© everythingpossible, 123rf

Der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hat zum Jahreswechsel beim 36. Chaos Communication Congress in Leipzig einen Ausblick auf die anstehenden Herausforderungen beim Datenschutz gegeben und warb bei den anwesenden Hackern um Zusammenarbeit “auf der hellen Seite der Macht”.

Nicht Daten seien der Rohstoff des 21. Jahrhunderts, sondern Vertrauen, sagte Ulrich Kelber auf dem 36. Chaos Communication Congress in Leipzig [1]. Die Weiterentwicklung der künstlichen Intelligenz und die Bedürfnisse der Sicherheitsbehörden dürfen nach Ansicht des Bundesdatenschutzbeauftragten nicht zu Lasten der Privatsphäre von Nutzern gehen.

Kelber warnte vor einem “hysterischen Wettlauf um immer neue größere Eingriffsbefugnisse von Sicherheitsbehörden”. Darüber hinaus plädierte er für die Möglichkeit, künftig Algorithmen mit “unvertretbarem Schädigungspotenzial” zu verbieten, was zuletzt auch die Datenethikkommission gefordert hatte. Das betreffe nicht nur automatische Waffensysteme oder den Hochfrequenzhandel, so Kelber, sondern auch die Erstellung von Persönlichkeitsprofilen.

Der Diplominformatiker und frühere SPD-Bundestagsabgeordnete Kelber (Abbildung 1) leitet seit Anfang 2019 die oberste deutsche Bundesbehörde für den Datenschutz (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, BfDI [2]). Im Gegensatz zu seiner Vorgängerin Andrea Voßhoff (CDU) bringt er sich deutlich pointierter in die Datenschutzdebatten ein. In dieser Funktion warnte Kelber beispielsweise vor der Einführung von Upload-Filtern [3] zum Schutz vor Urheberrechten und forderte ein endgültiges Aus für die Vorratsdatenspeicherung.

Abbildung 1: Der Bundesdatenschutzbeauftragte Ulrich Kelber beim 36C3 in Leipzig. Quelle: Friedhelm Greis, Golem.de

Frust über Entscheidungsstau in Irland

Bei Amtsantritt hatte Kelber angekündigt, sich beim Datenschutz auch “die Großen” vorknöpfen zu wollen. Doch gerade hinsichtlich von IT-Konzernen wie Google, Amazon, Facebook, Apple und Microsoft sind ihm rechtlich die Hände gebunden: Die EU-Datenschutzgrundverordnung (DSGVO) sieht vor, dass die Datenschutzbehörde desjenigen Staats zuständig ist, in dem das Unternehmen seinen europäischen Hauptsitz hat. “Ich bedauere jeden Tag, dass wir noch keine Entscheidung zu einem der großen Datenschutzverstöße auf europäischer Ebene getroffen haben”, sagte Kelber. Er dringe bei jedem Treffen des Europäischen Datenschutzausschusses darauf, dass die zuständigen Datenschutzbehörden aus Irland und Luxemburg eine Entscheidung vorlegten.

Mit Blick auf die umstrittene Datensammelpraxis von Microsoft beim Betriebssystem Windows 10 warb Kelber dafür, die Verantwortung für den Umgang mit personenbezogenen Daten nicht nur den Anwendern zuzuweisen, sondern auch den Softwareherstellern: “Ich glaube, dass wir die Hersteller stärker in die Verantwortung nehmen müssen.” Die müssten sich technisch an dieser Stelle weiterbewegen.

Hacker sollen zum BfDI kommen

Kelber verwies darauf, dass die Entscheidungen aus Irland oder Luxemburg nicht bindend seien, sodass die Datenschutzbehörden der übrigen Staaten sie überstimmen könnten. Damit könnten einzelne Staaten Entscheidungen zum Schutz der eigenen Wirtschaft noch abändern. Kelber hat den Iren nach eigenen Angaben sogar die Übernahme von Fällen angeboten, da der dortigen Datenschutzbehörde die personellen Kapazitäten fehlten, um die Themen schnell zu bearbeiten.

Die Bundesdatenschutzbehörde dagegen kann sich über mangelnde finanzielle Mittel derzeit nicht beklagen. Kelber warb bei den versammelten Hackern ausdrücklich dafür, sich beim BfDI zu bewerben. “Wir würden gerne viele von Ihnen als Mitarbeiterinnen und Mitarbeiter gewinnen; es ist schön auf der hellen Seite der Macht”, lockte Kelber. Er kündigte an, vor allem im Sicherheitsbereich Personal aufstocken zu wollen.

Überwachungsgift ist spürbar

Viel zu tun dürfte es künftig in der Debatte um den Einsatz von KI geben. Kelber plädierte in diesem Zusammenhang für einen europäischen Weg, um sich vom Überwachungskapitalismus der USA und den staatlichen Überwachungssystemen wie in China abzusetzen. “Auch wenn das keiner in Europa will, glaube ich, dass dieses Überwachungsgift durchaus in unser System träufelt, von Tag zu Tag”, warnte Kelber. Das zeige sich darin, dass man Daten sammle, weil die Möglichkeiten zum Erfassen und Speichern immer unaufwendiger, effektiver und billiger würden.

Dieses Gift sei bereits zu spüren, wenn in der politischen Debatte die Geschäftsmodelle von Verlagen Vorrang vor der Unverletzlichkeit der Privatsphäre von Bürgern erhielten oder wenn in der Diskussion um zusätzliche Befugnisse von Sicherheitsbehörden Sicherheit vor Freiheit gesetzt werde. In diesem Zusammenhang warnte der Bundesdatenschutzbeauftragte davor, sich vom Prinzip der Datenminimierung oder Datensparsamkeit zu verabschieden. Es werde aus allen Ecken angegriffen, sagte Kelber, auch von Bundesministern und von Bundeskanzlerin Angela Merkel (CDU). Dies könne jedoch auch aus Unverständnis erfolgen.

Konzerne betteln um Regulierung

Der Begriff bedeute keine Datenarmut oder die Pflicht, alle Daten wegzuwerfen, die man habe. Kelber stellte jedoch klar: “Du hast nicht das Recht, Daten zu erheben, die du für die Erbringung der Dienstleistung oder des Produkts nicht benötigst, weil diese Daten dich nichts angehen.” Eine wichtige Weichenstellung könne in diesem Zusammenhang die sogenannte E-Privacy-Verordnung der EU sein, die den Einsatz von Cookies und Tracking-Tools europaweit regeln soll. “Wenn große Konzerne Standards, die einmal eingeführt wurden, um sich zu schützen, wie den Do-not-track-Standard, einfach ignorieren, dann ist das nichts anderes als ein Betteln um staatliche Regulierung”, rügte Kelber. Eine solche Regulierung sollte mit der umstrittenen E-Privacy-Verordnung, die praktisch als gescheitert gilt [4], eigentlich umgesetzt werden.

Für die konkrete Umsetzung von mehr Datenschutz forderte Kelber unter anderem die Interoperabilität zwischen Social-Media-Diensten und Messenger-Systemen. Dort könne man durchaus europäische Alternativen zu Diensten wie Whatsapp auf Open-Source-Basis etablieren. “Ich würde mich freuen, wenn die deutsche Verwaltung es der französischen nachtun würde, vielleicht sogar mit den Franzosen gemeinsam, und ein System entwickeln, das dann schon mal zehn Millionen Grundnutzer in Europa hätte”, sagte Kelber und wiederholte damit seine entsprechende Forderung von Anfang Dezember 2019.

Warnung vor mehr Sicherheitsgesetzen

In seiner Rede warnte er zudem vor zusätzlichen Befugnissen der Sicherheitsbehörden für das Sammeln von Daten über Bürger. In Anspielung auf das Löschmoratorium bei der Berliner Polizei, das zu einer unzulässigen Dauerspeicherung von Daten geführt hat, forderte Kelber ein “Sicherheitsgesetzmoratorium, um erst einmal zu prüfen, wo wir eigentlich über das Ziel hinausgeschossen sind”. Eine solche Überprüfung tue den Bürgerrechten besser als immer neue Gesetze. Um die Behörden besser kontrollieren zu können, forderte er die Befugnis, ebenso wie beim Bundeskriminalamt (BKA) auch bei der Bundespolizei datenschutzwidrige Praktiken untersagen zu können. Doch dafür gebe es derzeit im Bundestag keine Mehrheit.

Statt bei den Sicherheitsgesetzen solle der Staat besser beim Datenschutz nachschärfen. Es gehe darum, Vertrauen in die Digitalisierung zu gewinnen. Die Nutzer könnten nicht mehr jede Verbindung und jedes Produkt überprüfen, sondern benötigten ein System, in dem sie den Unternehmen und dem Staat ein Grundvertrauen entgegenbringen könnten, “weil die bewiesen haben, dass sie bestimmte Standards jedes Mal einhalten”. Ohne entsprechende Kontroll- und Sanktionsmöglichkeiten werde der Bürger sich gegen die Digitalisierung wehren. Doch weder Fatalismus noch digitale Askese seien wünschenswert: “Wir möchten, dass Digitalisierung gesellschaftliche und nicht nur technologische Innovation ist”, wünscht sich Kelber.