Hessischer Datenschutzbeauftragter: Datenschutz ist relativ
23.03.2017
[IITR – 23.3.17] Der seit 2003 amtierende hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch gibt sich schroff: Auf die Frage „Was reizt Sie am Thema Datenschutz? Was halten Sie persönlich für zentral wichtig?“ antwortet er kurz und bündig: „Nichts.“ Damit deutet der Verwaltungsrechtler ein ganz eigenes Amtsverständnis an: Er sieht sich ausdrücklich nicht als Verfechter eines bestimmten rechtsstaatlichen Anliegens, sondern als unparteiischer Protagonist des Rechtsstaats.
Ronellenfitsch orientiert sich an den liberalen Heidelberger Professoren und dem Staatsrechtslehrer Richard Thoma: „Klares Bekenntnis zum Rechtsstaat, zu positiven verfassungsrechtlichen Interpretationen und zur Bedeutung des Verwaltungsrechts für die rechtsstaatliche Struktur“. Als persönliche Richtschnur zitiert er Otto Mayer: „Der Rechtsstaat ist der Staat des wohlgeordneten Verwaltungsrechts.“ Nach Mayer wird die Macht des Staates, die durch die Verwaltung ausgeübt wird, in eine Rechtsform gebracht.
Entsprechend präferiert Ronellenfitsch auch eine Kommunikationskultur, die Probleme zunächst entlang der Behördenstruktur bis zur obersten Leitung kommuniziert, mit dem Ziel diese abzustellen. „Zuletzt wird der Landtag informiert“, sagt Ronellenfitsch. Öffentlichkeit ist damit praktisch für ihn das letzte Mittel. Innerhalb seiner Behörde hält er es so, dass seine Sachbearbeiter primär die Sachthemen bearbeiten.
Der Datenschutz ist Teil des Verwaltungsrechts
Wirklich „zum Datenschutz berufen“ fühlte er sich nie. Es war der ehemalige hessische Ministerpräsident Roland Koch (CDU), der ihn 2003 am Telefon fragte, ob er die Leitung der hessischen Datenschutzbehörde „im Nebenamt“ übernehmen wolle. „Ich war damals kein Spezialist im Datenschutzrecht, sondern deckte das ganze Verwaltungsrecht ab“, erzählt Ronellenfitsch. Bis dahin „ging es um die Details des Datenschutzes in verschiedenen Sachbereichen des öffentlichen Bereichs“.
Die Aufsicht über den privaten Bereich oblag bis 2011 dem Regierungspräsidium Darmstadt. Als beide Bereiche zusammengelegt wurden, konnte Ronellenfitsch seinen Lehrstuhl für Öffentliches Recht und Verwaltungsrecht an der Universität Tübingen nicht länger im gewohnten Umfang betreiben: „Ich muss täglich anwesend sein, denn es gab Übergangsschwierigkeiten bei der Durchführung der Zusammenlegung. Ich konnte es nicht verantworten, mich zurückzuziehen.“ Doch ganz trennen konnte er sich von seinem Lehrstuhl nie.
Zunehmend arbeitete er ab 2005 auch sein neues Tätigkeitsfeld systematisch auf. 2007 veröffentlichte er erstmals eine juristische Ausarbeitung zum Datenschutz, nämlich seinen Kommentar zum Hessischen Datenschutzgesetz. Spätere Arbeiten bezogen sich auf den Datenschutz, aber auch wieder auf andere Bereiche des Verwaltungsrechts. Erst als er 2013 in das Ruhestandsalter eintrat, konnte er sich dazu durchringen, seine Stelle in Tübingen nicht mehr zu verlängern: „Da habe ich mich ganz dem Datenschutz gewidmet.“
Notfalls bis vor das Bundesverfassungsgericht
Das wichtigste Thema für den Datenschutzbeauftragten Michael Ronellenfitsch ist im Moment die Umsetzung der Datenschutz-Grundverordnung. Als Hessen 2015 den Vorsitz der Datenschutzkonferenz turnusmäßig übernahm, war es ihm als Sprecher der Länder wichtig zu erreichen, dass die Grundverordnung eine Beteiligung der deutschen Bundesländer im kommenden Europäischen Datenschutzausschuss zulässt. „Der Punkt war die föderalistische Komponente, wonach Deutschland nicht vom Bund allein vertreten wird“, erzählt Ronellenfitsch. Denn „die Kontrolle der Verwaltung ist Landeskontrolle. Die Staatsgewalt muss von Landesdatenschutzbeauftragten kontrolliert werden, weil der Bund fernab vom Vollzug ist.“
„Im wirtschaftlichen Bereich können die Länder auf eine einheitliche Linie gehen, aber die Landesregierung kann und darf nur von Landesorganen kontrolliert werden“, betont der Verwaltungsrechtler. Er ist damit zufrieden, dass die Grundverordnung eine nationale Lösung der Stellvertreterfrage zulässt. Doch wie diese in der Praxis umgesetzt werden soll, müsse noch ausgehandelt werden: „Wenn wir zwei Vertreter schicken können, muss einer der Ländervertreter sein. Es ist nicht von Haus aus so geregelt, dass der Bund automatisch redebefugt ist. Der Bund hat nur in marginalen Bereichen Vollzugskompetenzen, daher müssen Länder Vorrang haben.“
Die Länder haben inzwischen in ihrer Kühlungsborner Erklärung ihre Position klar dargelegt. Ronellenfitsch zeigt sich angesichts der durch den BDSG-Entwurf verhärteten Fronten hart: „Man muss hier eine Kompromisslösung finden. Notfalls muss man es vom Bundesverfassungsgericht klären lassen.“
Mahnungen wirken stärker als Sanktionen
Michael Ronellenfitsch legt seine Arbeitsschwerpunkte flexibel: „Man muss reagieren, man muss eine Struktur in die Verwaltungspraxis bringen.“ Er will kein Themensetting für den Datenschutz betreiben, sieht sich auch entsprechend nicht als Akteur einer bestimmten Datenschutzagenda. „Ich bin davon ausgegangen, dass ich einen Eid auf das Grundgesetz und nicht auf den Datenschutz leiste,“ sagt er etwas sarkastisch. „Die Belange des Datenschutzes müssen mit anderen Belangen abgewogen werden. Ich verabsolutiere ihn nicht.“
„Diese Abwägungsstruktur habe ich immer versucht, in meinen Verhandlungen mit den Ministerien zu vermitteln,“ sagt er. Wenn die Ministerien im Gesetzgebungs- oder Verwaltungsprozess bestimmte Regelungen entwarfen, ging es ihm darum „zu zeigen, was geht und was nicht“ – mit dem Ziel, das Bundesverfassungsgericht erst gar nicht zu beanspruchen. Ronellenfitsch zeigt sich zufrieden: „Das hat in Hessen in den zehn letzten Jahren geklappt. Die Mahnung hat oft stärkere Wirkung als eine Sanktion.“
Als Erfolgsbeispiel führt er nachhaltige Verbesserungen bei den Regeln für das Führen polizeilicher Bodycams an. So dürfe sie keine Sicherheit suggerieren, sondern dürfe nur eingesetzt werden, wenn sie tatsächlich zur Sicherheit der Beamten in unsicheren Orten beitrage. „Ich schaue mir ein Konzept danach an, ob es zielführend ist. Ist eine Maßnahme wirklich erforderlich? Gibt es stärkere Belange, etwa der Betroffenen? Und ich setze auf Evaluierung der getroffenen Maßnahme.“ Ronellenfitsch grenzt sich hier auch deutlich von jedem Aktivismus ab: „Was mir zuwider ist, ist die Lippen zu spitzen, und nicht zu pfeifen. Ich mag keine Placebo-Aktionen, die den Datenschutz groß tönen, aber letztlich nichts bewirken können.“
Präventive Gesprächsrunden
Ronellenfitsch betont, dass er nach der Zusammenlegung des öffentlichen und privaten Bereichs eine „gute Zusammenarbeit mit Unternehmen erreicht“ habe: „Die Großbetriebe haben gemerkt, dass Datenschutz ein Wettbewerbsfaktor ist und -vorteile bringt. Zum Beispiel vernetztes Auto: Wenn man den Datenschutz von vornherein einbezieht und Transparenz schafft, muss man kein ein eigenes Gesetz einführen.“ Am Bankstandort Frankfurt ist Ronellenfitsch unter anderem zuständig für die Bankenauskunftei Schufa: „Wir haben angemessene Kontrollmaßnahmen. Unsere Auskunfteien verwenden keine abstrusen Kriterien wie Vornamen oder Geodaten, sondern konkrete Ansatzpunkte. Das betrachte ich als Errungenschaft, die wir hier durchgesetzt haben.“
In Sachen „Fintech“ sei seine Behörde „im Gang“, sagt Ronellenfitsch und kündigt an: „Wir haben eine rechtlich gute ausgebaute Abteilung und wir werden hier die Kontrollen intensivieren.“ Es gebe bereits Kontaktaufnahmen über Gesprächsrunden und seine Behörde gehe „gezielt“ in die Fintech-Szene hinein: „Mehr im Sinne von Beratung und Adressierung zu Problemen, weniger als eine Reaktion auf Fehlentwicklungen. Dafür ist es noch zu neu.“ Zu forsch will Ronellenfitsch aber auch nicht vorgehen: „Wir müssen sehen, dass wir unser Bankwesen einigermaßen intakt halten. Probleme durch Datenschutz wären das letzte, was wir jetzt im Bankwesen brauchen können.“
Kontrollen mit System
Die Hessische Datenschutzaufsicht zählt in Deutschland mit derzeit 44 Stellen zu den vergleichsweise üppig ausgestatteten Behörden. Dies lässt sich mit ihrer Tradition begründen: 1971 wurde sie als erste Datenschutzaufsicht überhaupt eingerichtet. Ihr früherer Amtsleiter Spiros Simitis sorgte von 1975 bis 1991 für einen kontinuierlichen Aufbau, wobei die Behörde damals als taktangebend galt.
Für das Jahr 2017 erhält sie voraussichtlich vier neue Stellen, im Jahr 2018 fünf. 2017 erhält sie überdies Mittel, um ein eigenes IT-Labor einzurichten: „Wir werden Festplatten vor Ort kontrollieren und vieles mehr“, verspricht Ronellenfitsch. In den nächsten drei Jahren wird die Behörde jeweils den gleichen Beitrag für das Labor erhalten. Ziel sei es, vor Ort technische Kontrollen durchführen zu können sowie neue Entwicklungen im Vorgriff zu analysieren. „Wir wollen nicht von Dritten abhängig sein“, sagt der Verwaltungsjurist. Auch gebe es bereits Kontakte mit der TU Darmstadt und dem Fraunhofer SIT. Dabei geht es um Ausbildungskooperationen: „Die schicken uns Praktikanten und wir schicken Mitarbeiter dorthin.“
Ronellenfitsch führt jedes Jahr mindestens eine größere strategische Kontrolle durch, zuletzt betraf diese die Deutsche Bahn und den Öffentlichen Nachverkehr. Er begrüßt es, dass mit dem Standard-Datenschutzmodell (SDM) nun ein Analysewerkzeug vorliegt für das, was im Gesetz geregelt ist. Aber er sagt auch, dass sich an der Kontrolltiefe zunächst „nichts ändern wird, weil wir nicht das Personal haben“. Als „starkes Signal“ wertet er es, dass seine Behörde 2017 neue Stellen bekommt. Seine Behörde sei inzwischen auch in der Lage, unabhängig Scoring-Algorithmen nach § 28b BDSG zu überprüfen: „Wir haben mit diplomierten Mathematikern und Informatikern eine gut ausgerüstete Infrastruktur“. Ziel sei es aber „vom reaktiven zum präventiven Datenschutz“ zu gelangen. Hierfür sei eine effektive Selbstregulierung der Unternehmen wichtig, die auch mittels des SDM überprüft werden könne.
Aktivitätsprofil dank neuem Aktenplan
2011 führte Ronellenfitsch einen neuen Aktenplan und damit verbunden eine automatisierte Zählung des Eingabe- und Beratungsvolumens ein. Wichtige Vorgänge wurden überdies in das Dokumentenmanagementsystem übernommen. Dabei stellte sich heraus, dass die Schätzung des Eingangs- und Beratungsvolumens 2011 deutlich unter dem 2012 mit Hilfe des neuen Systems erfassten Vorgänge lag. Schätzte Ronellenfitsch in seinem Tätigkeitsbericht 2011 die Zahl der Beratungsanfragen auf 11, waren es 2012 stattliche 279 Anfragen. Vermutete er 2011 die telefonischen Eingaben und Beratungen bei 700, kam das System ein Jahr später auf 4032. Bundesweit einmalig dürfte sein, dass der neue Aktenplan auch die Bürgereingaben nach verschiedenen Prüfbereichen aufschlüsselt, womit nun Trends im Jahresverlauf sichtbar gemacht werden können.
Wie die Eingabenstatistik überdies zeigt, prägen Eingaben zur Videoüberwachung die tägliche Kontrollpraxis. Ronellenfitsch sagt, dass man sich vor Ort die Installationen ansehe: „Meist ist die Anlage so positioniert, dass sie das eigene Gelände betrifft – oder es handelt sich um Attrappen.“ Dabei erhält er im Rahmen der Amtshilfe auch Unterstützung durch die Ordnungsbehörden: „Sonst bräuchte ich 400 Mann. Das ist teilweise schon grotesk.“
Anfragen zu Schufa-Auskünften haben in Hessen Tradition, gingen jedoch um den Faktor 0,7 in den letzten vier Jahren zurück. Laut Ronellenfitsch erweisen sich regelmäßig 98 Prozent der Auskünfte als korrekt. Deutlich zugenommen haben die Beschwerden im Bereich Wohnen und Miete. Dem Verdacht, dass Wohnungsbaugesellschaften schwarze Listen zu Mietern führen, ging übrigens bisher keine Datenschutzaufsicht nach. Eingaben im Gesundheitswesen haben in den letzten vier Jahren um den Faktor 1,6 zugenommen. Sie betreffen beispielsweise die räumliche Organisation von Arztpraxen, da sich viele Bürger in der Rezeption beobachtet fühlen.
2014 wurde ein laufendes Verfahren gegen eine Krankenhausgesellschaft eingeleitet, die viele Kliniken unterhält. „Der Behandlungsdruck ist so groß, dass die Intimsphäre nicht so gewahrt wird.“ Im Gesundheitswesen arbeite man viel mit Bayern und Nordrhein-Westfalen zusammen. Dabei handelt es sich nicht um die erste Zusammenarbeit, da man in einem ersten Verfahren bereits vor rund fünf Jahren wegen einer Überprüfung der damaligen Rundfunkgebühreneinzugszentrale GEZ zusammengearbeitet habe.
In Sachen Safe Harbor sagt Ronellenfitsch: „Da haben die Länder, die am wenigsten betroffen waren, am lautesten geschrien. Wir sind aber als erste tätig geworden: Wir haben der IHK Hessen unsere Position mitgeteilt, die sie dann als mittelbare Position bekannt gemacht hat. Außerdem haben wir konkret die Unterlagen der Firmen geprüft und uns mit US-Behörden in Verbindung gesetzt.“ In den geprüften Fällen gab es keine Anhaltspunkte für Verstöße. Wobei Ronellenfitsch einräumt, dass man den US-Behörden „einen gewissen Vertrauensbonus zugebilligt“ habe. Zur Frage eines „Vertrauensbonus“ im Verhältnis von Aufsichtsbehörden zu Unternehmen, sagt er: „Die meisten Verstöße sind nicht aus böser Absicht entstanden, sondern schlicht aus Dummheit und Nachlässigkeit. Da gibt es auch keinen Vertrauensvorschuss.“
Von Prüfzyklen, wie sie das Bundesverfassungsgericht nun für die Anti-Terror-Datei festgelegt hat, hält Ronellenfitsch wenig: „Sie sind Ausdruck von schlechtem Gewissen, ein Erinnerungsposten, der dazu neigt formalistisch umgangen zu werden und als Routineangelegenheit abgespult werden.“ Die Einführung Prüfzyklen führe nicht zwingend dazu, dass sich die Sachlage ändere.
Es gibt keine unwichtigen Daten
Prioritäten setzt Ronellenfitsch im privaten Bereich: Big Data ist für ihn ein wichtiges Thema. Das Prinzip der Datensparsamkeit gelte im privaten Bereich nicht, Transparenz führe zu Datenüberfluss: „Man kann es nicht in den Griff kriegen“, sagt der Datenschützer. Man müsse aber verhindern, dass die Daten missbraucht werden und gegen den Willen der Betroffenen weiterveräußert werden. Diejenigen, die wachsam sind, müssten eine Chance haben, etwas dagegen zu machen. Entsprechend gehöre es zur Vorsorge klar zu machen, wie wichtig es ist, mit den eigenen Daten sparsam zu sein. „Mehr als erzieherische Maßnahmen zu treffen, geht nicht“, resümiert Ronellenfitsch.
Eine Prüfung von Algorithmen hält er für sinnvoll. Sie könne aber zu einem Datenfanatismus führen bzw. zur Meinung, dass man tatsächlich noch kontrollieren könnte. Das Problem mit Big Data aber sei, dass man Informationsgehalt nicht mehr bewerten könne. Durch Akkumulation könnten zunächst unwichtige Daten in einem anderen Moment zu wichtigen Daten werden: „Insofern gibt es keine unwichtigen Daten.“ Gleichwohl betont Ronellenfitsch, dass er kooperativ mit Unternehmen und Behörden gemeinsam „Datenschutz mit Augenmaß“ betreibe: „Alarmistisch zu agieren erzeugt nur Unruhe und Panik und letztlich falsche Ergebnisse. Angst ist ein schlechter Berater.“
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.