Neuer Bundesdatenschutzbeauftragter: Kelber will sich "die Großen" vorknöpfen

Kann der neue Bundesdatenschutzbeauftragte Ulrich Kelber seinem Amt wieder mehr Gewicht verleihen? Zwar hat seine scheidende Vorgängerin Andrea Voßhoff die Befürchtungen ihrer Kritiker bei Amtsantritt nicht ganz eintreten lassen, doch sie zeichnete sich in ihrer fünfjährigen Amtszeit durch extreme Zurückhaltung in der öffentlichen Datenschutzdebatte aus. Dabei gibt es nicht nur bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) noch viel zu klären und zu erklären. Welche Themen sollte der SPD-Politiker Kelber daher nun anpacken?

Es gibt einiges aufzuklären: So etwa die Durchdringung des Arbeits- und Privatlebens mit Scoring-Mechanismen. Angefangen bei der Kredit- über die Versicherungs- bis hin zur Liebenswürdigkeit: Der Mensch wird mittlerweile in allen möglichen Dimensionen vermessen und mit intransparenten Algorithmen bewertet und manipuliert. Dieses Problem muss nicht nur aus ethischer Perspektive diskutiert, sondern auch gemeinsam von Datenschutz- und Kartellbehörden mit umfassenden Prüfungen angegangen werden. Ulrich Kelber setzte sich bereits als Justiz-Staatssekretär für gesetzliche Nachbesserung beim Kredit-Scoring ein.

Auch die merkwürdige Idee des Dateneigentums, welche die Automobilindustrie vor einigen Jahren in die politische Diskussion eingebracht hat, müsste gründlicher diskutiert werden. Andrea Voßhoff leistete hier bereits wertvolle Vorarbeit: Zum Thema "vernetztes Fahren" brachte sie den Datenschutz bereits in Stellung, indem sie Fahrzeugdaten grundsätzlich als personenbezogen einstufte und diese Position auch auf internationalem Parkett bekräftigte. Kelber kann darauf aufbauen, wenn das Bundesverkehrsministerium mit ersten Formulierungsvorschlägen für ein Dateneigentum kommt, das gravierende Folgen weit über die Mobilitätsbranche hinaus zeigen könnte.

In den Debatten über diese Zukunftsthemen werden wichtige Weichen gestellt. Doch Reden ist nicht alles. Die Bürger dürften nicht mit Kritik und Ankündigungen zufrieden sein, wenn nichts in der Sache passiert. Wenn Behörden wie Unternehmen wie bisher ungestört Daten sammeln und auswerten können und hierfür ihre Zugriffsbefugnisse und -möglichkeiten munter ausbauen, stellt sich die Frage nach der praktischen Durchsetzung der Datenschutzvorgaben.

"Privacy by Design" zum Leben erwecken

Wirklich spannend wird zu sehen sein, ob es dem Informatiker Ulrich Kelber gelingt, die in der DSGVO hinterlegten Prinzipien des "Privacy by Default" und "Privacy by Design" zum Leben zu erwecken. Das wohl beste Beispiel dafür, dass eine zu eng gefasste juristische Betrachtung von behördlichen Zugriffsbefugnissen verheerend sein kann, ist die aktuelle Debatte über die Massenüberwachung von Diesel-Fahrzeugen: Erst Mitte November verabschiedete das Bundeskabinett einen Gesetzesentwurf, der die Erfassung aller Fahrzeuge vor Durchfahrtszonen mit intelligenter Videoüberwachung durchexerzieren will. Was bis heute der Polizei nicht einmal für das Verfolgen von Schwerstverbrechen erlaubt ist, soll künftig zur "fairen und effizienten" Kontrolle von kleinen Verkehrssünden möglich sein.

Die Noch-Bundesdatenschutzbeauftragte war zufrieden, eine kleine Datenschutzklausel in den Entwurf einbauen zu können, die die Speicherung der Daten begrenzt. Voßhoff wirkte jedoch nicht entsprechend der "Privacy by Design"-Vorgabe der Datenschutz-Grundverordnung auf ein weniger invasives Verfahren hin - wie etwa die in den Unionsparteien verfemte "Blaue Plakette".

Ähnlich eng fokussiert zeigt sich die oberste Datenschützerin auch beim aktuellen Projekt "Polizei 2020", mit dem die IT-Infrastruktur der Polizei von Bund und Ländern neu aufgesetzt werden soll: Über einen Datenpool im Bundeskriminalamt sollen alle polizeilichen Landes- und Bundesbeamten jederzeit und überall Zugriff auf die relevanten Informationen verfügen. Aus Datenschutzsicht wesentlich ist die Frage, wer auf was wann zugreifen darf - und wann welche Daten gelöscht werden müssen. Die Einwände von Voßhoff, dass damit die Zweckgebundenheit auf Systemebene abgeschafft sei, wurden aber munter ignoriert.

Voßhoffs Nachfolger Ulrich Kelber und seine Kollegen in den Ländern werden daher sehr genau darauf achten müssen, mit welchen technisch-organisatorischen Maßnahmen die Datenschutzprinzipien umgesetzt werden sollen. Dafür müssen sie bereits vor der Ausschreibung aktiv werden und eine Datenschutz-Folgenabschätzung einfordern. In der Vergangenheit wurden sie jedoch nicht selten vor vollendete Tatsachen gestellt.