Interview mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
Erfolglos versuchte Johannes Caspar, der Polizei nach dem G20-Gipfel die Speicherung zehntausender Gesichtsbilder zu verbieten. Matthias Monroy sprach mit ihm über die Rolle des Datenschutzes bei der Automatisierung von Informationssystemen, über Polizei in Sozialen Medien, Verschlüsselung und die EU-Zusammenarbeit.
Herr Caspar, was ist der Datenschutz noch wert, wenn die Polizei mir nichts, dir nichts Gesichter speichern und abgleichen darf?
Die biometrische Gesichtserkennung gibt es in zwei unterschiedlichen Varianten. Die Polizei kann den Fahndungsbestand in Echtzeit abgleichen und nach Personen im öffentlichen Raum suchen. Gibt es keinen Treffer, werden die Bilder gelöscht. Anders beim retrograden Einsatz der Gesichtserkennung: Hier geht es um die Ermittlung begangener Straftaten. Im Anschluss an den G20-Gipfel in Hamburg wurde eine Datenbank mit tausenden von Gesichtsprofilen erstellt, aus jedem im Video-bzw. Bildmaterial durch die Software identifiziertem Gesicht ein mathematisches Modell erzeugt. Dieser Datenbestand wurde gespeichert, um dann bis heute darüber immer wieder neue Suchläufe durchzuführen. Von diesen beiden Systemen wird meist die Echtzeiterkennung, wie sie am Berliner Bahnhof Südkreuz getestet wurde, kritisiert. Nicht weniger eingriffsintensiv ist aber mitunter das Modell wie bei uns in Hamburg, wo man über Jahre hinweg Daten von Personen, die friedlich demonstrierten oder einfach nur auf dem Weg zu ihrer Arbeit waren, vorhält und für Datenabgleiche nutzt.
Sie haben sich nach dem G20-Gipfel mit der Polizei angelegt und verloren. Das Verwaltungsgericht urteilte, dass Sie Ihre Anordnungsbefugnis zur Löschung einer Datei mit Gesichtsbildern nicht hätten nutzen dürfen.
Das Gericht verengt meine Befugnisse auf eine reine technisch-organisatorische Prüfung. Ich darf gegebenenfalls Auflagen erteilen; für die Überprüfung, ob sich für eine polizeiliche Maßnahme überhaupt eine Erlaubnis im Gesetz findet, bleibt nach Ansicht des Gerichts dann kein Raum. Vom Datenschutz bleibt dann nur eine leere Hülle. Eine Überprüfung polizeilicher Maßnahmen darauf, ob sie von hinreichenden Rechtsgrundlagen gedeckt ist, könnte unter Zugrundelegung dieser Ansicht wohl nur dann erfolgen, wenn der Bürger aktiv gegen die jeweilige Maßnahme klagt. Dies ist jedoch im Falle verdeckter Maßnahmen, wohl aber auch im Falle von „Videmo“ problematisch. Wissen Sie, ob Sie möglicherweise in der von der Polizei angelegten Datenbank sind? Wenn das so stehen bleibt, können wir den Laden hier eigentlich dicht machen, jedenfalls was die Kontrolle von Strafverfolgungsbehörden anbelangt.
Das Verwaltungsgericht ist in seinem Urteil zu dem für mich unverständlichen Schluss gekommen, dass dieser Entscheidung keine grundsätzliche Bedeutung zukommt. Dies führt dazu, dass uns nicht automatisch die Möglichkeit der Berufung gegen das Urteil zusteht. Wir haben daher zunächst einen Antrag auf Zulassung der Berufung gestellt.
Der Senat hat auch das Hamburger Polizeigesetz entsprechend geändert…
In diesem Bereich besteht keine Anordnungsbefugnis mehr, sondern lediglich eine Feststellungsbefugnis. Das bedeutet, dass wir im Falle von Verstößen nach erfolgter Beanstandung selbst ein feststellendes Urteil vor Gericht erstreiten müssen. Die Hürden sind insoweit höher, als wir uns dann in der Klägersituation befinden.
Auch die Feststellungsbefugnis hätten Sie beinahe verloren…
Ja, das wäre fatal gewesen. Denn eine rechtlich verbindliche Abhilfebefugnis ist in der einschlägigen europäischen Richtlinie für den Bereich von Justiz und Inneres, der sogenannten JI-Richtlinie, vorgesehen. Die nach dieser Richtlinie zu erlassenden nationalen Regelungen dürfen dabei nicht unter das Niveau des EU-Rechts sinken. Nach Einschätzung der angehörten Sachverständigen im Gesetzgebungsverfahren reicht die Feststellungsklage für eine unionsrechtskonforme Umsetzung der europäischen Vorgaben nicht aus.
Wie wollen Sie in der Berufung argumentieren?
Wir werden deutlich machen, dass das Urteil wesentlichen rechtsdogmatischen Grundsätzen und verfassungs- und unionsrechtrechtlichen Prinzipien des Datenschutzrechts widerspricht. Darüber hinaus ist derzeit überaus fraglich, ob die beim Landeskriminalamt genutzte Software „Videmo“ überhaupt ermöglicht, Zugriffe automatisiert zu protokollieren, und damit den Anforderungen für eine revisionssichere Datenhaltung gerecht wird.
In welchen Bundesländern gibt es eigentlich eine Anordnungsbefugnis und wo lediglich eine Feststellungsbefugnis? Gibt es Landesdatenschutzbeauftragte, deren schärfstes Schwert die Beanstandung ist?
Die in den Ländern bestehenden Regelungen sind zu differenziert, um einen umfassenden Überblick über die bestehende Rechtslage geben zu können. Die europäischen Vorgaben wurden in den Ländern teilweise noch nicht umgesetzt. Dort besteht folglich keine Anordnungsbefugnis und existieren auch keine vergleichbaren Regelungen. Andere Landesgesetze normieren ein zweistufiges Verfahren, nach dem jedenfalls nach erfolgter Beanstandung eine Anordnung erlassen werden kann. Teilweise können die Landesdatenschutzbeauftragten lediglich spezielle Untersagungen aussprechen oder sind auf eine Zustimmung des zuständigen Ministeriums angewiesen.
Der Bundesinnenminister hatte angekündigt, die biometrische Überwachung im Bundespolizeigesetz eindeutig zu regeln. In § 27 sind „selbsttätige Bildaufnahme- und Bildaufzeichnungsgeräte“ aber bereits erlaubt …
Dass der Staat nach besonderen gesetzlichen Vorgaben Videoüberwachung betreiben darf, heißt noch lange nicht, dass er die biometrischen Merkmale von Gesichtern berechnen darf. Dafür fehlt eine Rechtsgrundlage. Das wird wohl auch vom Bundesinnenminister so gesehen, der trotz der vorgenannten Regelung offenbar weitergehende Regelungen für erforderlich hält.
Wie stehen Sie zu Forderungen, die automatisierte Gesichtserkennung bei Videoüberwachungsanlagen generell zu verbieten?
Ich bin Realist. Ich denke, dass wir den Einsatz der Technologie nicht verhindern können. Ein Verbot dieser Technologie, wie sie die Europäische Union zunächst erwogen, dann aber im jüngst veröffentlichten Weißbuch zur Künstlichen Intelligenz nicht mehr weiter verfolgt hat, dürfte politisch nicht durchsetzbar sein. Erst recht, wenn immer wieder neue terroristische Anschläge das Gemeinwesen erschüttern. Ein Moratorium würde dem Schutz der Privatsphäre helfen, ist daher aber sehr unwahrscheinlich, dass es dazu kommt.
Die Macher von „ClearView“ haben offenbar drei Milliarden Gesichtsbilder aus Sozialen Medien kopiert und mit einer Software durchsuchbar gemacht. Ein Alptraum für Datenschützer?
Das haben wir erwartet, es war doch nur eine Frage der Zeit, bis ein Unternehmen massenhaft Daten auf den verschiedenen Plattformen zusammensucht. Die Erfahrung zeigt: Alles, was möglich ist, wird auch gemacht. Das könnte man damit abtun, dass es immer ein schwarzes Schaf gibt, das es mit den rechtlichen Vorgaben nicht so genau nimmt. So einfach ist die Sache aber nicht. Der Clearview-Fall zeigt, dass die Datensicherheit bei dem Unternehmen klein geschrieben wurde und die Liste von insgesamt ca. 600 Kund*innen offenbar gestohlen wurde. Wir stehen vor einer massiven Erosion der Privatsphäre. Dieser Prozess ist schleichend und erfolgt nicht in einem eruptiven GAU, sondern in kleinen unmerklichen einzelnen Schritten. Begleitet wird er von einem Gewöhnungseffekt und der vorgeblichen kriminalpolitischen Notwendigkeit von neuen Eingriffsbefugnissen der Sicherheitsbehörden. Die EU hat mit der DSGVO zwar eine beispiellose Regelung zur Sicherung der Rechte und Freiheiten im digitalen Zeitalter beschlossen, nur kommt sie nicht bei den marktbeherrschenden Unternehmen an, die mit den Daten ihre Geschäfte im globalen Maßstab machen, weil der Rechtsvollzug nicht funktioniert. Datenschutz ist im permanenten Rückwärtsgang.
Dürfte die Hamburger Polizei diese Gesichtsbilder nutzen?
Wenn die Daten bei einem privaten Unternehmen liegen und dieses eigenständig das Datenmaterial nutzen würde, wäre dies problematisch. Wenn aber die Polizei selbst Zugriff darauf nehmen wollte, um massive Straftaten zu verfolgen oder Anschläge zu verhindern, stellt sich dies anders dar. Der Schritt hin zu einer Massendatenbank, wie sie ClearView mit Milliarden von Gesichtern erstellt hat, ist vor diesem Hintergrund so unvorstellbar nicht. Im Übrigen darf nicht vergessen werden: Der Staat setzt datenschutzwidrig erlangtes Material auch in anderen Bereichen ein. Erinnert sei nur an die sogenannten Steuer-CDs. Hier zählt am Ende nur das Ergebnis, nicht die rechtmäßige Herkunft der Daten.
Das erinnert an Horst Herold, der als Chef des Bundeskriminalamtes in den 70er Jahren die Rasterfahndung erfand. Was bedeutete „Automatisierung“ damals und was bedeutet sie heute?
Im Prinzip sind die Ansätze ähnlich, wobei die automatisierte Massendatenanalyse heute technisch auf einem ganz anderen Stand ist. Das Instrument der Rasterfahndung ist sowohl im präventiven als auch im Bereich der Strafverfolgung detailliert geregelt. Das kann man von den aktuellen automatisierten Verfahren so nicht sagen. Insbesondere bei der biometrischen Videographie fehlen eingrenzende Vorgaben und Verfahrensausgestaltungen, obwohl das Instrument sehr eingriffsintensiv ist. Derzeit geht es leider weniger um die Frage, ob und inwieweit bestimmt technische Verfahren rechtsstaatlich nutzbar sind, sondern um eine Aufrüstung der Sicherheitsbehörden mit digitaler Technik und um die Leistungsfähigkeit von Kontrollinstrumenten.
Die hessische Polizei macht das ja mit „Gotham“ bzw. „HessenData“ der Firma Palantir, auch Nordrhein-Westfalen beschafft die US-Software zur Gefahrenabwehr. Gibt es solche Pläne auch in Hamburg?
Es gab zumindest Überlegungen im Bereich Predictive Policing. Letztlich wurden diese wohl nicht weiter umgesetzt. Der Druck auf die Landespolizeien steigt jedoch. Grundsätzlich gilt: soweit es erfolgreiche Systeme gibt, werden diese auch angeschafft. Eine Vorschrift zur automatisierten Datenanalyse im neuen Hamburger Polizeigesetz, die der hessischen Regelung nachempfunden war, könnte so ein Türöffner für sogenannte Big-Data-Vorhaben sein.
Aber das Verfassungsgericht hat doch mit Rasterfahndung damals etwas ganz anderes gemeint als heute Palantir? Wo ist der Unterschied?
Für die Rasterfahndung, die präventiv erfolgt, muss auch eine konkrete Gefahr vorliegen. Im Bereich der Strafverfolgung müssen zureichende tatsächliche Anhaltspunkte für die Begehung einer besonderen Straftat vorliegen. Das hat das Bundesverfassungsgericht gefordert. Die Möglichkeiten, mit Hilfe der Künstlichen Intelligenz Muster von deviantem Verhalten zu erkennen und Geschehensabläufe zu prognostizieren, lange bevor sie begonnen haben, ist eine kriminalpolitische Verheißung, die es lohnend erscheinen lässt, alle erdenklichen Gefährdungsszenarien weit im Vorfeld von Gefahren anhand von Big Data zu analysieren. Das steht jedoch im Gegensatz zur Unschuldsvermutung des Einzelnen und widerspricht rechtsstaatlichen Grundsätzen, wenn damit personenbezogene Daten verarbeitet werden.
Horst Herold nannte die Rasterfahndung 1983 im Interview mit CILIP[1] die „einzig mögliche Form einer polizeilichen Fahndung, die Unschuldige und Nichtbetroffene dem Fahndungsvorgang fernhält“. Am Ende blieben nur die wirklich Verdächtigen übrig. So argumentiert heute auch das Bundesinnenministerium zur Analyse von Fluggastdaten – das sei diskriminierungsfreier als der Blick der Grenzbeamt*innen. Wobei dort in die Zukunft geschaut, die Software also zur Gefahrenabwehr genutzt wird.
Man durchleuchtet alle, damit man diejenigen, die unschuldig sind, nicht weiter zu verfolgen braucht. Man muss sehr vorsichtig sein, um mit dieser Argumentation nicht in totalitären Bezügen zu enden. Der Rechtsstaat gibt gerade subjektive Rechte vor, nicht beliebig anlasslos überwacht zu werden. In der Konsequenz der hier zitierten Aussage sind streng genommen zunächst einmal alle verdächtig. Menschen, gegen die kein Verdacht besteht, müssen dann eigentlich dankbar sein, dass massenhaft Kontrollen erfolgen. Wahrscheinlich haben sie in dieser Logik sogar ein Recht auf massenhafte Datenabgleiche. Das erinnert an 1984 von George Orwell und ist dann am Ende eine Argumentation, die zum Rechtsstaat in diametraler Antithese steht.
Sind die neuen, algorithmenbasierten Instrumente diskriminierend?
Es ist bekannt, dass der Einsatz von KI ein hohes Diskriminierungspotential hat. Es ist jedoch nicht möglich, ohne ein umfassendes Monitoring Diskriminierungen in der Praxisanwendung zu dokumentieren. KI ist erst einmal eine Black Box. Der Einsatz von algorithmenbasierten Eingriffsinstrumenten ist im Output nicht abzuschätzen. In Hamburg haben wir uns mit der Gesichtserkennung bei G20 beschäftigt. Da sitzen allerdings immer Beamt*innen davor, die über die weiteren Schritte entscheiden. Anhaltspunkte, dass die Software diskriminiert und die Verfolgung unschuldiger Personen nahelegt, sind uns nicht bekannt. Eine automatisierte Protokollierung von Prüfläufen wäre hier zur Klärung erforderlich. Diese hat es jedoch nicht gegeben.
Wenn allerdings diese Beamt*innen ausführen, was die Software vorschlug, kann es doch zu Diskriminierungen kommen. Ein Bericht der Tagesschau hatte vor ein paar Jahren dokumentiert, wie zwei Beamte dann loszogen in San Francisco und Menschen in zerlumpter Kleidung, mit Kapuzenpullovern oder dunkler Hautfarbe kontrollierten …
Selbst wenn es beim Einsatz der Software lediglich um Entscheidungsvorschläge geht, nicht um unmittelbare automatisierte Entscheidungen, ist das individuelle Vorverständnis der Auswerter eine weitere verzerrende Fehlerquelle. Ein weiteres Problem ist die Beweislastverteilung bei KI-gestützten Verfahren – im Gegensatz zum rechtsstaatlichen Grundsatz „in dubio pro reo“ nenne ich sie „in dubio pro machina“. Dem Verfahren der Datenverarbeitung ist eine Maschinenlogik immanent. Sie erzeugt eine prima-facie-Evidenz der Richtigkeit, die dazu führt, dass der Entscheider ohne die Übernahme eigener Verantwortung und Argumentationslasten nur schwer von der maschinellen Entscheidung abweichen kann. In der Folge braucht der Entscheider eine Antwort auf Frage: „Wieso bist du nicht eingeschritten, obwohl die Software dir die Gefahr angezeigt hat?“ Bei Personen mit Entscheidungsdruck wächst dann naturgemäß die Bereitschaft, Dinge zu exekutieren, die die Software vorgibt, während umgekehrt ein „Overruling“, also ein Übergehen der Maschinenentscheidung, als individuelles Risiko wahrgenommen wird.
Auch das Projekt „Polizei 2020“ verfolgt eine Automatisierung. Der eingeschlagene Weg schafft nicht unbedingt neue Datenbanken, sondern legt die bestehenden „Daten-Silos“ zusammen.
Diese Vernetzung und damit verbesserte Auswertung von Datenbanken sehen wir auch im EU-Projekt der „Interoperabilität“. Derartige zentralisierte übergreifende Informationssysteme stehen mit den Grundsätzen des Datenschutzes, insbesondere dem Grundsatz der Zweckbindung, im Spannungsverhältnis. Hier gilt es, technische Sicherungen zur Stärkung des Datenschutzes einzubauen, die eine exzessive und missbräuchliche Nutzung, sei es für dienstliche, sei es für rein persönliche Zwecke des Beamten, verhindern. Wichtig sind deshalb Sicherungsmechanismen, wie Vollprotokollierung und das Bestehen von starken Zugriffsberechtigungssystemen.
Wie ist das in Hamburg geregelt, wird jede Abfrage einer Datenbank protokolliert?
Das ist hier grundsätzlich der Fall. Es stellt sich jedoch die Frage, wie das im Einzelnen umgesetzt wird. Wir haben im Rahmen unserer Prüfungen feststellen müssen, dass weder die Referenzdatenbank zu G20 Zugriffe automatisiert protokolliert, noch eine Datenbank mit höchst sensiblen Daten, die für eine bestimmten Zeit offen zugänglich war.
Hamburgs Polizei ist sehr aktiv auf Twitter, sehen Sie da ein Problem?
Wir haben deutlich gemacht, dass entscheidend ist, dass keine personenbezogenen Daten veröffentlicht werden. Das lässt sich nicht immer hundertprozentig umsetzen, das haben Beispiele in anderen Bundesländern gezeigt. Etwa wenn getwittert wird, es habe Auseinandersetzungen in einem Hundefriseursalon in einem Stadtteil gegeben, wo es nur einen solchen Salon gibt. Die Nutzung sozialer Medien und Tracking Tools in der öffentlichen Verwaltung ist insgesamt kritisch zu hinterfragen. Das betrifft das Betreiben von Fanpages bei Facebook, den Einsatz von Google Analytics oder eben das Betreiben eines Twitter-Accounts. Stets werden hier Daten von Bürgerinnen und Bürgern dritten Unternehmen übermittelt, die diese zu eigenen kommerziellen Zwecken verwenden und zu Profilen verarbeiten. Wozu das führt, hat der Cambrigde Analytica/Facebook-Skandal gezeigt. Längst geht es nicht mehr nur um Werbung für das Duftwasser oder den Sportschuh, sondern um die Manipulation von demokratischen Wahlen. Es ist aus meiner Sicht rechtsstaatlich höchst problematisch, wenn die Behörden bzw. öffentliche Stellen, die nach der Rechtsprechung des EuGH eine gemeinsame Verantwortung mit den Plattform-Anbietern haben, da mit reingehen.
Haben Sie das der Hamburger Polizei mal kommuniziert?
Wir haben unsere Kritik den öffentlichen Stellen ganz allgemein immer wieder vorgetragen. Aber das Ziel der Reichweitenerhöhung lässt hier wenig Raum für Selbstkritik. Immerhin haben wir bei der Hamburger Polizei keine konkreten Datenverstöße festgestellt. Nach der neuen EuGH-Rechtsprechung besteht jedoch weitergehender Handlungsbedarf.
Aber Sie können das doch nicht gutheißen, wenn die Polizei auf Facebook ist. Unter den nationalen Datenschutzbeauftragten haben Sie die Zuständigkeit für Facebook erhalten. Sie streiten mit der Firma …
Wir haben zahlreiche Behörden, die auf Facebook sind. Rundfunkanstalten, Ministerien und Parlamente, um nur einige zu nennen. Die Polizei ist hier keine Ausnahme. Wir müssen irgendwo anfangen, wir haben derzeit ein Anordnungsverfahren gegenüber hamburg.de eingeleitet, ein stadteigenes Unternehmen, das zahlreiche Tracker ohne Einwilligung Betroffener einsetzt. Klar, wäre es am Ende sinnvoller und effektiver, direkt gegen Facebook vorzugehen. Aber für die europaweiten Aktivitäten dieses Unternehmens ist die Datenschutzbehörde in Irland zuständig. Der Vollzug des Datenschutzes im europäischen Kontext liegt am Boden. Ich habe derzeit nicht den Eindruck, dass sich dort viel bewegt.
Nutzen Sie Facebook oder Twitter?
Nein, höchstens als Test-Account, anonym und ohne eigene Meldungen zu verbreiten.
Sind Sie da der Exot unter den Datenschutzbeauftragten?
Nein, überhaupt nicht. In Deutschland ist die Nichtnutzung die vorherrschende Praxis. Wir führen derzeit eine Diskussion, die der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg auslöste, der seinen Twitter-Account nun abschalten will. Wir haben das Thema mittlerweile auch im EU-Datenschutzausschuss. Es fällt schwer, etwas zu verbieten, wenn wir selbst in der Datenschutzcommunity der EU unterschiedliche Standards haben und solche Dienste mitunter von einzelnen Aufsichtsbehörden genutzt werden.
Der Bundesbeauftragte für den Datenschutz fordert Ende-zu-Ende-Verschlüsselungen per Design in neuen Telekommunikationstechnologien. Wie sehen Sie das?
Genauso, es gibt ja inzwischen einige Dienste wie Messenger, wo wir zumindest davon ausgehen, dass dort eine Ende-zu-Ende-Verschlüsselung erfolgt. Man könnte nun argumentieren, dass dies dann ein Freibrief ist, völlig unbehelligt von Sicherheitsbehörden Straftaten vorzubereiten. Gleichzeitig bestehen jedoch auch Eingriffsbefugnisse von Sicherheitsbehörden, hier tätig zu werden, etwa durch Keylogger die Nachrichten abzufangen. In der Diskussion um Hate-Speech wird vertreten, dass sogar Passwörter weitergegeben werden sollen.
Habe ich Sie richtig verstanden; gegen Verschlüsselung ist nichts einzuwenden, weil die Polizei ja Trojaner einsetzen kann?
Die Polizei argumentiert, man könne gegen die Verschlüsselung nichts unternehmen …
… und die Politik senkt deshalb die Anforderungen für eine Quellen-Telekommunikationsüberwachung …
So ist es. Als Antwort werden die Quellen-TKÜ und die Onlinedurchsuchung vorangetrieben oder sogar ein Generalschlüssel für Sicherheitsbehörden gefordert. Im gleichen Moment wird beklagt, dass Dienste wie WhatsApp überhaupt verschlüsseln. Die Telekommunikation für Sicherheitsbehörden freizugeben, halte ich für absolut unverhältnismäßig. Auch insofern ist die Forderung nach einer Verschlüsselung im Rahmen von Privacy by Design völlig legitim und kann nicht mit sicherheitspolitischen Erwägungen weggewischt werden.
Wie soll das dann durchgesetzt werden, wenn Sie sagen, wir sind für Ende-zu-Ende-Verschlüsselung, und die Ministerien sind dagegen?
Wir sind nicht in der Position, gesetzliche Regelungen zu verhandeln. Datenschutzbehörden haben natürlich eine Meinung, die sie artikulieren. Das heißt nicht, dass wir mit am Tisch sitzen und die Rechtsregeln für die Sicherheitsbehörden mit festlegen. Man beteiligt uns am Gesetzgebungsprozess, aber am Ende wird gewöhnlich umgesetzt, was die Sicherheitsbehörden für erforderlich halten. Insoweit können wir dann nur die Einhaltung dieser Regelungen überwachen. Soweit Kritik gegen Sicherheitsgesetze artikuliert wird, die folgenlos bleibt, können wir am Ende nur hoffen, dass sich mal ein Verfassungsgericht damit beschäftigt.
Das Gemeinsame Überwachungszentrum Nord sollte 2020 an den Start gehen, wann kommt es? Das müssten Sie ja dann mit den Kolleg*innen aus Niedersachsen, Mecklenburg-Vorpommern, Bremen und Schleswig-Holstein kontrollieren. Wie bereiten Sie sich darauf vor? Ist bereits klar, welche TKÜ-Maßnahmen dort erledigt werden? Auch Stille SMS und der Einsatz von Trojanern?
Das Landeskriminalamt Niedersachsen ertüchtigt aktuell das Rechenzentrum in Hamburg-Alsterdorf (mit Twin-Data-Center Niendorf), um dort die TKÜ der Nordländer implementieren zu können. Die Ausschreibungen wurden abgeschlossen und die benötigte Technik wird aktuell beschafft, dennoch geht das Landeskriminalamt nicht von einer Inbetriebnahme 2020 aus, eher gegen Mitte/Ende 2021. Bezüglich des Rechendienstleistungszentrums gibt es seit Projektbeginn eine Zusammenarbeit des Landeskriminalamts Niedersachsen mit den Landesdatenschutzbeauftragten der betroffenen Länder, das letzte Treffen fand Anfang Februar statt. Welche Überwachungsmaßnahmen im „Gemeinsamen Kompetenz- und Dienstleistungszentrum“ (GKDZ) konkret für das Land Hamburg durchgeführt werden sollen, entzieht sich noch unserer Kenntnis. Eine Auflistung der geplanten Überwachungsmaßnahmen soll seitens des Landeskriminalamts Hamburg in den kommenden Wochen an uns versandt werden.
Datenschutz funktioniert nur mit Kontrolle und Aufsicht. Wir haben das Beispiel der Presseakkreditierungen beim G20-Gipfel in Hamburg. Da konnte die damalige Datenschutzbeauftragte des Bundes gucken, welche Datensätze sind vorhanden. Aber die Erforderlichkeit der Speicherung konnte sie nicht prüfen, weil der Rückgriff auf die Akten der Landespolizeien den Landesdatenschutzbeauftragten vorbehalten ist.
Es ist tatsächlich so, dass die Verbunddateien eine gewisse Zusammenarbeit erfordern, das funktioniert in der Praxis jedoch. Die Aufsichtsbehörden müssen hier ihre Erkenntnisse miteinander teilen, wo dies möglich ist, und in ihrem Zuständigkeitsbereich eigenständig Kontrollen durchführen. Ich sehe nicht, dass die Kontrolle über die jeweils für bestimmte Bereiche der Datenverarbeitung zuständigen Polizeibehörden nicht möglich wäre. Kontrolle und Aufsicht werden immer auch von der zuständigen Aufsichtsbehörde bestimmt.
Viele Gesetzesinitiativen, mit denen sich der deutsche Datenschutz befassen muss, werden auf EU-Ebene gemacht. Wie funktioniert die europäische Zusammenarbeit, was haben die Landesdatenschutzbeauftragten dort zu sagen und wie landen die Vorschläge dann bei der EU-Kommission?
Im nationalen Bereich legt die Datenschutzkonferenz der unabhängigen Aufsichtsbehörden von Bund und Ländern die Richtlinien für die europäischen Angelegenheiten fest. Im europäischen Datenschutzausschuss sitzen der Bundesbeauftragte und ein Ländervertreter und vertreten dort die nationale Ebene mit Blick auf anstehende Entscheidungen, Stellungnahmen oder Leitlinien. Die Länder sind auch an der Kontrolle der Agenturen beteiligt, z. B. für Europol.
Medien hören doch eigentlich gern auf Datenschutzbeauftragte, einige von Ihnen sind ja recht bekannt, Thilo Weichert zum Beispiel, und Sie selbst wurden jüngst von Politico zu einem der 28 einflussreichsten Europäer*innen erklärt.
Unser Gewicht im Bereich der sicherheitspolitischen Debatten ist eher mahnend. Insofern ist politische Beratung ein zentraler Aspekt, das will ich nicht wegreden. Hier kann die Kritik dazu führen, dass Gesetzgebung anders, datenschutzfreundlicher umgesetzt wird. Aber tatsächlich etwas zu verändern ist schwierig. Selbst dort, wo wir der Meinung sind, dass gegen Gesetze verstoßen wurde und eine aufsichtsbehördliche Kompetenz besteht. Ich erinnere wieder an das Beispiel der G20-Gesichtsfahndung in Hamburg. Hier stellt das Verwaltungsgericht selbst eine klare Anordnungsbefugnis der Datenschutzaufsichtsbehörde in Frage. Das wird zu überprüfen sein. Darüber hinaus gibt es derzeit insgesamt viel Gegenwind: Es besteht ein Trend in der öffentlichen Meinung, den Datenschutz in die Nähe des Täterschutzes zu rücken. Dabei befinden wir uns in einer wichtigen Phase, in der es darum geht, die Koordinaten zu bestimmen, wie weit wir gehen dürfen: Technologien, die wir aus China kennen, klopfen bereits heute an unsere Tür. Es wird darauf ankommen, hier wachsam und hartnäckig zu sein. Am Ende entscheidet diese Debatte über die Zukunft des Rechtsstaats.
Vielen Dank für das Interview!