Missing Link: Ulrich Kelber vs. Überwachungskapitalismus

Ulrich Kelber ist vor wenigen Wochen – nicht ganz freiwillig – ohne erneute Wiederwahl aus dem Amt des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) ausgeschieden. Im Interview mit heise online zieht er nun Bilanz über Erfolge, Herausforderungen und Enttäuschungen der vergangenen fünfeinhalb Jahre, die Lehren aus den großen Datenschutzskandalen, die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) und den Einfluss von Lobbyisten.

Dies ist der zweite Teil des Interviews, den ersten Teil lesen Sie hier.

Wie stehen Sie zu der Diskussion über eine mögliche Lockerung des Datenschutzes zugunsten von Strafverfolgung und Terrorismusbekämpfung? Da gibt es etwa den "Zombie" der Vorratsdatenspeicherung. Glauben Sie, dass der wieder auferstehen wird?

Wenn es neue Bedrohungslagen oder Angriffsmethoden gibt, dann muss man auch über neue Instrumente nachdenken, dem zu begegnen. Dafür habe ich Verständnis und da haben die Sicherheitsbehörden immer meine Unterstützung gehabt. Aber viele aktuelle und viele geforderte Instrumente greifen tief in Grundrechte ein, ohne wirklich einen wesentlichen Beitrag zur Sicherheit zu leisten. Und solche Instrumente müssen dann auf jeden Fall unterbleiben, oft liegen die Probleme der Sicherheitsbehörden ja auch darin, zu wenig Daten zu haben. Ein dauerndes Gefühl der Bürger:innen, auf Schritt und Tritt überwacht zu werden, muss unbedingt verhindert werden. Ansonsten gefährdet es grundsätzlich eine freiheitliche Demokratie.

Ganz konkret bezogen auf die Vorratsdatenspeicherung?

Die Vorratsdatenspeicherung ist eine Variante der dauernden Überwachung. Man muss damit rechnen, dass alles, was man tut oder nicht tut, gespeichert, bewertet, ausgewertet und in einen anderen Kontext gesetzt wird. Und das ohne, dass man jemals irgendetwas Rechtswidriges getan hat. Sondern man hat einfach nur seine Freiheitsrechte ausgelebt. Das ist aus meiner Sicht mit einer freiheitlichen Demokratie nicht auf Dauer zu verbinden, wenn immer jemand den Bürger:innen über die Schulter schaut.

Gilt das auch für die jetzt diskutierte Abwandlung, "nur " IP-Adressen zu speichern?

Das ist natürlich weniger als andere diskutierte Varianten. Trotzdem gibt es eine sehr große Möglichkeit der entsprechenden Profilbildung und das ist daher auch höchst problematisch. Vor allem werden teilweise auch noch Zeiträume der Speicherung gefordert, bei denen der überhaupt mögliche Zugewinnen an Erkenntnissen nur noch äußerst minimal wäre.

Können Sie erklären, wie der Europäische Gerichtshof zu seiner geänderten Rechtsprechung kam, gerade in Bezug auf IP-Adressen? Ist das verständlich?

Für mich nicht.

Erinnern Sie sich an spezielle Fälle oder Skandale, bei denen Sie der Meinung sind, dass die Öffentlichkeit nicht die ganze Wahrheit kennt?

Wenn es öffentlich diskutierbare Fälle waren, haben wir aus unserer Sicht immer alles genannt, was notwendig ist. Von daher: Nein.

Also immer alles angesprochen?

So ist das. Außer dort, wo natürlich gesetzlich Geheimhaltung verpflichtend ist.

Welche internen oder externen Auseinandersetzungen haben Sie als Bundesdatenschutzbeauftragter erlebt, von denen die Öffentlichkeit trotzdem wenig mitbekommen hat?

Ich hätte mir bei manchen Debatten über die Digitalisierung mehr dauerhafte Aufmerksamkeit der Öffentlichkeit, mehr Druck der Zivilgesellschaft gewünscht, z.B. bei der Registermodernisierung, wo leider unnötig eine wenig grundrechtsschonende Lösung gewählt wurde.

Haben Sie jemals Entscheidungen treffen müssen, die im Widerspruch zu Ihren persönlichen Überzeugungen standen? Wie sind Sie damit umgegangen?

Natürlich, oft und in allen Ämtern und Funktionen, die ich jetzt in den letzten Jahrzehnten innehatte. Weil man Kompromisse mit anderen eingeht. Das gehört zu einer Demokratie. Man ist ja nicht allein auf weiter Flur. Ich habe mich überzeugen lassen von der Meinung meiner Mitarbeiter:innen. Also in dem Sinne: Persönlich habe ich zwar immer noch ein anderes Gefühl. Aber wenn jetzt so viele Leute, denen ich vertraue, in ihrem Urteil alle unisono zu einer anderen Meinung kommen, dann muss ich jetzt auch nicht die Alleinherrscherentscheidung fällen. Insbesondere gibt es Fälle, in denen ich als Person ein Geschäftsmodell oder eine digitale Umsetzung für falsch gehalten habe, diese aber eben nicht rechtswidrig war. Dann ist das Ergebnis natürlich auch, dass eine Behörde bescheinigt, dass es so rechtskonform ist, selbst auch wenn wir es nicht für gut halten.

Können Sie das konkret machen?

Wir hatten damals, bevor es sich jetzt gesellschaftsrechtlich anders weiterentwickelte, die deutschen Mobilfunkbetreiber beraten bei dem Thema TrustPid. Das heißt jetzt Utiq. Der Beratungsprozess war auch toll, weil man wirklich mit offenen Karten von der anderen Seite gespielt und noch viele Anpassungen vorgenommen hat. Trotzdem wäre ich persönlich der Meinung, dass wir das gar nicht brauchen. Aber so wie es am Ende gestaltet wurde, war es aus unserer Sicht rechtskonform. Das ist im Prinzip eine Art ID-Zuordnung von jemandem, der mit dem mobilen Internet unterwegs ist. Eine solche Kennung kann auch bestimmten Interessengebiete zugeordnet werden, wenn die Betroffenen eingewilligt haben. Man kann vollständig ein Opt-out draus machen. Die Werbepartner können das nur schwer einer Person zuordnen. Normalerweise wissen die tatsächlich nicht, wem sie etwas ausspielen, weil in der Regel keine weitere Profilbildung dahinter mehr stattfindet. Das ist schon besser als die Cookies oder die Fingerprints von Google & Co. Aber aus meiner Sicht wäre es trotzdem verzichtbar gewesen.

Wie oft wurden Sie in Ihrer Rolle von politischen oder wirtschaftlichen Interessen beeinflusst? Wie groß war der Lobbydruck?

Als Abgeordneter und Staatssekretär habe ich sogar ein öffentlich einsehbares Tagebuch über Gespräche mit Lobbyisten geführt, das reichte vom Wirtschafts- bis zum Umweltverband. Das konnte ich in der Form als BfDI nicht tun. Weil das natürlich zum Teil auch vertrauliche Gespräche sind und rechtliche Gründe dagegen sprachen. Aber es gehört aus meiner Sicht dazu, alle Meinungen zu hören und abzuwägen. Lobbyismus im positiven Sinne verstanden ist die Bündelung von Stimmen einzelner Kleiner an einer Stelle. Die meisten Lobbyisten arbeiten auch redlich, tragen ihre Daten vor, ihre Zahlen. Das muss man dann abwägen. Aber es gibt auch Lobbyisten, die versuchen ungebührenden Druck aufzubauen. Über Dritte. Indem sie einfach Tatsachen setzen. Indem sie klaren Antworten ausweichen und versuchen, die Zeit für sich spielen zu lassen. Das hat es immer wieder gegeben. Solche Lobbyisten sind dann auch zu Dritten gegangen, Politik und Medien, um dort mit falschen Behauptungen oder mit tendenziösen Zahlen zu versuchen, für schlechte Stimmung zu sorgen.

Können Sie Namen nennen?

Im Vorfeld der Facebook-Fanpage-Entscheidung haben wir schon mitbekommen, dass Meta gegenüber der Bundesregierung fälschlich behauptet hat, wir hätten uns den Gesprächen verweigert. Dabei hat es mehrere Gesprächsrunden gegeben.

Also ist vor allem Big Tech mit Lobbyismus stark verbunden?

Ja, aber natürlich gibt es starken Lobbyismus auch im Bereich wirtschaftlicher Interessenverbände. Wenn wir das Beispiel der verhaltensbezogenen Werbung nehmen, dann haben Sie immer, wenn sie da versuchen Einschränkungen vorzunehmen, schnell die deutschen Medienverlage vor der Tür stehen. Weil sie Angst haben, dass ihre Einnahmequelle wegbricht. Und deswegen solidarisieren sie sich mit diesen großen Plattformen, auch wenn bei ihnen am Ende eigentlich nur die Krümel des Kuchens übrig bleiben.

Können Sie von einem Fall berichten, in dem Sie sich stark für den Datenschutz eingesetzt, aber letztlich nichts erreicht haben? Was waren die Gründe dafür?

Über diese Fälle habe ich sechsmal in den jährlichen Tätigkeitsberichten öffentlich berichtet. Ein Beispiel: Ich glaube, dass man die Digitalisierung des Gesundheitssektors mit etwas mehr Willen patientenfreundlicher und grundrechtskonformer hätte umsetzen können. Ich vermute, dass die aktuellen Entscheidungsträger:innen so viel Druck verspürt haben, nach 20 Jahren endlich Lösungen zu präsentieren. Die Folge war, dass Hinweisen, es etwas anders zu machen, noch eine Sicherheitsstufe einzubauen, die durchaus immer noch komfortabel zu bedienen ist, nicht gefolgt wurde. Und dadurch sind einige unausgereifte und fragwürdige Wege gewählt worden, die dazu führen werden, dass das Ganze sehr knirschen wird.

Auch bezogen auf den Europäischen Gesundheitsdatenraum?

Auch im European Health Data Space. Es fängt schon damit an, wo braucht es eine Einwilligung, wo darf man ein Opt-out machen, wo gibt es gesetzliche Grundlagen, wo wird gar nicht wirklich richtig abgewogen, welche Daten sinnvoll sind, oder an welchen Stellen benötigt man tatsächlich alle Daten repräsentativ und wo ist es anders möglich, was sind die Sicherheitsvorgaben für den Zugriff auf diese Datenbestände – das sind Beispiele dafür.

Ein weites Feld.

Ja, aber eines mit besonders sensiblen Daten.

Sie waren vor der BfDI-Rolle unter anderem parlamentarischer Justizstaatssekretär. Haben Sie während Ihrer Zeit als Datenschutzbeauftragter noch neue ungeschriebene Regeln oder Praktiken im Bereich des Datenschutzes und bei der Zusammenarbeit mit Regierungsvertretern kennengelernt?

Also, jetzt nicht unbedingt neu kennengelernt gegenüber davor. Aber es ist schon spannend, die Zusammenarbeit zwischen Ministerien und Bundesbehörden zu sehen, noch lange bevor die jeweilige politische Leitung involviert wird. Das ist ein Prozess mit vielen Spielregeln, Finten, Geheimnissen, auch der Angst, frühzeitig andere einzubinden, da dann die mediale Berichterstattung das Ganze skandalisieren könnte à la „Geheimpapier im Ministerium XY“. Deswegen werden Papiere oft wirklich ganz geheim gehalten, anstatt schon mit anderen Experten darüber zu sprechen, solange es noch nicht der eigenen politischen Leitung vorgelegt wurde. Aber es ist auch festzuhalten: Es sind ungeheuer viele engagierte und hochprofessionelle Menschen in diesem Regierungsapparat auf der Arbeitsebene unterwegs.

Also gemischte Erfahrungen?

Ja, durchaus auch positive, aber manchmal eben auch entnervend ärgerliche. Da sagt man, oh Gott, warum ist er damit nicht schon vor sechs Monaten gekommen? Dann hätte man ihm sagen können, als er die ersten Überlegungen anstellte: "Die Klippe besser beachten, aber hier haben wir ein Beispiel, wie du das machen kannst." Ein Beispiel dafür: Als man die Zusatzrente im Alter gewählt hat, hätte man die eleganter realisieren können, wenn man auf bestimmte Ausnahmen verzichtet hätte. Jetzt benötigt man Daten der Antragsteller, die man nicht automatisch aus vorhandenen Quellen zusammentragen kann. Dadurch ist es viel bürokratischer, nur um in einigen wenigen speziellen Fällen nicht 100 oder 150 Euro im Monat auszahlen zu müssen. Dafür müssen Millionen Fälle überkompliziert manuell beantragt und geprüft werden. Hätte man sich da vorher anders entschieden und gesehen, welche Daten sind denn schon vorhanden, dann hätte man das Ganze viel stärker automatisieren können.

Wie sieht es mit dem Innenministerium aus? Gab es da im Bereich der Sicherheitsbehörden besondere Reibungen?

Ja, wobei das natürlich so ein Riesenladen ist, dass es wirklich auch sehr auf die einzelnen Personen ankommt, auf einzelne Referate, Unterabteilungen, Abteilungen. Auch die Sicherheitsbehörden sind in der Kooperation unterschiedlich gut aufgestellt in der Kooperation. Zum Beispiel hatten wir mit dem Bundeskriminalamt ein besonders gutes Arbeitsverhältnis entwickelt. Nicht unbedingt immer mit der gleichen Sichtweise., Aber wir haben gesehen, dass auf Argumente eingegangen wird, dass offengelegt wird. Und so haben wir gemeinsam einige gute Ergebnisse erzielt, auch in der Veränderung von Datenverarbeitungsprozessen.

Wie ist es mit dem Bereich Geheimdienste und der "Hackerbehörde" Zitis?

Wenn die rechtliche Lage eindeutig geklärt ist, also entweder schon im Gesetz schon oder durch ein Gericht entschieden wurde, und man am Ende unsere Auslegung akzeptiert hat, dann muss man den deutschen Sicherheitsbehörden klar konstatieren: dass sie einen hohen Aufwand betreiben, das dann alles auch rechtskonform umzusetzen. Schwierig wird es immer bei unklarer Rechtslage. Dann will natürlich eine Sicherheitsbehörde möglichst weitreichende Verarbeitungsbefugnisse haben und da haben wir dann immer wieder eine andere Position eingenommen. Oft kam es in solchen streitigen Fragen zu Klagen von Betroffenen und Nichtregierungsorganisationen. Und in der Regel haben die Gerichte so entschieden, wie wir es vorhergesagt haben. Der BfDI hat da eine sehr hohe Trefferquote.

Welche Ratschläge würden Sie Ihrer Nachfolgerin geben?

Alle, um die sie mich im persönlichen Gespräch bittet. Louisa Specht-Riemenschneider und ich kennen uns schon seit einigen Jahren. Wir haben auch seit der Entscheidung für sie mehrfach gesprochen. Sie ist eine absolute Expertin. Und öffentliche Ratschläge wird es ohnehin nicht von mir geben.

Können Sie schon sagen, wo für Sie jetzt die berufliche Reise hingeht? Sie sind jüngst der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) beigetreten. Da ist ja auch Ihr Vorvorgänger Peter Schaar aktiv.

Die EAID ist eine gute Gelegenheit, zu Fragestellungen Debatten zu führen und Beiträge leisten zu können, die jetzt nicht im unmittelbaren Fokus einer Datenschutzaufsichtsbehörde mit ihren spezifischen Aufgaben stehen. Was mich selbst betrifft: Ich möchte weiter etwas tun, was einen positiven Beitrag zu gut gemachter Digitalisierung leistet. Ich glaube, Deutschland ist gefährlich unterdigitalisiert. Ob das am Ende vor oder hinter den Kulissen sein wird, da lasse ich mich selbst überraschen.

Aber dem Datenschutz werden Sie erhalten bleiben?

Wenn es da ein Angebot in einem Bereich gibt, der mich interessiert, dann ja.

(vat)