Prof. Dr. Dieter Kugelmann ist seit 2015 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz. Zuvor war er Universitätsprofessor für Öffentliches Recht an der Deutschen Hochschule der Polizei in Münster.
netzpolitik.org: Die Datenschutzgrundverordnung (DSGVO) feiert bald Geburtstag. Vor fünf Jahren wurde sie verabschiedet, seit drei Jahren wird sie angewendet. Wie steht es heute um den Datenschutz in Europa?
Kugelmann: Ich glaube, man kann da sehr schön differenzieren. Auf der einen Seite das materielle Datenschutzrecht, das in sehr gutem Zustand ist. Die Rechtsregeln, die wir haben, sind gut. Natürlich haben sich einige Streitfragen in der Auslegung herauskristallisiert, etwa bei der Reichweite der Betroffenenrechte oder beim Schutz der besonders sensiblen Daten nach Artikel 9. Teilweise auch über die Grundfrage, was überhaupt Datenverarbeitungen sind und worauf die DSGVO anzuwenden ist. Aber im Grunde sind wir hier ganz gut konsolidiert.
netzpolitik.org: Die DSGVO kam mit dem Versprechen, den entfesselten Überwachungskapitalismus einzuhegen und die Datenkonzerne zu bändigen. Das wurde bisher eher nicht eingelöst. Wenn das Recht an sich gut ist, liegt das Problem dann also in seiner Durchsetzung?
Kugelmann: Unsere größte Baustelle ist in der Tat eine effektive und europaweit einigermaßen harmonisierte Durchsetzung. Hier müssen wir noch einiges tun. In Deutschland läuft die Abstimmung unter den Behörden schon ganz gut. Entgegen dem, was man immer hört, streiten wir uns nicht den ganzen Tag. Die Datenschutzkonferenz [von Bund und Ländern, kurz: DSK] funktioniert in 90 Prozent der Fälle. Das Problem ist die europäische Ebene: Was macht der Europäische Datenschutzausschuss bei grenzüberschreitenden Verfahren? Was machen insbesondere die irische und die luxemburgische Behörde, die für die großen Player federführend zuständig sind?
netzpolitik.org: Irland und Luxemburg seien Steueroase und Datenschutzwüste in einem, so hat es mal einer ihrer Kollegen auf den Punkt gebracht. Will sagen: Hinter schwachem Datenschutz steckt eine politische Strategie, um das eigene Land für internationale Konzerne attraktiv zu machen und so für mehr Steuereinnahmen und Arbeitsplätze zu sorgen. Wo liegen denn zum Beispiel mit Irland die ganz konkreten Probleme?
Kugelmann: Eigentlich sollte die DSGVO verhindern, dass weiterhin mit Datenschutzstandards Standortpolitik betrieben wird. Genau an dem Punkt funktioniert es aber nicht, große amerikanische Unternehmen wie Facebook oder Google haben ihre Europazentralen in Irland. Deshalb ist die irische Behörde federführend für die Verfahren gegen sie zuständig. Nach Einschätzung vieler Kollegen und Kolleginnen ist diese zwar durchaus leistungsfähig, aber es dauert einfach zu lange. Sie machen zu wenig und sie scheuen die europäischen Verfahren, um nicht in die Situation zu kommen, dass die anderen Behörden ihnen sagen: So geht es nicht.
„Man den Eindruck, die Kollegen verstecken sich dahinter“
netzpolitik.org: Wollen die Iren nicht, oder können sie nicht?
Kugelmann: Ich habe mal Mitarbeiter für eine Woche zur Hospitation hingeschickt und habe schon ein gewisses Verständnis für die Geschwindigkeit: Irland hat ein sehr kompliziertes Verfahrensrecht und ein sehr dickes Datenschutzgesetz. Man fragt sich, was da eigentlich alles drinsteht, wenn es doch schon die DSGVO gibt. Da gibt es X Verfahrensvorschriften und man will als Behörde natürlich nicht wegen Verfahrensfehlern auf die Nase fallen. Da macht man dann lieber nochmal eine Anhörung mehr, bei der die Beschuldigten wieder etwas vortragen können.
Bezogen auf Irland hat man aber den Eindruck, dass es System hat und dass die Kolleginnen und Kollegen sich dahinter verstecken. Die Behörde ist inzwischen verdoppelt worden von den Leuten her. So langsam müssten sie also mal in die Pötte kommen und die Sachen angehen, die seit ein, zwei Jahren rumliegen. Also, ich glaube in der Tat: sie wollen nicht.
netzpolitik.org: Wie sieht denn die Zusammenarbeit im Europäischen Datenschutzausschuss ganz praktisch aus? Der Hamburger Datenschutzbeauftragte etwa musste mehrere Verfahren an die irische Behörde abtreten. Was passiert dann?
Kugelmann: Es gibt eine gemeinsame Plattform des Europäischen Datenschutzausschusses, über die die Zuständigkeiten geregelt werden. Bei Fällen zu Facebook oder Google, die eine grundsätzliche Bedeutung haben, ist die irische Behörde zuständig. Das Verfahren führt die federführende Behörde dann allein durch. Sie soll in solchen Fällen eine Entscheidung für den europäischen Datenschutzausschuss vorbereiten. Dann können andere betroffene Behörden eine andere Auffassung zum Ausdruck bringen.
Natürlich versucht man, sich zu einigen; aber letztlich kann der Europäische Datenschutzausschuss per Abstimmung eine verbindliche Entscheidung treffen. Die Iren wollen aber manchmal nicht, dass eine Entscheidung getroffen wird, weil die zu ihren Lasten ausgehen könnte.
Einzelne Behörden können die Durchsetzung verhindern
netzpolitik.org: Als es neulich zur Abstimmung kam, weil Deutschland unzufrieden mit einer irischen Entscheidung war, hat sich die Mehrheit des Ausschusses allerdings der irischen Behörde angeschlossen.
Kugelmann: Die Iren haben dem Ausschuss tatsächlich erst einen der vielen offenen Fälle vorgelegt. Der betraf Twitter, aber es ging eigentlich mehr um eine formale Frage: Müssen wir anderen Datenschutzbehörden in grenzüberschreitenden Verfahren hinnehmen, wie die zuständige Behörde den Untersuchungsgegenstand festlegt und die Untersuchungen führt? Oder können wir mehrheitlich entscheiden, dass eigentlich mehr oder andere Dinge hätten geprüft werden müssen? Hier hat der Ausschuss entschieden, dass allein die Behörde, die für die Prüfung zuständig ist, den Prüfungsgegenstand festlegt.
netzpolitik.org: Das heißt in der Sache können die Datenschutzbehörden sich nicht wirklich gegenseitig kontrollieren? Man kann unterschiedlicher Rechtsauffassung sein und schauen, welche sich durchsetzt, aber man die Kolleg:innen nicht zwingen, sich bestimmte Aspekte genauer anzuschauen?
Kugelmann: Das ist genau die Krux. Deshalb haben wahrscheinlich auch viele andere Kollegen gesagt: Wir würden auch nicht wollen, dass uns hier reingeredet wird. Wir können also nicht Gegenentwürfe liefern, sondern nur das, was uns vorgesetzt wird, rechtlich bewerten. Nach dem Motto: Friss oder stirb. Das wird sich leider rechtlich so bald auch nicht ändern: Wir hatten das in der Evaluation der DSGVO angemerkt, aber die Kommission hat entschieden, die DSGVO vorerst nicht zu verändern. Es bleibt also dabei, dass einzelne Behörden, die nicht harmonisiert und kooperativ vorgehen wollen, den Verkehr aufhalten können und die effektive Durchsetzung europaweit kaputtmachen können.
netzpolitik.org: Im EU-Parlament wurde die Forderung erhoben, ein Vertragsverletzungsverfahren gegen Irland zu eröffnen. Was halten Sie davon?
Kugelmann: Ich glaube nicht, dass das großen Ertrag bringt. Das Vertragsverletzungsverfahren richtet sich gegen den jeweiligen Staat, aber was soll denn die irische Regierung machen? Die Datenschutzbehörden sind unabhängig, sie könnte Frau Dixon [die irische Datenschutzbeauftragte] gar nicht anweisen, selbst wenn sie es wollte.
netzpolitik.org: Wo sollte man Ihrer Meinung nach ansetzen?
Kugelmann: Man müsste das Kohärenz-Verfahren im Datenschutzausschuss an zwei Stellen ändern. Zum einen müssten die anderen Behörden schon an früheren Stellen des Verfahrens einbezogen werden. Zum anderen braucht es wie eben angesprochen im späteren Stadium mehr Entscheidungsbefugnisse im Mehrheitsverfahren. Das kann uns ja übrigens genauso treffen. Heute ärgern wir uns über die Iren, aber wer weiß, vielleicht würden in fünf Jahren wir mit Mehrheit korrigiert werden. Trotzdem: Zumindest bei Verfahren, von denen Nutzer in der ganzen EU betroffen sind, sollten alle mehr mitreden können.
„Wir müssen uns nicht verstecken“
netzpolitik.org: Schauen wir mal auf die Situation in Deutschland. Der Jurist Malte Engeler ist hier deutlich weniger zufrieden als Sie. Im Interview mit uns warf er den Aufsichtsbehörden neulich mangelnde Durchsetzungskraft vor. Diese würden zu Meinungsäußerungsstellen verkommen und nicht den Mut haben, Verfahren auch vor die Gerichte zu bringen. „Sie spitzen den Mund, aber sie pfeifen nicht“, so Engeler.
Kugelmann: Die Aufgabe, die Öffentlichkeit aufzuklären, sollte man nicht in Gegensatz zum Vollzug bringen. Beides ist wichtig und ergänzt sich. Überdies: Wenn man die Zahlen zu Durchsetzungsmaßnahmen der deutschen Aufsichtsbehörden mit denen anderer europäischer Behörden vergleicht, müssen wir uns wahrlich nicht verstecken. Die Statistiken des Europäischen Datenschutzausschusses sind öffentlich und zeigen genau dies. Datenschutzaufsicht findet auch nicht im luftleeren Raum statt, sondern inmitten der dynamischen Digitalisierung. Es sind viele Interessen abzuwägen, und Ermessensspielräume können in unterschiedliche Richtung genutzt werden. Das sagt auch die Datenschutz-Grundverordnung.
netzpolitik.org: Ganz konkret bemängelt Engeler, dass es nicht genug Gerichtsverfahren und somit Klärungen strittiger Auslegungsfragen gibt. Das klang bei Ihnen eben ganz anders.
Kugelmann: Die prozessualen Möglichkeiten der Aufsichtsbehörden, aktiv zu klagen, sind sehr begrenzt. Die Anzahl der Gerichtsverfahren hängt also eher von den Klagen gegen unsere Entscheidungen ab, und Klagegegner sind wir in der Tat recht häufig. Aber die Gerichte sind ja darin unabhängig, was sie in ihre Urteile schreiben und ob sie sie dem EuGH vorlegen. Wenn ich die Fachzeitschriften so durchblättere, habe ich übrigens schon den Eindruck, dass es viele gerichtliche Verfahren zum Datenschutzrecht gibt.
netzpolitik.org: Die 17 Datenschutzbehörden in Deutschland stehen auch immer wieder wegen zu langsamer und inkohärenter Abstimmung untereinander in der Kritik. Lassen wir mal die ersten wilden Wochen nach dem Wirksamwerden der DSGVO am 25. Mai 2018 außer Acht, in denen durch zahlreiche Medienanfragen sehr unterschiedliche Aussagen einzelner Behördenleiter:innen zu Anwendungsfragen kursierten, Stichwort Visitenkarten. Die Kritik aus Teilen von Politik und Wirtschaft ist trotzdem nicht leiser geworden, auch die Datenethikkommission der Bundesregierung hat mehr Einheitlichkeit angemahnt.
Kugelmann: In dieser Pauschalität trifft der Vorwurf nicht zu. Es ist doch klar, dass wir uns erstmal konsolidieren müssen, wenn wir zeitgleich Anfragen von Unternehmen in Rheinland-Pfalz, in Sachsen und in Hessen bekommen. Das kann mal zwei, drei, vier Wochen oder auch zwei Monate dauern, aber unsere Geschwindigkeit hat sich hier schon enorm gesteigert. Und in welchen Fragen haben wir denn auf Dauer unterschiedliche Auslegungen? Das kann mir aus der Wirtschaft auch niemand erklären. Im medizinischen Bereich, etwa zur Frage der Forschung mit Versorgungsdaten, gelten unterschiedliche Landeskrankenhausgesetze. Da muss man die Kritik an den Gesetzgeber richten, nicht an uns.
netzpolitik.org: Die Abstimmung in der DSK funktioniert also besser als im europäischen Datenschutzausschuss?
Kugelmann: Ja. Unsere Geschäftsordnung sieht auch Mehrheitsentscheidungen vor und in der Regel halten sich alle dran. Gleichzeitig findet die Abstimmung im Rahmen der DSK komplett informell statt. Formale Verfahrensvorgaben wie auf europäischer Ebene enthält das Bundesdatenschutzgesetz nicht. Unseren Wunsch nach einer Rechtspersönlichkeit für die Konferenz haben Bund und Länder nicht aufgegriffen. Hier wäre wohl ein Staatsvertrag nötig.
Nicht nur die großen Bußgelder zählen
netzpolitik.org: Ein Unterschied zwischen den Ländern springt einem von außen aber doch sofort ins Auge: die Höhe der verhängten Bußgelder. In den ersten zwei Jahren haben Sie in Rheinland-Pfalz Sanktionen in Höhe von insgesamt 155.000 verhängt.
Kugelmann: Im dritten Jahr sind es nun nochmal rund 85.000 Euro gewesen.
netzpolitik.org: In einigen Bundesländern hingegen sind inzwischen Bußgelder in Millionenhöhe verhängt worden. Halten sich die Unternehmen in Rheinland-Pfalz einfach besonders gut an den Datenschutz oder haben Sie hier eine andere Sichtweise als manche ihrer Länderkolleg:innen?
Kugelmann: Auch hier haben wir mit dem AK Sanktionen der Datenschutzkonferenz eine gute Harmonisierung erreicht, wobei natürlich jede Behörde ihren Ermessensspielraum hat. Tatsächlich sind die Millionen-Bußgelder ja eher die Ausnahme. Bundesweit liegen die allermeisten Bußgelder im drei- oder vierstelligen Bereich, wegen irgendeiner Dashcam im Auto zum Beispiel oder wegen Fehlern bei der Videoüberwachung. Die Fälle, die spannender sind, weil es wirklich um ernsthafte Verstöße geht, sind auch ein großer Aufwand. Wir müssen da unbedingt rechtssicher arbeiten. Wir stimmen uns bei den größeren Fischen deshalb im AK Sanktionen gut ab und steigen oft auch mit höheren Bußgeldern ein. Die werden aber nicht selten von den Gerichten auch wieder verringert.
netzpolitik.org: Vor einem Jahr hatten sie gesagt, dass es seit Einführung der DSGVO häufiger vorkommt, dass öffentliche Stellen und Unternehmen Rechtsmittel gegen Bußgeldbescheide einlegen. Hält dieser Trend an?
Kugelmann: Das ist inzwischen Standard, ja. Und zwar gar nicht unbedingt bei den großen Bußgeldern, sondern gerade bei den kleineren Fällen. H&M etwa hat gegen das Bußgeld in Höhe von 35 Millionen Euro keine Rechtsmittel eingelegt. Oder als es jetzt den VfB Stuttgart getroffen hat. Es ist aus rechtsstaatlicher Perspektive auch gut, dass es Widerspruchsverfahren gibt.
Gerichtsurteile mit weitreichenden Folgen
netzpolitik.org: Tatsächlich haben die Datenschutzbehörden vor Gericht aber in letzter Zeit einige herbe Schlappen einstecken müssen. Das Landgericht Bonn hat ein vom Bundesdatenschutzbeauftragten gegen 1&1 verhängtes Bußgeld drastisch zusammengekürzt. Die österreichische Post kommt für den Handel mit Adressdaten und zugeschriebenen politischen Vorlieben gänzlich ungeschoren davon, weil das Gericht befunden hat, dass nicht Unternehmen als juristische Personen haften können, sondern einzelnen Verantwortungsträgern im Unternehmen Fehlverhalten nachgewiesen werden muss. Mit der gleichen Begründung hat das Landgericht Berlin kürzlich ein Millionenbußgeld gegen die Deutsche Wohnen kassiert.
Kugelmann: Ich finde es überhaupt nicht schlimm, wenn Bußgelder reduziert werden. Wir arbeiten ja nicht nur damit, sondern auch mit Verwarnungen und Anordnungen. Mein Ziel ist auch nicht, möglichst hohe Bußgelder zu verhängen, sondern die DSGVO effektiv anzuwenden. Wir wollen mit unseren Bußgeldern eine abschreckende Wirkung erzielen, aber wenn ein unabhängiges Gericht sagt „halt, das ist zu hoch“, dann werden wir darauf künftig reagieren. Das ist normal für die Konsolidierungsphase nach Einführung eines neuen Gesetzes und ich bin da um jedes gut begründete Urteil dankbar. Die Betonung liegt auf gut begründet: Am Anfang war es so, dass die Amtsgerichte pauschal alle Bußgelder abgemildert haben, ohne dass das so richtig überzeugt hat. Das ist jetzt besser geworden.
netzpolitik.org: Bei den höheren Strafzahlungen sind in Deutschland ohnehin die Landgerichte zuständig.
Kugelmann: Ja, und ich bin beispielsweise mit der 1&1-Entscheidung sehr zufrieden. Viel wichtiger, als dass das Unternehmen ein paar Euro mehr oder weniger zahlt, ist nämlich die inhaltliche Entscheidung in dem schon angesprochenen Punkt: Wir können auch gegen juristische Personen Bußgelder verhängen. Nach klassischem deutschen Bußgeld-Recht bräuchte man natürliche Personen, also zum Beispiel einen Geschäftsführer, dem nachgewiesen werden kann, dass er nicht richtig aufgepasst hat. Das ist aber mit unseren begrenzen Möglichkeiten kaum möglich. Wir sind ja nicht die Polizei oder der Verfassungsschutz. Gerade größere Unternehmen könnten sich dann so kompliziert organisieren, dass wir sie nicht dranbekommen. Ich bin deshalb auch froh, dass die Berliner Kollegen in einem anderen Fall vors Kammergericht gehen. Das werden in ein paar Jahren dann wahrscheinlich der BGH oder der EuGH entscheiden.
netzpolitik.org: Vielen Dank für das Gespräch!
Was für ein Geschwurbel. Jedes Mal, wenn man den Rechner anschaltet, werden auch gegen den Willen des Anwenders massenweise Daten zu Microsoft geschaufelt. Welche Daten? Man weiß es nicht. Telemetrie halt. Weshalb? Man weiß es nicht, Telemetrie halt. Man ist dagegen? Kein Problem, einfach den PC verkaufen und mit einer Schreibmaschine weiter arbeiten.
Es gibt nicht einmal eine Stelle, wo man nachfragen, welche Möglichkeiten man hätte, die Schnorchelei von Microsoft ab zu stellen.
Die DSGVO ist eigentlich eindeutig: Datenübertragung nur mit FREIWILLIGER Zustimmung des Nutzers. Praktisch jede Webseite bietet eine Nutzung komplett ohne Cookies an. Bei Windows, Office & Co wird der Nutzer hingegen gezwungen, eine Blankovollmacht ab zu nicken.
Die angeblich so kooperative Datenschutzkonferenz konnte sich bislang nicht einmal einigen, ob Microsofts Telemetrie in bestimmten kommerziellen Umgebungen – wo es immerhin Opt-Out-Möglichkeiten gibt – zulässig ist. Für Magdeburg hat die dortige Behörde entschieden, mehrere Microsoft-Produkte seinen nicht mit der DSGVO vereinbar. Microsoft – Telemetrie gibt es schon ewig, die DSGVO auch schon eine Weile.
Datenschützer, die bereit sind, die DSGVO mit Bußgeldern möglichen 4 % vom globalen Jahresumsatz durch zu setzen? Fehlanzeige.
Man vertreibt sich die Zeit lieber mit Interviews.
Dazu muss ich sagen, dass man was diese Art der Telemetrie betrifft, durchaus noch die Wahl hat. Wenn ich meinen PC einschalte, baut der nicht als erstes eine Verbindung zu Microsoft auf. Seit 10 Jahren Linux und ich vermisse diesen Kram mit jedem Jahr weniger.
Man kann da durchaus auch vor der eigenen Tür kehren. Deutschland ist ebenso eine Datenschutzwüste. Wir haben zwar tolle Datenschutzerklärungen, Cookie-Banner (die oft nicht richtig funktionieren), und noch einige andere, heilige Versprechen. Kontrolliert wird aber so gut wie nichts. Ich habe inzwischen oft genug DSGVO-Anfragen verschickt, um die Realität dahinter zu kennen. Auskunfsersuchen werden entweder unvollständig oder gar nicht beantwortet. In einigen Fällen kommen Ausreden zurück, warum das zu viel Arbeit wäre, oder warum man nicht zur Auskunft berechtigt ist. Löschanfragen werden ebenfalls gerne ignoriert, oder sie werden bestätigt, es passiert aber nichts. In vielen Fällen wird einfach das Nutzerkonto gesperrt. Das hat zwar mit Löschen nichts zu tun, aber macht eine Kontrolle unmöglich. Überhaupt wird halt nichts davon kontrolliert, und die einzige Möglichkeit es durchzusetzen, wäre wohl eine Klage. Aber wer macht das schon? Das wissen die Firmen, und nutzen es aus, und deshalb ist die DSGVO in der Praxis wertlos. Ein wirklich schlagkräftiges Instrument wäre sie nur dann, wenn es eine offizielle Website gäbe, wo man Vorfälle melden kann, die dann nach einer Prüfung dazu führen, dass von Staatwegen die Hölle auf diese Unternehmen herab kommt. Daran aber hat der Staat überhaupt kein Interesse. Die Maxime ist: Es muss nach Außen toll aussehen, darf aber keine Arbeit machen, nichts kosten, und um Gottes Willen nicht dazu führen, dass sich Lobbyisten auf den Fuß getreten fühlen.