Datenschutz-Aufsicht Bremen: Spitze Impulse aus dem Norden

[IITR – 23.8.17] „Ein Miniland kann nicht alles allein machen“, sagt die Verwaltungsjuristin Imke Sommer. Seit 2009 ist sie Bremer Landesdatenschutzbeauftragte und wurde Mitte Juni diesen Jahres von der Bremischen Bürgerschaft einstimmig im Amt bestätigt. Sommer hat sich in ihrem Studium auch mit Verfassungsrecht und Rechtsphilosophie befasst und wie der Hamburgische Datenschutzbeauftragte Johannes Caspar bei Ralf Dreier promoviert. In ihrer Promotion beschäftigte sie sich mit feministischer Rechtstheorie. Danach war sie als Referentin der SPD-Landtagsfraktion in Schleswig- Holstein tätig, danach wurde sie Referentin der Senatorin für Finanzen der Freien Hansestadt Bremen.

Die Wiedergewinnung von Steuerungsmöglichkeiten

Das Grundrecht auf informationelle Selbstbestimmung drückt sich für Sommer in der „Wiedergewinnung von Steuerungsmöglichkeiten“ aus. „Es ist ein kommunikatives Grundrecht: Ich will meine Kommunikation gezielt steuern, will, dass nur bestimmte Personen etwas von mir wissen und andere nicht.“ Die Hauptmotivation für die Datenschutzgrundverordnung sei für die europäischen Akteure gewesen, das Vertrauen in das Internet wieder zu erhöhen. „Das kann aber nur gelingen, wenn die Rechte der Menschen tatsächlich geschützt werden. Immerhin besteht das gegenwärtig vorhandene Misstrauen ja zu Recht“, betont Sommer.

„Dass der Anbieter der Plattform, derer ich mich bediene, mehr mit den Informationen macht, als ich will, und ich nur nach der Friss-Vogel-Oder-Stirb-Logik meine vermeintliche Zustimmung geben konnte, ist nicht Ausdruck meine Selbstbestimmung!“, stellt Sommer fest. „Wenn etwas bei der Datenverarbeitung schiefgeht, liegt es also vor allem an denjenigen, die die Daten ohne hinreichende Rechtsgrundlage verwenden! Und auch daran“, fügt sie hinzu, „dass es uns Aufsichtsbehörden gegenwärtig noch nicht gelingen kann, die Rechtmäßigkeit der Dienste flächendeckend sicherzustellen.“ Sommer „freut sich“ deshalb auf „die drastischen Bußgelder, die wir ab Mai 2018 verhängen dürfen und darüber, dass sich Firmen, die mit den Daten der Menschen in Europa Geld verdienen wollen, an europäisches Recht halten müssen.“

Diskussion um die „Datensouveränität“

Den aktuellen Versuch, die Weite des Grundrechts auf informationelle Selbstbestimmung durch das Prinzip der Datensouveränität zu ersetzen, hält sie im Übrigen für einen Verstoß gegen Grundgesetz und Europäische Grundrechtecharta. „Das Grundrecht auf informationelle Selbstbestimmung hat einen weiten Schutzbereich. Eingegriffen wird darin schon, wenn die Menschen das diffuse Gefühl des Beobachtetseins haben, das das Bundesverfassungsgericht im Vorratsdatenspeicherungsurteil ins Spiel gebracht hat. Sogar dann, wenn uns unser Gefühl trügt und uns tatsächlich niemand beobachtet, sind wir also schon in unserer Grundrechtsausübung beeinträchtigt. Schon wenn ich im Parkhaus deshalb nicht in der Nase bohre, weil ich glaube, dass es sich bei der Kamera-Attrappe um eine echte Kamera handelt, hat das etwas mit dem Grundrecht zu tun. Das heißt noch nicht, dass die Attrappe rechtswidrig ist. Aber weil schon der Anschein der Beobachtung bei uns Verhaltensänderungen bewirkt, müssen auch die Gründe, Attrappen aufzuhängen, rechtlich tragen.“

Die jetzt geführte Diskussion um die so genannte Datensouveränität definiert laut Sommer aber die informationelle Selbstbestimmung in ein Recht mit einem viel kleineren Umfang um: „Das ist nichts als eine pauschale Rettungsaktion für alle nur denkbaren Big-Data-Geschäftsmodelle. Darüber, wie wir die Kollision zwischen der gesellschaftlich gewollten Digitalisierung und der informationellen Selbstbestimmung der Einzelnen lösen wollen, müssen wir alle gemeinsam diskutieren, bevor der Gesetzgeber für uns entscheidet. Probleme können nicht gelöst werden, indem sie einfach wegdefiniert werden.“ Die in dieser Diskussion diabolisierte Datenminimierung gehöre nach der Datenschutzgrundverordnung zu den unhintergehbaren Grundsätzen. Sommer: „Wenn eine Firma gegen diesen Grundsatz verstößt, muss sie mit Bußgeldern bis zu 4 Prozent ihres weltweit erzielten Jahresumsatzes rechnen. Das steht mit Erlass der Datenschutzgrundverordnung fest.“ Daran könnten die nationalen Gesetzgeber nicht rütteln, so gerne sie es vielleicht wollten.

Die Messlatte, an der sich die Rechtmäßigkeit der Big-Data-Anwendungen bestimmen lässt, ist für Sommer die Wiedergewinnung von Steuerungsmöglichkeiten. Dafür sei zu allererst die Transparenz über die eingesetzten Algorithmen erforderlich: „Um entscheiden zu können, welche Nutzung unserer Daten in Ordnung ist und welche nicht, müssen wir die wesentlichen Eigenschaften der vermeintlich smarten Scorings kennen, welche die überall über uns zusammengesammelten Daten interpretieren.“ Es reiche nicht, dass der Bundesgerichtshof den Menschen das Recht attestiert hat, zu wissen, welche ihrer Daten in die Algorithmen eingehen.

Sommer fordert: „Wir müssen zusätzlich erfahren dürfen, ob wir eine Wohnung nicht mieten dürfen, weil wir in einer bestimmten Gegend wohnen, ob wir einen Kleinkredit nicht bekommen, weil wir bestimmte Menschen kennen, und ob wir einen hohen Preis für Güter bezahlen müssen, weil wir bestimmte Angewohnheiten haben. Nur, wenn wir unzulässige Verknüpfungen kennen, können wir sie zurückweisen.“ Dies reflektiere auch die Datenschutzgrundverordnung mit der Forderung nach aussagekräftigen Informationen über die involvierte Logik der Algorithmen.

„Aufsichtsbehördliche Maßnahmen wirken“

Sommer ist der festen Überzeugung, dass sich die aufsichtsbehördliche Arbeit auszahlt: „Ein großer Teil der im aktuellen Tätigkeitsbericht aufgelisteten Beispiele dokumentiert Fälle, in denen es gut ausgegangen ist für die informationelle Selbstbestimmung: Die Videokamera im Großraumbüro ist abgebaut, der Zugriff auf den digitalen Ordner mit den Personalvorgängen beschränkt und die automatisierte Weiterleitung von Unfalldaten an die allgemeine Datenbank der Versicherungswirtschaft gestoppt.“

Für die Menschen lohne es sich, rechtswidrige Datenverarbeitungen nicht einfach hinzunehmen, meint Sommer: „Manchmal hilft den Datenverarbeitern schon ein Brief mit dem Logo der Landesbeauftragten für Datenschutz auf die Sprünge.“ Gelegentlich gehe die Wirkung ihrer Aufsichtspraxis über das kleine Land Bremen hinaus. So verkaufe das Norddeutsche Apothekenrechenzentrum Abrechnungsdaten jetzt nur noch ohne die Daten der Patientinnen, Apotheker und Ärztinnen.

„Aufsichtsbehördliche Maßnahmen wirken“, sagt Sommer – und die Aufsichtsbehörden könnten viele gemeinsame Erfolgsbeispiele vorweisen. Dazu gehöre, dass es in Europa keine Gesichtserkennung bei Facebook gebe. Der Hamburgische Datenschutzbeauftragte Johanes Caspar hatte eine Anordnung geschrieben, die wie die bremische auch einige andere deutsche Aufsichtsbehörden gerade als Muster für ihre Länder verwenden wollten, als Facebook einen Tag vor dem Ende der Rechtsbehelfsfristen die Gesichtserkennungsdatenbanken für ganz Europa löschte. Sommer: „Facebook merkte, dass das nicht durchzuhalten war. Das Recht am eigenen Bild ist in Europa stark verinnerlicht. Es war klar, dass die Menschen das nicht wollten.“

Über ihr Selbstverständnis als Behördenleiterin sagt sie: „Ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung ist nicht in jedem Fall eine Verletzung, er lässt sich einmal mit Einwilligungen rechtfertigen oder der Gesetzgeber kann als Akt der kollektiven informationellen Selbstbestimmung für uns entscheiden, dass der Eingriff gerechtfertigt ist. Wir Datenschutzbeauftragten müssen deshalb alles in Bewegung setzen, den Gesetzgeber vorher richtig zu beraten. Das verabschiedete Ergebnis müssen wir dann aber – jedenfalls bis zur eventuellen Aufhebung durch das Bundesverfassungsgericht oder den Europäischen Gerichtshof – akzeptieren.“

Dieses Bewusstsein der Wertschätzung des demokratisch legitimierten Gesetzgebers schlägt sich auch direkt auf der Website der Bremer Datenschutzbeauftragten nieder: So wird hier nicht nur der jährlich Ende März veröffentlichte Tätigkeitsbericht verlinkt, sondern auch die darauf bis Ende August erfolgende Stellungnahmen des Senats sowie den abschließenden Bericht des zuständigen Ausschusses der Bremischen Bürgerschaft. „Oft kann man dann sehen, dass sich bis Herbst schon einige Kritikpunkte erledigt haben. Was übrig bleibt, wird dann wieder im nächsten Tätigkeitsbericht aufgegriffen,“ erzählt Sommer und sagt: „Diese Art von Dokumentation ist für mich ein wichtiges Steuerungsinstrument.“

Der Staat soll seine Software selbst entwickeln – Stichwort Dataport

Die Hansestadt Bremen lässt sich ihren Sonderstatus als Bundesland etwas kosten: Mit knapp 13 laut Landeshaushalt zugestandenen Personalstellen ist ihre Datenschutzbehörde gleichauf mit dem Saarland. Doch wie im Saarland köchelt die Behörden seit ihrem Bestehen auf Sparflamme. Kooperation mit den anderen ist daher groß angesagt. In Bremen sind das traditionell die anderen Nordländer, wobei sich die Kommunikation in Sachen Datenschutz oftmals rund um Dataport dreht.

Dataport ist der öffentlich-rechtliche Informations- und Kommunikations-Dienstleister, den sich die öffentlichen Verwaltungen der vier Länder Schleswig-Holstein, Hamburg, Bremen, Sachsen-Anhalt gemeinsam mit den Steuerverwaltungen in Mecklenburg-Vorpommern und Niedersachsen leisten. Rund 2.500 Mitarbeiter hat die Anstalt öffentlichen Rechts, im vergangenen Jahr erzielte sie einen Umsatz von rund 500 Mio. Euro. Dort treffen die Landesdatenschutzbeauftragten mit Johann Bizer auf einen Vorstandsvorsitzenden, der als früherer stellvertretender Leiter des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein und ehemaliger Mitherausgeber der Datenschutzzeitschrift DUD als ausgemachter Datenschutzexperte gilt.

„Die Argumentation beginnt auf einem ganz anderen Niveau“, sagt Sommer. „Wenn wir mit Dataport Kriterien der Mandantentrennung diskutieren, können wir gleich zur Sache kommen. Das heißt aber leider nicht, dass wir immer einer Meinung wären. Gerade die Frage, ob die Kriterien tatsächlich eingehalten werden, beantworten wir häufig genauso wie andere datenschutzrechtliche Fragen ganz anders als Dataport und die Trägerländer.“ Sommer hat ab 2004 den Beitritt Bremens zu Dataport aus dem IT-Referat der Senatorin für Finanzen der Freien Hansestadt Bremen heraus begleitet.

Was die Rechtsform der Anstalt öffentlichen Rechts anbelangt, zeigt sich die Bremer Datenschutzbeauftragte als regelrechter Dataport-Fan: „Allein die Tatsache, dass es ein nach öffentlichem Recht funktionierender Anbieter ist, der dem Prinzip der Gesetzmäßigkeit der Verwaltung unterliegt, ist ein Qualitätsgewinn für den Datenschutz. Das Unternehmen wird sowohl über Verträge als auch über Verwaltungsrat und Träger-Versammlung gesteuert, die Vorgaben machen kann. Wenn es uns als Datenschutzbeauftragten gelingt, unsere Länder dazu zu bringen, dass sie hohe Sicherheitsanforderungen stellen, wird es einfacher für Dataport, weil die Anforderungen einheitlich sind. Und für die Länder wird es dadurch wieder insgesamt günstiger.“

Ganz rund läuft es aber mit der Einbindung der Datenschutzbeauftragten nicht: So richteten die Länder Bremen, Hamburg und Schleswig-Holstein eben erst ein gemeinsames „Data Center Polizei“ bei Dataport ein. Eine strikte Mandantentrennung wurde vor rund zwei Jahren vereinbart. Außerdem sollte ein “Gremium der Auftraggeber” gebildet werden, “das dauerhaft die Aufgabe eines gemeinsamen Datenschutz- und IT- Sicherheitsmanagements für das Data Center Polizei wahrnimmt”. Es soll auch für die Beauftragung von gemeinsamen Sicherheitsmaßnahmen und die Kontrolle ihrer Umsetzung verantwortlich sein. Erst auf Nachfrage der Autorin beim Hamburgischen Datenschutzbeauftragten stellte sich heraus, dass die Polizei inzwischen das Data Center in Betrieb genommen hat – ohne aber die Landesdatenschutzbeauftragten ausdrücklich über die Inbetriebnahme zu informieren. Rein rechtlich sind sie dazu auch nicht verpflichtet. Bei einer auch atmosphärisch guten Zusammenarbeit hätte man jedoch zumindest von einer kurzen Benachrichtigung ausgehen können.

Auf Nachfrage erfuhr Imke Sommer, dass inzwischen zwei Gremien gebildet wurden: Die AG ISMDCP, ein Zusammenschluss der IT-Sicherheitsbeauftragten der Dataport-Trägerländer sowie das KG DCP, ein Koordinierungsgremium, in dem sich die “UA IUK”- Gremienmitglieder der Dataport-Trägerländer zusammengeschlossen haben. Die Landesbeauftragten der Länder gehören den Gremien jeweils nicht an. Eine stichprobenartige Prüfung fand zuletzt im Jahr 2015 statt. Auf die Frage, wann dann die nächste Prüfung stattfinden soll, antwortet sie lieber nicht.

Sparsame Prüfpraxis

Die Bremer Aufsichtsbehörde führt aus Kapazitätsgründen nur wenige anlasslose Prüfungen durch. Sommer glaubt, dass ein Großteil der Missstände durch die Bearbeitung der Bürgereingaben ans Licht kommt. Bremen hat sich an der gemeinsamen Prüfaktion von zehn Bundesländern zu grenzüberschreitenden Datenübermittlungen beteiligt. In Bremen sollen deshalb jetzt 16 weitere Unternehmen die Fragen zu grenzüberschreitenden Datenübermittlungen von Kundendaten und Beschäftigtendaten beantworten, nachdem im Anschluss an das Urteil des Europäischen Gerichtshofs im Mai 2016 bereits 29 in Bremen ansässige Unternehmen zu transatlantischen Datenübermittlungen befragt worden waren.

Als problematisch empfindet Imke Sommer den Personalabbau in der öffentlichen Verwaltung in den letzten Jahren: „Da ging viel Know-How verloren. Teilweise können gesetzliche Aufgaben nicht mehr erfüllt werden, wie etwa die Erstellung von Datenschutzkonzepten.“ Deshalb ist sie auch froh, dass zumindest in ihrer Behörde das Personal mit 13 Vollzeitäquivalenten bzw. 16 Köpfen in etwa stabil blieb. „Aber selbst das Halten des Status Quo ist in einem Haushaltsnotlageland jedes Mal ein riesiger Kraftakt,“ sagt sie.

 

Bremen unterhält unter anderem ein IT-Team mit fünf Personen, die sich zum Teil sowohl mit Technik und als auch mit Recht befassen. Sommer: „Eine doppelte Qualifikation ist wichtig, weil fast alle Datenschutzprobleme einen rechtlichen und einen technischen Aspekt aufweisen. Wir haben zwar kein eigenes IT-Labor, aber wir können selbst Daten vor Ort sicherstellen.“

In Bremen stieg die Zahl der Bürgereingaben um rund 25 Prozent in den letzten fünf Jahren an, wobei sich die Eingaben zur Videoüberwachung in den letzten fünf Jahren fast verdoppelt haben.

Impulsgeberin für Safe Harbor-Debatte

Typisch für die Bremer Aufsichtsbehörde ist, dass sie von ihren Ressourcen her zwar relativ wenige Unternehmen beraten und prüfen kann, aber wie jedes andere Bundesland für eine definierte Verwaltungsstruktur zuständig ist. Imke Sommer sagt, dass sie noch immer von der Zeit profitiert, als Bremen den Vorsitz in der Datenschutzkonferenz hatte. In dieser Zeit kamen die ersten Snowden-Enthüllungen und Sommer reagierte damals rasch: In einer gemeinsamen Pressemitteilung stellte sie gemeinsam mit den anderen Datenschutzaufsichtsbehörden fest, dass Safe Harbor nicht mehr Grundlage für den transatlantischen Datenverkehr sein könne.

Dieser Standpunkt wurde vom LIBE-Ausschuss im Europäischen Parlament aufgegriffen und Sommer hatte danach viele Anrufe von US-Journalisten. Noch in der Zeit des Konferenzvorsitzes hat sie in Bremen ein Verfahren gegen ein Unternehmen in Gang gesetzt, das „Safe Harbor“ als Grundlage für seinen Datenverkehr hatte. Letztlich kam es jedoch zu keinem Verbot des Transfers, da im Oktober der Europäische Gerichtshof in dem von Max Schrems angestrengten Verfahren „Safe Harbor“ für nichtig erklärte und das betroffene Bremer Unternehmen bereits einen Tag nach der Urteilsverkündung auf die EU-Standardvertragsklauseln umgeschwenkt hatte. Diese Lösung hält Sommer für noch immer besser als jede Angemessenheitsentscheidung der Kommission, da die Vertragspartner „dafür immerhin schon mal miteinander über den Schutz personenbezogener Daten reden müssen“.

Sommer betont, dass es keine Rolle spiele, welcher Partei eine Datenschutzbeauftragte angehört: „Wenn eine Juristin datenschutzrechtliche Probleme durch die Verfassungsbrille sieht, und genau das ist ja unser Job, ist es unmöglich zu anderen Positionen zu kommen, dann gibt es zwischen uns nur noch marginale Unterschiede.“ Für die Bund-Länder-Kooperation sei nicht das Parteibuch entscheidend, sondern die richtige Organisation. Das sei auch in der Vergangenheit in Sachen Safe Harbor gut umgesetzt worden. So hatten die Bundesdatenschutzbeauftragte Andrea Voßhoff und der Hamburgische Landesdatenschützer Johannes Caspar darauf bestanden, dass sie für die Verhandlungen in Brüssel vorformulierte Mandate erhalten, die auch einem dynamischem Verhandlungsverlauf Stand halten würden. Damals wurde ein Abstimmungsverfahren unter den Aufsichtsbehörden etabliert, bei dem diese sich auf eine Position und damit auf das Mandat verständigen. Dieses kommt jetzt in der Datenschutzkonferenz zur Anwendung, wenn diese Positionen für die Unterarbeitsgruppen der Artikel-29-Gruppe fortentwickelt.

Autorin:
Christiane Schulzki-Haddouti

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.