Berliner Datenschutzbeauftragte Maja Smoltczyk: „Die digitale Eigenständigkeit Europas ist das Gebot der Stunde.”

Maja-Smoltczyk © BlnBDI
Mit Ausbruch der Corona-Pandemie im Frühjahr 2020 änderte sich für die meisten deutschen Schulen, Universitäten und teils auch Unternehmen die tägliche Kommunikationspraxis. Digital wurde normal – zumindest zeitweise: Nutzer*innen mussten notgedrungen und sehr schnell lernen, mit digitalen Videokonferenz-Systemen wie etwa Skype, Zoom, Webex oder Big Blue Button umzugehen und zu arbeiten.
Solche Systeme unterliegen der seit 2016 geltenden Datenschutz-Grundverordnung (DSGVO). Diese regelt, welche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden dürfen. Maja Smoltczyk arbeitet als Berliner Beauftragte für Datenschutz und Informationsfreiheit. Die Behörde überwacht, dass die eingesetzte Technik datenschutzkonform ist und den gesetzlichen Bestimmungen entspricht.
Im Coronajahr hatten Smoltczyk und ihre Mitarbeiter*innen viel zu tun: Sie prüften mehrere tausend Meldungen von Verbraucher*innen, untersuchten gut 900 Datenpannen von Unternehmen, sprachen Bußgelder und Verwarnungen aus – aber auch Empfehlungen, denn Beratung und Orientierungshilfe gehören ebenfalls zu den Aufgaben der Behörde.
Maja Smoltczyk gab kürzlich bekannt, nach dem Auslaufen ihres Vertrages in diesem Jahr für eine weitere Amtszeit nicht zur Verfügung zu stehen. Sie machte sich bundesweit einen Namen, als sie im Frühjahr 2020 Global Player wie Microsoft, Zoom oder Google für ihre nicht-datenschutzkonformen Videokonferenzsysteme in die Kritik nahm.
Im Interview mit Christine Müller erläutert Smoltczyk, wie das Ampelsystem der Berliner Datenschutz-Behörde funktioniert, warum öffentliche Stellen anders zu regulieren sind als private Wirtschaftsunternehmen und welche derzeitigen und zukünftigen Herausforderungen für Datenschutz bestehen.
iRights.info: Frau Smoltczyk, wenn wir dieses Interview nicht per Telefon führen würden, sondern mittels eines Videokonferenz-Systems (VKS), welches würden Sie empfehlen?
Maja Smoltczyk: Ich würde Big Blue Button empfehlen – damit arbeiten wir auch.
Als Sie vor über einem Jahr einen ersten Prüfbericht zu Videokonferenz-Systemen veröffentlichten, war das mediale Echo immens. Sie nahmen auch VKS großer Unternehmen wie etwa Microsoft-Teams explizit in die Kritik. Worin genau bestand Ihre Kritik?
Grundsätzlich kann man vor den großen Playern nicht zurückschrecken, wenn man den Datenschutz ernst nehmen will, weil eben viele Produkte, die auf dem Markt zu finden sind, von diesen angeboten und entsprechend von vielen Menschen genutzt werden. Es geht nicht darum, gegen Microsoft vorzugehen, sondern um die Prüfung der jeweiligen Produkte und ob diese den Anforderungen der Europäischen Datenschutz-Grundverordnung entsprechen. Wir haben die Kritikpunkte detailliert auf unserer Webseite veröffentlicht.
Wie sind Sie vorgegangen?
Zunächst untersuchten wir bei allen Produkten die rechtlichen Aspekte. Wir wandten für die Prüfberichte ein Ampelsystem an, um die Problematik allgemein nachvollziehbar zu machen. Die meisten Ampeln waren am Anfang auf „rot“. Als Beispiel: Wenn sich ein Unternehmen vorbehält, die gesammelten Daten für eigene Zwecke zu verwenden, dann ist das schlichtweg nicht rechtens. Das mussten wir monieren. In einem zweiten Schritt untersuchten wir die technische Seite. Mängel hielten wir ganz transparent fest, um den Nutzenden zu zeigen, an welchen Stellen gegebenenfalls nachverhandelt werden kann und um den Unternehmen die Möglichkeit zu geben, hier die Software zu verbessern.
Das klingt sehr kooperativ. Bei Microsoft waren die Reaktionen zunächst ja nicht so positiv. Es wurde sogar kolportiert, Ihre Behörde hätte eine Abmahnung von Microsoft erhalten …
Es ist klar, dass sich kein Unternehmen darüber freut, in solch einem Bericht mit einer roten Ampel aufzutauchen. Das kann ich auch nachvollziehen. Aber ich bin für die Einhaltung der Datenschutzregeln verantwortlich, also für die Einhaltung des Gesetzes. Die Datenschutzgrundverordnung (DSGVO) ist ein europäisches Gesetz, das in allen Mitgliedsstaaten unmittelbar gilt. Wenn wir nun Hinweise auf die Nichteinhaltung bekommen, dann müssen wir diesen nachgehen.
Um auf Microsoft zurückzukommen: Nein, wir erhielten keine Abmahnung. Microsoft schrieb aber zunächst einen durchaus empörten Brief und versuchte, eine Art Drohkulisse aufzubauen. Grundsätzlich nehmen wir immer gerne Hinweise auf und überprüfen uns dann auch. So war das auch mit Microsoft. Wir nahmen unsere Prüfungsergebnisse für zwei Tage noch einmal aus dem Internet, überprüften die Einwände, kamen aber zu dem gleichen Ergebnis und stellten sie wieder ein.
Nun haben Sie ein Jahr später erneut geprüft und auch Verbesserungen festgestellt. Was wurde verbessert?
Viele Unternehmen merkten, dass es auch für sie selbst von Bedeutung ist, wie sie in diesem Prüfbericht auftauchen. Sie wandten sich an uns und berücksichtigten unsere Hinweise für die Weiterentwicklung ihrer Produkte. Das hatte zur Folge, dass wir bei der zweiten Prüfung dann in diesem Jahr schon mehrere Produkte auf grün stellen konnten. Das freut mich sehr. Andere sind noch in der Entwicklungsphase, sie sind sehr intensiv dabei, Mängel zu beseitigen, um den Status „grün“ zu erreichen.
Wie sind die Reaktionen in der Politik einerseits und in der Bevölkerung andererseits, wenn man sich mit den ganz großen Playern anlegt?
Ich habe sehr viele dankbare Reaktionen von Bürger*innen erhalten, die sich für unser Handeln und die damit verbundene Orientierung bedankt haben. Gegenüber Stimmen von Politiker*innen aus dem Bundestag, die uns unser Vorgehen vorwarfen – mit Verlaub, wir haben genau unsere Aufgabe erfüllt, indem wir Produkte auf ihre Rechtmäßigkeit untersuchten, um die Anwenderinnen und Anwender entsprechend beraten zu können – das ist absurd.
Welche Mittel haben Sie qua Amt?
Wir haben nach europäischem Recht diverse Befugnisse, die uns in die Lage versetzen sollen, das Gesetz in der Praxis durchzusetzen. Hierzu gehören Verwarnungen, Anordnungen oder die Verhängung von Bußgeldern. Während der Zeit der Pandemie haben wir tatsächlich keine nachhaltigen Sanktionen verhängt, da klar war, dass in dieser Ausnahmesituation das gesellschaftliche und wirtschaftliche Leben trotz der pandemiebedingten Schwierigkeiten weitergehen musste. Wir haben in dieser Zeit daher eher Verwarnungen ausgesprochen. Das ist eines der mildesten Mittel, die wir einsetzen können. Und dazu sind wir auch verpflichtet, wenn wir Eingaben haben und feststellen, dass es Rechtsmängel oder technische Mängel gibt, die zu Datenschutzproblemen führen.
Wir haben versucht, in allen Fällen mit äußerstem Augenmaß zu agieren. Ich habe aber immer wieder darauf hingewiesen, dass sich diese durch die Pandemie verursachte Ausnahmesituation, in der wir Mängel nicht nachhaltig sanktionieren, nicht verstetigen darf. Sobald sich die Situation verbessert, und das wird voraussichtlich diesen Sommer sein, müssen diese rechtswidrigen Zustände abgeschafft werden. Das kann heißen, dass technisch nachjustiert werden muss, das kann aber auch heißen, dass bestimmte Produkte nicht mehr eingesetzt werden dürfen. Denn, das ist mir ganz wichtig, es gibt ja heutzutage bereits Produkte, die datenschutzgerecht eingesetzt werden können.
Sie selbst sind eine Verfechterin des Prinzips „privacy by design“ – was ist das Besondere an diesem Ansatz?
Das Prinzip „privacy by design“ ist in der DSGVO festgeschrieben. Es besagt, dass Produkte von Anfang an datenschutzgerecht entwickelt werden müssen. Das Prinzip „privacy by default“ geht noch ein wenig darüber hinaus. Danach müssen bei einem Produkt bei der Auslieferung bereits die datenschutzfreundlichsten Einstellungen ausgewählt sein. So dass Menschen, die sich ein Produkt kaufen, sich darauf verlassen können, dass das Produkt nach dem Stand der Technik den Anforderungen des Datenschutzes entspricht und dass die Einstellungen schon so gewählt sind, dass sie ohne technische Spezialkenntnisse das Produkt so einsetzen können.
Was fordern Sie von der Politik?
Im Öffentlichen Bereich geht es darum, Ausschreibungen schon so zu gestalten, dass die Einhaltung der Datenschutzbestimmungen zur Voraussetzung gemacht wird. Und ich bin ziemlich sicher, dass die Unternehmen liefern werden. Diese Erfahrung haben wir auch bezüglich der Videokonferenz-Systeme gemacht. Es ist ja ein Aushängeschild für Produkte, wenn sie den Bestimmungen der DSGVO entsprechen.
Bleiben wir noch mal bei den Videokonferenz-Systemen. Welche Rolle hat bei Ihrer Prüfung in diesem Jahr das sogenannte Schrems-Urteil-II von 2020 gespielt?
Der Europäische Gerichtshof hat in seinem Schrems-II-Urteil dezidiert ausgeführt, welche Probleme bei Produkten bestehen, die aus dem US-amerikanischen Raum kommen: Zum Beispiel verfügen der Staat und die Geheimdienste dort über umfangreiche Zugriffsrechte auf die gespeicherten Daten der Tech-Unternehmen. Dies ist nicht mit der DSGVO vereinbar. Und solange dieser Zwiespalt besteht, werden diese Produkte nur schwerlich DSGVO-konform eingesetzt werden können.
Was würden Sie Arbeitnehmer*innen raten, die sich unsicher sind, wie die Daten, die durch VKS anfallen, vielleicht ja auch seitens ihres Arbeitgebers genutzt werden?
Jede Bürgerin und jeder Bürger hat das Recht, Auskunft über die Daten zu erhalten, die über sie oder ihn, egal an welcher Stelle, gespeichert wurden. Man sollte also zunächst Auskunft verlangen. Man hat auch ausdrücklich das Recht, eine Kopie dieser Daten zu erhalten. Wenn man dennoch Zweifel hat, ob alles so seine Richtigkeit hat, kann man sich jederzeit an die zuständige Datenschutzaufsichtsbehörde wenden und um Überprüfung bitten. Den ersten Schritt müssen die Bürger*innen aber selbst tun, den können wir ihnen nicht abnehmen. Was für Verbraucher*innen auch interessant sein dürfte, ist, dass die Überprüfung durch die Datenschutzbehörden für sie kostenlos ist.
Nun sind in der aktuellen Krise Schulen im Distanzunterricht in besonderem Maße auf VKS angewiesen. Als sich im November 2020 ein Elternvertreter an Sie wandte, da an der Schule seines Kindes keine DSGVO-konforme Videokonferenz-Systeme genutzt wurden, verwarnten Sie die Schule und der Distanzunterricht wurde wieder durch Hausaufgaben auf Papier ersetzt. In welchem Verhältnis stehen hier das Grundrecht auf Bildung einerseits und das Grundrecht auf Privatsphäre andererseits?
Hier wird ein Widerspruch aufgebaut, der so nicht besteht. Es gibt ein Recht auf Bildung und ein Recht auf informationelle Selbstbestimmung. Diese beiden Rechte müssen in einen Ausgleich gebracht werden, damit beide so weit wie möglich wirksam bleiben. Es geht also nicht darum, das eine Recht gegen das andere auszuspielen. Vielmehr geht es darum, beide miteinander in Einklang zu bringen. Das bedeutet konkret, dass im Bereich der Schule alles dafür getan werden muss, dass die digitalen Lehrmittel von vornherein den datenschutzrechtlichen Anforderungen entsprechen. Es müssen geschützte Räume geschaffen werden, in denen weder Kinder noch Lehrkräfte sich Sorgen zu machen brauchen, dass ihre personenbezogenen Daten von Dritten missbraucht werden.
Die DSGVO sieht einen ganz besonderen Schutz für Kinder vor, weil diese in der digitalen Welt besonders gefährdet sind. Sie verfügen noch nicht über die Erkenntnis, was sie hier gefährdet oder nicht. Und das muss Kindern auch in der Schule beigebracht werden. Das vermitteln wir Kindern nicht, indem wir in der Schule Produkte nutzen, die sie möglicherweise ein Leben lang gefährden. Das Problem dabei ist, dass wir noch nicht wissen, ob oder auf welche Daten in der Zukunft zugegriffen wird. Deshalb ist es so schwierig, die Problematik zu vermitteln.
Machte die Verwarnung durch Ihre Behörde die Situation in besagter Schule nicht noch ungerechter für die davon betroffenen Schüler*innen?
Die Verwarnung ist, wie gesagt, eines der mildesten Mittel, die ich habe. Wenn ich eine Eingabe habe, muss ich darauf reagieren. Wie diese eine Schule in Berlin wiederum darauf reagierte, war vielleicht ein extremes Beispiel. Trotzdem ist es nicht so, dass es nur Microsoft-Teams einerseits und Papier andererseits gibt.
Ich sehe das Problem eher darin, dass es nicht Aufgabe der Schulen ist, sich um diese komplizierten datenschutzrechtlichen und technischen Fragestellungen zu kümmern. Sie haben weder Zeit noch Personal dafür. Es ist doch absurd, wenn jede Schule in Berlin oder anderswo allein diese hochkomplexen Prüfungen für alle Produkte durchführen muss. Das ist weder sinnvoll, effizient noch führt das zu guten Ergebnissen.
Da ist eine übergeordnete Instanz aus der Fachverwaltung gefragt, die die Anforderungen definiert, Ausschreibungen macht und entsprechende Angebote an die Schulen weiterleitet. Wir haben zu VKS und Messenger-Diensten ganz bewusst sehr konkrete Hinweise gegeben. Das habe ich als wichtige Beratungsaufgabe unsererseits angesehen.
Der Jurist Peter Hense kritisierte in der Süddeutschen Zeitung im Juli 2020, dass „die Datenschutzbehörden unterfinanziert, unterbesetzt, unterkompetent“ seien. Und: „Sie nehmen oft politische Rücksichten und verteilen ihren Sanktionsdruck mitunter unfair: inländische und kleine Unternehmen werden gebissen, sehr große Anbieter geschont.“ – sind Datenschutzbehörden in Deutschland tatsächlich „zahnlose Papiertiger“?
Nein, die Datenschutzbehörden sind keine zahnlosen Papiertiger. Man muss allerdings zwischen dem privaten und dem öffentlichen Bereich unterscheiden. Im Bereich der Privatwirtschaft verfügen die Aufsichtsbehörden nach der europäischen Datenschutz-Grundverordnung über sehr durchgreifende Kompetenzen. Wir können in diesem Bereich Bußgelder in einer Höhe verhängen, die auch großen Unternehmen nicht egal sind.
Im Bereich der öffentlichen Verwaltung verfügen wir leider nicht über vergleichbare Befugnisse. Und meiner Erfahrung nach führt dies tatsächlich dazu, dass im Bereich der öffentlichen Verwaltung die Anforderungen nicht in gleicher Weise ernst genommen werden wie im Bereich der Privatwirtschaft. Allerdings ist es so, dass die Aufsichtsbehörden sehr unterschiedlich ausgestattet sind. Die kleineren unter ihnen sind sehr gefordert und haben große Schwierigkeiten die Anforderungen der DSGVO umzusetzen, weil es sich häufig um sehr komplexe und arbeitsintensive Sachverhalte handelt. Das ist aber nicht deren Schuld und schon gar nicht liegt es an einer vermeintlichen Inkompetenz. Ich habe viel mit den anderen Aufsichtsbehörden zu tun. Sie verfügen über hochqualifiziertes und hochengagiertes Personal. Das ist mir wichtig hier klarzustellen. Sie sind unterschiedlich mutig, das stimmt. Das hat aber, wie gesagt, oft mit deren Ausstattung zu tun.
In Bezug auf die Corona-Regelungen hat der Bund nun mehr Macht an sich genommen. Würden Sie sich auch einheitlichere Regelungen in Sachen Datenschutz auf Bundesebene wünschen?
Zunächst muss ich darauf hinweisen, dass wir nicht nur bundesweit, sondern sogar europaweit einheitliche Datenschutzregeln haben. Hier in Deutschland haben wir nach Wirksamwerden der DSGVO darüber hinaus ein sehr gut funktionierendes System der Zusammenarbeit in der Datenschutzkonferenz der Länder und des Bundes aufgebaut. Grundsätzlich funktionieren die Datenschutzbehörden in Deutschland extrem gut. Dass bestimmte Unternehmen dagegen Stimmung machen, ist nicht verwunderlich. Das muss man hinterfragen und einordnen.
Blicken wir nach Europa: Nach dem Schrems-II-Urteil 2020 forderten Sie die „digitale Eigenständigkeit Europas“. Braucht es insgesamt mehr Europa für den Datenschutz?
Ja, das ist das Gebot der Stunde. Wir brauchen eigene Verfahren, Rahmenbedingungen und müssen Anforderungen für Produkte definieren. Das heißt nicht, dass wir keine außereuropäischen Produkte einbauen könnten, wenn sie den europäischen Anforderungen entsprechen würden. Das ist aber die Voraussetzung.
Wie weit sind dahingehend die Bestrebungen seitens der Politik?
Es gibt diese Bestrebungen. Ich war kürzlich auf einer Veranstaltung, bei der ganz deutlich wurde, dass auf der Bundesebene sehr stark in diese Richtung gedacht wird. Das muss dann eben auch umgesetzt werden. Es ist auch nicht so, dass wir das Know-how nicht hätten. Es gibt sehr viele, auch kleinere Unternehmen, die entsprechende Verfahren entwickeln. Denen sollte man eine Chance geben. Ich habe einmal etwas provokant gesagt, dass man nicht aus Bequemlichkeit bei den althergebrachten Produkten bleiben dürfe, und das ist schon so. Es ist zwar anstrengend Alternativen zu entwickeln, aber wir kommen nicht daran vorbei, weil es sich hier um gesetzliche Vorgaben handelt.
Wenn wir in fünf Jahren auf die Corona-Krise zurückblicken – wird sie die Digitalisierung und den Datenschutz vorangebracht haben?
Ich hoffe das. Die Pandemie brachte auch aufschlussreiche Erkenntnisse mit sich, weil wir, wie unter einem Brennglas, auf bestimmte Probleme aufmerksam gemacht wurden. Meine Hoffnung ist, dass wir das zum Ausgangspunkt nehmen, um diesen entstandenen Digitalisierungsschub solide mit dem Datenschutz zu verknüpfen.
Was sagen Sie dazu?