Missing Link: Ulrich Kelber vs. Überwachungskapitalismus

Vor wenigen Wochen ist der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Ulrich Kelber – nicht ganz freiwillig – ohne erneute Wiederwahl aus dem Amt geschieden. Nun zieht er im Gespräch mit heise online Bilanz über Erfolge, Herausforderungen und Enttäuschungen der vergangenen fünfeinhalb Jahre, Lehren aus großen Datenschutzskandalen, die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) und den Einfluss von Lobbyisten.

Wie beurteilen Sie rückblickend die Entwicklung des Datenschutzes in Deutschland während Ihrer Amtszeit?

Durch die Technologieschübe sind Fragestellungen wesentlich komplexer geworden und vielfältiger. Die DSGVO war ja 2019 ganz neu, auch sowas muss sich erst einpendeln. Die Themen sind also nie ausgegangen. Wir haben sowohl in der Pandemie als auch danach erleben müssen, dass es von interessierter Seite viel Polemik gegen Datenschutzbestimmungen gegeben hat. Übrigens auf Nachfrage sehr oft ohne Substanz. Wenn man etwa wissen wollte: "Warum glauben Sie, dass das rechtskonform ist?", dann konnte in der Regel nichts geliefert werden.

Was sind Initiativen und Projekte der vergangenen Jahre, auf dies Sie besonders stolz?

Wir haben als Team beim BfDI viel erreicht. Wir sind deutlich leistungsfähiger geworden, wir haben Kontrollen und Beratung ausgebaut. Und sind sowohl national als auch international gefragte Ansprechpartner bei rechtlichen und technischen Fragestellungen heute. Der Mastodon-Server für Bundesbehörden hat ein Benchmark gesetzt, auch europaweit. Das wird in der Form nachgehend zu zeigen sein, dass so etwas funktioniert und es sinnvoller ist, diesen Weg zu gehen. Im Europäischen Datenschutzausschuss (EDSA), der Global Privacy Assembly, der International Working Group on Data Protection Technology ("Berlin Group"), die wir leiten, konnten wir als BfDI viele wichtige Entscheidungen vorantreiben, auch für Präzedenzfälle. Das Roundtable-Format der G7 Datenschutzaufsichtsbehörden haben wir so etabliert, dass es jetzt jährlich stattfindet. Und vor allem, wenn wir eine Position entwickelt haben, haben wir sie auch konsequent umgesetzt: mit Beratung, mit Weisung, mit Untersagung und Klagen.

Welche Präzedenzfälle waren das?

Zum Beispiel auf europäischer Ebene waren wir diejenigen, die vorangetrieben haben, dass bei Meta die Entscheidungen fallen. Das war zum Beispiel die Frage der Einwilligung und der Einwilligungsbanner. Gut gemachter Datenschutz braucht keine Cookie-Banner, nur schlecht gemachter. Aber dann müssen sie wenigstens rechtskonform sein. Auf deutscher Ebene haben wir zum Beispiel die Frage von Sicherheitsmaßnahmen für Kundendaten durchgesetzt. Das war der Fall 1&1, wo wir auch erreichen konnten, dass klar war: europäisches Recht bricht nationales Recht. Also dass wir zum Beispiel eine Geldbuße auch einem Unternehmen auferlegen dürfen. Und ich glaube, auch unsere Untersagung der Facebook-Fanpage-Nutzung, nachdem Facebook nicht bereit war, Anpassungen vorzunehmen von Regierungsseiten, war so ein entsprechender Benchmark.

Auf der anderen Seite, welche Herausforderungen und Widerstände sind Ihnen begegnet bei der Durchsetzung von Datenschutzrichtlinien?

Die Frage allein würde mehr als ein Interview füllen können. Ich glaube, die Herausforderung ist vor allem, man muss technologisch auf der Höhe der Zeit sein und sich als Beratungspartner anbieten. Weil, wenn wir es schaffen, dass wir frühzeitig so verstanden werden – und das war vor allem eine Herausforderung bei Behörden –, dann kommt meistens ein Ergebnis raus, mit dem die Behörde gut leben kann. Weil nämlich die gewünschte Funktionalität erreicht wird und gleichzeitig auch grundrechtskonform gehandelt wird. Wir haben natürlich erlebt, dass manche Geschäftsmodelle durchgesetzt werden, selbst wenn sie datenschutzrechtswidrig sind, und dass oft Schnell-Schnell-Lösungen statt gut gemachter digitaler Umsetzung gewählt wurden, obwohl die gut gemachte digitale Umsetzung auch den Datenschutz gewährleistet.

Sie haben den Meta-Fall schon angesprochen. Gab es auch danach immer wieder Probleme mit den irischen Datenschutzbehörden?

Wir haben natürlich insgesamt sehr viel Wert darauf gelegt, dass die Zusammenarbeitsregeln festgelegt werden. Und es gibt dafür jetzt Verfahrensabläufe. Für die Festlegung waren wir auch die federführende Behörde in dem entsprechenden Drafting-Team. Das beschleunigt schon mal einiges. Zudem ist diese Wunschliste herausgekommen, die jetzt auch zu festen prozeduralen Vorgaben ergänzend zur DSGVO führen soll. Aber in der Tat gab es unterschiedliche Zeitvorstellungen. Und die frühere Leitung der irischen Datenschutzbehörde hat aus unserer Sicht nicht ausreichend die Kooperation gesucht. Das hat einige dieser Fälle deutlich verzögert. Dabei ist es so wichtig, zu Fragestellungen, die für viele Fälle am Ende interessant sind, schnell Entscheidungen zu fällen. Und da waren auch welche drunter, wo aus meiner Sicht die Datenschutzrechtsverletzungen so offensichtlich sind, dass es nicht vier oder fünf Jahre Untersuchung benötigt hätte.

Wie schätzen Sie die Auswirkungen der DSGVO auf die Datensicherheit und den Datenschutz in Europa und weltweit ein? Sie ist ja jetzt sechs Jahre in der Anwendung.

Sehr positiv. Es gibt natürlich noch viel zu tun. Aber jede Entscheidung des EDSA oder eines Gerichts lässt ja eine Blaupause entstehen, wie Digitalisierung umgesetzt werden kann und muss. Wenn ähnliche vor der gleichen Fragestellung stehen, muss es ja nicht ein zweites Mal entschieden werden. Und wer international unterwegs ist und so ein bisschen die Szene beobachtet, sieht, welchen Riesen-Einfluss die Datenschutz-Grundverordnung auf all die in der Zeit entstandenen und entstehenden Datenschutzgesetze in Lateinamerika, Afrika und Asien nimmt. Und selbst das, was in Nordamerika passiert, orientiert sich auch an Regelungen der DSGVO: kanadisches Recht, kalifornisches Recht, auch Teile der Debatten über nationales US-amerikanisches Recht. Also einen "Brussels Effect", wie das oft genannt wird, hat es eindeutig im Datenschutzrecht gegeben. Sie ist jetzt schon ein Goldstandard, die DSGVO.

Wie sehen Sie in dem Zusammenhang die Rolle von Big-Tech-Unternehmen? Haben sich diese Konzerne aus dem Bereich des Überwachungskapitalismus Ihrer Meinung nach ausreichend angepasst?

Nein, also einige der großen Big-Tech-Unternehmen verhalten sich nach wie vor nicht rechtskonform aus meiner Sicht. Und sie mussten auch zu jedem Anpassungsschritt gezwungen werden und versuchen danach, der Entscheidung auszuweichen, indem sie eigentlich das gleiche tun, nur unter neuem Anstrich. Es hat auch positive Entwicklungen gegeben. Es gibt Unternehmen, die tatsächlich versuchen, Teile ihrer Geschäftsmodelle ganz anders zu gestalten. Aber wenn man das Ganze nimmt, sind wir nach wie vor dabei, dass dieses Geschäftsmodell des Überwachungskapitalismus im völligen Widerspruch zu den Grundideen der Datenschutz-Grundverordnung steht.

Werden wir zeitnah noch einige Entscheidungen zu großen Fällen sehen von den europäischen Datenschutzbehörden?

Davon gehe ich aus, dass erstens welche kommen und dass natürlich die Gerichte auch über die Klagen gegen bereits getroffene Entscheidungen des Europäischen Datenschutzausschusses entscheiden werden. Danach wird es natürlich umso gefährlicher für die Big-Tech-Unternehmen, das Gleiche zu wiederholen, weil sich dann die Strafen summieren können. Und wir unterhalten uns ja über Strafen im Milliardenbereich.

Welchen Einfluss haben internationale Datenschutz-Skandale gehabt auf die deutsche Datenschutz-Politik, also etwa die Snowden-Enthüllungen oder der Cambridge-Analytica-Skandal?

Mindestens für eine kurze Zeit nach solchen Skandalen bekommen Datenschützer:innen eine breitere Unterstützung für ihre Arbeit und ihre Forderungen, wie Digitalisierung umgesetzt werden kann, was nationale Souveränität bedeutet, welche Schutzvorgaben eigentlich Standard sein sollten. Allerdings verebbt das durchaus wieder und auch die öffentliche Meinung kommt einem manchmal so vor wie das Bild vom Frosch im Kochtopf, der hinnimmt, dass das Wasser langsam immer wärmer wird, anstatt irgendwann mal rauszuspringen.

Wie hoch ist denn die Temperatur gerade im Kochtopf?

Schon äußerst unangenehm aus meiner Sicht.

Was müsste passieren, dass solche Skandale mehr aufgegriffen werden und weitere Folgen haben?

In den beiden Beispielen sind sehr unterschiedliche Sachen enthalten. Das eine ist die Proportionalität des Zugriffs von Regierungen auf Daten. Da hat es durchaus Fortschritte gegeben, in Europa vor allem bedingt durch Rechtsprechung. Allerdings auch durch eine parlamentarische Debatte, wenn es um neue Technologien geht. Nehmen Sie das Beispiel der biometrischen Fernüberwachung oder ähnliches. Dass dieses Thema des Regierungszugriffs auch Voraussetzung für den freien Datenverkehr ist, das haben auch auf Initiative des BfDI international die Datenschutzbehörden nochmal ganz eindeutig erwähnt, mit allen Kolleg:innen aus demokratisch regierten Ländern zusammen.

Und bei Cambridge Analytica und Facebook?

Das andere ist tatsächlich der Überwachungskapitalismus. Das Grundübel ist das Sammeln von Daten und Profilbildung mit Daten, die für die eigentlichen Services nicht benötigt werden. Das muss man angehen und nicht versuchen, Detailregelungen festzulegen, was man dann mit den Daten machen darf und was nicht. Das durchzusetzen und auch in neuen Regelungen sehr eindeutig zu sagen, wäre entscheidend. Keiner sollte glauben, dass man das diese Daten doch bräuchte, um ein bisschen Krümel aus dem Werbetopf dann auch noch für andere Branchen übrig zu lassen. Das ist die Grundweichenstellung, die man vornehmen muss.

Welche technologischen Entwicklungen sehen Sie als größte Bedrohung für den Datenschutz in den kommenden Jahren?

Ich selber nehme das übrigens nicht unbedingt immer als Bedrohung wahr, sondern wirklich als Herausforderung und zwar für beide Seiten. Für diejenigen, die das anbieten, weil die erst mal oft auch begonnen haben, ohne unmittelbar über die Frage einer datenschutzrechtskonformen Umsetzung sich Gedanken zu machen. Was wir neben den Arbeiten, die wir unmittelbar gemacht haben im BfDI sowie zusammen mit den deutschen und europäischen Datenschutzbehörden. Wir haben die schon erwähnte Berlin Group so weiter entwickelt, dass sie zu solchen Technologien frühe Empfehlungen abgibt, wie man das grundrechtskonform umsetzen kann. Zuletzt zu bestimmten Ausprägungen von KI oder auch dem Einsatz von Neurotechnologie.

Beim Überwachungskapitalismus ist ein wichtiger Faktor die "spionierende" gezielte Werbung. Müsste die Politik sich da durchringen zu einem Verbot, wenn man auch gerade wieder betrachtet, wie massiv persönliche Informationen auf Datenmarktplätzen gehandelt werden?

Das völlige Verbot wird wahrscheinlich schwierig sein. Es gibt ja jetzt Teilverbote, zum Beispiel für Minderjährige. Entscheidend sein wird durchzusetzen, dass ich keine Daten sammeln darf für diese Geschichten, die mich nichts angehen, die ich nicht benötige als Anbieter eines Services. Und dass ich eine Rechtsgrundlage für eine Profilerstellung brauche. Das muss dann entweder eine klare Einwilligung sein oder eine gesetzliche Vorgabe. Diesen Weg zu gehen und das deutlich zu machen, das wäre wichtig. Und wenn man das schaffen würde einzuschränken, hätte es aus meiner Sicht unmittelbare Auswirkungen auch auf andere Geschäftsmodelle, zum Beispiel in den Plattformen: Wie will ich die Leute möglichst lange binden? Wie will ich sie zu möglichst vielen Interaktionen verleiten? Was dann den Algorithmus wieder dazu bringt, besonders radikale Inhalte mit auszuspielen. Das ist das Grundübel, dieses Ausspionieren mit der Profilbildung. Und dem kann man einen klaren Riegel vorschieben.

Das Instrument Einwilligung, ist das wirklich gut geeignet, wenn man bedenkt, dass doch sehr viel abgeklickt wird?

Wir haben nun mal eine Souveränität von Staatsbürger:innen. Aber natürlich darf die Einwilligung nicht so missverstanden werden, dass sie eine beliebige Grundlage sein darf. Sie muss erstens freiwillig sein. Das heißt, es muss eine vergleichbare Möglichkeit geben, ohne diese Daten zu übermitteln. Sie muss konkret und informiert sein. Und das schiebt einigen Missbrauchsmöglichkeiten den Riegel vor. Zu glauben, dass jemand informiert ist, wenn in einem irre langen Text 320 Empfänger:innen der Daten genannt werden, das geht nicht. Für sowas ist die Einwilligung keine geeignete Rechtsgrundlage.

Glauben Sie, dass die derzeitigen gesetzlichen Regelungen wie die DSGVO und der AI Act ausreichen, um Herausforderungen wie die Algorithmen-gestützte Entscheidungsfindung zu adressieren, die durch KI verstärkt werden?

Für High-Risk-Systeme wird der AI-Act eine Regelung treffen, wie KI dann verantwortungsvoll genutzt werden kann. Das wird spannend, der ist jetzt seit 1. August vollumfänglich gültig. Die Datenschutz-Grundverordnung ist für alle KI-Systeme zuständig, die zumindest personenbezogene Daten verarbeiten, egal ob High-Risk oder nicht. Und die besonderen Risiken oder Herausforderungen sind natürlich die Zweckänderung bei der Verarbeitung von Daten, die fehlende Möglichkeit, Betroffenenrechte wie Auskunfts- oder Korrektur auszuüben, aber auch mögliche Diskriminierung durch KI-Systeme.

Diskriminierung wird bei vielen Algorithmen-gestützten Entscheidungsfindungen kritisiert. Was ist zu tun, um dieses Problem stärker anzugehen? Gibt es da vielleicht noch Änderungsbedarf, gerade auch in der DSGVO?

Also DSGVO und AI-Act sind aus meiner Sicht zwei gute Ansätze. Anpassungen sind in der Tat notwendig, aber nicht nur an den beiden, sondern natürlich auch in Richtung der Anbieter:innen. Wo es Weiterentwicklungen geben müsste zum höheren Datenschutz, das wäre genau dieses Thema des Verbots der Profilbildung ohne Rechtsgrundlage. Und tatsächlich dafür zu sorgen, dass die Rechtsprinzipien auch bei KI-Systemen durchsetzbar sind. Auf der anderen Seite kann man sich einer Debatte, wie Zweckbindung und Datenminimierung praxisnah für ein KI-Zeitalter ausgestaltet werden, auch nicht entziehen.

Was genau müsste da geändert werden in der Richtung?

Man muss sich anschauen, wenn ich zum Beispiel Daten zweckändernd oder zweckerweiternd verwende, was sind dann solche Schutzstandards, die ich einhalten muss, damit daraus keine zusätzlichen Probleme entstehen. Wir unterhalten uns stundenlang darüber, dass es Datenextraktion verschiedener Art auch aus entsprechenden KI-Systemen geben kann. Was wird unternommen, dass die Daten dann eben tatsächlich nur trainingsrelevant sind? Verbleiben die Daten vielleicht sogar irgendwo und es werden nur Lernergebnisse verteilt? Eine entsprechende Debatte muss geführt werden.

(vat)