Inter­view mit Daten­schüt­zer Ulrich Kel­ber

„Daten­schutz und Daten­si­cher­heit bedin­gen sich“

Er ist Deutschlands oberster Datenschützer. Ulrich Kelber über die Vorbildfunktion der Datenschutzgrundverordnung außerhalb Europas, fehlende Geschäftsmodelle, die sie als Standortvorteil nutzen – und die Bürokratie seiner eigenen E-Mail-Signatur.

Herr Kelber, seit 24. Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) scharf geschaltet. Wie fällt Ihre Bilanz nach einem Jahr aus?

Ulrich Kelber: Meine Bilanz fällt positiv aus. Das Gesetz hat dazu geführt, dass sich alle Seiten mehr mit Datenschutz auseinandersetzen: Unternehmen, Behörden, Bürgerinnen und Bürger. Die Durchsetzungsmöglichkeiten wurden gestärkt. Die DSGVO entwickelt sich zum Standard für Datenschutz weltweit.

Wir sehen durchaus noch Lücken, zum Beispiel beim Profiling und Scoring. Und wir werden offen über bürokratische Hürden sprechen, insbesondere bei den Informations- und Dokumentationspflichten der Unternehmen. Dort kann es sicher eine Entlastung geben, ohne das Level an Datenschutz zu senken.

Wie hat sich die Zahl der Beschwerden seit Inkrafttreten der DSGVO entwickelt?

Kelber: Bürgerinnen und Bürger setzen ihre Rechte deutlich häufiger um als in der Vergangenheit. Wir registrieren im Vergleich zum Vorjahr monatlich mehr als eine Verdreifachung der Beschwerden. Vor der DSGVO waren es ca. 400 Meldungen, nach dem Stichtag rund 1.300 Meldungen monatlich – allein bei uns. Hinzu kommen noch die Beschwerden bei den Landesdatenschutzbeauftragten. 

 

Von wem kommen die Beschwerden?

Kelber: Hauptsächlich von Bürgerinnen und Bürgern. Wer selbst Daten verarbeitet – Unternehmen und Behörden – meldet Datenpannen. Im Zeitraum von Anwendungsbeginn der DSGVO bis Ende 2018 waren das etwa 7.300 Meldungen. Interessant dabei ist das Spektrum: Es gibt Datenverarbeiter, die alles melden. Andere wägen genau ab, was meldepflichtig ist, und zu guter Letzt gibt es tatsächlich Null-Meldungen. Hier spricht allerdings jede Wahrscheinlichkeit dagegen, dass die Zahl der Pannen wirklich bei Null liegt. Wir werden uns daher ganz genau anschauen, wen wir kontrollieren.  

Wie häufig mussten Sie Bußgelder verhängen?

Kelber: Unser Ziel ist nicht die größtmögliche Zahl von Bußgeldern, sondern die kleinstmögliche Zahl von Datenschutzverstößen. Dieses Ziel erreichen wir am besten durch Beratung. Für unseren Zuständigkeitsbereich – Behörden, gesetzliche Krankenkassen, Telekommunikations- und Postsektor – haben wir bislang keine Bußgelder verhängt.


Waren die Verstöße so geringfügig oder suchen Sie noch nach dem richtigen Maß? Theoretisch sind ja Bußgelder bis zu 20 Millionen Euro möglich.

Kelber: Bußgelder müssen angemessen sein. Bei kleinen und mittelständischen Unternehmen reden wir also grundsätzlich nicht von 20 Millionen Euro. Und wer aus Unwissenheit gegen die DSGVO verstößt, wird weniger zahlen müssen als jemand, der das mit voller Absicht und wiederholt tut.

Derzeit erarbeiten wir sowohl in der Datenschutzkonferenz als auch auf der europäischen Ebene einen gemeinsamen Kriterienkatalog. Vor allem auf europäischer Ebene treffen da jedoch unterschiedliche Rechtstraditionen aufeinander. Einen Bußgeldkatalog wie im Straßenverkehr wird es also nicht geben.  

Aber die Schonzeit für die Unternehmen ist bald vorbei?

Kelber: Es gab und gibt keine Schonzeit. Wir sehen uns schon immer eher als Wildpfleger – aber durchaus mit Jagdlizenz.

Jedes zehnte Unternehmen gibt an, die DSGVO-Anforderungen bislang weder umgesetzt noch dieses vor zu haben. Wie wollen Sie damit umgehen? 

Kelber: Wenn erkennbar ist, dass Maßnahmen erforderlich gewesen wären und willentlich nicht umgesetzt wurden, werden die Bußgelder empfindlich sein. Wer sich so verhält, sollte wissen, dass das gesamte Instrumentarium eingesetzt wird. Grundsätzlich bereiten mir allerdings auch diejenigen Sorgen, die von sich behaupten, alles umgesetzt zu haben. Hier kann es leicht passieren, dass man „betriebsblind“ wird. Wichtig ist es sich ständig neu zu hinterfragen.


Unternehmen berichten von einer präventiven Wirkung der DSGVO auf die IT-Sicherheit. Absicht oder Zufall?

Kelber: Es war zu erwarten, dass mit Einführung der DSGVO auch die Achtsamkeit für IT-Sicherheit wächst. Das ist eine gute Entwicklung. Datenschutz und Datensicherheit bedingen sich und sollten höchste Priorität haben. Wenn ein Unternehmen nicht nachweisen kann, dass es wenigstens die normalsten Sicherheitsvorkehrungen getroffen hat, kann ein erfolgreicher Angriff auch Bußgelder nach sich ziehen. Parallel dazu kann eine erfolgreiche Attacke eine enorme Rufschädigung zur Folge haben. Im Wettbewerb kann das für ein Unternehmen unter Umständen äußerst kritische Folgen haben.

Gleichzeitig monieren vor allem kleinere Unternehmen den enormen bürokratischen Aufwand. Ist die DSGVO zu stark auf die Regulierung der ganz Großen ausgelegt?

Kelber: Nein. Es geht weniger um Größe als vielmehr um Relevanz. Auch ein kleines Unternehmen mit wenigen Mitarbeitern kann gleichzeitig mit unglaublich vielen personenbezogenen Daten arbeiten. Wo es um Informations- und Dokumentationspflichten geht, müssen wir allerdings Verunsicherung und Aufwand reduzieren. Dann wäre zum Beispiel auch meine E-Mail-Signatur um einiges kürzer.

Die Firmen können aber auch von sich aus den Aufwand senken. Als kleines Unternehmen sollte ich meine Prozesse überprüfen: Benötigen tatsächlich so viele Mitarbeiter Zugang zu personenbezogenen Daten, dass ein Datenschutzbeauftragter nötig wird – oder kann ich das nicht anders organisieren?

Im Zuge der Digitalisierung hängen immer mehr Geschäftsmodelle an Daten – für Start-ups ebenso wie bei etablierten Maschinenbauern. Gerät die DSGVO zum Standortnachteil?

Kelber: Keineswegs. Wir haben die glaubhaftesten Datenschutzmodelle. Und mit der DSGVO haben wir einheitliche Regeln für einen Markt mit 500 Millionen Menschen geschaffen. Dieser Markt ist so groß, dass sich alle daran orientieren: Mit Kalifornien und Japan haben wir die ersten, die ähnliche Regelungen einführen. Die USA auf Bundesebene, Brasilien und Mexiko denken darüber nach.

Apple-Chef Tim Cook rühmt den europäischen Datenschutz als globales Vorbild. Ist die DSGVO vielleicht gar zu lasch, wenn selbst Tech-Unternehmer sie loben?

Kelber: Diese Sicht ist mir zu negativ. Unternehmen wie Apple werben inzwischen sogar offensiv mit Datenschutz – als Reaktion auf die DSGVO. Die Praxis dahinter werden wir genau beobachten. In Deutschland vermisse ich Geschäftsmodelle, die unsere Datenschutzstandards als Standortvorteil begreifen. Der Datenschutz sollte nicht zum Elektroauto der deutschen Digitalindustrie werden.

Das Gespräch führte Simon Frost.

Zur Startseite
Auch inter­essant