Niedersächsische Datenschutzbeauftragte: Rüsten für Europa

[IITR – 9.5.17] Die niedersächsische Datenschutzbeauftragte Barbara Thiel (CDU) ist seit Dezember 2015 im Amt. Als Dezernentin für die Region Hannover war sie zunächst für Finanzen, IT und Gebäudemanagement, später auch für Europa, Sicherheit und öffentliche Gesundheit zuständig. 2015 wäre ihre Wahlzeit abgelaufen. Aber schon Ende 2014 kam das Angebot aus der Landesregierung, die Leitung der niedersächsischen Datenschutzbehörde zu übernehmen.

„Ich hatte den Eindruck, dass große Herausforderungen auf mich zukommen werden. Ich sah, dass ich in diesem Bereich in den nächsten Jahren wirklich gestalten und Einfluss nehmen kann“, erzählt sie rückblickend. „Da habe ich mich entschieden eine Aufgabe für acht Jahre zu übernehmen, die mir unglaublich interessant und spannend schien.“ Der Landtag wählte sie einstimmig. Für Thiel war es Reiz, eine „unabhängige oberste Landesbehörde zu leiten“ – und bisher hat sie „noch nicht einen Tag bereut“.

Bislang fiel die niedersächsische Datenschutzaufsicht nicht durch proaktives Handeln auf, da traditionell das Reagieren auf Bürgereingaben an erster Stelle stand. Das möchte Barbara Thiel ändern: Mit der Volkswagen AG beispielsweise hat sie jetzt erstmalig regelmäßige Gespräche vereinbart, bei denen ein Austausch auf Führungsebene über strategische Fragen stattfinden soll. Einen institutionellen Austausch soll es künftig außerdem zwischen dem zuständigen Fachreferat und dem Konzerndatenschutzbeauftragten geben. Damit sollen Fragen datenschutzkompatibler Technikgestaltung bereits im Vorfeld möglicherweise millionenschwerer Entscheidungen geklärt werden können.

In dubio pro Europa

Barbara Thiel will dem Datenschutz „eine starke Stimme verleihen“. Und in ihrer derzeitigen Position als Vorsitzende der Datenschutzkonferenz von Bund und Ländern (DSK) hat sie auch zur Umsetzung der Datenschutz-Grundverordnung in deutsches Recht bereits mehrfach klare Ansagen gemacht. Den von der Bundesregierung vorgelegten Entwurf zu einem neuen Bundesdatenschutzgesetz hält sie gleich in drei wesentlichen Punkten für europarechtswidrig: Dazu gehört die geplante Einschränkung der Betroffenenrechte sowie der Plan, die Zulässigkeit der Verarbeitung von besonders sensiblen Daten wie genetischen oder biometrischen Daten trotz eines klaren Verbots in der Grundverordnung auszuweiten. Schließlich wird der Zweckbindungsgrundsatz nicht ausreichend berücksichtigt.

Korrigiert der Bundestag die Widersprüche zum Europarecht nicht, werden sich die Aufsichtsbehörden in ihren Entscheidungen im Konfliktfall nicht am BDSG orientieren können, warnt Thiel. So sagt sie: „Das Europarecht ist für uns in jedem Fall bindend. Die Aufsichtsbehörden werden sich in ihren Auslegungsprinzipien deshalb an der Datenschutz-Grundverordnung zu orientieren haben.“

Das ist für viele in der Datenschutzszene eine neue Tonlage. Offensichtlich entdecken die Datenschutzaufsichtsbehörden mit der Grundverordnung, was „Unabhängigkeit“ tatsächlich bedeuten kann. Barbara Thiel könnte in diesem spannenden Selbstfindungsprozess eine wichtige Rolle spielen. So sagt sie, dass sie „nicht nur Fälle abarbeiten und die Verwaltung disziplinieren möchte“. Ihr ginge es darum, Denkanstöße zu geben und gestalten zu können. Und nach einem kurzen Moment des Zögerns: „Ich glaube, ich habe auch den Ehrgeiz, etwas zu bewirken – das sage ich jetzt ganz vorsichtig.“

Neue Strukturen für die Datenschutzkonferenz

Als DSK-Vorsitzende will sich Barbara Thiel vor allem darum kümmern, dass Arbeitsprozesse und Organisationsstrukturen der DSK an die Anforderungen der Datenschutzgrundverordnung angepasst werden: „Mit der Grundverordnung kommt eine Welle auf uns zu, deren Höhe wir nicht abschätzen können.“ Dabei verweist sie unter anderem auf die besseren Sanktionsmöglichkeiten im Wirtschaftsbereich, die sie für nötig hält: “Es gibt in der Vergangenheit viele Beispiele dafür, dass Unternehmen sich einfach über unsere Beratung hinweggesetzt haben.” Überdies gäbe es nun auch die Möglichkeit im öffentlichen Bereich, Missstände nicht nur zu beanstanden, sondern eine Klärung auf dem Rechtsweg herbeiführen zu können. Thiel: “Ich finde es gut, dass hier jetzt ein Umdenken stattfinden muss. Ich werde mir nicht von Anfang an eine Rüstung anziehen, da mir an einer Konfliktlösung im Vorfeld gelegen ist. Ich bin aber auch bereit, im Konfliktfall für meine Überzeugungen zu streiten.“

Gleichwohl müssten die Aufsichtsbehörden fachlich und organisatorisch in der Lage sein, die anstehenden Verfahren auch erfolgreich zu führen. „Letztlich stellt sich für uns als kleine Behörde die Frage, wie viel an Know-How vorhanden und wie viele Aktivitäten tatsächlich entwickelt werden können.“

Thiel stellt realistisch fest: „Es ist vor allem eine politische Frage, welche Macht man einer Aufsichtsbehörde wirklich zugestehen will. Uns weht gerade jetzt ein rauer Wind entgegen: Im öffentlichen wie im nicht-öffentlichen Bereich sind Politik und Gesellschaft nicht unbedingt auf unserer Seite.“ In einer Sonderkonferenz der DSK im Juni will Thiel einen ersten Gedankenaustausch mit Wirtschaftsvertretern führen und diesen in einem konstruktiven Dialog fortführen, in dem es auch um die künftigen Erwartungen an die Datenschutzaufsicht gehen wird. Auch aus Sicht der EU-Kommission sei dies wünschenswert, sagt Thiel.

Thiel verweist auf die erst kürzlich von der Datenschutzkonferenz verabschiedete „Göttinger Erklärung“. Darin heißt es: „Datenschutz stellt kein Hindernis für die Digitalisierung dar, sondern ist wesentliche Voraussetzung für deren Gelingen.” Für Thiel ist das wichtig, weil Datenschutz das Vertrauen der Bevölkerung in den sicheren Umgang mit ihren Daten herstellen kann. Sie sagt: „Das ist unsere Aufgabe dafür zu sorgen, Datenschutz durchzusetzen, weil anderenfalls das vorhandene Vertrauen schwindet.“ Thiel hält die Strategie Datenschutz zu einem Qualitätsmerkmal zu entwickeln für den richtigen Ansatz. Denn daraus könne auch die Wirtschaft Wettbewerbsvorteile generieren.

„Shared Services“ für 18 Aufsichtsbehörden

Derzeit diskutieren die Aufsichtsbehörden von Bund und Ländern, ob und wie mit Blick auf die Anforderungen der Datenschutz-Grundverordnung eine Geschäftsstelle der DSK organisiert werden soll: „Wir denken beispielsweise an Dolmetscherdienste. Außerdem wird es künftig viele Fälle geben, in denen neben einer federführenden Behörde mehrere weitere Behörden beteiligt werden müssen. Da wäre es sinnvoll, auf Shared Services zurückgreifen zu können. Für den Sanktionsbereich wäre vielleicht auch ein zentrales Justiziariat sinnvoll und effektiv. “

Eine besondere Herausforderung der Datenschutz-Grundverordnung sieht sie darin, dass Entscheidungen künftig innerhalb kurzer Fristen gemeinsam getroffen werden müssen: „Wir müssen uns auf nationaler Ebene auf eine Form der Entscheidungsfindung einigen. Dabei müssen wir akzeptieren, dass sich nicht jeder mit der eigenen Meinung durchsetzen kann.“ Hierfür müssten auch Geschäftsprozesse optimiert werden.

Innerhalb der Datenschutzkonferenz strebt Thiel eine „Abschichtung“ an: Die Leitungsebene soll sich auf die grundsätzlichen, strategischen Fragestellungen konzentrieren können. Deshalb sollte zuvor ein Gremium, bestehend beispielsweise aus Leitungsvertretern, den operativen Teil abschließend entscheiden können. „Wir müssen auch mal mit wenigen Themen in die Tiefe gehen können – und dann damit anschließend natürlich auch an die Öffentlichkeit.“ Barbara Thiel geht davon aus, dass der bisherige halbjährliche Rhythmus der DSK-Konferenz nicht ausreichen wird und dass wesentlich häufigere Treffen notwendig werden. Nicht immer werden persönliche Treffen notwendig sein, auch Video- und Telefonkonferenzen sollen rasche Entscheidungsklärungen herbeiführen können.

Neuausrichtung oder Aus für den Düsseldorfer Kreis?

Thiel will außerdem klären, welches Verhältnis der Düsseldorfer Kreis, in dem sich die Aufsichtsbehörden zu Fragen des nicht-öffentlichen Bereichs austauschen und koordinieren, zur Datenschutzkonferenz hat, welche sich bisher vornehmlich mit Fragen des öffentlichen Bereichs befasst. Stein des Anstoßes ist unter anderem die Entschließung zur ‚Fortgeltung bisher erteilter Einwilligungen unter der DSVGO‘ vom Herbst 2016. Thiel: „Sie war letztlich nicht hilfreich und hat auf europäischer Ebene zu Irritationen geführt.“ Sie sieht den Düsseldorfer Kreis als „Arbeitskreis sui generis, aber mehr eben auch nicht“.

Thiel will deshalb in nächster Zeit gemeinsam mit den anderen Aufsichtsbehörden klären, welche Funktion dem Düsseldorfer Kreis in Zukunft zukommen soll. „Abschließende Entscheidungen können letztlich nur von der DSK getroffen werden. Für mich braucht der Düsseldorfer Kreis eine grundlegende Neuausrichtung.“ In diesem Zusammenhang müsse auch ein Weg gefunden werden, die Arbeitsgruppen des Düsseldorfer Kreises und die Arbeitskreise der DSK zusammenzuführen: „Es geht insgesamt darum, Hilfestellung, Unterstützung und Orientierung zu geben. Dafür müssen wir uns vernünftige Strukturen schaffen.“ Die Datenschutzgrundverordnung gelte gleichermaßen für den öffentlichen wie für den nicht-öffentlichen Bereich. Entsprechend könne es auch nur ein Gremium geben, das entscheidet.

Schwachstellen in der internen Organisation angehen

Die niedersächsische Datenschutzbehörde wandelt sich seit Thiels Amtsantritt langsam, aber stetig. Sie straffte die Organisation, indem sie zwei Mini-Referate zusammenführte und eine eigene Einheit für Haushalt, Organisation, IT und Personal als Stabsstelle einrichtete. Dienstbesprechungen werden im zweiwöchigen Turnus durchgeführt, alle drei Monate gibt es eine Vollversammlung für alle Mitarbeiter. Außerdem führte Thiel Workshops mit den Referatsleitungen durch, um Themen grundsätzlich aufzuarbeiten. Zuletzt befasste sich ein Workshop mit dem Thema „Change Management“, in dem strukturelle Schwachstellen identifiziert werden sollten. Unter anderem wurden hier Kommunikationsdefizite zwischen Recht und Technik diagnostiziert. „Als ich hergekommen bin, habe ich ein starkes Silo-Denken wahrgenommen. Aber das passt überhaupt nicht in unsere Welt“, erzählt Thiel. „Es ist nie nur ein Referat für ein Thema zuständig, weil Datenschutzthemen immer komplex sind.“

In Sachen Personalausstattung zeigt sich Thiel optimistisch, da der Landtag das Budget in den letzten Jahren ständig aufstockte. Für 2017 und 2018 geht Thiel davon aus, dass sie insgesamt zehn neue Stellen besetzen wird. Dann hätte sie das von Alexander Rossnagel in seinem Gutachten definierte Kontingent erreicht. Seit Mitte 2016 verfügt die Behörde erstmals über ein IT-Labor, das von einem Informatiker betrieben wird, „weil wir selbst mehr nachvollziehen wollen, was aktuell Stand der Technik ist.“ Das Labor soll künftig in einem neuen Referat für Digitalisierungsthemen angesiedelt werden und auch mit den Laboren anderer Aufsichtsbehörden, etwa in Bayern, Hamburg und Hessen kooperieren. Thiel hofft, die Kooperation so gestalten zu können, dass sie wie ein „lernendes System“ funktioniert, das allen zur Verfügung steht. „In diesem neuen Referat wollen wir außerdem mehr Branchen-Know-How generieren, denn ein Unternehmen kann zu Recht von uns erwarten, dass wir die Geschäftsmodelle kennen und nicht erst im konkreten Fall kennenlernen.“

Eine Statistik über Eingaben und Bußgeldbescheide führte die niedersächsische Datenschutzaufsicht bis zum Jahr 2015 nicht. Barbara Thiel änderte dies jedoch, womit für das Jahr 2016 erstmals Zahlen vorliegen: In diesem Jahr gingen 1785 schriftliche Bürgereingaben ein. Außerdem wurden insgesamt 18 Bußgeldbescheide mit einem durchschnittlichen Bußgeld in Höhe von 1.188,24 Euro erteilt. Die Bandbreite lag dabei zwischen 175 und 6.000 Euro.

Autorin:
Christiane Schulzki-Haddouti

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.