Bericht: Ehemaliger BfDI Prof. Kelber zu Digitalisierung mit Datenschutz
Am 10.09.2024 hat der ehemalige BfDI mit einem Ausblick auf die kommenden Datenschutzerfordernisse einen bemerkenswerten Rundumblick über den aktuellen Stand des Datenschutzrechts in Deutschland und Europa gegeben.
Eingangsworte Thomas Fuchs, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
Die Tätigkeit seiner Datenschutzaufsichtsbehörde charakterisierte Fuchs als manchmal laut, allgemein in Bezug auf die eigentliche Arbeit aber eher still, z.B. bei der Beratung und Begleitung von größeren Datenverarbeitungsprojekten. Sein Behörde müsse politisch gewollte und zulässige Vorhaben, auch wenn diese aus Sicht der Behörde manchmal kritisch betrachtet würden, konstruktiv begleiten. Als Beispiele nannte er die in Hamburg ausgeführte Kameraüberwachung öffentlicher Räume, deren Umsetzung er im Sinne eines praktischen Datenschutzes auch vor Ort überwache, oder auch die Einführung der Bezahlkarte für Geflüchtete, deren Prozessgestaltung er begleitet habe. Er erinnerte außerdem an das Verfahren vor dem Bundesverfassungsgericht, mit dem Regelungen zur automatisierten Datenanalysen in den Landespolizeigesetzen von Hamburg und Hessen auf Vereinbarkeit mit dem Grundgesetz überprüft wurden.
Vortrag Ehemaliger BfDI Prof. Kelber
Professor Kelber erinnerte daran, dass das Jubiläum „50 Jahre BfDI“ in die aktuelle Amtsperiode falle, und begrüßte den ersten Bundesbeauftragten für den Datenschutz, Hans Peter Bull, der ebenfalls zur Veranstaltung erschienen war.
In seiner Amtszeit habe es eine Vielzahl von Herausforderungen für den Datenschutz in Form von neuen Technologien, neuen Nutzungsformen von Daten und neuen Anwendungen gegeben. Diese würden inzwischen durch mehr als 100 europäische Rechtsakte reguliert. Die Aufsichtsbörden berieten hierzu umfangreich und versuchten durch Entschließungen der DSK, aber auch durch Abstimmungen auf europäischer Ebene, datenschutzfreundliche Wege aufzuzeigen.
Die vermeintlich „einfachen“ Lösungen stellten sich oftmals als kompliziert heraus. “Wie schön”, wenn dann der Datenschutz als vermeintliches Hindernis vorgeschoben werden könne. Deshalb würde „kaum ein rechtliches Instrument so diskreditiert“ wie der Datenschutz. Bei Umfragen über die Notwendigkeit von Datenschutz lohne es deshalb die möglicherweise hinter dem oft plakativ veröffentlichten Ergebnis stehende tendenziöse Frage zu prüfen, wie z.B. „Was ist wichtiger: Datenschutz oder Gesundheitsschutz?“ oder Aussagen zu hinterfragen, nach der in anderen Ländern wegen geringeren Datenschutzanforderungen alles besser funktioniere, so z. B. bei der Corona-App. Schließlich könne mit der Kritik am Datenschutz auch ein Versagen auf ganz anderer Ebene bewusst verschleiert werden, wie beispielsweise bei derBehauptung, die Warnung der Bevölkerung bei der Ahrtal-Katastrophe konnte aus Gründen des Datenschutzes nicht über Cell-Broadcast erfolgen. Derartige Verschleierungen würden gern über Talkshows, aber über auch seriöse Medien verbreitet. Der Datenschutz habe vielfach die Funktion des Paias (Clowns) oder Nubbels (Strohpuppe als Sündenbock) im Karneval, der die Schuld an allem Verbotenem trage und im Anschluss verbrannt würde, damit sich alle Schuld im Nichts auflöse.
Die Datenschützer könnten es nicht schaffen, gegen diese Vielzahl von bewusst oder unbewusst verbreiteten Falschmeldungen bis hin zu Lügen, die zum Teil in Dauerschleife wiederholt kommuniziert würden, durch Verweis auf die Realität anzukämpfen. Stattdessen müssten die Datenschützer vorpreschen und sich mit einer Vorwärtsstrategie an die Spitze der Digitalisierungsbewegung stellen. Diese Vorwärtsstrategie müsse einen gut durchdachten Fahrplan für eine gute Digitalisierung ohne Abbau der Grundrechte und ohne Sicherheitslücken mit dem Ziel von Schutz und Förderung einer freien Gesellschaft beinhalten.
Immer wieder zeige sich, dass die wirklichen Hindernisse bei der Digitalisierung oft ganz profaner Natur seien: Überlastete Server, sture Übernahme analoger Prozesse einschließlich unüberlegter Übernahme analoger Formblätter, usw. Diese Mängel müssten im Rahmen der Vorwärtsstrategie vermieden werden. Deutschland müsse wirklich digitalisierungsfähig werden.
Das bedeutet dass trotz Föderalismus die Kleinstaaterei bei der Entwicklung digitaler Prozesse überwunden werden müsse und die Zuständigkeiten, die Standards und die Einflussmöglichkeiten wesentlicher Know-How-Träger, wie das BSI, gestärkt werden müssten. Dabei müsse zudem die Finanzierung langfristig gesichert sein und Wege zur Weiterentwicklung für die Zukunft von Anbeginn eröffnen. Ein priorisierender Maßnahmenplan, der bestehende Grundlagen integriere und Vorgaben zur Interoperabilität umfasse, müsse entwickelt werden.
Leider mangele es bei den politischen Prozessen oft an offenem Austausch. Neue Ideen würden in einer Closed-Shop-Mentalität erstellt und erst als fertiges Ergebnis veröffentlicht. Diese Ergebnisse wiesen oft schon ohne Datenschutzantworten fehlende Digitalisierungsfähigkeit auf.
Positiv hervorzuheben seien die Digitalisierungsvorhaben der Bundesagentur für Arbeit, bei der die IT organisatorisch direkt dem Vorstandsvorsitz zugeordnet sei.
Digitalisierung könne nur gelingen, wenn alle Betroffenen Vertrauen in die digitalen Prozesse setzten. Eine Zwangsdigitalisierung, bei der Projekte oft an der Umsetzung scheitern oder durch Gerichte gestoppt würden, sei der falsche Weg. Es müssten für alle sichtbare Vorteile durch die Digitalisierung entstehen, z.B. durch kürzere Entscheidungswege bei Behörden. Dazu gehöre aber auch, dass sich der Staat an Regeln halte und Quick-and-Dirty-Lösungen unter Umgehung bestehender Regeln unterblieben.
Ein Beispiel für Quick-and-Dirty-Lösungen mit negativem Ergebnis sei das eRezept, das wegen Mängeln in der Technologie unsignierte Zertifikate nutze. Um die Lösung zu verabschieden seien sogar die Einspruchsrechte von BSI und BfDI ausgesetzt worden.
Dagegen könnten Staat und Gesellschaft ein sinnvolles Regelwerk national gut durchsetzen. Dies gelte auch für eine Umsetzung im internationalen Rahmen in Abstimmung mit anderen Staaten. Dazu sei eine Konkurrenz nach dem Motto, wer hat die schärfsten Regeln, nicht anzustreben.
An konsequenter Umsetzung sinnvoller Vorgaben fehle es vielfach: Warum werde im Rahmen der öffentlichen Beschaffung statt der MS-Produkte mit immensen Lizenzkosten nicht die Entwicklung von Open-Source SW beauftragt? Warum werde kein offenes Messenger-Protokoll, z. B. gemeinsam mit Frankreich beauftragt und werden stattdessen in Deutschland Insellösungen (Bundeswehr, Gematik) eingesetzt? Änderungsbedarf bestehe auch bei gesetzlichen Regelungen, wie im Verbraucherschutz: Warum seien SW-Produzenten für ihre Produkte selbst nicht haftbar, sondern nur deren Anwender für deren Umsetzung?
Der Bedarf zur Digitalisierung entwickele sich dynamisch weiter, man dürfe nicht stehen bleiben. Die Zivilgesellschaft habe sehr viele Angebote, die bislang zu wenig Beachtung finden würden. Ihre Einbindung sei nicht ausreichend und mpsse verstärkt werden. Auf der technischen Grundlage von eID und eIDAS ließen sich viele Anwendungen aufbauen. Diese Möglichkeiten würden bisher nicht ausreichend genutzt.
Auch die DSGVO weise Anpassungsbedarf auf. Sie müsse in den Punkten Haftung bei SW-Produkten, Verbot von Profilbildung und auf KI angepasste Zweckbindung weiterentwickelt werden.
Zur Stärkung der Digitalen Souveränität müssten bei Entwicklung und Beschaffung von Software-Produkten Abhängigkeiten von Firmen und Staaten vermieden werden. Standards müssten gesetzt und konsequent genutzt werden. Statt der Lizenzen sollten Leistungen eingekauft werden und dadurch auch vermehrt vernetzte Open-Source-Produkte entwickelt werden. Dieses Vorgehen sichere den notwendigen Datenschutz und IT-Sicherheit auch langfristig. Um diese Ziele zu erreichen, müssten europäische Allianzen geschmiedet werden.
Neuen Methoden und Anwendungen dürften auch in Zukunft keine Ängste erzeugen. KI ist eine Chance, die in einem geordneten Chaos mit einer ex-post-Regulierung als Regelfall münden könne. Die einzufordernde Dynamik bei der Entwicklung der Cybersecurity müsse der allgemeinen IT-Dynamik gleichwertig sein. Bestehende zu schützende Datensätze müssten nachträglich verschlüsselt werden können und insgesamt müssten Privacy Enhanced Technologies genutzt werden. Insbesondere das Wissen über die Möglichkeiten homomorpher Verschlüsselung müsse deutlich gefördert werden. Buzzword-Hypes seien dagegen keine sinnvollen Ziele. Wichtig sei es, keine Quick-and-Dirty-Lösungen einzusetzen. Statt dessen müssten problemlösende und regelkonforme Umsetzung gefordert werden.
Im Anschluss an den Vortrag kam es zu einer regen Diskussion zwischen Herrn Kelber und den Anwesenden, bei der Herr Kelber auch offene Fragen umfangreich beantwortete. Ein Teilnehmer äußerte den Wunsch, dass Herr Kelber seinen Vortrag wegen der weit über den Datenschutz hinausgehenden Gedanken auch vor einem inhomogeneren Publikum, als dies hier gegeben ist, halten möge. Der Teilnehmer erntete weitgehend Zustimmung.
Dr. Rainer Liedtke