zertifizierung akkreditierte Zertifizierungsstellen Zertifizierungsprodukte datenschutzrechtlich prüfen – es ist ja ein Datenschutzzertifikat – und für mich als Aufsichtsbehörde ist es interessant zu sehen, ob es bei den zu prüfenden Punkten qualitative Unterschiede zu einer Prüfung durch eine Datenschutzaufsichtsbehörde gibt.
In Sachen „Privacy by Design“ beschränkt Hartge ihr Wirken nicht auf Brandenburg: In Hamburg ist sie im Beirat eines Projekts der Universität Eppendorf, das in der Gefäßchirurgie untersucht, welche Behandlungsmethode besser ist: „Bei diesem Projekt spielen Fragen der Anonymisierung und Pseudonymisierung, also auch Fragen von Privacy by Design eine entscheidende Rolle. Ich sehe dabei auch die Chance, dass wir durch die Projektteilnahme auch für unsere Beratungs- und Prüftätigkeit in Brandenburg profitieren können.“
Das SDM nach Europa bringen
Nur einen kleinen Gedankenschritt entfernt ist für Hartge das Handbuch zum Standard-Datenschutz-Modell (SDM), das die Datenschutzbeauftragten von Bund und Ländern seit Herbst als Prüfmethode erproben: „Wenn wir ein gemeinsames Prüfmodell für alle Datenschutzbeauftragten haben, ist das für die datenverarbeitenden Stellen, die wir prüfen, transparent. Wir testen das Standard-Datenschutz-Modell derzeit in der Anwendung, um Probleme, die sich erst in einer praktischen Anwendung zeigen, beheben zu können. Später soll das Standard-Datenschutzmodell den datenverarbeitenden Stellen auch als Modell für die Datenschutz-Folgenabschätzung der Europäischen Datenschutz Grundverordnung dienen.“ Außerdem könne das SDM den expliziten Grundrechtsschutz nach vorne bringen und somit auch helfen, „Privacy by Design“ eventuell besser umzusetzen als heute.
Nach der Erprobungsphase müssten, so betont Hartge, die Datenschutzbeauftragten von Bund und Ländern sich rasch dafür einsetzen, das SDM möglichst europäisch zu etablieren. „Die Franzosen wollen ihren Ansatz nach vorne bringen. Deshalb ist der Nachweis wichtig, dass sich das SDM in der Praxis bewährt hat und besser ist,“ mahnt Hartge und kündigt an: „Wir werden dort nachjustieren, wo dies nötig sein sollte.“ Der Maßnahmenkatalog zum Standard-Datenschutz-Modell müsse noch weiterentwickelt werden.
Derzeit würden den Aufsichtsbehörden viele Fragen zur Umsetzung gestellt, die noch nicht beantwortet werden könnten. Der Europäische Datenschutzausschuss, und jetzt noch die Art. 29 Gruppe, sei das Gremium, das Leitlinien für die Umsetzung der DS-GVO erarbeite und dies gehe nur nach und nach und leider nicht ganz so schnell wie sich das viele wünschen würden.
„Man erwartet von uns Lösungen, die wir aber noch nicht geben können.“ Auf der Arbeitsebene der deutschen Datenschutzbehörden müsse die Zusammenarbeit zwischen deutschen Subgroup-Mitarbeitern in der Artikel-29-Gruppe und den dort nicht aktiven Mitarbeitern in den Behörden noch weiter verbessert werden, um rascher fundierten Feedback und Rückhalt aus den Aufsichtsbehörden geben zu können. „Das ist etwas, was ich in meiner Dienststelle etwas pushen möchte“, verspricht Hartge. Zwar seien alle derzeit damit beschäftigt, die eigene Behörde für die Grundverordnung fit zu machen, „aber es haben ja nicht alle Personal bekommen, deshalb ist dies auch nicht für alle Aufsichtsbehörden so einfach.“
Strukturverbesserungen mit Blick auf die Datenschutz-Grundverordnung
Für 2017 hat die Behörde bereits sechs neue Stellen bekommen, die für die Erfüllung der neuen Aufgaben der Datenschutz Grundverordnung und Strukturverbesserungen eingesetzt werden. Damit folgte der Landtag teilweise den Empfehlungen des Gutachtens von Hans Peter Bull, welches das Präsidium des Landtags in Auftrag gegeben hatte. 2018 sollen zwei weitere Stellen folgen. Insgesamt wird die Behörde dann auf 32 Stellen kommen.
Im bundesweiten Vergleich sieht der Zuwachs der Personalstellen in der Brandenburger Behörde passabel aus: Seit 2008 hat sich die Zahl der Stellen von ursprünglich 18 auf 32 im Jahr 2018 fast verdoppelt. Das gilt aber auch für die Zahl der bearbeiteten Vorgänge: Musste die Behörde vor zehn Jahren noch 685 Vorgänge bearbeiten, sollen es im Jahr 2017 bereits 1237 Vorgänge sein (Hochrechnung der Autorin). Die Aufstockung des Personals in 2017 und 2018 um insgesamt acht Stellen soll die Anforderungen der europäischen Grundverordnung reflektieren, dürfte aber in der Praxis gerade einmal die gestiegene Arbeitslast ohne die Grundverordnung abfangen.
Unter anderem will Hartge mit den neuen Stellen die Zusammenarbeit mit anderen europäischen Datenschutzbehörden intensivieren. In der Vergangenheit habe sie etwa bei den niederländischen Kollegen bemerkt, dass diese „etwas forscher sind, was Prüfungen angeht, und sie eine andere Arbeitsorganisation bei der Fallbearbeitung haben“. Bei den amerikanischen Kollegen von der FTC habe sie hingegen gelernt, dass die Kommunikation erst auf Chefebene erfolgreich war – der erste Kontaktversuch auf Referentenebene war ignoriert worden. Hartge: „Wir haben gelernt, wie wir wahrgenommen werden. Künftig wird es vielleicht leichter auf der unteren Arbeitsebene sein. Aber das muss man erst mal testen.“
Hartge erwartet, dass die Bereitschaft von Behörden und Unternehmen sich in Sachen Datenschutz besser aufzustellen, mit der Umsetzung der Europäischen Datenschutzgrundverordnung im nächsten Jahr wachsen wird. Wesentlich sei, dass der Sanktionskatalog dann größer sei. Und sie kündigt ehrgeizig an: „Wir werden verstärkt prüfen, wir werden verstärkt sanktionieren, wenn dies nötig ist.“
Hartge will künftig öfter die Ergebnisse von Prüfungen nach außen bringen, damit andere davon profitieren können. Die Presseresonanz sei gleichwohl verhalten, da die Journalisten gerne wissen wollen, wo denn beispielsweise ein Hausbesitzer seine Webcams auf das Nachbargrundstück gerichtet hat. Oder welche Kommune ihr Schwimmbad mit 40 Videokameras ausgestattet hatte. „Wir haben vielleicht mit der leiseren Arbeit mehr Erfolg“, meint Hartge: „Wir haben unsere Bußgeldverfahren durchgezogen und die Betroffenen nicht namentlich genannt, weil sie mit uns kooperierten.“
Themenschwerpunkte
Ihre Themenschwerpunkte sieht Hartge zu etwa 20 Prozent im Gesundheitsbereich, zu 20 Prozent in den Kommunen und zu 20 Prozent im Bereich der Personaldatenverarbeitung. Weil Brandenburg eine sich gut entwickelnde Gesundheitswirtschaft hat, will Hartge auf diesen Bereich künftig verstärkt ein Auge werfen: „Telemedizin ist für uns ein großes Thema sowie Krankenkassen/-versicherungen und Unternehmen, die Entwicklungen mit Datenschutz betreiben.“ Ein Mitarbeiter aus dem technischen Bereich soll verstärkt die technische Realisierung eines geplanten Telemedizin-Projekts der AOK Nordost ansehen.
Brandenburg hat bei der kooperativen Wearables-Prüfung mitgemacht, die vom Bayerischen Landesamt für Datenschutzaufsicht konzipiert wurde. Die gemeinsamen Prüfungen hält Hartge für zukunftsträchtig. Doch selbst neue Prüfkonzepte zu entwickeln liegt für sie vorerst in der Ferne: „Wir sind anders als die bayerische Datenschutzaufsicht in die Gesetzgebungsprozesse im öffentlichen Bereich eingebunden. Wegen der Umstellung auf die Datenschutzgrundverordnung sind wir außerdem gerade ganz schön mit uns selbst beschäftigt.“
Nur eingeschränkte Durchgriffskraft sieht Hartge im Bereich der Kommunen, obwohl, wie sie sagt, deren Datenverarbeitung die Bürger in alltäglichen Bereichen betrifft. Sie setzt Schwerpunkte über Projektarbeit: „Mitarbeiter gehen in besonderen Projekte hinein, um sie datenschutzgerecht und für andere übertragbar zu machen.“ Mit dieser Strategie komme man Stück für Stück voran, dennoch könnten nicht alle Bereiche erreicht werden.
Ein weiteres Thema für Hartge ist die Personaldatenverarbeitung in den Verwaltungen und Unternehmen wie eBay, Paypal, Zalando und Amazon. „Mitarbeiterüberwachung ist zusammen mit Videoüberwachung ein Riesenthema“, sagt Hartge. Immer mehr anonyme Hinweise von Mitarbeitern gingen dazu in ihrer Behörde ein. Insbesondere nach Firmenaufkäufen durch Unternehmen aus nicht-europäischen Ländern werde oft Videoüberwachung installiert. Hartge kooperiert mit den Betriebsräten im Vorfeld und sieht sich in einer Art Feuerwehrfunktion: „Wir kommen, wenn die Betriebsräte nicht weiterkommen.“
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.