Datenwächterin. Andrea Voßhoff ist seit 2014 Bundesdatenschutzbeauftragte. Foto: dpa

»Mit Gesichtserkennung wird noch tiefer in die Grundrechte eingegriffen«

Bundesdatenschutzbeauftragte Andrea Voßhoff spricht im Interview über Kontrollmöglichkeiten bei Überwachung, Gesichtserkennung beim iPhoneX und die neuen Rechte der Nutzer.

Was halten Sie vom Koalitionsvertrag in Bezug auf Datenschutz?

Es finden sich im Text des Koalitionsvertrages viele gute Ansatzpunkte. Beispielsweise beim Kinder- und Medienschutz. Aber auch Beschäftigtendatenschutz eine geplante Daten-Ethikkommission, oder Datenschutz beim autonomen Fahren werden genannt. Wie bei allen Koalitionsverträgen gilt aber, dass die Vorhaben auch umgesetzt werden müssen.

Was fehlt aus Ihrer Sicht?

Eine deutlichere Akzentuierung des Datenschutzes im Sicherheitsbereich. Datenschutz ist kein Täterschutz. Der Staat erreicht nur mehr Vertrauen für Sicherheitsgesetze, wenn gleichzeitig auch die Möglichkeiten intensiviert werden, die Sicherheitsbehörden zu kontrollieren. Bereits das Bundesverfassungsgericht hat klar hervorgehoben: Gerade in Bereichen, wo tief und vor allem heimlich in die Grundrechte eingegriffen wird, muss es zur Kompensation eine effektive Datenschutzkontrolle geben. Es muss sichergestellt werden, dass es die Richtigen trifft und sich keiner in Dateien wiederfindet, in die er nicht hineingehört.

Sie wurden in Ihrem Amt häufiger in Bundestagsausschüsse eingeladen als irgendein anderer Experte in Deutschland. Wie kommt das?

Datenschutz ist längst zu einer Querschnittsaufgabe geworden. Wir verstehen uns als Dienstleister in Fachfragen des Datenschutzes für Parlament und Abgeordnete, die das Fachwissen des Hauses jederzeit konsultieren können.

Zum Beispiel?

Beispielsweise zum neuen Transplantationsregister. Eine sehr sensible Materie, in der datenschutzrechtliche Fragen von besonderer Bedeutung sind. Bei der Änderung des Straßenverkehrsgesetzes sind wir bei der Ausgestaltung einer Verordnung eingebunden, in der datenschutzrelevante Themen unter anderem zum autonomen Fahren geregelt werden sollen. Es gilt, dafür zu werben, den Datenschutz von Anfang an mitzudenken.

Was sehen Sie als den größten Erfolg Ihrer Amtszeit?

Für das Haus hat mich gefreut, dass es seit 2016 eigenständige oberste Bundesbehörde ist, vergleichbar mit dem Bundesrechnungshof. Damit wurde eine Forderung des EUGH zur Unabhängigkeit der Datenschutzaufsichtsbehörden umgesetzt. Das ist nicht nur eine administrative Frage, es hat auch Symbolkraft für den Stellenwert des Datenschutzes. Und mich freut natürlich auch der Stellenzuwachs, von 87 Mitarbeitern als ich anfing, auf geplante 160. Hier hat der Haushaltsgesetzgeber auf die neuen Aufgaben für die Datenschutzaufsicht reagiert.

Am Berliner Bahnhof Südkreuz laufen Tests zur Gesichtserkennung mit Überwachungskameras. Lässt sich solche Technik mit Datenschutzrichtlinien vereinbaren?

Diese neue Dimension der biometrischen Gesichtserkennung bringt neue datenschutzrechtliche Herausforderungen mit sich. Mit dieser Technologie wird noch viel tiefer in die Grundrechte des Einzelnen eingegriffen, als es bei einer herkömmlichen Videoüberwachung der Fall ist. Sollten Verfahren wie die am Südkreuz getesteten in den Echtbetrieb gehen, bedarf es dazu in jedem Fall einer gesetzlichen Grundlage. Hier stellen sich auch verfassungsrechtliche Fragen.

Stimmen- und Gesichtserkennung ist auch bei Firmen wie Facebook oder Apple ein Hauptforschungsgebiet.

Die Bürgerinnen und Bürger sollten sich sehr genau informieren, was bei der Nutzung entsprechender Techniken mit ihren persönlichen Daten und Informationen geschieht. Beispielsweise wurde nachgewiesen, dass Sprachassistenten auch auf falsche Schlüsselworte reagiert und ungewünscht Gespräche aufgenommen haben. Unternehmen müssen zudem noch stärker in die Pflicht genommen werden, durch Information und Transparenz offenzulegen, was mit den Daten geschieht. Mit dem künftigen europäisch einheitlich geltenden Datenschutzrecht wird es dazu mehr Pflichten für die Unternehmen geben.

Das neues iPhoneX kann bis zu 50 verschiedene Gesichtsmuskeln analysieren. Kann man dem normalen Nutzer überhaupt vermitteln, was alles lesbar wird?

Es ist geschickt von den Internetgiganten, Vorzüge und Bequemlichkeiten durch die Produktnutzung in den Vordergrund zu stellen und dann auch noch zu behaupten, ihre Angebote seien kostenlos, während sie mit den Daten ihrer Kunden Millionenumsätze generieren. Es heißt, Daten sind der Rohstoff des 21. Jahrhunderts. Aber wenn es um personenbezogene Daten geht, ist immer der Mensch der Rohstoff, die Ware. Datenschutz ist auch Grundrechtsschutz.

Im Mai tritt dieses Gesetz als Datenschutzgrundverordnung (DSGVO) in Deutschland in Kraft. Welche Probleme löst sie?

Zunächst ist hier die Stärkung der Betroffenenrechte zu nennen. Bislang war es für Bürgerinnen und Bürger beispielsweise nicht immer klar, wie weitreichend eine von ihnen abgegebene Einwilligung wirklich war. Künftig müssen sie besser informiert werden. Auch problematisch war, dass Unternehmen ohne Sitz in der EU sich in vielen Fällen dem hiesigen Datenschutzrecht nicht oder nur rudimentär unterworfen sehen. Hier gilt in Zukunft: Wenn ein Unternehmen den europäischen Markt adressiert, muss es die Vorgaben der DSGVO beachten.

Verstößt eine Firma gegen diese Regeln, soll sich künftig jeder Bürger beschweren können. Wie funktioniert das?

Das Beschwerderecht wird für die Bürgerinnen und Bürger durch die DSGVO gewissermaßen „entbürokratisiert“. Während sie sich bislang bei Problemen mit ausländischen Firmen noch eigenständig mit deren nationalen Aufsichtsbehörden auseinandersetzen mussten, können sie künftig das gesamte Beschwerdeverfahren mit ihrer Datenschutzbehörde vor Ort abwickeln. Diese nimmt die Beschwerde entgegen, klärt das Anliegen mit den zuständigen Kollegen in anderen Mitgliedstaaten und meldet das Ergebnis an den Beschwerdeführer zurück.

Was passiert, wenn sich zwei Aufsichtsbehörden aus verschiedenen Mitgliedstaaten bei der Klärung einer datenschutzrechtlichen Frage nicht einig werden?

Um Unstimmigkeiten über die richtige Anwendung der DSGVO aufzulösen, ist ein sogenanntes Kohärenzverfahren vorgesehen. Gibt es in bestimmten Fällen unterschiedliche Auffassungen der Aufsichtsbehörden, sind diese künftig dem Europäischen Datenschutzausschuss vorzulegen. Dabei handelt es sich um ein Gremium, in dem alle Datenschutzaufsichtsbehörden der europäischen Mitgliedstaaten mit je einer Stimme vertreten sind. Der Datenschutzausschuss trifft dann eine Entscheidung, die für alle beteiligten Aufsichtsbehörden gleichermaßen gilt.

Die DSGVO sagt auch, dass Nutzer künftig ihre Daten von einem Anbieter zu einem anderen mitnehmen können sollen. Ist das allgemeingültig?

Ja, immer wenn die Daten auf der Grundlage einer Einwilligung oder eines Vertrages verarbeitet werden, haben Nutzer künftig einen Anspruch auf Datenportabilität. In einigen Fällen wird es allerdings noch fraglich sein, wie diese Daten mitgenommen werden können und welche Daten genau zu berücksichtigen sind. Bei der Übertragung der Daten von einem sozialen Netzwerk zum anderen dürfte das nicht so schwierig sein. In anderen Bereichen gibt es im Detail noch viel Klärungsbedarf.

Unter Startups herrscht derzeit Panik, weil viele nicht wissen, wie genau die neuen Regeln ausgelegt werden. Gibt es für die Wirtschaft nicht auch Vorteile?

Die DSGVO enthält tatsächlich viele unbestimmte Rechtsbegriffe. Dies führt bei Unternehmen zunächst sicherlich zu gewissen Unklarheiten und Rechtsunsicherheit. Gleichwohl haben die Unternehmen auch Vorteile. Sie müssen sich nicht mehr mit 28 verschiedenen Datenschutzrechten auseinandersetzen und können künftig alle datenschutzrechtlichen Fragen und Anliegen mit nur noch einer Aufsichtsbehörde klären. Unabhängig von der DSGVO werbe ich zudem schon seit Langem dafür, Datenschutz auch als Wettbewerbsvorteil zu nutzen. Das erste Datenschutzgesetz der Welt kam 1970 aus Hessen. Deutschland hat also eigentlich die Kernkompetenz in Sachen Datenschutz. Die sollte genutzt werden, indem der ökonomische Vorteil von Daten mit hohen Datenschutzstandards verbunden wird.

Firmen und Forscher debattieren, ob die strengeren Regeln grundsätzlich mit der Forschung zu künstlicher Intelligenz vereinbar sind. Denn diese braucht Unmengen an Daten.

Künstliche Intelligenz (KI) ist sicherlich eines der Kernthemen, die den Datenschutz in der Zukunft beschäftigen werden. Ziel der DSGVO ist es, den Datenschutz auch bei neuen Techniken sinnvoll gewähren zu können. Es bleibt abzuwarten, ob sie auch im Bereich der KI die notwendigen Antworten auf datenschutzrechtliche Probleme parat haben wird, um die Rechte der Bürgerinnen und Bürger hinreichend zu schützen.

Das Interview führte Hendrik Lehmann