Original-URL des Artikels: https://www.golem.de/news/neuer-bundesdatenschutzbeauftragter-kelber-will-sich-die-grossen-vorknoepfen-1812-138213.html    Veröffentlicht: 13.12.2018 13:30    Kurz-URL: https://glm.io/138213

Neuer Bundesdatenschutzbeauftragter

Kelber will sich "die Großen" vorknöpfen

Viele erwarten, dass der Diskurs um Datenschutz durch den neuen Bundesbeauftragten Ulrich Kelber wiederbelebt wird. Die schwierigere Herausforderung für den Informatiker besteht jedoch darin, Datenschutz gegenüber großen IT-Firmen wie Microsoft und Facebook sowie Polizei und Verfassungsschutz durchzusetzen.

Kann der neue Bundesdatenschutzbeauftragte Ulrich Kelber seinem Amt wieder mehr Gewicht verleihen? Zwar hat seine scheidende Vorgängerin Andrea Voßhoff die Befürchtungen ihrer Kritiker bei Amtsantritt nicht ganz eintreten lassen, doch sie zeichnete sich in ihrer fünfjährigen Amtszeit durch extreme Zurückhaltung in der öffentlichen Datenschutzdebatte aus. Dabei gibt es nicht nur bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) noch viel zu klären und zu erklären. Welche Themen sollte der SPD-Politiker Kelber daher nun anpacken?

Es gibt einiges aufzuklären: So etwa die Durchdringung des Arbeits- und Privatlebens mit Scoring-Mechanismen. Angefangen bei der Kredit- über die Versicherungs- bis hin zur Liebenswürdigkeit: Der Mensch wird mittlerweile in allen möglichen Dimensionen vermessen und mit intransparenten Algorithmen bewertet und manipuliert. Dieses Problem muss nicht nur aus ethischer Perspektive diskutiert, sondern auch gemeinsam von Datenschutz- und Kartellbehörden mit umfassenden Prüfungen angegangen werden. Ulrich Kelber setzte sich bereits als Justiz-Staatssekretär für gesetzliche Nachbesserung beim Kredit-Scoring ein.

Auch die merkwürdige Idee des Dateneigentums, welche die Automobilindustrie vor einigen Jahren in die politische Diskussion eingebracht hat, müsste gründlicher diskutiert werden. Andrea Voßhoff leistete hier bereits wertvolle Vorarbeit: Zum Thema "vernetztes Fahren" brachte sie den Datenschutz bereits in Stellung, indem sie Fahrzeugdaten grundsätzlich als personenbezogen einstufte und diese Position auch auf internationalem Parkett bekräftigte. Kelber kann darauf aufbauen, wenn das Bundesverkehrsministerium mit ersten Formulierungsvorschlägen für ein Dateneigentum kommt, das gravierende Folgen weit über die Mobilitätsbranche hinaus zeigen könnte.

In den Debatten über diese Zukunftsthemen werden wichtige Weichen gestellt. Doch Reden ist nicht alles. Die Bürger dürften nicht mit Kritik und Ankündigungen zufrieden sein, wenn nichts in der Sache passiert. Wenn Behörden wie Unternehmen wie bisher ungestört Daten sammeln und auswerten können und hierfür ihre Zugriffsbefugnisse und -möglichkeiten munter ausbauen, stellt sich die Frage nach der praktischen Durchsetzung der Datenschutzvorgaben.

"Privacy by Design" zum Leben erwecken

Wirklich spannend wird zu sehen sein, ob es dem Informatiker Ulrich Kelber gelingt, die in der DSGVO hinterlegten Prinzipien des "Privacy by Default" und "Privacy by Design" zum Leben zu erwecken. Das wohl beste Beispiel dafür, dass eine zu eng gefasste juristische Betrachtung von behördlichen Zugriffsbefugnissen verheerend sein kann, ist die aktuelle Debatte über die Massenüberwachung von Diesel-Fahrzeugen: Erst Mitte November verabschiedete das Bundeskabinett einen Gesetzesentwurf, der die Erfassung aller Fahrzeuge vor Durchfahrtszonen mit intelligenter Videoüberwachung durchexerzieren will. Was bis heute der Polizei nicht einmal für das Verfolgen von Schwerstverbrechen erlaubt ist, soll künftig zur "fairen und effizienten" Kontrolle von kleinen Verkehrssünden möglich sein.

Die Noch-Bundesdatenschutzbeauftragte war zufrieden, eine kleine Datenschutzklausel in den Entwurf einbauen zu können, die die Speicherung der Daten begrenzt. Voßhoff wirkte jedoch nicht entsprechend der "Privacy by Design"-Vorgabe der Datenschutz-Grundverordnung auf ein weniger invasives Verfahren hin - wie etwa die in den Unionsparteien verfemte "Blaue Plakette".

Ähnlich eng fokussiert zeigt sich die oberste Datenschützerin auch beim aktuellen Projekt "Polizei 2020", mit dem die IT-Infrastruktur der Polizei von Bund und Ländern neu aufgesetzt werden soll: Über einen Datenpool im Bundeskriminalamt sollen alle polizeilichen Landes- und Bundesbeamten jederzeit und überall Zugriff auf die relevanten Informationen verfügen. Aus Datenschutzsicht wesentlich ist die Frage, wer auf was wann zugreifen darf - und wann welche Daten gelöscht werden müssen. Die Einwände von Voßhoff, dass damit die Zweckgebundenheit auf Systemebene abgeschafft sei, wurden aber munter ignoriert.

Voßhoffs Nachfolger Ulrich Kelber und seine Kollegen in den Ländern werden daher sehr genau darauf achten müssen, mit welchen technisch-organisatorischen Maßnahmen die Datenschutzprinzipien umgesetzt werden sollen. Dafür müssen sie bereits vor der Ausschreibung aktiv werden und eine Datenschutz-Folgenabschätzung einfordern. In der Vergangenheit wurden sie jedoch nicht selten vor vollendete Tatsachen gestellt.



Prüfen und geprüft werden

Solche und andere Projekte müssen die Datenschutzaufsichtsbehörden prüfen und kontrollieren. Spannend wird sein, ob sie nur einzelne Aspekte prüfen oder das Standard-Datenschutzmodell (SDM) verwenden, mit dem Schutzziele konsequent durchgeprüft werden können. Es nützt nämlich nichts, nur das Schutzziel Transparenz zu kontrollieren, wenn der eigentliche Fehler in der mangelhaften Umsetzung des Schutzziels Nicht-Verkettbarkeit liegt.

Konkret: Es kann nicht genügen, wenn eine Online-Plattform den Nutzer darüber informiert, welche Daten sie über ihn erhebt und speichert, wenn diese Daten dann gleich von verschiedenen Diensten für verschiedene Zwecke verwendet werden können. Oder wenn ein Fahrzeugkennzeichen für das Durchsetzen von Fahrverboten wiederholt für das Ordnungsamt erfasst wird, die Daten aber der Kriminalpolizei Wochen später dazu dienen, die zurückgelegte Strecke zu rekonstruieren.

Microsoft als Präzendenzfall

Für die Aufsichtsbehörden des Datenschutzes bedeutet das SDM, dass sie umfassend prüfen müssen - und dass auch sie selbst in ihrer Tätigkeit überprüfbar werden. Bislang wird diese Methode zur Datenschutz-Beratung noch getestet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt sie aber bereits im Grundschutz-Handbuch. Aktuell wird das SDM nur von einer Handvoll von Mitarbeitern in den Datenschutz-Aufsichtsbehörden weiterentwickelt. Hier könnte Ulrich Kelber ein Zeichen setzen, in dem er mehr Mitarbeiter für die SDM-Entwicklung einsetzt. Genügend Personal hätte er ja. Andrea Voßhoff schaffte es nämlich, den Personalstamm in ihrer Zeit nahezu zu verdoppeln, was bisher keinem Amtsinhaber in Bund und Ländern gelang.

Einen prominenten Anwendungsfall für eine SDM-Prüfung gibt es bereits: Windows 10 von Microsoft, dessen Telemetriedaten-Abflüsse nicht so einfach unterbunden werden können. Im Moment sieht es danach aus, dass das Bundesinnenministerium darauf vertraut, dass das BSI Handreichungen erarbeitet, mit denen das System für den Einsatz in Bundesbehörden doch noch in den Griff zu bekommen ist. So lange will auch Andrea Voßhoff warten.

Die Frage ist, ob auch Ulrich Kelber sich den Wünschen des Innenministeriums beugen will. Als unabhängige Bundesbehörde darf der Bundesdatenschutzbeauftragte jederzeit selbst den Zeitpunkt seiner Prüfungen festlegen. Andere EU-Staaten gehen in der Sache Windows 10 oder Office längst offensiver und koordinierter vor: So verhandelt das niederländische Justizministerium mit Microsoft derzeit über entsprechende Nachbesserungen - und droht damit die Datenschutzaufsicht in Stellung zu bringen.

Bürgerrechte international durchsetzen

Mit der Datenschutz-Grundverordnung stehen den Aufsichtsbehörden wesentlich härtere Sanktionsmittel zur Verfügung - und die Bürger erwarten, dass sie jetzt das große Versprechen der DSGVO auch einlösen: Dabei geht es nicht um Klingelschilder und weihnachtliche Wunschzettel, sondern um die großen internationalen IT-Konzerne wie Microsoft, Google, Facebook und Amazon. Dass Ulrich Kelber in diese Richtung gehen will, lässt er keinen Zweifel: "Die Großen sind jetzt das Thema", sagte er Golem.de.

An dieser Stelle kommt ihm als neuen Bundesdatenschutzbeauftragten eine entscheidende Rolle zu: Er vertritt Deutschland im Europäischen Datenschutzausschuss, in dem alle europäischen Aufsichtsbehörden organisiert sind. Die Länderbehörden haben hier nur eine Stimme in stellvertretender Position. Aktuell gibt es unter den europäischen Aufsichtsbehörden keine Einigung, wie die Verfahren, die Facebook und Google betreffen, im Ausschuss behandelt werden sollen. Beispielsweise ist Irland im Fall der Whatsapp-Nutzerdaten, die an Facebook weitergeleitet werden, der Auffassung ist, dass alles legal ist, bestreitet das der Hamburgische Datenschutzbeauftragte, der bislang für Facebook zuständig war.



Datenschutz vs. steuerrechtliche Vorteile

Auch in anderen Bereichen ist im Ausschuss die Tendenz zu erkennen, dass kleine Länder wie Luxemburg oder Malta steuerrechtliche Standortvorteile nicht durch eine zu strenge Datenschutzkontrolle zunichtemachen wollen. Da sie im Ausschuss gleich größerer Länder wie Frankreich und Deutschland über eine Stimme verfügen, können sie durchaus Entscheidungen für sich beeinflussen. Diese Situation im Sinne eines besseren Datenschutzes zu klären, bedarf viel Fingerspitzengefühl und Überzeugungskraft - zumal die österreichische Ausschussvorsitzende Andrea Jelinek kein Problem erkennen will. Hier wird Ulrich Kelber sein politisches Talent zur Geltung bringen können.

An den Bund-Länder-Zuständigkeiten der Aufsichtsbehörden darf das nicht scheitern. So ist zwar Hamburg für Facebook, Bayern für Microsoft und der Bund für den Telekommunikationsdienst Whatsapp zuständig. Doch am Ende müssen alle mit einer Stimme im Europäischen Datenschutzausschuss sprechen. Dort hat der Bund die Stimme, die Länder vertreten ihn in Absprache. Interessanterweise haben es die Bundesländer bisher nicht geschafft, den Ländervertreter überhaupt zu benennen.

Das Desinteresse, möglicherweise auch Unvermögen der Bundesländer, sich möglichst schnell auf einen Ländervertreter zu verständigen, weist auf ein größeres Thema hin: Die Unionsparteien von CDU/CSU arbeiten bereits seit ein paar Jahren daran, das Machtgefüge zwischen Bund und Länder zu verschieben: Geht es nach ihnen, sollte der Bundesdatenschutzbeauftragte die Zuständigkeit über die Unternehmen von den Ländern erhalten. In diesem Licht sind auch die massiven Stellenaufstockungen zu sehen, die Andrea Voßhoff erreicht hat - und die chronische Unterbesetzung der meisten Landesbehörden, die damit ein Vertragsverletzungsverfahren seitens der EU-Kommission riskieren.

Welchen politischen Einfluss wird Ulrich Kelber haben?

Je unfähiger sich die Länder bei der Bewältigung ihrer Aufgaben zeigen, desto überzeugender wirken die Argumente für ihre Entmachtung. Dabei kamen in der Vergangenheit viele wichtige Entwicklungsimpulse wie "Privacy by Design" oder das Datenschutzaudit aus den Ländern. Auch die Entwicklung des SDM wird derzeit vor allem von den Ländern getragen. Wie sich Ulrich Kelber hier positionieren wird, ist unklar.

Unklar ist auch, ob er Einfluss auf das Auswahlverfahren für seinen Nachfolger nehmen wird. Er wurde von den Sozialdemokraten als Kandidat benannt und machte anschließend eine Runde in den Bundestagsfraktionen, um sich vorzustellen. Alternative Kandidaten gab es nicht. Datenschutzexperte Malte Engeler wies in einem Fachbeitrag darauf hin, dass nach Artikel 53 DSGVO die Wahl in einem "transparenten Verfahren" erfolgen müsse. Dass sei jedoch nicht der Fall, wenn keine öffentliche Stellenausschreibung mit Auswahl- und Ernennungsvorgaben stattfinde.

Da liegt die Annahme nahe, dass der Kandidat sich später möglicherweise an parteipolitische Vorgaben gebunden fühlt. Andere DSGVO-Kommentatoren hingegen sehen die Legitimation durch die Wahl in der öffentlichen Sitzung im Bundestag gegeben. Mit Blick auf den Europäischen Datenschutzausschuss würde jedoch ein transparentes Auswahlverfahren auch die Unabhängigkeit des Behördenleiters von der Politik stärken und dort eine fachlich orientierte Einigung erleichtern.  (csh)


© 1997–2020 Golem.de, https://www.golem.de/