Herr Kelber, vor einem Jahr wurde die europäische Datenschutzgrundverordnung – kurz und verbreiteter DSGVO – wirksam. Für viele Unternehmen bedeutete das viel Aufwand und Bürokratie. Für Ihre Behörde eigentlich auch?
Natürlich war das auch für uns eine große Umstellung. Wir mussten alle Prozesse an die Datenschutzgrundverordnung anpassen und vor allem den Umgang mit den von uns beaufsichtigten Unternehmen und Behörden anpassen.
Sie kontrollieren sämtliche Bundesbehörden, Finanz- und Steuerbehörden, Jobcenter und Unternehmen aus der Telekomunikations- und Postdienstleistung. Doch wer kontrolliert, ob nicht Ihre Behörde Datenschutzverstöße begeht?
Niemand. Tatsächlich kontrollieren wir uns selbst.
Und das ist kein Problem?
Nein, das ist genau ja die Idee der DSGVO: Als vollständig unabhängige Behörde, die selbst über Umwege politisch nicht gefügig gemacht werden kann, beaufsichtigen wir öffentliche Stellen und Unternehmen im Sinne der Bürgerinnen und Bürger. Trotzdem gilt bei uns natürlich dasselbe Recht wie in jeder anderen Behörde: Daher haben auch wir einen behördlichen Datenschutzbeauftragten, der unsere Prozesse überwacht.
Nun sind Sie erst seit Anfang Januar der Bundesdatenschutzbeauftragte. Können Sie da überhaupt schon ein Fazit zur DSGVO ziehen?
Ich ziehe ja nicht nur ein persönliches Fazit in der bisherigen Amtszeit, sondern berufe mich auch auf Erfahrungen, die meine Mitarbeiterinnen und Mitarbeiter an mich berichten.
Dann lassen Sie es uns versuchen: Was können wir nach einem Jahr DSGVO festhalten?
Man kann sicher sagen, dass die Aufmerksamkeit für das Thema Datenschutz dank der DSGVO seit Mai 2018 gestiegen ist, gerade wenn es um die Anpassung von Prozessen in Unternehmen geht. Auch wenn bei weitem noch nicht alles erledigt ist, sehen wir beim größten Teil der von uns beaufsichtigten Unternehmen und Behörden, dass dort eine ganze Menge passiert ist. Außerdem setzt die DSGVO weltweit Standards: Japan, Kalifornien, Indien und Brasilien orientieren sich bei der Erstellung eigener Gesetze und Richtlinien stark an der DSGVO.
In der Bundespressekonferenz in Berlin haben Sie die DSGVO gar als „Zeitenwende im Datenschutz“ bezeichnet. War dort die Rede von einer positiven oder negativen Zeitenwende?
Eindeutig von einer positiven: Denn erstens haben wir nun ein einheitliches europäisches Recht und das ist wichtig – für Unternehmen und die Bürgerinnen und Bürger. Natürlich müssen wir noch viel dafür tun, dass die Regeln der DSGVO in der Praxis einheitlich geltend und vor allem spürbar sind. Und zwar auch bei Konzernen, die ihren Sitz nicht in Europa haben.
Und was wäre zweitens positiv?
Uns stehen nun durchaus scharfe Schwerter zur Verfügung. Allerdings wollen wir diese Schärfe nicht an der Höhe von Bußgeldern bemessen, sondern an der Reduzierung von Datenschutzverstößen.
Wird die DSGVO eigentlich auch von Ihren europäischen Amtskollegen so positiv gesehen wie von Ihnen?
Ich kann die anderen Staaten natürlich nicht so intensiv verfolgen wie Deutschland. Die neuen Regelungen waren zum Teil viel revolutionärer für andere EU-Länder, denn an vielen Stellen hat sich deutsches Datenschutzrecht durch die DSGVO gar nicht groß geändert.
Allerdings gibt es auch in Deutschland Kritik. Zum Beispiel von Steffen Kampeter, Hauptgeschäftsführer der Bundesvereinigung der Deutschen Arbeitgeberverbände, der die DSGVO dem „Handelsblatt“ gegenüber als „Büchse der Pandora“ beschrieben hat. Alles, was sie gebracht habe, sei Verwirrung und Unsicherheit aufseiten der Unternehmen. Was entgegnen Sie?
Wenn Herr Kampeter den Telefonhörer in die Hand nehmen und mich anrufen würde oder wir uns auf dem Podium gegenübersitzen würden, dann würde ich sagen: „Herr Kampeter, bringen Sie doch einmal konkrete Beispiele.“ Das spannende ist, dass die Beispiele meistens falsch sind. Dieses In-Grund-und-Boden-Verdammen der DSGVO beruht auch oft auf unzureichender Auseinandersetzung mit dem Thema.
Trotzdem gibt es ja Verbesserungsbedarf. So wollen Sie für eine „Entschlackung der Informations- und Dokumentationspflicht“ sorgen. Könnten Sie hier konkrete Beispiele für Maßnahmen nennen?
Die werden wir in der zweiten Jahreshälfte vorlegen. Es wird sich insbesondere darum drehen, Überfrachtung mit Informationen, die eigentlich klar sein sollten, zu reduzieren. Als Beispiel: Ich werde bei einer E-Mail an Sie in cc gesetzt. Müsste ich Ihnen dann meine Datenschutzerklärung schicken, weil ich Ihre Kontaktdaten nun in meinem Mail-System verarbeite? Das würde unnötigen Aufwand produzieren
