Scheidender Datenschutzbeauftragter„Ich wollte gar nicht Bußgeld-Europameister werden“

Stefan Brink gilt als streitbarer Kopf. Nun gibt er sein Amt als Landesbeauftragter für Datenschutz und Informationsfreiheit von Baden-Württemberg auf. Wir sprachen mit ihm über Fehler der Aufsichtsbehörden, Winfried Kretschmanns Talkshow-Auftritte und warum er Bußgelder für überschätzt hält.

Ein gestikulierender, lächelnder Mann mit kurzen grau-schwarzen Haaren
Jetzt nicht mehr Landesbeauftragter: Stefan Brink – Alle Rechte vorbehalten LfDI BaWü / Jan Potente

Dr. Stefan Brink ist Jurist aus Kaiserslautern und war seit Dezember 2016 Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI BaWü). Aus dem Ländle ist zu hören, dass er eine zweite Amtszeit hätte haben können, doch er entschied sich dagegen.

Niemand aus dem Kreis seiner Kolleg:innen ist so oft auf netzpolitik.org zitiert worden wie Brink. Er verstand sein Amt als politische Aufgabe und meldete sich in aktuellen Debatten um Datenschutz und Informationsfreiheit regelmäßig zu Wort. 2019 handelte sich Brink einen veritablen Shitstorm ein, weil er die Veröffentlichung des Videos kritisierte, das 2019 in Österreich die Ibiza-Affäre auslöste. Für Aufmerksamkeit sorgte er aber auch, als er Anfang 2020 medienwirksam seinen Twitter-Account löschte und lange vor dem diesjährigen Hype zu Mastodon wechselte. Dort betreibt seine Behörde eine Instanz für staatliche Stellen aus Baden-Württemberg. Als letzte Amtshandlung kündigte Brink kurz vor Weihnachten an, dass seine Behörde als erste in Europa ein Verfahren gegen die Gesichtersuchmaschine Pimeyes einleitet, deren Machenschaften wir 2020 aufgedeckt hatten.

Im Gespräch mit netzpolitik.org wirkt der 56-Jährige aufgeräumt und entspannt. Er macht deutlich, dass unterschiedliche Vorstellungen mit der Landesregierung zum Ende seiner Amtszeit beigetragen haben, doch verbittert scheint er nicht zu sein. Im Gegenteil: Stefan Brink hat offenbar noch viel vor.

„Ich halte wenig von Daten-Askese“

netzpolitik.org: Hallo Stefan, schön, dass wir uns zum Ende deiner Amtszeit nochmal über die großen Linien im Datenschutz und – am Rande – auch in der Informationsfreiheit unterhalten können. Wir beide haben uns kurz nach deinem Start in Baden-Württemberg als Teilnehmer einer Diskussion kennengelernt. Ich weiß nicht mehr, worum es ging, aber ich erinnere noch, dass du damals etwas Ungewöhnliches für einen Behördenchef gemacht hast: Du hast mir ziemlich schnell das „Du“ angeboten. Inwiefern war dieser offene Kommunikationsstil prägend für deine Arbeit als LfDI?

Stefan Brink: Als Behörde haben wir bewusst eine Öffnung praktiziert. Wir verschanzen uns nicht in unserer Amtsstube, sondern haben Kontakt in vielerlei Richtungen aufgenommen. Nicht nur zu den Bürgerinnen und Bürgern, sondern auch dorthin, wo man uns nicht vermutet. Zum Beispiel in den kulturellen Bereich. Aber auch in Richtung anderer Behörden. Als ich 2017 in Baden-Württemberg angefangen habe, da musste ich zunächst ein bisschen Vertrauen gewinnen. Ich weiß noch, wie verwundert man zum Beispiel im Innenministerium war, als ich angeklopft und gesagt habe: Lasst uns mal ein bisschen beschnuppern.

netzpolitik.org: Du hast beim LfDI einen eigenen Bereich für Kulturarbeit geschaffen. Brauchen die Datenschutzbehörden ein breiteres Verständnis von ihrem Feld, jenseits der rechtlichen und – im besten Fall noch – technischen Perspektive?

Stefan Brink: Ja, wir brauchen nicht nur Juristen und Techniker, sondern auch Sozialwissenschaftler. Ethiker zum Beispiel. Und wir brauchen kreative Leute, die in erster Linie was mit Medien können. Leute, die wissen, wie man einen Videoclip dreht oder einen Podcast aufsetzt. Wir sehen immer wieder, dass wir mit unserem Anliegen auf Unverständnis und Widerstand stoßen. Datenschützer werden oft in die Bedenkenträger-Ecke geschoben. Deshalb ist es für die Behörden absolut notwendig, den Blick zu weiten.

netzpolitik.org: Wohin noch?

Stefan Brink: Wir müssen zum Beispiel auch verstehen, warum bestimmte Geschäftsmodelle auf die Nutzung von Daten setzen und wahrnehmen, dass auch Datenverarbeiter Grundrechtsträger sind. Sie haben ein Recht, Daten zu verarbeiten, sofern sie sich dabei an die Regeln halten. Ich halte wenig vom Konzept der Daten-Askese, deren Motto lautet: „Die Daten, die nicht erhoben werden, sind uns am allerliebsten.“ Damit kommen wir im digitalen Zeitalter nicht mehr weit.

„Da gab es einen Nord-Süd-Konflikt zwischen den Aufsichtsbehörden“

netzpolitik.org: Die Datenschutzgrundverordnung (DSGVO) nennt als einen der Grundsätze die Datenminimierung. Ist das nicht ein Widerspruch?

Stefan Brink: Das ist ein sehr deutsches Missverständnis, weil man sich am Wort der Minimierung festbeißt. Das beruht auf einer unglücklich gewählten Kurzfassung des sogenannten Erforderlichkeitsprinzips. Wenn man Artikel 5 in Gänze liest, dann steht dort, dass nur solche Daten verarbeitet werden dürfen, die zur Erreichung des gesetzten legitimen Zwecks notwendigerweise gebraucht werden. Das im Kurztext als Datenminimierung zu bezeichnen ist zwar nicht ganz falsch, führt aber in die Irre, weil man Datenminimierung mit Datensparsamkeit gleichsetzt. Im alten Bundesdatenschutzgesetz gab es noch eine Vorgabe, dass auf Datennutzung verzichtet werden muss, wenn es andere Wege zur Erreichung des Ziels gibt. Diese Regel ist überholt und zu Recht abgeräumt worden.

netzpolitik.org: Eine Perspektive, die man von Datenschutzbeauftragten nicht unbedingt erwartet.

Stefan Brink: Wir sind inzwischen eine in vielen Bereichen digital agierende Gesellschaft. Das geht schlicht nicht, ohne dass wir mit personenbezogenen Daten arbeiten. Ich will damit nicht alles gutheißen, was als neuester Schrei der Technik verkauft wird, von Künstlicher Intelligenz bis Blockchain. Aber wir können nicht verlangen, dass niemand personenbezogene Daten verarbeitet. Was wir verlangen können, ist, dass dies rechtmäßig geschieht und dass nicht mehr Daten gesammelt werden, als gebraucht werden.

netzpolitik.org: Die kommunikative Offenheit, über die wir eben sprachen, bezieht sich bei dir also auch auf Unternehmen? Du scheinst sie nicht nur als Gegenüber sehen zu wollen, sondern auch als … jetzt suche ich nach dem richtigen Begriff. Als Partner?

Stefan Brink: Dass diese Bezeichnung nicht ganz leicht fällt, zeigt schon, dass wir hier einen Interessenkonflikt haben. Wir sind ohne jeden Zweifel Aufsichtsbehörde und müssen Verstöße sanktionieren. Es darf nicht der Eindruck entstehen, dass wir nur der nette Gesprächspartner sind, der immer mal vorbeikommt und dann wieder weg ist. Aber es lohnt sich, mit den Unternehmensleitungen oder betrieblichen Datenschutzbeauftragten zu sprechen – und ihnen zu helfen, ihre Geschäftsmodelle datenschutzkonform umzusetzen.

netzpolitik.org: Auch das dürften einige deiner Kolleg:innen im Kreis der Datenschutzbehörden anders sehen.

Stefan Brink: Tatsächlich gibt es da einen gewissen Nord-Süd-Konflikt. Sehr lange Zeit haben nur die süddeutschen Aufsichtsbehörden überhaupt Beratung für Verantwortliche angeboten. Die Norddeutschen haben das als Fehlorientierung verstanden. Sie haben sich eher in der Rolle des Robin Hood gesehen, da wurden Unternehmen sehr schnell zum Gegner auserkoren.

Ich glaube, wir sollten auf beiden Schultern tragen: Wir müssen die Regeln durchsetzen und sanktionieren, wenn es nötig ist. Aber wir sollten die Verantwortlichen auch beraten, damit sie so wenige Fehler wie möglich machen. Wir tun das ja nicht, weil wir die Wirtschaft so toll finden oder kleine und mittlere Unternehmen (KMU) für das Goldene Kalb halten. Sondern weil Unterstützung und Prävention den Unternehmen helfen, Fehler zu vermeiden. Das schützt letztlich auch die Bürgerinnen und Bürger.

„Der VfB hat viel getan, um den Schaden zu beheben“

netzpolitik.org: Oft stehen sich Ideen zur wirtschaftlichen Datennutzung und der Datenschutz heute scheinbar diametral gegenüber. Funktioniert es in der Praxis, diesen Widerspruch aufzulösen?

Stefan Brink: Absolut. Wir sind in Baden-Württemberg sehr weit gegangen mit diesem Ansatz, haben zum Beispiel Quartalsgespräche mit den großen Unternehmen aus dem Automobilsektor eingeführt. Das sind in Baden-Württemberg inzwischen mehr als ein Dutzend Unternehmen, die diese Chance wahrnehmen. Die Unternehmen erklären uns, was sie an Datenverarbeitung in der nächsten Zeit vorhaben, welche neuen Technologien sie einsetzen oder wie sie Geschäftsmodelle umstellen wollen. Wir melden zurück, wo wir Probleme sehen oder welche Ergebnisse wir in diesem Bereich an anderer Stelle gesammelt haben.

Auch Startup-Sprechstunden machen wir seit mehr als zwei Jahren, inzwischen gibt es die fast überall. Der Ansatz hat sich extrem bewährt und es gab nicht einen einzigen Fall, wo die Unternehmen unsere Rolle missverstanden haben. Es werden auch immer wieder Datenschutzverstöße von Unternehmen, mit denen wir diese Gespräche geführt haben, bei uns angezeigt. Das haben wir immer nachverfolgt und in einem Fall auch eine Strafe verhängt.

netzpolitik.org: Durch besonders hohe Bußgelder bist du insgesamt allerdings nicht aufgefallen. Die AOK hat mal eine Millionenstrafe von deiner Behörde kassiert. Aber der VfB Stuttgart zum Beispiel hatte einen ordentlichen Datenskandal und ist mit 300.000 € ganz schön glimpflich davongekommen.

Stefan Brink: Mir ist wichtig, dass wir zeigen: Wir können sanktionieren. Wer sich vorgenommen hat, qua Geschäftsmodell die Rechte anderer zu verletzen, muss damit rechnen, ein saftiges Bußgeld zu bekommen. Das müssen alle wissen. Aber ich wollte gar nicht Bußgeld-Europameister werden. Ein Wettbewerb darum wäre auch verzerrt: Es gibt in Europa schließlich Datenschutzbehörden, die hohe Bußgelder verhängen müssen, weil sie schlecht ausgestattet sind und sich über Bußgelder finanzieren.

netzpolitik.org: In Deutschland ist das nicht so, oder?

Stefan Brink: Die deutschen Aufsichtsbehörden sind recht leidlich finanziert und müssen im Gegenzug alle Bußgelder an den Staatshaushalt abgeben. Am Ende jedes Jahres bekomme ich ein Schreiben vom Landesfinanzminister, der sich freut, dass ich fast mehr Mittel eingenommen als ausgegeben habe. Tatsächlich aber machen wir als LfDI mit Bußgeldern sogar ein Verlustgeschäft, denn die Verfahren sind sehr aufwendig und personalintensiv. Insofern sind Bußgelder ein zweischneidiges Schwert. Wie gesagt: Ich finde Beratung mindestens genauso wichtig. Nichtsdestotrotz habe ich in Deutschland das erste Bußgeld unter der DSGVO verhängt.

netzpolitik.org: Gegen wen?

Stefan Brink: Gegen einen Social-Media-Anbieter aus Baden-Württemberg namens Knuddels. Das Bußgeld gegen die AOK ist zudem das höchste Bußgeld gegen eine öffentliche Stelle in Deutschland.

netzpolitik.org: Und der VfB Stuttgart?

Stefan Brink: Da haben wir das Bußgeld reduziert. Der Verein hat in außergewöhnlich intensiver Weise dafür gesorgt, den Schaden zu beheben und sich hier besser aufzustellen. Es gibt inzwischen eine enge Kooperation zwischen dem VfB und meiner Behörde, wo es insbesondere darum geht, Kinder und Jugendliche zu erreichen, zum Beispiel zur Problematik von Social Media. Da hat ein richtiger Lernprozess eingesetzt und das ist viel mehr wert als ein doppelt oder dreifach so hohes Bußgeld.

netzpolitik.org: Es gibt ja auch noch andere Sanktionsmöglichkeiten als Bußgelder. Zum Beispiel Anordnungen, mit denen die Aufsicht bestimmte Datenverarbeitungen untersagen kann. Das kommt in der öffentlichen Debatte oft zu kurz.

Stefan Brink: Vielleicht kriegt man es nicht so mit, weil eine Verwaltungsanordnung nicht so sexy wie ein Bußgeldbescheid ist? Insbesondere gegenüber öffentlichen Stellen, die sich nicht an unsere Vorgaben halten wollen, ist das ein sehr effektives Instrument. Ich habe das zum Beispiel in einer Auseinandersetzung mit dem Oberbürgermeister von Tübingen genutzt, Boris Palmer. Dem haben wir untersagt, ohne Rechtsgrundlage eine diskriminierende Liste mit sogenannten „auffälligen Geflüchteten“ zu führen.

Im privaten Sektor könnten wir das tatsächlich noch mehr einsetzen, da sind allerdings Bußgelder vom Verfahren häufig einfacher. Ich glaube aber, dass die Anordnung in den nächsten Jahren eine größere Rolle spielen wird.

„Es gibt interessengeleitete Akteure, die den Datenschutz übelst verleumden wollen“

netzpolitik.org: Sprechen wir noch mal über Kommunikation. Der Datenschutz hat in Teilen der Gesellschaft einen schlechten Ruf. Fast wirkt die Öffentlichkeit bei dem Thema gespalten. Wo liegt das Problem?

Stefan Brink: Es gibt beim Thema Datenschutz zwei Gruppen. Einmal die Gruppe derjenigen, die sich bereits betroffen fühlen. Diese Menschen haben schon eine konkrete Erfahrung gemacht, wie wichtig es ist, die Herrschaft über die eigenen Daten zu behalten. Das sind zum Beispiel Beschäftigte, deren Arbeitgeber übergriffig waren, indem sie heimliche Videoaufnahmen am Arbeitsplatz oder Leistungs- und Verhaltenskontrollen machen. Wer so was erlebt hat, wird über Sinn und Unsinn von Datenschutz nicht mehr diskutieren wollen. Die wissen, was das mit einem macht, wenn man sich permanent beobachtet, mit Daten unter Druck gesetzt und plötzlich auch manipuliert fühlt.

netzpolitik.org: Und die zweite Gruppe?

Stefan Brink: Die andere Gruppe sind Menschen, die sich keine Gedanken machen, weil sie noch nicht selbst betroffen waren. Das ist auch okay, es muss sich keiner Gedanken machen. Sich für die eigenen Interessen nicht zu interessieren ist eine Grundfreiheit. Aber das sind in der Regel keine Menschen, die aggressiv oder sehr negativ über den Datenschutz reden. Von einer Spaltung würde ich deshalb nicht sprechen.

netzpolitik.org: Woher kommt dann das schlechte Image?

Stefan Brink: Es gibt interessengeleitete Akteure, die gezielt versuchen, den Datenschutz übelst zu verleumden. Ich denke an Aussagen, wie wir sie aus der Pandemie kennen: „Datenschutz kostet Menschenleben“ und Ähnliches. Das ist nicht Ausdruck eines gerechten Zorns von Bürgerinnen und Bürgern, sondern das sind Interessenvertreter, die ganz gezielt versuchen, sich von den Bindungen des Datenschutzes zu befreien und in rücksichtsloser Art und Weise mit den persönlichen Informationen anderer Mitmenschen umzugehen.

„Frau Buyx und ich haben einen neuen Anlauf vereinbart“

netzpolitik.org: Du hast kürzlich die Vorsitzende des Deutschen Ethikrates scharf angegriffen, weil sie in ein ähnliches Horn gestoßen hat. Deutschland sei wegen des Datenschutzes bei medizinischer Forschung abgehängt, sagte sie. Die Bevölkerung müsse ihre Einstellung zum Datenschutz ändern und insbesondere die Datenschutzbehörden sollten nicht immer Verhinderer sein. Hältst du Alena Buyx auch für interessengeleitet?

Stefan Brink: Sie vertritt die Sichtweise von Forschenden, die sich lieber mit der Faszination des eigenen Forschungsgebiets befassen als mit den Rechten betroffener Bürgerinnen und Bürger. Aber auch wir Datenschützer haben da viel zu lange auf überholten Positionen beharrt – die DSGVO ist tatsächlich sehr forschungsfreundlich. Frau Buyx und ich haben deswegen einen gemeinsamen neuen Anlauf vereinbart. Ethik und Datenschutz sind natürlich kein Gegensatz.

netzpolitik.org: Dass die medizinische Forschung und individualisierte Therapien mit mehr Daten noch größere Fortschritte machen würden, hört man allerdings oft. Wie kann der Weg hier aussehen, beides zusammenzubringen?

Stefan Brink: Es gibt im Datenschutzrecht immer zwei Möglichkeiten, voranzukommen: Entweder über eine gut informierte Einwilligung oder der Gesetzgeber muss ran und fachspezifische Vorgaben machen, an die wir Datenschützer dann gebunden sind.

netzpolitik.org: Die Einwilligung als Rechtsgrundlage zur Datenverarbeitung steht mehr und mehr in der Kritik. Sie soll eigentlich informiert und freiwillig erfolgen, doch auch unsere Recherchen bei netzpolitik.org zeigen, dass das nicht der Fall ist. Denken wir zum Beispiel an Dark Patterns bei Cookie-Bannern oder an untergeschobene Einwilligungen im Handy-Shop oder bei der Sparkasse.

Stefan Brink: Tatsächlich ist die Einwilligung in vielen Bereichen ein untaugliches Mittel. Zum Beispiel weil die Betroffenen nicht ordentlich informiert werden. Oder weil sie in einem Abhängigkeitsverhältnis zum Datenverarbeiter stehen, etwa beim Beschäftigtendatenschutz. Letztlich vereinzelt die Einwilligung den Betroffenen und setzt ihn überlegenen Datenverarbeitern aus. Deshalb sagen in der Datenschutz-Community inzwischen viele: Strukturell sollten wir gar nicht mit Einwilligungen arbeiten, bitte lieber auf gesetzlicher Grundlage oder mit einem überwiegenden berechtigten Interesse. Ein sehr spannendes Thema, vielleicht aber mit der deutschen Brille etwas überschätzt.

netzpolitik.org: Wieso überschätzt?

Stefan Brink: In Deutschland verstehen wir Datenschutz als Grundrecht und da ist es absolut naheliegend, dass bei dessen Ausübung im Wesentlichen drauf geschaut wird, was der Betroffene will und was nicht. In der Folge wirkt die Einwilligung wie der Königsweg. In anderen Ländern wie zum Beispiel Frankreich spielt die Einwilligung aber eine absolut untergeordnete Rolle. Da müssen wir noch lernen.

„Die DSGVO kam 20 Jahre zu spät“

netzpolitik.org: Zurück zum Image des Datenschutzes. Ein Thema, das viele Menschen frustriert, sind die elendigen Cookie-Banner.

Stefan Brink: Auch hier haben Interessenvertreter eine Mär in die Welt gesetzt. Und zwar die, dass die Datenschützer Cookie-Banner erfunden hätten. Diese Erzählung kommt von denjenigen, die sehen, dass sie ihre rücksichtslosen Geschäftsmodelle vor dem Hintergrund des starken europäischen Datenschutzrechts nicht mehr durchsetzen können. Wer Cookie-Banner braucht, erklärt damit ja, dass er die Daten seiner Nutzer wirtschaftlich verwerten, für Profilbildung nutzen und an Dritte weiterverscherbeln möchte. Deshalb sind die Banner nichts, was Datenschützer gerne sehen. Im Gegenteil, wir hätten am liebsten keine Banner und keine übergriffigen Cookies, dann wären wir im Netz wieder unbeobachtet.

netzpolitik.org: Meine These ist, dass ein Teil des Datenschutz-Frusts damit zu tun hat, dass die Datenschutzgrundverordnung von dem Versprechen begleitet war, sie werde die Schattenseiten der Digitalisierung erhellen, die krassen Auswüchse des Überwachungskapitalismus bändigen und den permanenten informationellen Kontrollverlust beenden. Doch die Macht großer Datenkonzerne wie Google oder Meta ist ungebrochen und unsere Smartphones sind weiter Datenschleudern.

Stefan Brink: Man muss schlicht und ergreifend sagen: Die Datenschutzgrundverordnung kam zwanzig Jahre zu spät. Allerspätestens im Jahr 2010 mit dem Großwerden der Sozialen Medien wäre sie extrem sinnvoll gewesen. Sie ist trotzdem aus meiner Sicht sehr gelungen. Jan Philipp Albrecht hat zusammen mit anderen in Brüssel wirklich gute Arbeit geleistet. Natürlich ist die DSGVO nicht perfekt und vieles geht langsamer, als ich mir das wünschen würde. Aber die Richtung stimmt.

netzpolitik.org: Wo siehst du Fortschritte?

Stefan Brink: Wir sehen, dass sich auch die großen Konzerne bewegen. Bei den Bußgeldern liegen wir inzwischen jährlich im Milliardenbereich. Microsoft etwa bewegt sich bei Office 365 klar auf die Behörden zu. Zu langsam, aber immerhin. Die großen US-Player haben ein Interesse, GDPR-compliant zu sein. Und zwar im Wesentlichen deswegen, weil sie den europäischen Markt nicht verlieren wollen. Die Datenschutzbehörden sind Institutionen, die in der digitalen Welt Vertrauen zu- oder absprechen können. Das ist es, was den Anbietern wehtut.

netzpolitik.org: Wo siehst du Schwächen?

Stefan Brink: Insbesondere bei der Durchsetzung. Wir kommen zum Beispiel an die Hersteller von Hard- und Software gar nicht ran. Wir kommen immer nur an die sogenannten Verantwortlichen ran, die die Technik einsetzen. Wer aber Programme schreibt und verkauft, der ist in der Regel von der Datenschutzgrundverordnung überhaupt nicht adressiert. Der Frust hängt zudem damit zusammen, dass wir in Europa sehr unterschiedliche Geschwindigkeiten bei der Durchsetzung des Datenschutzrechts haben.

netzpolitik.org: An wen denkst du?

Stefan Brink: Im europäischen Vergleich ist Deutschland gut aufgestellt. Hier wurde in den vergangenen Jahren am meisten in Personal und Knowhow investiert. Aber wir haben andere europäische Aufsichtsbehörden, die von der Verwaltungskultur her noch einen langen Weg vor sich haben. Solche Strukturen ändern sich nicht in fünf Jahren, die ändern sich noch nicht mal in zehn Jahren. Und klar, die Iren müssen vielleicht noch ein bisschen stärker davon überzeugt werden, dass sie gute Datenschutzaufsicht machen sollten.

„Irland hat Regulierungs-Dumping betrieben“

netzpolitik.org: Irland gilt als Nadelöhr bei der Durchsetzung. Weil Tech-Konzerne wie Meta und Google dort ihren Europasitz haben, ist die irische Behörde federführend für deren Verfahren zuständig. Von deutschen Datenschützer:innen gab es teils sehr offene Kritik an den Kolleg:innen dort. Nun gibt es eine interessante Entwicklung: Irland hat kürzlich das dritte saftige Bußgeld gegen Meta erlassen. Insgesamt in den zurückliegenden 18 Monaten gute 900 Millionen € an Bußgeldern gegen den Facebook-Mutterkonzern.

Stefan Brink: Das ist ein schöner Gemeinschaftserfolg. Wir hatten in den ersten Jahren eine Situation, wo die irische Aufsichtsbehörde sehr stark dem „irischen Geschäftsmodell“ verhaftet war. Das heißt: Regulierungs-Dumping, um große Konzerne anzulocken. Indem man ihnen sagt: „Wir sind ein Teil der Europäischen Union, aber bei uns ist das mit der Durchsetzung des Rechts nicht ganz so kritisch.“ Deswegen war die irische Datenschutz-Aufsichtsbehörde am Anfang wirklich schlecht ausgestattet. Es fehlte ihr aber auch der Datenschutz-Spirit, also die Überzeugung, für Grundrechte einzutreten. Deshalb gibt es ihr gegenüber eine berechtigte Skepsis.

netzpolitik.org: Was hat sich verändert?

Stefan Brink: Das Kohärenzverfahren der DSGVO greift nun langsam. Die Hälfte der über 100 Artikel der Grundverordnung beschäftigt sich damit, wie die Aufsichtsbehörden kooperieren und wie man es schafft, Aufsichtsbehörden einzufangen, die nicht gut arbeiten. Das haben wir im europäischen Datenschutzausschuss mit den irischen Kollegen durchexerziert. Indem wir uns ihre Entscheidungsentwürfe immer wieder angeschaut, sie kritisiert und in Mehrheitsbeschlüssen korrigiert haben. Wir haben zum Beispiel Bußgelder massiv nach oben korrigiert. Wir haben ihnen auch in der Rechtsauffassung widersprochen, wo sie keine Verstöße gesehen haben.

Das war ein sehr positiver Lernprozess. Mich lässt das hoffen, dass Irland bald eine der führenden Aufsichtsbehörden sein wird. Schon heute agieren sie viel besser als Luxemburg oder verschiedene osteuropäische Aufsichtsbehörden wie Polen oder Ungarn. Da gibt es teils noch ganz erhebliche Defizite beim Verständnis des Anliegens des Datenschutzes.

„Deutliches Misstrauen gegenüber dem Staat“

netzpolitik.org: Was die Durchsetzung des Datenschutzes angeht, ist aber auch in Deutschland nicht alles rosig. Die EU-Kommission hat in diesem Jahr ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die Datenschutzrichtlinie für die Bereiche Justiz und Inneres nicht richtig umgesetzt hat. In mehreren Bundesländern und auch im Bund fehlen den Aufsichtsbehörden effektive Durchsetzungsmöglichkeiten gegenüber der Polizei.

Stefan Brink: An dieser Front herrschte lange Zeit relative Ruhe. Wir haben insgesamt nämlich gute gesetzliche Grundlagen zur Datenverarbeitung im öffentlichen Bereich. Erst im Zuge der Pandemie ist wieder stärker ins Bewusstsein gerückt, wie relevant der Staat als Datenverarbeiter ist und wie stark er in das Leben der Menschen eingreift. Das sehen wir auch an den Beschwerden. Während sich die Bürgerinnen und Bürger vor 2020 zu drei Viertel über private Datenverarbeiter beschwert haben, ist das in der Pandemie gekippt. Da kam etwa die Hälfte der Beschwerden gegen den öffentlichen Sektor. Hier zeichnete sich ein deutliches Misstrauen gegenüber dem Staat ab.

netzpolitik.org: Zu Recht?

Stefan Brink: Man kann jedenfalls nicht behaupten, dass im öffentlichen Bereich alles in Ordnung wäre. Wir müssen da ein gewisses Vollzugsdefizit einräumen und haben gerade bei der Datenverarbeitung durch Sicherheitsbehörden immer wieder Probleme. Da geht es gar nicht nur um Vorratsdatenspeicherung und Ähnliches, sondern zum Beispiel um den Einsatz von KI bei der Polizei. Oder es geht um das Verhalten von Verfassungsschutzbehörden, die sich weigern, vollständige Auskunft über ihre Erkenntnisse zu geben. Oder um Polizeibeamtinnen und -beamte, die ihre Zugriffsmöglichkeiten auf Datenbanken zu privaten Zwecken einsetzen. Oder es geht um die Nutzung von Social Media durch Behörden. Das flog alles etwas unter dem Radar. Die Pandemie hat uns als Aufsichtsbehörden erinnert, dass wir auch im öffentlichen Sektor stärker präsent sein müssen.

netzpolitik.org: Jüngst wurde bekannt, dass du eine politische Partei verwarnt hast. Auch das kommt nicht alle Tage vor. Es geht um einen Kreisverband der AfD, der persönliche Daten einer grünen Landtagsabgeordneten veröffentlicht hat. Diese Doxing genannte Praxis wie auch das Sammeln von Daten auf Feindeslisten haben in den politischen Kämpfen der letzten Jahre stark zugenommen, werden bislang aber recht wenig geahndet. Warum?

Stefan Brink: Als staatliche Aufsichtsbehörde gegen politische Parteien vorzugehen, ist immer heikel, denn den Parteien kommt eine wichtige Rolle bei der demokratischen Meinungsbildung zu – und da kann es auch mal hart zur Sache gehen. Wenn aber wie hier die persönliche Privatsphäre einer politischen Gegnerin verletzt und die Einschüchterung des Kontrahenten angestrebt wird, dann werden rote Linien überschritten und wir Datenschützer können mit Sanktionen eingreifen.

„Die Informationsfreiheit kommt zu kurz“

netzpolitik.org: Jetzt sind wir schon fast am Ende unserer Interviewzeit und haben noch gar nicht über Informationsfreiheit gesprochen. Das ist einerseits ok, weil deine Behörde qua Auftrag sehr viel mehr zu Datenschutz arbeitet, andererseits aber auch irgendwie bezeichnend. Bekommt das Thema genug Aufmerksamkeit oder leidet die Informationsfreiheit unter der Doppelrolle der Aufsichtsbehörden?

Stefan Brink: Die Informationsfreiheit kommt gegenüber dem Datenschutz immer zu kurz. Dabei ist sie auch ein modernes Grundrecht und mit der Frage, wie transparent der Staat gegenüber seinen Bürgerinnen und Bürgersein muss, absolut relevant. Letztlich hat es sich nicht bewährt, die Aufgabe der Informationsfreiheit ebenfalls den Landesbeauftragten zuzuordnen.

Zum einen haben die staatlichen Datenschützer immer wieder Eigeninteressen gegen eine vollständige Transparenz in eigenen Angelegenheiten. Das geht teilweise so weit, dass hilfreiche Informationen, die zunächst ins Netz gestellt worden waren, von Datenschutzbehörden nachträglich zum Dienstgeheimnis erklärt werden, damit sie keine Auskunft geben müssen. Zum anderen fließt nur ein Bruchteil der Ressourcen, welche die Landesbeauftragten haben, in den Bereich der Informationsfreiheit. Selbst beim LfDI BaWü gibt es ein Missverhältnis von fünf zu 78 Stellen zugunsten des Datenschutzes. Und damit haben wir noch den größten Anteil bundesweit in die Informationsfreiheit gesteckt.

netzpolitik.org: Im Transparenzranking von FragDenStaat rangiert Baden-Württemberg auf dem viertletzten Platz. Was muss hier besser werden?

Stefan Brink: Es muss besser für die Informationsfreiheit geworben und gearbeitet werden. Wir bemühen uns darum mit unseren jährlichen IFG-Days und zahlreichen Hilfestellungen. Und die grün-schwarze Koalition muss liefern, was sie im Koalitionsvertrag versprach: ein Transparenzgesetz für Baden-Württemberg. Als freundliche Unterstützung hat der LfDI hierzu einen eigenen Vorschlag für einen Gesetzentwurf gebastelt, das wird sicherlich helfen.

netzpolitik.org: Du hast den Entwurf gemeinsam mit den Vereinen Mehr Demokratie und Transparency International geschrieben. Das Hamburger Transparenzgesetz, das oft als Vorbild dient, kam vor zehn Jahren durch ein Bürgerbegehren zustande. Derzeit macht die Zivilgesellschaft auch in Berlin und im Bund Druck. Kriegen Legislative und Exekutive das mit der Transparenz allein nicht hin?

Stefan Brink: Es sieht schwer danach aus, dass es ohne den Nachdruck der Zivilgesellschaft nicht klappt: Die Eigeninteressen der Verwaltung sind groß. Und gerade bei den Kommunen ist wegen zahlreicher Krisen Land unter, sie brauchen ermunternde Unterstützung. Und auch die Wirtschaft erkennt häufig nicht das Potenzial dieses Digitalisierungsschrittes und fürchtet eher um ihre Geschäftsgeheimnisse. Ohne klare Ansagen der Bürgerinnen und Bürger wird es hier nicht weitergehen. Aber auch da bin ich zuversichtlich.

„Da kann man als Demokrat Angst bekommen“

netzpolitik.org: Du scheinst gut gelaunt aus dem Amt zu scheiden. Was lief in deiner Amtszeit richtig gut?

Stefan Brink: Ich würde insgesamt ein sehr positives Fazit ziehen. Die Behörde hat sich in den letzten sechs Jahren toll entwickelt. Personell sind wir ganz massiv gestärkt worden, von 35 Mitarbeitern auf über 80. Und wir haben dank der sehr guten Unterstützung des Parlaments tolle neue Institutionen wie das Bildungszentrum BIDIB einrichten können. Meine Highlights sind immer mit dem Kulturbereich verbunden: Wir haben „Datenschutz im Kino“ gemacht, wir haben Kunstaktionen gemacht, wir haben eine große Lichtinstallation in unserer Behörde, die uns jeden Tag vor Augen führt, wie Vernetzung funktioniert und was unsere Rolle als Datenschützer ist.

netzpolitik.org: Was lief weniger gut?

Stefan Brink: Ich finde die Entwicklung sehr bedenklich, dass die öffentlichen Stellen in der Pandemie so rasch den Willen haben fallen lassen, sich an Recht und Gesetz zu halten. Die Rechtsbindung ist immer wieder mit dem Argument infrage gestellt worden, dass es eine Notsituation sei und man deshalb bestimmte Dinge ausblenden müsse. Denken wir an die Schulen, wo gesagt wurde: „Wir haben jetzt Lockdown und jetzt muss halt Microsoft genommen werden, weil nichts anderes funktioniert. Wir wissen, dass das nicht legal ist, aber wir machen es trotzdem.“ Bis in den Sicherheitsbereich hat es da immer wieder eine Infragestellung der rechtlichen Gebundenheit der öffentlichen Verwaltung gegeben. Da kann man als Demokrat und bürgerrechtlich orientierter Menschen schon Angst bekommen.

netzpolitik.org: Warum hörst du dann jetzt als Landesbeauftragter auf? Es gäbe doch offenbar viel zu tun.

Stefan Brink: So gesehen dürfte man nie wieder aus dem Datenschutz raus marschieren, denn das Thema wird uns noch Jahrzehnte erhalten bleiben. Wenn wir eine lebenswerte digitale Welt betreten wollen, dann wird das nur mit dem Schutz unserer Rechte gehen. Für mich reicht es an dieser Stelle trotzdem. Einerseits, weil ich sehr zufrieden mit dem bin, was wir in Baden-Württemberg erreicht haben. Ich konnte viele meiner Ideen umsetzen. Andererseits werden die Rahmenbedingungen für den Datenschutz nicht besser in den nächsten Jahren. Wer auch immer das Amt in Baden-Württemberg übernimmt, kann noch mal neuen Schwung reinbringen und so möglicherweise breitere Unterstützung bekommen, als ich sie zuletzt erhalten habe. Das soll aber jetzt gar nicht negativ klingen.

„Das macht es für Datenschützer in Baden-Württemberg nicht leichter“

netzpolitik.org: Klingt aber schon ein bisschen so. Schlechtere Rahmenbedingungen klingt stark nach finanziellen Gründen. Es wurde spekuliert, ob du dich mit der Landesregierung über die Finanzen deiner Behörde zerworfen hast. Ist da was dran?

Stefan Brink: Nö, das ist übertrieben. Aber wir haben andere Vorstellungen von unserer Entwicklung. Wir sind inzwischen unter den Landesaufsichtsbehörden die größte und sind über Jahre hinweg hervorragend vom Parlament gefördert worden. Aber relevante Parteien im Parlament sind der Auffassung, dass unsere Entwicklung zwar positiv ist, dass es jetzt aber auch mal gut ist. Dass wir nicht mehr wachsen, sondern uns konsolidieren sollten. Damit habe ich tatsächlich ein Problem. Ich glaube, wir sind noch nicht am Ende unserer Möglichkeiten und unserer Aufgaben angekommen.

netzpolitik.org: Was bedeutet das konkret?

Stefan Brink: In diesem Jahr gab es für uns einen kleinen Zuwachs von 250.000 Euro, aber keine neuen Stellen. Das ist an sich nicht so entscheidend, aber es zeigt, wo wir stehen. Ich glaube, wir müssen uns dynamisch weiterentwickeln und diese Dynamik habe ich zuletzt nicht mehr gesehen. Es braucht Kooperationsbereitschaft vonseiten der Landesregierung und eine Aufgeschlossenheit, sich selbst auch weiterzuentwickeln.

netzpolitik.org: Während der Pandemie saß auch Winfried Kretschmann, der Ministerpräsident von Baden-Württemberg, in Talkshows und hat über den Datenschutz geschimpft.

Stefan Brink: Das ist mir nicht entgangen und es macht die Situation für Datenschützer in Baden-Württemberg nicht leichter.

netzpolitik.org: Zum Abschluss: Wie geht es für dich jetzt weiter?

Stefan Brink: Die Themen werden mich auch künftig beschäftigen, und zwar auf wissenschaftlicher Basis. Ich habe dazu ein Institut in Berlin gegründet, das ab Januar arbeiten wird. Es wird sich mit Gutachten, Vorträgen, öffentlichen Äußerungen und Stellungnahmen in Gesetzgebungsverfahren mit den modernen Grundrechten Datenschutz und Informationsfreiheit auseinandersetzen. Ich freue mich sehr darauf, noch unabhängiger und noch eigenständiger arbeiten zu können, als ich das in den vergangenen Jahren konnte.

netzpolitik.org: Das klingt so, als würden wir noch von dir hören.

Stefan Brink: Das wäre nicht schlecht, wenn wir mit dem Institut so gut arbeiten, dass wir auch zu hören sind.

netzpolitik.org: Viel Erfolg dabei und vielen Dank für das Gespräch.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Sehr interessant. Vielen Dank für eure Arbeit.

    Meines Wissens nach besteht in Deutschland öffentlichen Stellen gegenüber gar nicht die Möglichkeit, finanziell zu sanktionieren, da sich der deutsche Gesetzgeber bei Einführung der dsgvo dagegen entschieden hat? (Im Artikel klingt das aber anders?). Details die ich dazu habe liegen mir leider urlaubsbedingt gerade nicht vor.

  2. Hatte Herr Brink letztes Jahr nicht den überwachungskapitalistischen Datenschutzalbtraum namens luca-App unterstützt und sich für ihre Einführung in Baden Württemberg stark gemacht, oder habe ich das falsch in Erinnerung?

      1. Die PM kannte ich nicht, aber ich gebe euch recht: Dazu wären ein, zwei Fragen gut gewesen. Danke für den Hinweis!

        1. @Ingo: Da gibt es in der PM noch nen weiterführenden Link auf eine spätere PM.
          Mein Standpunkt: „trotz besserem Wissen“
          Was auch immer Ihn da getrieben hat…

  3. Stefan Brink hat als oberster Datenschützer im Ländle gute Arbeit geleistet – das steht außer Frage. Vor kurzer Zeit wurde der LfDI BaWü von der Initiative Frag den Staat (FdS) angefragt; es geht konkret um die Frage, warum in einigen Enzkreis-Kommunen private Citystreifen („public private security“) im Auftrag der Stadt-/ Gemeindeverwaltungen „anlassunabhängige Personalienfeststellungen“ durchführen und sich dadurch Befugnisse anmaßen die nur die Polizei besitzt. Und es geht diesbezüglich auch um die Frage wie mit der elektronischen Datenverarbeitung sensibler Bürgerdaten (und dazugehöriger Sachverhalte) auf Rechnern der beauftragten Sicherheitsfirmen datenschutzrechtlich umzugehen ist, ob und wie der Datenschutz überhaupt eingehalten werden kann. Eine Antwort des LfDI BaWü an FdS steht noch aus.

    https://www.stuttgarter-zeitung.de/inhalt.einsatz-in-heimsheim-und-weil-der-stadt-citystreifen-werfen-noch-fragen-auf.03d5d45c-7b3f-4c4c-a0a4-8ce1954d76fa.html

    https://www.stuttgarter-zeitung.de/inhalt.weil-der-stadt-die-city-streife-wird-wieder-patrouillieren.6c9d1beb-1e00-4b17-8c37-f251b78bfa67.html

    https://fragdenstaat.de/anfrage/vertrag-mit-dss-security/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.