JavaSPEKTRUM: Wie fühlt es sich an als oberster Datenschutzbeauftragter in der Corona Krise?
Kelber: Die Fragestellungen bleiben dieselben wie vor der Krise – allerdings erscheinen sie jetzt wie durch ein Brennglas, weil die Herausforderungen schnell gelöst werden müssen. Dazu zählt beispielsweise Datenschutz by design. Entwickler müssen für jede Lösung das Ziel vor Augen haben und die datenschutzrechtlichen Anforderungen bei jedem Schritt und von vornherein mitberücksichtigen. Dann kann schneller geliefert werden und die Kosten halten sich im Rahmen.
››Datenschutz wird als Bürgerrecht gesehen‹‹
Ist die Corona Tracing App nun eine neue Fragestellung?
Für uns ist sie inhaltlich nicht neu. Die Debatte im Sicherheitsbereich über die Nutzung von Daten aus Mobilfunkzellen gibt es schon lange und auch die Diskussionen über Anonymisierung, Pseudonymisierung oder Darstellung im Klartext. Allerdings haben wir zu Beginn der Planung einer Warn-App die Geeignetheit der Maßnahme infrage gestellt. Der Grund: Daten aus Mobilfunkzellen sind nicht genau genug und deshalb ungeeignet. Damit ist diese Lösung unverhältnismäßig und nicht datenschutzkonform. Die neue Variante mit Bluetooth ist datenschutzrechtlich vertretbar, wenn bestimmte Vorgaben eingehalten werden. Die jetzige dezentrale Variante ist die datenschutzfreundlichere, weil die Daten auf dem eigenen Gerät bleiben – damit weniger potenziellen Angriffen ausgesetzt sind – und sie dem Prinzip der Datenminimierung entspricht. Daher sind wir mit der Entscheidung der Regierung für die dezentrale Lösung sehr zufrieden.
Datenschutz wurde lange als lästig angesehen. Hat sich dasgeändert?
Die BürgerInnen haben ein deutlich gestiegenes Interesse, ihre Rechte im Bereich Datenschutz wahrzunehmen. Datenschutz wird als Bürgerrecht gesehen, das man auch in Bereichen zur Geltung bringt, die früher nicht als problematisch angesehen wurden. Beispiele: An- und Weitergaben von Telefonnummern oder – ganz aktuell in der Krisenzeit – die Listen, die derzeit in Restaurants ausliegen. Es muss klar geregelt sein, was mit diesen Informationen passiert.
Viele Anbieter datengetriebener Services sind unzufrieden. Was beschäftigt Sie dabei?
Das Thema treibt uns vor allem an drei Stellen um: Erstens: Unternehmen, die behaupten, ihr datengetriebenes Geschäftsmodellsei mit der Datenschutz-Grundverordnung (DSGVO) nicht möglich. Aber das stimmt in den allermeisten Fällen nicht. Diese Unternehmen versäumen es nur, Datenschutzaspekte von vornherein miteinzubeziehen.
Zweitens: Geschäftsmodelle, die europäischen Werten widersprechen und bei denen nicht klar ist, welche Daten der Anbieter solcher Produkte oder Services sammelt, wofür er sie einsetzt, wann er diese Daten löscht und wie diese gegebenenfalls korrigiert werden können. Das Beispiel Cookie-Banner zeigt, dass Webseiten-Betreiber, die Cookies installieren und Daten ihrer BenutzerInnen sammeln wollen, das zumindest jetzt zugeben und sich entsprechende Einwilligungen einholen müssen.
Und drittens sind das Entwickler technischer Lösungen, die sich viel zu spät um datenschutzrechtliche Fragestellungen kümmern.
Daten sind das neue Öl: Wird Ihnen bei diesem Satz angstund bange um den Datenschutz?
Personenbezogene Daten haben einen großen wirtschaftlichen Wert. Aber anders als Öl sind personenbezogene Daten keine reine Massenware. Im Gegenteil: Bei personenbezogenen Daten handelt es sich im höchsten Maße um individuelle Informationen. Diese Individualität macht sie wertvoll und deshalb besonders schützenswert. Bei allen datengetriebenen Geschäftsmodellen mit Personenbezug ist es deshalb auch so wichtig, die Interessen des Individuums stets mit zu berücksichtigen. Deshalb sind personenbezogene Daten nicht das Öl, sondern eher das Grundwasser des 21. Jahrhunderts – es muss sauber bleiben und der Zugang muss geregelt sein.
DSGVO: Gibt es ein Zwischenfazit?
Das Zwischenfazit fällt positiv aus. Europaweit gibt es nun vereinheitlichte Rechte. Das ist wichtig für BürgerInnen und für Unternehmen sowie Entwickler technischer Lösungen. Denn es gibt damit neue Betroffenen-Rechte europaweit mit entsprechenden Durchsetzungsmöglichkeiten und bei Zuwiderhandlungen können hohe Bußgelder verhängt werden. Außerdem ist die DSGVO Vorbild für viele neue Datenschutzgesetze weltweit.
Sehen Sie Verbesserungsmöglichkeiten?
Man könnte die Dokumentations- und Informationspflichten entschlacken. Außerdem müsste man das Thema Profilbildung und Herstellerverantwortung weiterentwickeln. Grenzüberschreitende Datenschutzverstöße müssen schneller geahndet werden. Aber trotz kleiner Mängel ist es ein erfolgreiches Modell.
Zeigt es Ihnen, dass man gegen Widerstände durchhalten muss?
Ja, und es zeigt, dass Europa handelt und in der Lage ist, Weltstandards zu setzen. Wir müssen allerdings auch sicherstellen, dass beim Grenzüberschreiten der Daten die Regelungen nicht kompromittiert werden. Wenn ein Land kein vergleichbares Schutzniveau bietet, so müssen über spezifische Vertragsklauseln die Daten europäischer BürgerInnen dort genauso gut geschützt werden.
Das ist in Ländern wie USA und China nicht der Fall?
Kalifornien und New York verschärfen die Regelungen und plädieren für eine US-weite Regelung. Das könnte dann zu einer verbesserten Situation führen. Mit China wird allerdings ein Land immer aktiver, das datenschutzrechtlich und bei der Durchsetzung von Standards eine Blackbox darstellt. Auch ist unklar, was private Unternehmen mit den Daten machen. Mit Video-, Bild-, aber beispielsweise auch mit preisgünstigen DNA-Proben-Diensten, die BürgerInnen nutzen, um Ahnenforschung zu betreiben, haben Firmen und eventuell der chinesische Staat Zugriff auf hochsensibles, sehr umfangreiches Datenmaterial europäischer BürgerInnen.
››Die DSGVO zeigt, dass Europa handelt und in der Lage ist, Weltstandards zu setzen‹‹
Digitale Souveränität Europas: Was bedeutet das für den Datenschutz?
Der Begriff digitale Souveränität ist sehr schillernd. Digitale Eigenständigkeit gefällt mir besser. Hier wäre Europa gut beraten, sie zu etablieren – gerade im Bereich kritischer Kommunikationsmittel wie Mobilfunk, Messenger und Videokonferenzsystemen. Sie sollten den europäischen Regeln voll entsprechen, ohne Nutzungs-, Anmelde- oder IT-Ausstattungsdaten der BenutzerInnen zu sammeln.
Der zweite Bereich, in dem Europa digital eigenständig sein sollte, ist die Künstliche Intelligenz (KI). Dort, wo es um besonders sensible personenbezogene Daten geht, müssen wir uns die Frage stellen: Wo sind die Grenzen herkömmlicher KI, die diese Datenmengen für Training und Analysen braucht? Diese Daten werden grenzenlos verschickt, kopiert, weiter verwertet und zu neuen Zwecken kombiniert. Es könnte sich jedoch eine europäische KI entwickeln, die beispielsweise eher auf verteiltes Lernen setzt. Algorithmen können auch auf der Basis von anonymisierten Daten lernen – oder mit synthetisierten Daten. Softwareentwickler erhalten so datenschutzkonform das nötige Datenmaterial.
››Algorithmen können auch auf der Basis von anonymisierten Daten lernen‹‹
Was wird Sie in den nächsten sechs Monaten besonders beschäftigen?
Wir versuchen weiterhin, die Vorgaben der DSGVO auf europäischer Ebene zu konkretisieren. Insbesondere wünschen wir uns, dass es auch die Möglichkeiten zu Zertifizierungen gibt. Die Grundlagen dafür sind gelegt. Eine Zertifizierung wird dann belegen, dass ein Anbieter eine datenschutzkonforme Lösung entwickelt hat.
Das Interview führte Christoph Witte
