Ulrich Kelber: Aufsichtsbehörden müssen Auslegung und Anwendung des Datenschutzrechts harmonisieren
18.04.2019
[IITR – 18.4.19] Mit Ulrich Kelber wurde erstmals ein Informatiker zum Bundesdatenschutzbeauftragten gewählt. Der Bonner SPD-Politiker und frühere Staatssekretär im Bundesjustizministerium bringt nicht nur technische, sondern auch politische Expertise in das Amt ein. Für IITR sprach Christiane Schulzki-Haddouti mit ihm, wo er seine künftigen Arbeitsschwerpunkte sieht.
Schulzki-Haddouti: Welche Rolle spielt für Sie der Datenschutz?
Ulrich Kelber: Ich bin fest davon überzeugt, dass die Bedeutung von Datenschutz nicht nur gegenüber dem Staat ein absoluter Schwerpunkt bleibt, sondern im Zuge der Digitalisierung vor allem in der Privatwirtschaft wichtig ist, um Grundrechte zu schützen.
Wo waren bisher Ihre Berührungspunkte mit Datenschutz?
Ich war unter anderem als Parlamentarischer Staatssekretär im Bundesjustizministerium für den Bereich Verbraucherschutz, Digitalisierung und Recht zuständig. Da hatte ich bei vielen Themen natürlich auch mit dem Datenschutz zu tun. So habe ich beispielsweise darauf hingewirkt, dass Deutschlandbei den Verhandlungen zur Datenschutz-Grundverordnung im europäischen Ministerrat seine bis dahin eher bremsende Position aufgegeben hat.
Davon war in der Öffentlichkeit nicht so viel mitzubekommen…
Es gab damals ja auch keine öffentliche Schlacht von Pressemitteilungen oder O-Tönen. Mir ging es aber darum, über die interne Kommunikation zwischen den beteiligten Ministerien zu erreichen, dass Deutschland nicht einfach mit „Nein“ oder mit Prüfvorbehalten in den europäischen Ministerrat geht. Ab 2014 wurde dann auch in vielen einzelnen Punkten mehr Tempo gemacht. Diese Kursänderung wurde in der Datenschutz-Community durchaus wahrgenommen.
Können Sie kurz erzählen, warum vor allen das Innenministerium seinen Kurs dann doch geändert hat?
Da müssten Sie die damals dort Verantwortlichen fragen. Ich denke, dass man einfach erkannt hat, welche einmalige Chance ein europaweit einheitliches Datenschutzrecht tatsächlich für alle bietet. Ich hätte mir allerdings gewünscht, dass wir die Öffnungsklauseln in der DSGVO in Deutschland noch konsequenter zu Gunsten von mehr und nicht weniger Datenschutz genutzt hätten, beispielsweise beim Beschäftigtendatenschutz. Zudem bestätigt sich mittlerweile auch in der Praxis, dass die Bereiche Profilbildung und Scoring nicht ausreichend geregelt sind.
Sollte da noch etwas nachgeregelt werden?
Wir gehen ja in die Evaluierung bis Mai 2020. Ich finde, in diesen beiden Bereichen muss auf jeden Fall etwas passieren.
Ihre Behörde hat ein vielfältiges Aufgabenspektrum. Welche Themen wollen Sie verstärkt angehen?
Wir haben insgesamt das große Thema ‚Durchsetzung der DSGVO in der Praxis‘. Der Lackmustest wird dabei sein, wie uns das bei den großen Internetkonzernen gelingt. In diesem Zusammenhang ist zudem die einheitliche Zusammenarbeit der Aufsichtsbehörden auf nationaler und europäischer Ebene essentiell. Hier müssen die neuen Strukturen und Möglichkeiten, die die DSGVO hier bietet, noch besser genutzt werden.
Warum ist Harmonisierung so wichtig?
Das zu Grunde liegende Recht ist ja bereits harmonisiert, allerdings ist es auch entscheidend, dass wir unser Verständnis, die Auslegung und die Anwendung des Rechts harmonisieren. Für die Unternehmen ist es andernfalls schwierig sich zu orientieren und auch Bürgerinnen und Bürger können ihre Rechte nur effektiv wahrnehmen, wenn sie überall gleich durchgesetzt werden – unabhängig davon, wo sie wohnen.
Wo würden Sie harmonisieren?
Nehmen wir die White- oder Blacklists für Datenschutz-Folgenabschätzungen. Hier gibt es die Vorgabe, entsprechende Listen im Kohärenzverfahren abzugleichen, wenn die betroffenen Datenverarbeitungen mitgliedstaatübergreifende Relevanz haben. Aber auch wenn letzteres nicht der Fall ist, sollten die Vorgaben der Aufsichtsbehörden für gleichartige Datenverarbeitungsprozesse möglichst europaweit einheitlich sein. Gleiches gilt auch bei der Verhängung von Geldbußen. Wir benötigen insgesamt einen engen Austausch, um voneinander zu lernen und von den Erfahrungen unserer Kolleginnen und Kollegen zu profitieren.
Wie stehen Sie zu den Plänen der Union, dass der Bund den nicht-öffentlichen Bereich von den Ländern übernimmt?
So lange die Länder kein Interesse an einer Änderung haben, mache ich mir dazu keine Gedanken. Die Debatte hat es in den letzten Jahren immer wieder gegeben. Ich weiß, dass Teile der Wirtschaft das wünschen, weil sie sich davon eine einheitlichere Behandlung versprechen. Die beste Reaktion der unabhängigen Datenschutzbehörden darauf ist es, die Harmonisierung untereinander voranzutreiben und trotzdem über eigenständige Landesbehörden nah vor Ort zu sein.
Werden Sie sich beim Bußgeldrahmen erstmal auf nationaler, dann auf europäischer Ebene verständigen?
Es gibt einen europäischen Prozess und die deutsche Stellungnahme wird unter den Landesdatenschutzbeauftragten mit dem Bundesdatenschutzbeauftragten abgestimmt. Es gibt da sehr unterschiedliche Rechtstraditionen in Europa. Es wird kein Bußgeldkatalog wie in der Straßenverkehrsordnung werden. Im Datenschutz muss durchaus auch die Größe des Unternehmens eine Rolle spielen, die Kooperationsbereitschaft, die Zahl der Betroffenen und der Schweregrad der Betroffenheit.
Wann ist damit ungefähr zu rechnen?
Wir hoffen, noch in diesem Jahr zu einem Ergebnis zu kommen.
Wie sähe eine angemessene Kontrolldichte seitens des Bundesdatenschutzbeauftragen aus?
Die Bandbreite ist hier enorm. Bei den Nachrichtendiensten haben wir beispielsweise konkrete gesetzliche Vorgaben, nach denen wir regelmäßige Pflichtkontrollen durchführen müssen. In anderen Bereichen müssten wir faktisch ein unglaublich hohes Kontrollpensum erfüllen, um einen einigermaßen guten Überblick über die Datenverarbeitungsvorgänge zu erhalten. Nehmen Sie zum Beispiel den Telekommunikationssektor mit seinen mehreren tausend TK-Anbietern, oder etwa die 60.000 nichtlizenzierten Postdienstleister, die uns vor einiger Zeit neu zugeordnet wurden. Für diese haben wir bis zum heutigen Zeitpunkt keine neuen Stellen erhalten. Da werden wir mit der Politik darüber sprechen müssen, welche Kontrolldichte denn erwünscht ist.
Würden Sie zu den Kontrollen auch mal mitgehen?
Unbedingt. Schon alleine um einen Eindruck zu bekommen, in welcher Atmosphäre sie ablaufen.
Würden Sie dann als Überraschungsgast mitkommen?
Nein, unsere Kontrollen sind in der Regel angemeldet. Wenn ich dann einmal mitkomme, würden wir das grundsätzlich auch zumindest kurz vorher mitteilen. Es geht ja nicht darum zu provozieren, sondern einen Eindruck von der Prüfpraxis zu erhalten. Es ist ja so, dass Kontrollen aufgrund der technischen Entwicklung komplexer werden: Wenn Sie früher eine Datei hatten, in der Datensätze sequenziell abgespeichert waren, dann haben Sie kontrolliert, was da drin ist. Sie konnten sich auch irgendwelche Suchabfragen ansehen. Jetzt haben wir relationale Datenbanken mit Verknüpfungen und viel schnelleren Änderungen der Datensätze, die wiederum von der Kombination abhängen, wie andere darauf zugreifen. Gleichzeitig ist die Menge der Daten enorm gestiegen, also nicht nur die Menge der Datensätze, sondern auch die Menge der Datenfelder in den einzelnen Datensätzen.
Die Prüfstrategie würde damit sicherlich mehr Kooperation als bisher verlangen, aber sicherlich auch mehr Technik. Verfügen Sie inzwischen über ein IT-Labor?
Wir haben noch kein eigenes Labor, aber wir möchten noch 2020 ein Labor in einer ersten Ausbauphase einrichten, in dem wir bestimmte IT-Umgebungen von öffentlichen Stellen oder etwa auch gesetzlichen Krankenkassen simulieren und ansehen können. Wir werden da demnächst dem Bundesfinanzministerium unsere Pläne vorstellen. Die Frage ist auch, wie groß das Labor werden soll und welche Werkzeuge und Aufgaben wir mit anderen teilen.
Denken Sie da an eine stärkere Zusammenarbeit mit den 17 Datenschutzaufsichtsbehörden der Länder?
Das wird sich zeigen. Gegebenenfalls kann man auch mit Nicht-Regierungsorganisationen zusammenarbeiten. Wir werden auch prüfen, wie man in bestimmten Fragen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammenarbeiten und deren Möglichkeiten nutzen kann. Das ist allerdings eine etwas schwierigere Frage, da das BSI als Teil der Regierung selbst unserer Aufsicht und Kontrolle unterfällt.
Auf welches Ziel sollte sich eine solche Kooperation in Sachen Prüfkapazitäten konzentrieren?
Etwa im Bereich von KI-Systemen oder Embedded Systems brauchen wir Spezialisten, die sich nicht in jeder Behörde finden lassen. Das Problem haben wir aber nicht allein, sondern vermutlich auch andere Behörden wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), das Bundeskartellamt, die Bundesnetzagentur, das BSI oder das Kraftfahrzeugbundesamt. Die Frage ist, ob man hier nicht etwas Gemeinsames entwickeln kann, auf das jeder zugreifen kann. Man kann ja nicht erwarten, dass jede Behörde auf dem knappen Markt vier oder fünf Spezialisten bekommen könnte. Der Koalitionsvertrag sieht deshalb ja den Aufbau gemeinsamer Ressourcen vor.
Wie könnte die Zusammenarbeit mit den einzelnen IT-Labors der Landes-Datenschutzaufsichtsbehörden etwa in Baden-Württemberg, Bayern oder Hamburg verbessert werden?
Da gibt es bereits Gespräche. Da wird man sich anschauen, wer was mit welchem Aufwand bereits umgesetzt hat. Deren Testlabore sind bis jetzt allerdings eher auf die private Wirtschaft konzentriert während unser Tätigkeitsschwerpunkt eher bei den öffentlichen Stellen liegt. Eventuell könnte man aber häufiger sogenannte Sweeps durchführen, also gemeinsame Prüfungen zu einem bestimmten Zeitpunkt und zu einem bestimmten Thema. Unabhängig von den Prüflaboren unterhalten wir uns auch gerade darüber, wie Prüfungen von polizeilichen Informationssystemen auf Bundes- und Landesebene zeitlich so nah aneinander stattfinden können, dass man gemeinsam bessere Erkenntnisse gewinnen kann.
Der Bund hat bislang ja auch die deutschen Datenschutz-Aufsichtsbehörden auf internationaler Ebene vertreten. Wo sehen Sie hier Aufgaben für den BfDI?
Die Aufgabe der „Außenvertretung“ Deutschlands nehmen wir sehr ernst. Wir sind in allen Arbeitsgruppen des Europäischen Datenschutzausschusses vertreten. Wenn es darum geht, Berichterstatterrollen in internationalen Organisationen zu übernehmen, würde ich in Zukunft gerne noch häufiger ‚Ja‘ sagen können. Nicht nur weil es gut für uns als Behörde wäre, sondern weil es für Deutschland ökonomisch sinnvoller wäre, wenn sich mehr von unseren Vorstellungen und Standards international durchsetzen würden. Die Bundesregierung finanziert beispielsweise das Regierungsprojekt „Law made in Germany“ aus dem Grunde, weil es von uns wirtschaftlich vorteilhaft ist, wenn wir auf Volkswirtschaften mit ähnlichen Rechtskonstruktionen stoßen. Ich glaube, dieser Gedanke gilt genauso auch für Datenschutz- und Datensicherheitsfragen.
Wenn Sie über internationale Gremien sprechen, welche sind das?
Natürlich ist das zunächst mal der Europäische Datenschutzausschuss. Ich war vor kurzem auf dem internationalen Treffen der Informationsfreiheitsbeauftragten. Wir haben eine internationale Datenschutzkonferenz, wir sind auch Beobachter in Gremien der OECD und des Europarats. Es gibt internationale Arbeitsgruppen im Bereich der Telekommunikation. Es gibt also viele Bereiche in denen man sich international einbringen kann. Allerdings braucht man dafür auch die nötigen Personalressourcen. Das kann man nicht mit ein, zwei Referenten in einer Arbeitsgruppe machen.
Wie sieht es aus mit Standardisierungsgremien wie ETSI und ISO?
Wir verfolgen die Arbeit dieser Gremien im Rahmen unserer Möglichkeiten und versuchen, uns perspektivisch noch aktiver einzubringen. Konkret überlegen wir derzeit, wie wir die Artikel 25 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und 32 (Sicherheit der Verarbeitung) der DSGVO mit Leben füllen können: Wo reicht es, wenn wir als Datenschutzbeauftragte unseren Standpunkt definieren und wo müssten Vorgaben in Gesetzgebung und Standardisierung einfließen?
Wie könnte das konkret aussehen?
Man könnte beispielsweise als Datenschutzaufsicht in einer Auslegung festlegen, dass wir es als datenschutzrechtswidrig betrachten würden, wenn Passwörter bei Internetdiensten nicht verschlüsselt übertragen und abgelegt werden. Auch für andere, komplexere Fragen könnte man international anerkannte Standards entwickeln oder spezialgesetzliche Regelungen finden.
Die Frage ist also, wie die Anforderung des „Stands der Technik“ mit Leben gefüllt werden könnte?
Ja, genau. Nehmen Sie das Beispiel elektronische Gesundheitsakte: Wie will ich definieren, was der Sicherungsstandard für den mobilen Zugriff auf diese Daten ist? Wir haben gesagt, dass wir uns den höchsten Standard wünschen. Eine Untersuchung des Bundesgesundheitsministeriums kommt zum Ergebnis, dass hierunter Komfort und Usability kaum leiden. Trotzdem wollen einige Marktteilnehmer einen geringeren Standard. Der elektronische Zugriff auf die Karte erfolgt dann beispielsweise lediglich über eine passwortgesicherte App. Unsere Forderung ist hingegen, dass zusätzlich zu dieser Sicherung das mobile Gerät zur Authentifizierung mit einer heute fast standardmäßig vorhandenen NFC-Schnittstelle zusätzlich noch auf die physische Gesundheitskarte zugreifen muss. Nur wenn dann die Informationen in der App zu der vom Gerät erkannten Karte passen, wird der Zugriff gestattet.
Wie bewerten Sie das Standarddatenschutzmodell als Ansatz, um Prüfmethoden zu vereinheitlichen?
Es ist gut, wenn es Methoden gibt, an denen man seine Arbeit orientieren kann. Weil es keine Möglichkeit auf eine verpflichtende Nutzung gibt, wird es sich in der Praxis gegen andere Modelle durchsetzen müssen. Dazu wäre es notwendig, es auch in entsprechende Standardisierungskomitees einzubringen.
Eine ähnliche Fragestellung haben wir bei der Datenschutz-Folgenabschätzung – nach welchem Modell sollte sie vorgenommen worden? Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) sieht da drei Möglichkeiten. Wie sehen Sie das?
Wir wollen keine Vorgaben machen. Wir haben keinen Goldstandard und den sehe ich auch nicht so schnell kommen. Wenn es Standards gibt, an denen sich Unternehmen orientieren können, ist das ein eindeutiger Gewinn. Aber zum jetzigen Zeitpunkt gibt es keine Vorgabe der Aufsichtsbehörden.
Herr Kelber, vielen Dank für das Gespräch.
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.