Interview mit dem neuen BfDI: "WhatsApp han­delt klar euro­pa­rechts­widrig"

LTO: Die Datenschutz-Grundgrundverordnung (DSGVO) ist seit gut einem halben Jahr wirksam und schon über zwei Jahre in Kraft. Wie lautet ihr erstes Fazit?

Ulrich Kelber: Die Landesdatenschutzbeauftragten berichten von einem massiven Anstieg von Beschwerden – sowohl im öffentlichen als auch im privaten Bereich. Doch auch wenn die DSGVO leider für die jeweiligen Landesbehörden mehr Arbeit bedeutet, belegt die Beschwerdeflut durchaus auch etwas Positives. Sie zeigt, dass die DSGVO noch mal eine Initialzündung war, sich überhaupt mit Datenschutz zu beschäftigen. Erfreulich sind auch Anzeichen, dass die Unternehmen seit Geltung der DSGVO mit Datenschutzpannen wesentlich transparenter umgehen.

Aber noch ist es zu früh, um zu beurteilen, ob die DSGVO auch bei Datenschutzverstößen greift, die von großen internationalen Konzernen in voller Absicht begangen werden.

Haben Sie hier jemanden speziell im Blick?

Zum Beispiel WhatsApp. Der Messenger-Dienst, der bekanntlich zu Facebook gehört, verstößt aus meiner Sicht an mehreren Stellen ganz klar gegen europäisches Recht. Und damit meine ich nicht nur, dass WhatsApp-Daten ungefragt und in großem Umfang von Facebook verwendet werden. 

Klar gegen Europarecht verstößt der Umstand, dass alle, die den Dienst nutzen wollen, ihre kompletten Kontakte an WhatsApp übertragen müssen – obwohl diese Daten für die eigentliche Funktionalität von WhatsApp überhaupt nicht erforderlich sind. Und das Problem dabei ist: In die Übertragung kann ich gar nicht in vollem Umfang wirksam einwilligen, da es sich ja sich auch um Daten Dritter handelt. Dieses Thema werde ich mit meinen künftigen Kollegen im europäischen Datenschutzausschuss sicher noch intensiv diskutieren.

Ansonsten gilt: Ich werde mich zunächst mit der Fachebene austauschen und die für Ende 2019 erwarteten, ersten Ergebnisse der DSGVO-Evaluierung abwarten. Erst dann werde ich Vorschläge machen, wie sich z.B. an der einen oder anderen Stelle bürokratischer Aufwand vermeiden lässt. 

"Image des Datenschutzes hat massiv gelitten"

Die DSGVO fordert nicht nur die Landesbehörden der Datenschützer, sondern auch die Bürger im Alltag: Darf man als Vermieter die Namen seiner Mieter ungefragt aufs Klingelschild montieren, darf man in einer Metzgerei den Namen einer Kundin vor anderen noch aussprechen? Selbst öffentlich und namentlich ausgehängte Wünsche an den Weihnachtsmann drohen gegen die DSGVO zu verstoßen. Hätte man derartige Irritationen in den letzten Jahren durch vernünftige Kommunikation und Aufklärung nicht vermeiden können?

Das ärgerliche ist, dass diese Beispiele zumeist mit einem Verstoß gegen Datenschutzrecht so gar nichts zu tun haben. In der Tat hätte man die Zeit bis zum Wirksamwerden der DSGVO aber auch noch besser nutzen können, um zu informieren. Das gilt jedoch für alle Beteiligten: Politik, Wirtschaft, aber auch für Medien und NGOs.

Für manche war der 25. Mai 2018 so ein Art Aha-Erlebnis: "Ach, es gibt ja Datenschutz". Vor allem die Wirtschaftsverbände hätten die Aufgabe gehabt, frühzeitig die Fragen, die in der Praxis mit der DSGVO auf ihre Unternehmen zukommen, zusammenzuführen, mit den Landesdatenschutzbeauftragten zu besprechen und die Ergebnisse an ihre Mitglieder zurückzuspielen. Das ist versäumt worden.
Und auch vom federführenden Bundesinnenministerium (BMI) hätte ich mir mehr Werbung und Information zur DSGVO gewünscht. Das Ministerium verfügt schließlich über einen Millionenetat, hier hätte man durchaus Mittel zur Verfügung stellen können. Meiner Amtsvorgängerin oder der Stiftung Datenschutz ist dagegen kein Vorwurf zu machen.

Apropos Stiftung Datenschutz. Die existiert seit 2013, soll für Datenschutz sensibilisieren und Vorschläge für eine praxisgerechte und wirksame Datenpolitik machen. Der jüngste Haushaltsplan sieht aber für die Stiftung keinerlei Mittel vor. Zeigt das, welchen Stellenwert der Datenschutz mittlerweile einnimmt?

Das Image des Datenschutzes hat in den letzten Jahren massiv gelitten. Und er ist von interessierter und fahrlässiger Seite in diese Rolle gebracht worden. Es gibt Player in unserem Gemeinwesen, die eigentlich weniger Datenschutz wollen und in ihm nur lästigen Aufwand sehen. Dabei kann ich den Unternehmen nur raten, den Datenschutz von Anfang an mit zu entwickeln und ihn zum Verkaufsschlager zu machen.  Nach dem Motto: "Wer mein Produkt oder meine Dienstleistung in Anspruch nimmt, der verkauft sich und seine Daten nicht." Hier ist man in den USA, einem Land, das wir bis vor kurzem noch als datenschutzrechtliches Stiefkind bezeichnet haben, mittlerweile sogar schon weiter.

Und was die von Ihnen angesprochene Stiftung Datenschutz anbelangt: Der Umgang mit ihr ist definitiv nicht in Ordnung. Die Stiftung ist von Anfang an viel zu schwachbrüstig aufgestellt worden. Doch das BMI lässt sie gerade so viel arbeiten, dass sie nicht stirbt - sie soll nur bloß nicht zu groß werden. Es braucht hier ganz klar eine dauerhafte Finanzierung und das Innenministerium müsste die Zügel weiter lockern.

Denn man könnte man die Stiftung sehr gut für diverse Aufgaben einsetzen, z. B. für den Austausch mit der Wirtschaft. Hier käme der Stiftung auch ihre unabhängige Funktion zu Gute; denn anders als der Bundesdatenschutzbeauftragte ist sie ja nicht Durchsetzungs- und Aufsichtsbehörde.

"E-Privacy-Verordnung enorm wichtig"

Die Bundesregierung hat ein Gesetz auf den Weg gebracht, dass zum Zwecke der Durchsetzung von Diesel-Fahrverboten die massenhafte Speicherung von Kfz-Kennzeichen und Fahrer-Fotos vorsieht. Datenschützer sind aufgebracht – Ihre Amtsvorgängerin hat dem Vorhaben allerdings ihren Segen gegeben.

Wenn ich im Januar mein Amt antrete, werde ich mich mit den Experten meines Hauses zusammensetzen und klären, wie es zu einer derartigen Einschätzung kam.  Meine erste Reaktion war: Die Maßnahme ist im Hinblick auf den damit verbundenen Eingriff in das Grundrecht auf informelle Selbstbestimmung unverhältnismäßig; schließlich werden auch Daten von Personen gespeichert, die von einem Fahrverbot gar nicht betroffen wären. Zur Durchsetzung von Fahrverboten wäre eine blaue Plakette oder ein Hardware-Austausch eigentlich verträglicher.

Aber das Vorhaben steht noch am Anfang, als Behörde werden wir sicherlich zu dem Thema noch einmal befragt werden.

Zeitgleich mit der DSGVO hätte eigentlich auch längst die E-Privacy-Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (ePVO) verabschiedet werden sollen. Dies scheitert aber bisher am Widerstand einiger Mitgliedstaaten – auch Deutschland bremst, wie zu hören war.

Ich halte die Verabschiedung der ePVO für enorm wichtig. Die Position jedenfalls, die DSGVO reiche aus, um Kommunikationsinhalts- und Verbindungsdaten hinreichend zu schützen, ist unhaltbar. Wir brauchen an diesem Punkt spezifische Reglungen. Es gibt kein Grundrecht auf digitale Verfolgung und Bewegungsprofil-Erstellung durch Dienstleister. Die Problematik der Tracking-Tools muss man von der Position der Grundrechte und nicht der Geschäftsinteressen prüfen.

Gesetzentwürfe von Lobbyverbänden bald öffentlich?

Ihre Behörde trägt im Namen nicht nur das Aufgabengebiet Datenschutz, sondern auch die Informationsfreiheit. Ansprüche auf umfassende Information scheitern allerdings in der Praxis oft unter Hinweis auf den Datenschutz. Muss sich die Informationsfreiheit unterordnen?

Nein, keineswegs. Die Informationsfreiheit ist ein Grundpfeiler eines demokratischen Staatswesens.

Die Bürger haben einen Anspruch, zu erfahren, über welche Daten und Verfahren der Staat verfügt. Diesem Anspruch kann man auch gerecht werden, ohne dass dabei ein Spannungsverhältnis mit dem Datenschutz entsteht. Soweit überhaupt personenbezogene Daten betroffen sind, kann man diese durch Schwärzen oder Weglassen schützen.

Wir müssen bei der Informationsfreiheit weiter gehen als bisher: Ich würde mir eine Haltung aller Bundesbehörden wünschen, dass Daten, die von allgemeinem Interesse sind, nicht erst auf Nachfrage, sondern proaktiv veröffentlicht werden. Es spricht nichts dagegen, z. B Kommentierungen von Gesetzentwürfen, die von Lobbyverbänden in den Ministerien eingehen, auf deren Website zu veröffentlichen.  Etwas Ähnliches haben wir zu meiner Zeit als Parlamentarischer Staatssekretär im Bundesjustizministerium bereits praktiziert. 

Abschließende Frage: Bürgerrechtler und NGOs sehnen ihren Amtsantritt geradezu herbei. Ihrer Amtsvorgängerin, Frau Voßhoff, wird vorgeworfen, sich viel zu wenig eingemischt und für den Datenschutz zu wenig getan zu haben. Werden Sie es besser machen?

Ich halte die Kritik an Frau Voßhoff für unfair. Sie war sicherlich nicht die Extrovertierteste, aber jeder Datenschutzbeauftragte hat seinen eigenen Stil. Und sie hat Enormes geleistet, in dem sie die Behörde völlig unabhängig und deutlich leistungsfähiger aufgestellt hat.

Auch während meiner Amtsführung werde ich es sicher nicht immer allen recht machen können. Zumal auch für mich manchmal das bessere Rezept bedeutet: Weniger Pressearbeit und öffentliche Statements, dafür für mehr Gespräche unter vier Augen. Aber keine Angst: Wo es notwendig ist, werde ich mich deutlich zu Wort melden!