Detailfoto von Händen von Personen, die Smartphones nutzen

Zwischen DSGVO, Pandemie und Steuer-ID: Ulrich Kelber über Datenschutz in Deutschland und der EU

Veröffentlicht am 25.11.2022

Seit 2019 ist Prof. Ulrich Kelber Deutschlands Bundesdatenschutzbeauftragter (BfDI). Im Gespräch erklärt er, wie sich die Pandemie auf seine Arbeit ausgewirkt hat, was es an der DSGVO zu verbessern gibt und warum Deutschlands Datenschutz-Selbstbild ein Mythos ist. Außerdem spricht er über die EUid und die Rolle der Steuer-ID bei der Registermodernisierung.

Experteninterview mit
Piktogramm Experte
Ulrich Kelber
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Herr Professor Kelber, wie wohl fühlt man sich als Bundesdatenschutzbeauftragter eigentlich bei einem Videointerview?

Wir alle haben uns ja daran gewöhnt, dass Konferenzen, Arbeitsgruppen und eben auch Interviews auf diese Art und Weise stattfinden. Damit fühlen sich sogar Datenschützer und Datenschützerinnen wohl. Umso mehr, wenn Plattformen im Einsatz sind, die datenschutzrechtlich komplett unbedenklich sind. Und ja, die gibt es tatsächlich. Die „Meeting Plattform“ der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) gehört dazu. Darüber führe ich für gewöhnlich meine Remote-Gespräche.  

Als die Pandemie begann, mussten viele Unternehmen ohne große Vorbereitung und tiefgehende Recherche zur Datenschutzkonformität auf Videocall-Lösungen umsteigen. Hat Ihnen das damals ein wenig Schweiß auf die Stirn getrieben?

Nein, da waren weder Schweiß- noch Tränenausbrüche oder dergleichen. Notlösungen sind legitim, um schnell zu reagieren. Wichtig war, dass man die immerhin zwei Jahre Pandemie genutzt hat, um aus Not tragfähige Lösungen zu machen. Das hat nicht überall funktioniert. Datenschutz ist nicht „nice to have“. Hier geht es um Grundrechte. Deswegen muss ich erwarten können, dass Unternehmen und Behörden am Ende nicht das bequemste oder am aggressivsten beworbene Produkt nutzen, sondern das Produkt, das die Rechte der Nutzenden am effektivsten schützt.

Hat die Corona-Pandemie den Datenschutz positiv oder eher negativ beeinflusst?

Von allem ein bisschen. Die Pandemie war wie ein Nachbrenner für die Digitalisierung. Plötzlich wurden Dinge angegangen, die man vorher nicht in Angriff genommen hatte. Und die Umsetzung war mitunter richtig gut. Viele Behörden und Unternehmen haben sich als flexibler erwiesen, als man es ihnen zugetraut hätte. Natürlich hat die Corona-Situation aber gezeigt, wo die Digitalisierung hinterherhinkt. Wo es vorher digital knirschte, da implodierte etwas in der Pandemie. Unsere Schullandschaft war nicht vorbereitet, die Zusammenarbeit zwischen manchen Behörden – Stichwort Gesundheitsämter – verlief schleppend, weil sie auf analogen Datenübertragungswegen basierte. Wir haben überall geprüft und beraten, wo man uns gefragt hat. Dabei haben wir Wege gezeigt, die nicht nur datenschutz- und grundrechtsfreundlich waren, sondern auch ans Ziel geführt haben.

„Wer den Datenschutz für mangelnde Digitalisierung verantwortlich macht, hat sie für gewöhnlich selbst nicht richtig vorangetrieben.“

Prof. Ulrich Kelber - Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Fühlen Sie sich als Bundesdatenschutzbeauftragter dennoch manchmal als Bremser wahrgenommen?

Ja, aber in zweierlei Hinsicht. Anfangs lagen einer solchen Wahrnehmung Unwissen und Unsicherheit zugrunde, manchmal schlichtweg Ausreden. Das konnte ich hinnehmen und ich habe immer versucht, Sachverhalte zu erklären. Mittlerweile steckt hinter den Bremservorwürfen oft Absicht. Man hat bei der eigenen Digitalisierung versagt und sucht jetzt jemanden, auf den man es schieben kann. Aber: Andere haben es doch auch geschafft. Wir haben in der eigenen Behörde das umgesetzt, was andere angeblich wegen des Datenschutzes nicht tun konnten. Wer den Datenschutz für mangelnde Digitalisierung verantwortlich macht, hat sie für gewöhnlich selbst nicht richtig vorangetrieben.

Haben Sie generell dennoch eine Besserung wahrgenommen?

In der Digitalisierung hängt natürlich einiges hinterher. Beim Datenschutz haben viele begriffen, dass er Zähne hat. Er kann Privatunternehmen mit Geldbußen sanktionieren. Bei Behörden haben wir Möglichkeiten wie Anweisung und Untersagung. Dennoch würden wir uns wünschen, häufiger schon frühzeitig als Beratungspartner involviert zu sein. Das kann man völlig vertraulich mit uns machen. Natürlich sind wir auch eine Aufsichts- und Kontrollbehörde, aber wir können trotzdem schon früh dabei helfen, Klippen zu umschiffen und Anpassungsmöglichkeiten zu finden. Wir können außerdem oft Best Practices nennen und damit andere Wege zum Ziel aufzeigen.

In Deutschland hat jedes Bundesland seine eigene Datenschutzbehörde. Wird ein ohnehin schon komplexes Thema dadurch nicht noch komplexer?

Wie überall hat der Föderalismus auch beim Datenschutz seine Vor- und Nachteile. Ein zentraler Vorteil ist, dass er durch die Landesdatenschutzbehörden unheimlich nah am Geschehen ist. Der Nachteil ist, dass es bei Auslegungssachen stets erst einmal einer Einigung bedarf. Allerdings ist der Föderalismus nun mal Realität. Und das Thema Datenschutz hatte seinen Ursprung tatsächlich in den Ländern und spielte erst später auf Bundesebene eine Rolle. Im Privatsektor ist mit einigen historisch gewachsenen Ausnahmen nur die Landesebene zuständig. Außerdem arbeiten wir in der Datenschutzkonferenz an ganz vielen Stellen daran, schnell gemeinsame Sichtweisen zu entwickeln. Und das klappt immer häufiger – nicht nur nach innen und nach außen in Deutschland, sondern auch auf europäischer Ebene. Wir wollen Vorschläge vorlegen, wie es sich noch verbessern lässt. Beispielsweise wollen wir zu einer Verbindlichkeit von Gemeinschaftsvorschlägen kommen. Und wir wollen die Datenschutzkonferenz durch ein Sekretariat in die Lage versetzen, noch sehr viel schneller zu arbeiten – zugunsten der Rechtssicherheit für alle.

Im internationalen Bereich sind die Unterschiede beim Datenschutz sicher größer, einige Staaten gehen laxer mit dem Thema um, andere schärfer ...

Sicher hat jeder Staat seine eigene Datenschutzkultur. Bei bestimmten Fragen gibt es selbst in Ländern, die ansonsten sehr aktiv im Bürgerrechtsbereich sind, unterschiedliche Auffassungen. Da wäre zum Beispiel eine Praxis aus Skandinavien, nach der man die Steuererklärung des Nachbarn oder der Nachbarin einsehen könnte. Transparenz spielt hier also eine größere Rolle – das ist grundsätzlich erst mal positiv, kann aber eben auch kritische Züge annehmen.

Wo steht Deutschland innerhalb der EU?

Die Deutschen sind sich ihrer Rechte als Bürger und Bürgerinnen besonders stark bewusst – das sehen wir an den Zahlen. Was allerdings nicht stimmt – genau wie bei der Umweltpolitik –, ist die Selbstwahrnehmung, Deutschland hätte die strengsten Regeln überhaupt. Ich will das an ein paar Beispielen deutlich machen: In vielen Ländern müssen Behörden bei Datenschutzverstößen Geldbußen zahlen. In Deutschland nicht. In vielen Ländern können Aufsichtsbehörden sofortigen Vollzug gegenüber Behörden anordnen. In Deutschland nicht. Das ist aus meiner Sicht übrigens keine rechtskonforme Umsetzung des europäischen Rechts. 

Also kommen Behörden hierzulande glimpflicher davon als Unternehmen?

Auch hier sind andere Länder strenger. Spanien, Frankreich und bis zum Austritt Großbritannien haben deutlich häufiger Geldbußen gegen Unternehmen ausgesprochen.  

Bei der Nutzung von Forschungsdaten scheint Deutschland allerdings weitaus restriktiver als andere. Woran liegt das?

Weil uns Regelungen für besondere Fälle fehlen. Bei der Nutzung von Forschungsdaten etwa wären wir weiter, würden wir die spezifischen Öffnungsklauseln aus der Datenschutz-Grundverordnung in nationale Regelungen übertragen. Das heißt: Deutschland könnte für besondere Fälle regeln, was erlaubt und verboten ist, wann ein Forschungsgeheimnis vorliegt oder ein Repersonalisierungsverbot besteht. Anders als in Benelux oder Skandinavien hat der Gesetzgeber in Deutschland so etwas noch nicht geklärt. Deswegen können die Aufsichtsbehörden nur nach den vollumfänglichen Schutzmaßnahmen der DSGVO bewerten.

„Eines ist klar: Digitale Identitäten sind dringend notwendig, wenn wir die Digitalisierung weiter vorantreiben wollen.“

Prof. Ulrich Kelber - Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Sehen Sie als Bundesdatenschutzbeauftragter bei der DSGVO selbst eigentlich noch Verbesserungspotenzial oder ist alles eine Frage der konsequenten Anwendung?

Die DSGVO ist viel flexibler, als es manche darstellen. Und sie hat auch für neue Technologien klare Antworten parat. Trotzdem gibt es natürlich Bereiche, bei denen man nachdenken muss, ob alles nur eine Auslegungsfrage ist oder ob es eine genauere gesetzliche Grundlage braucht. Ich hätte beispielsweise das Profiling gerne unter Erlaubnisvorbehalt. Man könnte die Frage, wann etwas als anonymisiert oder als pseudonymisiert gilt, genauer im Gesetz verankern. Man könnte kleine und mittlere Unternehmen sowie Vereine mit Blick auf so manche Informations- und Dokumentationspflichten etwas entlasten. Bei Technologien, die den Datenschutz unterstützen – von Personal Identification Management Systems bis zu homomorpher Verschlüsselung –, sollte die DSGVO eine genauere Verortung festlegen: Wo zwischen den beiden Polen Einwilligung und Anonymisierung werden solche Technologien eingereiht?

Die EU-Kommission möchte eine europäische digitale Identität (EUid). Wo bietet der entsprechende Entwurf aus dem Blickwinkel des Datenschutzes Potenziale, wo Verbesserungsbedarf?

Eines ist klar: Digitale Identitäten sind dringend notwendig, wenn wir die Digitalisierung weiter vorantreiben wollen. Natürlich ergibt es Sinn, dass wir dieses Thema mindestens auf EU-Ebene harmonisieren. Was in Deutschland eingeführt wurde, sollte auch in Spanien und Griechenland nutzbar sein. Am besten über Standards, denen sich jederzeit andere anschließen können. Digitale Identitäten sind nicht nur komfortabel. Sie können sogar datenschutzfreundlicher als jede Form der analogen Identität sein. Zum Beispiel wenn ich damit automatisch nachweisen kann, eine bestimmte Altersgrenze erreicht zu haben, ohne dabei mein genaues Alter angeben zu müssen. Von daher: Grundsätzlich ist die Initiative der Kommission eine gute Sache.

Aber?

Wir haben ein paar Bedenken zu den konkreten Ausprägungen geäußert. In erster Linie sollte diese Wallet nicht automatisch die europäische Identität selbst sein. Vielmehr kann sie als eine Art Container für nationale Identitäten funktionieren, also für den Personalausweis und den Führerschein. Diese nationalen Identitäten wären dann voll interoperabel, in jedem Mitgliedsstaat anerkannt. Dieses System von interoperablen nationalen Identitäten hätte auch zur Folge, dass es – im Gegensatz zu einheitlichen IDs – viel schwieriger wird, Profile zu bilden. Damit wiederum würde man den verschiedenen Kulturen und Verfassungsgerichtsentscheidungen besser gerecht werden. In Deutschland haben wir ja so unsere Probleme mit einer einheitlichen und dauerhaften persönlichen Identifizierungsnummer, die neben Behörden auch viele Privatunternehmen nutzen würden. Dass so etwas nicht gewünscht ist, hat das Bundesverfassungsgericht hierzulande seit 1983 mehrmals klargemacht. Ich wünsche mir daher Alternativen, die genau die gleichen Funktionalitäten bieten, aber für einzelne Bereiche jeweils unterschiedliche Identifizierungsmerkmale verwenden.

Das heißt auch, dass Sie der Steuer-ID für eine verfassungskonforme Registermodernisierung keine Zukunft einräumen, oder?

Ich hoffe und vermute, dass sie keine Zukunft hat. Jedenfalls kann ich mir nicht vorstellen, dass das Bundesverfassungsgericht bei Klagen aus der Zivilgesellschaft zu einem anderen Urteil kommen würde als früher. Und dann wären wir in einer echten Sackgasse. Eine Sackgasse, die wir jetzt schon unbefahrbar machen sollten. Die begonnenen Registerprojekte, die auf der Steuer-ID basieren, können wir weiterverfolgen. Aber für alle weiteren Projekte sollten wir direkt auf eine grundrechtsfreundliche Technologie stellen, die mit bereichsspezifischen Identifiern arbeitet. Diese Technologie steht bereit, hat keinerlei Einschränkungen in Sachen Funktionalität und es ist nur minimal aufwendiger, sie zu etablieren. Danach hat man aber eine einfache, grundrechtsfreundliche Lösung, mit der man die Digitalisierung weiter vorantreiben kann. Später können wir die Steuer-ID-Projekte auf die datenschutzfreundliche Plattform herüberziehen. Das wäre nachhaltiger und würde das Vertrauen der Bürgerinnen und Bürger erhöhen. Denn wir dürfen eines nicht vergessen: Die Steuer-ID wurde damals mit dem Versprechen eingeführt, dass sie nur diesem einen Zweck dient.

DSGVO, EUid, Registermodernisierung: Kommt da der Bereich der Informationsfreiheit eigentlich zu kurz in Ihrer Arbeit?

Er nimmt aktuell nicht 50 Prozent der Arbeit in meiner Behörde ein, hat aber an Bedeutung hinzugewonnen. Auch in unserer internen Organisation. Die Zahl der Auskünfte steigt. Und die Bundesregierung hat sich vorgenommen, das Informationsfreiheits-, das Umweltinformations- und das Verbraucherinformationsgesetz zu einem großen Transparenzgesetz zu vereinen. Danach würden die Aufgaben deutlich zunehmen – erst recht, wenn meine Behörde nicht länger nur ermahnt, sondern auch Möglichkeiten zur Durchsetzung hätte.

Das könnte Sie auch interesssieren

Artikel
Artikel
Artikel
Artikel
Artikel