„Wahnsinnige Sammelwut“
Bundesdatenschützer Ulrich Kelber spricht über Auswüchse bei der Vorratsdatenspeicherung, Alternativen zu Whatsapp und die Bedrohung durch Huawei.
Herr Kelber, es tobt eine heftige Debatte über die Beteiligung von Huawei an der 5G-Auktion. Welche Position vertreten Sie denn: Zulassen oder raushalten?
Das entscheidet die Politik. Die Expertise liegt hier beim Bundesamt für Sicherheit in der Informationstechnik und bei der Bundesnetzagentur. Nach meinem Wissen gibt es allerdings bisher keine gesicherten Erkenntnisse, dass die vermuteten Backdoors (Hintertür, über die sich ein Angreifer Zugriff auf Software oder Hardware verschaffen kann, d. Red.) auch tatsächlich existieren. Abgesehen davon finde ich es interessant, dass gerade die Amerikaner, die beim Thema Backdoors sozusagen im Glashaus sitzen – wir erinnern uns an vergleichbare Vorgänge beim Unternehmen Cisco –, hier die Hauptankläger sind. Die ganze Diskussion macht aber mehr als deutlich: Europa muss in bestimmten Bereichen sowohl bei der Hard- als auch bei der Software technologische Autonomie entwickeln und darf nicht auf Produkte aus anderen Staaten angewiesen sein.
Ein weiteres heißes Thema sind die Aktivitäten von Facebook bei der Zusammenführung von Daten. Das Bundeskartellamt hat dem einen Riegel vorgeschoben. Facebook geht nun dagegen vor. Auf welchen Ausgang hoffen Sie?
Ich fand die Entscheidung des Kartellamts wegweisend. In der Regel sind solche Beschlüsse sehr gründlich vorbereitet und haben dann auch vor Gericht Bestand.
Ist der Datenschutz Konzernen wie Facebook überhaupt gewachsen?
Das glaube ich schon. Facebook würde gegen die Entscheidung des Kartellamts nicht vorgehen, wenn sich das Unternehmen nicht von ihr bedroht fühlen würde. Wir merken auch an anderen Stellen, dass Facebook durchaus Angst vor den potenziellen Auswirkungen des europäischen Datenschutzes auf sein Geschäftsmodell hat. Und dabei geht es nicht nur um die unmittelbare Durchsetzung des europäischen Rechts. Dieses dient nämlich mittlerweile auch für viele Länder außerhalb der Europäischen Union als Vorbild. In Kalifornien entsteht gerade ein Gesetz in Anlehnung an die Datenschutzgrundverordnung. Ein weiteres Beispiel dafür, dass der Datenschutz sich nicht vor großen Unternehmen verstecken muss, findet sich aktuell in Frankreich. Hier betrachtet der Staat die datenschutzrechtlichen Diskussionen um Whatsapp als so kritisch, dass man lieber auf das quelloffene System „Matrix“ zurückgreifen möchte, um einen eigenen Messengerdienst zu entwickeln und diesen dann auch nach außen zu öffnen. Das hiervon ausgehende Signal an die Bevölkerung ist nicht zu unterschätzen: Wenn Ihr mit uns, dem Staat, über ein System kommunizieren wollt, aus dem keine Daten abfließen, dann nehmt dieses.
Für Aufsehen sorgte jüngst auch der Hackerangriff eines Schülers, der Parlament und Sicherheitsbehörden vorgeführt hat. Der vorherrschende Eindruck war: Wenn ein Schüler das kann, dann können das Geheimdienste erst recht.
Ich habe den Angriff – so erheblich er im Ergebnis auch für die Betroffenen war – quantitativ als eher kleineren Angriff wahrgenommen. Allerdings hat er nur Politiker und Personen des öffentlichen Lebens getroffen und dort speziell solche, die sich gegen rechtspopulistische Aktivitäten gewandt haben. Es war somit also auch ein Angriff auf Kräfte einer freiheitlichen Demokratie. Hierdurch wurde sicherlich die Sensibilität für das Thema erhöht – nicht nur bei den Betroffenen, sondern auch in der allgemeinen Öffentlichkeit.
Bei manchen Betroffenen heißt es, sie hätten sich nicht ausreichend geschützt.
Das mag für manche gelten. Ich kenne aber auch einige digitalaffine Abgeordnete, die alle möglichen Sicherheitsmaßnahmen ergriffen haben und von denen trotzdem relevante Daten abgeflossen sind. Sehr bedenklich war zudem, dass sie in ihrem Bemühen, wieder die Kontrolle über ihre Daten zu erlangen, von Dienstanbietern zum Teil regelrecht behindert wurden. Insofern hat der Vorfall belegt, dass guter Selbstschutz wichtig ist, aber alleine oft nicht reicht. Auch viele Anbieter müssen ihre Sicherheitsvorkehrungen verstärken. Es kann nicht sein, dass es da im Sinne des Bedienungskomforts einen Wettbewerb nach unten gibt. Und zu guter Letzt muss auch der Staat seine Schutzanstrengungen verstärken. Das funktioniert nur als Konzert.
Welche Rolle haben Sie dabei?
Uns liegt daran, dass wir Datenschutzbehörden bei solchen Vorfällen schneller eingebunden werden. Denn wir haben bestimmte Möglichkeiten und Expertisen, die die Sicherheitsbehörden in dieser Form nicht haben. Das fängt bei der Information von Betroffenen an, die so erfolgen muss, dass hierdurch nicht selbst wieder neue Datenschutzprobleme entstehen. Zudem können wir im Rahmen unsere aufsichtsrechtlichen Kompetenzen zum Beispiel Dienstanbietern Weisungen erteilen und so dabei mitwirken, Datenschutzverstöße von Anfang an bestmöglich einzudämmen.
Wie verletzlich ist die Politik gegenüber solchen Angriffen?
Es besteht immer die Gefahr, dass Schwachstellen gesucht werden, um an Informationen zu gelangen oder Druck auszuüben. Ich sehe hier aber keinen großen Unterschied zu anderen Staaten.
Und was ist mit Fake News, Social Bots und der möglichen Manipulation von Wahlen?
Da muss man gucken, ob man bei der Regulierung mehr machen kann – ebenso bei Schulung und Information. Aus datenschutzrechtlicher Sicht liegt der Fokus hier weniger auf den Bots als vielmehr auf den Betreibern der Plattformen und ihren Möglichkeiten, die Daten ihrer Nutzer Dritten zur Verfügung zu stellen. Wird hier eine rechtswidrige Weitergabe unterbunden, kann dies auch ein wichtiger Beitrag sein.
Wie ist Ihre eigene Agenda für die kommende Amtszeit?
Sie hat ja gerade erst begonnen. Ein wichtiges Thema ist sicherlich die Durchsetzung des neuen europäischen Datenschutzrechts in der Praxis. Zudem steht – obwohl die Datenschutzgrundverordnung noch nicht einmal seit einem Jahr Anwendung findet – 2020 schon ihre erste Evaluierung an. Dabei dürfen wir das Feld nicht nur den Gegnern des Datenschutzes überlassen, die von Entbürokratisierung sprechen, in Wirklichkeit damit aber eine Schwächung des Datenschutzes meinen. Wir müssen vielmehr eigene Vorschläge machen. Dabei sehe ich sicherlich Möglichkeiten, den Kritikern der vielen Formerfordernisse in der Datenschutzgrundverordnung ein Stück weit entgegen zu kommen. Auf der anderen Seite brauchen wir aber auch klarere Regelungen zum Profiling und Scoring. Es vergeht schließlich kein Tag, an dem nicht jemand die Öffnung existierender Daten für weitere Zwecke oder die Verknüpfung bisher getrennter Daten fordert. Andere Daten werden teilweise jahrzehntelang nicht gelöscht. Es gibt eine wahnsinnige Datensammelwut.
Wie oft legen Sie gegen die Datensammelwut Widerspruch ein?
Laufend. Nehmen Sie nur die Vorratsdatenspeicherung als Beispiel. Gerade bei den Sicherheitsbehörden müssen wir immer wieder darauf hinwirken, dass die Tendenz, möglichst viele Daten weitgehend verfügbar zu haben, nicht die Vorgaben des Datenschutzrechts sprengt. Dann gibt es noch übergreifende Themen wie Big Data und Künstliche Intelligenz. Dabei steht unter anderem die Frage im Raum, wie hier anfallende Daten ausgewertet und weiter verwertet werden. Sie sehen: Uns geht die Arbeit nicht aus.