Interview zu DSGVO, Privatfotos und WhatsApp Datenschutzbeauftragte Thiel: „Menschen sind vorsichtiger geworden“

Von Klaus Wieschemeyer

Die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel.

            

              
                Foto: LfD Niedersachsen/Heike GöttertDie niedersächsische Landesdatenschutzbeauftragte Barbara Thiel. Foto: LfD Niedersachsen/Heike Göttert

Die europäische Datenschutzverordnung (DSGVO) gilt seit zwei Monaten. Niedersachsens oberste Datenschützerin Barbara Thiel registriert ein verändertes Datenverhalten der Menschen.

Vor zwei Monaten, am 25. Mai, ist die Datenschutzgrundverordnung DSGVO in Kraft getreten. Wie ist Ihre Bilanz?

Mein Eindruck ist, dass die großen Unternehmen schon früh angefangen haben, sich auf die DSGVO einzustellen. Vielen kleinen und etlichen mittelständischen Unternehmen ist aber erst sehr spät bewusst geworden, dass die DSGVO auch für sie gilt.

Hat der Datenschutz nicht vor allem die Kleinen überfordert?

In Deutschland muss man Datenschutz eigentlich nicht erklären. Wir haben eine Tradition, die spätestens mit dem Volkszählungsurteil 1983 beginnt. Schon da sind elementare Prinzipien aufgezeigt, die es auch in der DSGVO gibt. Ich glaube aber, dass viele Unternehmen sich früher damit nicht auseinandergesetzt haben und erst jetzt wach geworden sind.

Die Aufregung vor der Einführung war gewaltig…

…auch weil man geradezu von einem El Dorado für Berater und abmahnende Rechtsanwälte gesprochen hat. Als man dann in vielen Firmen gemerkt hat, wir haben ja nur noch ein paar Wochen Zeit, ist Panik ausgebrochen.

Zu Recht?

Wir haben als Behörde keinen repräsentativen Einblick in die 300000 Unternehmen, für die wir zuständig sind. Wir haben früher eigentlich fast nur nach Bürgerbeschwerden kontrolliert, anlasslose Prüfungen fanden nur selten statt. Nun kontrollieren wir 50 Unternehmen in einer großen Querschnittsprüfung. Ich möchte mir damit einen Eindruck verschaffen, was in den Unternehmen mit Blick auf die DSGVO passiert ist, und wo es noch Defizite gibt.

Müssen sich die Firmen warm anziehen?

Es geht nicht darum, gleich die ganz große Keule zu schwingen. Wir wollen beraten und unterstützen. Bei DSGVO-Verstößen müssen wir aber auch überlegen, ob Sanktionen in Betracht kommen.

Sie denken dochan Strafen?

Wir prüfen Sanktionen mit Augenmaß. Unser Auftrag umfasst ja sowohl die Beratung als auch die Kontrolle, und beidem müssen wir Rechnung tragen. Beratung setzt Vertrauen der Unternehmen voraus, welches wir nicht bei der Kontrolle missbrauchen dürfen. Aber klar ist: Bei gravierenden Verstößen werden wir nicht umhin kommen, uns mit Sanktionen zu beschäftigen.

Sie könnten ja ein Auge zudrücken…

Wenn wir nicht sanktionieren, werden wir irgendwann nicht mehr ernst genommen. Und dann wäre die Sorge vieler Menschen um ihre Daten berechtigt.

Wie können Sie sanktionieren?

In der DSGVO heißt es, dass Geldbußen je nach Einzelfall „zusätzlich oder anstelle“ von Maßnahmen verhängt werden können. Das bedeutet, dass ich eigentlich immer bei einem Verstoß ein Bußgeld festsetzen müsste. Allerdings müssten wir hier noch die Verhältnismäßigkeit nach dem Opportunitätsprinzip diskutieren.

Hat sich der Umgang mit dem Datenschutz geändert?

Ja, wir haben völlig veränderte Zahlen. Das ging bereits in den Monaten vor dem 25. Mai los, aber gerade die letzten Wochen vor dem Stichtag waren von absoluter Hektik begleitet. Wir hatten im ersten Quartal 2018 etwa 1300 Anfragen und Beschwerden, im zweiten Quartal gab es etwa 4300. Es gibt deutlich mehr Beratungsanfragen als Beschwerden, vor allem aus Vereinen und dem Gesundheitsbereich.

Und Datenschutzverletzungen?

2017 wurden uns 20 Datenpannen gemeldet, von denen 15 sich nach Prüfung als wirkliche entpuppten. Allein seit dem 25. Mai sind uns jetzt mehr als 50 Datenpannen gemeldet worden. Die Menschen sind vorsichtiger geworden, und das ist auch gut so.

Die DSGVO scheint viele kalt erwischt zu haben…

… dabei muss man sich schon die Frage stellen, ob Multiplikatoren wie Verbände oder Kammern ihre Klientel ausreichend vorbereitet haben. Ich erlebe in letzter Zeit häufiger Anwürfe. Da heißt es, Sie als Landesdatenschutzbeauftragte müssen das leisten. Nein, wir sind die Aufsichtsbehörde und nicht für die Umsetzung zuständig. Die DSGVO weist die Verantwortung klar zu: Die Unternehmensleitung, und sei sie auch noch so klein, trägt die Verantwortung. Wir beraten, können aber nicht ausgleichen, was anderswo versäumt wurde.

Sie hätten aktiver aufklären können….

Was glauben Sie, wie viele Vorträge ich seit 2016 gehalten habe, wie früh wir Informationen angeboten haben? Doch vor allem am Anfang war das Interesse nicht besonders groß.

Das schließt ja die Landesregierung mit ein, wenn man Ihre Einlassungen zum mit heißer Nadel gestrickten Datenschutzgesetz liest, welches sie als handwerklich schlecht bezeichnet haben .

Ich denke schon, dass bei dem Gesetz mehr Feinarbeit erforderlich gewesen wäre. Aber meine primäre Kritik ist eine andere: Dass die Videoüberwachung deutlich ausgeweitet wurde, dass meine Befugnisse begrenzt wurden und uns Befugnisse nicht zugestanden wurden, die uns im Vorfeld signalisiert wurden.

Was ändert sich durch die DSGVO?

Nehmen Sie die Cookies im Internet. Wir akzeptieren nach Absprache in der Datenschutzkonferenz nur noch so genannte Opt-In-Lösungen, bei denen der Nutzer aktiv zustimmen muss, dass diese aktiviert werden. Opt-Out-Lösungen, bei denen das Einverständnis bereits angekreuzt ist, akzeptieren wir nicht mehr.

Ganz praktisch: Wenn ich mich oder andere privat im Urlaub fotografiere, und im Hintergrund sind ein paar Leute. Kann ich das Bild zum Beispiel bei Facebook hochladen oder besser nicht?

Also nicht aus wissenschaftlichen oder journalistischen Zwecken? Lassen sie es lieber. Aber das hätte auch schon vor der DSGVO gegolten. Ich persönlich frage Menschen, bevor ich sie fotografiere.

Der Autozulieferer Continental hat seinen Mitarbeitern verboten, über den Chatdienst WhatsApp zu kommunizieren. Ist das nicht etwas übertrieben?

Überhaupt nicht, das hat aber nichts mit der DSGVO zu tun. Wir haben immer schon geraten, WhatsApp in der geschäftlichen oder dienstlichen Kommunikation nicht zu nutzen. Das Programm und damit auch Facebook im Hintergrund haben Zugriff auf Kontaktdaten, ohne dass die Inhaber dieser Daten ihre Einwilligung gegeben haben.

Dann begrüßen Sie ja, dass Niedersachsens Polizei statt Whatsapp nun den eigenen Messenger Nimes bekommt.

Wenn die Polizisten ausschließlich dienstliche Geräte nutzen würden, sicher. Aber der Messenger läuft auf privaten Geräten, und da habe ich nicht die Sicherheit, die von der DSGVO verlangt wird. Wir können nicht davon ausgehen, dass auf privaten Geräten alle erforderlichen Updates installiert werden. Wenn sich dann ein Trojaner einnistet, wäre das für die Dienstkommunikation absolut schädlich.

Innenminister Boris Pistorius sagt, dass man das abkapseln kann.

Wir haben uns mit dem Minister darauf verständigt, dass wir die Ergebnisse des Pilotversuchs abwarten und unsere Kriterien in die Evaluation einbringen. Dann schauen wir, wie sich das entwickelt.

Niedersachsens Groko zeigt großes Interesse an einer intelligenten Videoüberwachung mit Gesichtserkennung. Wie stehen Sie dazu?

Ich sehe das kritisch. Wir haben keine Rechtsgrundlage für diese Kameras. Diese zeichnen nicht nur auf, sie identifizieren Personen mittels biometrischer Merkmale. Da muss erst einmal geklärt werden, welche Fotos welcher Personen sollen da eingestellt werden?

Was fänden Sie denn gut? Sollen nur Gefährder eingestellt werden?

Sollte es keine - am besten bundesweit - anerkannte Definition des Begriffs Gefährder geben, wäre das für mich zu unklar. Und dann wäre wichtig zu wissen, wo die Technik eingesetzt werden soll.

Der CDU-Experte Uwe Schünemann will in Fußballstadien damit Hooligans identifizieren…

Auch Das ist ja wieder ein schwammiger Begriff. Und mal davon abgesehen, dass die Technik noch immer fehleranfällig ist: Der Eingriff in die Grundrechte des Einzelnen beginnt mit der Aufzeichnung, und das Löschen reicht nicht aus, um das wieder rückgängig zu machen. Und dann überlegen Sie mal, wie viele Leute in einem Stadion sind.

Herr Schünemann will ja nur die Bösen filmen.

Aber der Eingriff ist doch vorher schon da! Er filmt nicht nur die Bösen, sondern auch alle anderen.

Aber Kameratechnik schreckt doch ab…

Dieser Abschreckungseffekt wird zwar immer wieder in die Diskussion eingeführt, ist aber wissenschaftlich nicht nachgewiesen.

Also sind sie dagegen?

Wir sind nicht per se gegen Videoüberwachung. Aber sie muss verhältnismäßig sein.

Wenn man an die Volkszählungsdebatten der 1980er denkt: Hat sich das Klima in Sachen Datenschutz geändert?

Über das Internet und das Smartphone hat sich in der Bevölkerung eine digitale Sorglosigkeit verbreitet, und durch Anschläge und Terror ist das Sicherheitsbedürfnis gewachsen. Da sind viele bereit, ihre Freiheitsrechte gegenüber dem Staat zurückzufahren.

Woran merken Sie das?

Wann immer ich mich kritisch zur Verhältnismäßigkeit von Videoüberwachung äußere, erlebe ich umgehend einen kleinen Shitstorm, der mir Anachronismus vorwirft. Dabei streite ich ja für die Sache und nicht für mich. Meine Aufgabe ist es, für Freiheitsrechte zu streiten. Persönlich bin ich gar nicht streitsüchtig.


Weitere Angebote, Produkte und Unternehmen der noz MEDIEN