Herr Kelber, vor einem Jahr wurde die europäische Datenschutzgrundverordnung – kurz und verbreiteter DSGVO – wirksam. Für viele Unternehmen bedeutete das viel Aufwand und Bürokratie. Für Ihre Behörde eigentlich auch?
Natürlich war das auch für uns eine große Umstellung. Wir mussten alle Prozesse an die Datenschutzgrundverordnung anpassen und vor allem den Umgang mit den von uns beaufsichtigten Unternehmen und Behörden anpassen.
Sie kontrollieren sämtliche Bundesbehörden, Finanz- und Steuerbehörden, Jobcenter und Unternehmen aus der Telekomunikations- und Postdienstleistung. Doch wer kontrolliert, ob nicht Ihre Behörde Datenschutzverstöße begeht?
Niemand. Tatsächlich kontrollieren wir uns selbst.
Und das ist kein Problem?
Nein, das ist genau ja die Idee der DSGVO: Als vollständig unabhängige Behörde, die selbst über Umwege politisch nicht gefügig gemacht werden kann, beaufsichtigen wir öffentliche Stellen und Unternehmen im Sinne der Bürgerinnen und Bürger. Trotzdem gilt bei uns natürlich dasselbe Recht wie in jeder anderen Behörde: Daher haben auch wir einen behördlichen Datenschutzbeauftragten, der unsere Prozesse überwacht.
Nun sind Sie erst seit Anfang Januar der Bundesdatenschutzbeauftragte. Können Sie da überhaupt schon ein Fazit zur DSGVO ziehen?
Ich ziehe ja nicht nur ein persönliches Fazit in der bisherigen Amtszeit, sondern berufe mich auch auf Erfahrungen, die meine Mitarbeiterinnen und Mitarbeiter an mich berichten.
Dann lassen Sie es uns versuchen: Was können wir nach einem Jahr DSGVO festhalten?
Man kann sicher sagen, dass die Aufmerksamkeit für das Thema Datenschutz dank der DSGVO seit Mai 2018 gestiegen ist, gerade wenn es um die Anpassung von Prozessen in Unternehmen geht. Auch wenn bei weitem noch nicht alles erledigt ist, sehen wir beim größten Teil der von uns beaufsichtigten Unternehmen und Behörden, dass dort eine ganze Menge passiert ist. Außerdem setzt die DSGVO weltweit Standards: Japan, Kalifornien, Indien und Brasilien orientieren sich bei der Erstellung eigener Gesetze und Richtlinien stark an der DSGVO.
In der Bundespressekonferenz in Berlin haben Sie die DSGVO gar als „Zeitenwende im Datenschutz“ bezeichnet. War dort die Rede von einer positiven oder negativen Zeitenwende?
Eindeutig von einer positiven: Denn erstens haben wir nun ein einheitliches europäisches Recht und das ist wichtig – für Unternehmen und die Bürgerinnen und Bürger. Natürlich müssen wir noch viel dafür tun, dass die Regeln der DSGVO in der Praxis einheitlich geltend und vor allem spürbar sind. Und zwar auch bei Konzernen, die ihren Sitz nicht in Europa haben.
Und was wäre zweitens positiv?
Uns stehen nun durchaus scharfe Schwerter zur Verfügung. Allerdings wollen wir diese Schärfe nicht an der Höhe von Bußgeldern bemessen, sondern an der Reduzierung von Datenschutzverstößen.
Wird die DSGVO eigentlich auch von Ihren europäischen Amtskollegen so positiv gesehen wie von Ihnen?
Ich kann die anderen Staaten natürlich nicht so intensiv verfolgen wie Deutschland. Die neuen Regelungen waren zum Teil viel revolutionärer für andere EU-Länder, denn an vielen Stellen hat sich deutsches Datenschutzrecht durch die DSGVO gar nicht groß geändert.
Allerdings gibt es auch in Deutschland Kritik. Zum Beispiel von Steffen Kampeter, Hauptgeschäftsführer der Bundesvereinigung der Deutschen Arbeitgeberverbände, der die DSGVO dem „Handelsblatt“ gegenüber als „Büchse der Pandora“ beschrieben hat. Alles, was sie gebracht habe, sei Verwirrung und Unsicherheit aufseiten der Unternehmen. Was entgegnen Sie?
Wenn Herr Kampeter den Telefonhörer in die Hand nehmen und mich anrufen würde oder wir uns auf dem Podium gegenübersitzen würden, dann würde ich sagen: „Herr Kampeter, bringen Sie doch einmal konkrete Beispiele.“ Das spannende ist, dass die Beispiele meistens falsch sind. Dieses In-Grund-und-Boden-Verdammen der DSGVO beruht auch oft auf unzureichender Auseinandersetzung mit dem Thema.
Trotzdem gibt es ja Verbesserungsbedarf. So wollen Sie für eine „Entschlackung der Informations- und Dokumentationspflicht“ sorgen. Könnten Sie hier konkrete Beispiele für Maßnahmen nennen?
Die werden wir in der zweiten Jahreshälfte vorlegen. Es wird sich insbesondere darum drehen, Überfrachtung mit Informationen, die eigentlich klar sein sollten, zu reduzieren. Als Beispiel: Ich werde bei einer E-Mail an Sie in cc gesetzt. Müsste ich Ihnen dann meine Datenschutzerklärung schicken, weil ich Ihre Kontaktdaten nun in meinem Mail-System verarbeite? Das würde unnötigen Aufwand produzieren
Halten sich Facebook, Google und CO. an die DSGVO?
Einer breiteren Öffentlichkeit dürfte eine Strafe gegen Google in Höhe von 50 Millionen Euro bekannt sein. Diese wurde allerdings in Frankreich verhängt. Gibt es eine Strafe, die Ihre Behörde ausgesprochen hat, die man kennen muss?
Nein. Wir prüfen jedoch gerade zwei gegen kleinere Telekommunikationsunternehmen. Allerdings werden wir gegen einen kleinen Postdienstleister zum Beispiel keine Strafe von 50 Millionen verhängen. Bei der Aufsicht über öffentliche Stellen, die einen Großteil unserer Arbeit ausmacht, können wir ohnehin keine Bußgelder verhängen. Gleiches gilt leider auch bei den gesetzlichen Krankenversicherungen. Hier wäre eine solche Sanktionsmöglichkeit allerdings richtig und wichtig, da diese in Teilen ja wie Unternehmen agieren
Wie bewertet man das nun, dass die vielen Strafen bislang ausgeblieben sind – anders als vor einem Jahr befürchtet?
Für eine Bewertung ist es schlichtweg noch zu früh. Außerdem bemesse ich in keiner Sekunde die Arbeit meiner Behörde anhand der verhangenen Bußgelder.
Da Facebook nun noch keine Strafe in Europa erhalten hat, darf die Frage erlaubt sein: Hält sich das Unternehmen etwa an die Spielregeln?
Das untersucht zwar derzeit die irische Aufsichtsbehörde, sie hat aber noch keinen Fall abgeschlossen. Weil wir das kritisch sehen, versuchen wir im Europäischen Datenschutzausschuss zu erreichen, dass mehr über diese Fälle gesprochen wird.
Machen wir das: Verstoßen Facebook, Google und Co. zurzeit gegen die DSGVO?
Ja, ich bin der festen Überzeugung, dass das Verhalten von manchen der großen Internetkonzerne in einigen Fällen nicht kompatibel mit dem europäischen Datenschutzrecht ist.
Nennen Sie gerne ein paar Namen.
Ich denke zum Beispiel an Facebook und an Google. Auf Amazon trifft das wegen der Berichte über Alexa vermutlich ebenso zu und eventuell auch auf Microsoft.
Können Sie auf all diese Dienste denn hier in der Behörde verzichten?
Unsere Rechner laufen mit Windows-Betriebssystemen, also verwenden wir zum Beispiel Outlook. Allerdings setzen wir ein Produkt wie WhatsApp ganz bewusst nicht ein. Meine Facebook-Fanpage habe ich vor Amtsantritt geschlossen, obwohl ich davor als Politiker auch ein echter „Reichweiten-Missbraucher“ war.
Allerdings haben Sie ein Twitter-Profil. Wo ziehen Sie da die Grenze?
Das ist bisher ein privater Account, was ich dort auch ganz bewusst betone. Alles Weitere folgt in Kürze. Parallel betreibe ich ja auch einen Account bei Mastodon, das ist datenschutzrechtlich natürlich viel schöner.
Was ist denn Mastodon?
So etwas ähnliches wie Twitter. Mit dem Unterschied, dass es wie E-Mail aufgebaut ist: Einzelne Server kommunizieren miteinander und sammeln dabei nur wenige Daten und das eben nicht zentral an einem Ort. So gibt es den Betreiber eines Servers hier in Bonn, der dann vielleicht 50 Nutzer kennt – unter anderem mich. Dieser dezentrale Ansatz hat aus Datenschutzsicht einige Vorteile. In Frankreich hat sich zum Beispiel der gesamte Staat für die Kommunikation über einen dezentralen Messenger entschieden. Ich würde mir wünschen, dass wir über einen solchen Schritt auch in Deutschland nachdenken.
Tatsächlich gibt die DSGVO jedem Bürger das Recht, Verstöße anzuzeigen oder bei Konzernen wie eben Facebook oder Google Informationen über die eigenen Daten einzufordern. Weiß eigentlich jeder EU-Bürger von diesem Recht?
Nein. Wie von vielen anderen Rechten übrigens auch nicht. Aber die Zahl der Nutzer, die davon gebrauchen machen, steigt. Genug Menschen wissen erst dann von diesem Recht, wenn es wirklich ein jeder kennt.
Wie wollen Sie es populärer machen?
Die DSGVO zwingt Unternehmen ja eigentlich dazu, das prominent zu kommunizieren. Skandale bewirken, dass Nutzer auf einmal wissen wollen, welche Daten eigentlich so bei riesigen Konzernen gespeichert sind. Aber natürlich müssen auch wir Aufsichtsbehörden noch mehr Aufklärungsarbeit leisten.
Diese Rechte haben Bürger dank der DSGVO
Wenn Organisationen Daten verarbeiten, müssen sie Informationen zur Verfügung stellen, zu welchen Zwecken Daten verarbeitet werden, auf welcher Rechtsgrundlage die Verarbeitung beruht, wie lange die Daten gespeichert werden und vieles mehr. Diese Informationen müssen die Unternehmen auf Anfrage herausgeben und in der Datenschutzerklärung bereitstellen.
Jeder hat das Recht, kostenfrei Datenauskunft zu beantragen. So können Sie auch erfahren, was ein Online-Shop oder ein soziales Netzwerk über Sie weiß.
Wenn eine Website Sie mit Werbung bombardiert, haben Sie das Recht, die Firma dazu aufzufordern, dies zu unterlassen. Dem Wunsch muss das Unternehmen dann nachkommen.
Wenn eine Organisation möglicherweise falsche personenbezogene Daten gespeichert hat, können Sie eine Berichtigung verlangen. Ein Beispiel kann sein, dass eine Lebensversicherung eine Person irrtümlicherweise als Raucher führt und die Kosten für die Police dadurch höher sind.
Solange eine Person nicht von öffentlichem Interesse ist, hat sie das Recht, dass öffentlich zugängliche Informationen gelöscht werden. Eine Suchmaschine kann beispielsweise aufgefordert werden, Links über die Person zu löschen, wenn diese das wünscht.
Wenn jemand den Stromanbieter wechseln möchte, hat er das Recht, dass der alte Anbieter dem neuen alle relevanten Daten übermittelt. Sollte dies technisch nicht möglich sein, muss der Anbieter dem Betroffenen die Daten in einem maschinenlesbaren Format zurückgeben.
Kam der Datenschutz im Europawahlkampf möglicherweise zu kurz?
Nun ja, da gab es die Debatte um Uploadfilter – auch eine Datenschutzfrage.
Das stimmt. Wie bewerten Sie die Zustimmung des EU-Parlaments?
So wie sie gefallen ist, hat sie Uploadfilter zur direkten Folge und das halte ich für hochproblematisch. Allein deshalb hätte ich dagegen gestimmt. Das Parlament ist leider weit über das Ziel, Urheber besser zu schützen, hinausgeschossen.
Was passiert denn nun im zweiten Jahr der DSGVO?
Das Kind ist aus dem Krabbelalter heraus und läuft. Es dringt so in immer mehr Bereiche vor und wir müssen deshalb zusätzliche Absicherungen treffen, zum Beispiel Einigungen im Europäischen Datenschutzausschuss über die Auslegung. Die Arbeit ist also nicht abgeschlossen, die DSGVO hat dank der Digitalisierung Konjunktur und steht vor immer neuen technologischen Herausforderungen.
Aber gibt es bei voranschreitender Digitalisierung denn Abschwünge in der Konjunktur der DSGVO?
Es gibt ja auch Dauerkonjunkturen – die Datenschutzrezession steht zumindest keinesfalls bevor.
