[IITR – 20.12.16] Die Bundesdatenschutzbeauftragte Andrea Voßhoff ist vielen Beobachtern auch nach bald drei Jahren Amtszeit immer noch ein Rätsel. Dies mag daran liegen, dass sie darauf achtet Aufsehen zu vermeiden. Als der Bundestag ihr aber nun 49 neue Stellen für das Jahr 2017 zusprach, kam das doch einer Sensation gleich. Es gibt nämlich wohl keinen Datenschutzbeauftragten, dem ein ähnlich massiver Stellenaufbau gelang: eine Verdoppelung der Personalausstattung innerhalb von nur drei Jahren.
„Die Architektur des Datenschutzes“
Ohne eine klare Agenda ist ein solcher Erfolg nicht denkbar. Und tatsächlich ist die adäquate Ausstattung der Behörde ein Kernthema von Voßhoff, das sie seit ihrem Amtsantritt mit immer neuen Argumentationslinien weiterentwickelt. Wenn sie ihr Anliegen erklärt, verwendet sie gerne das Bild von der „Architektur des Datenschutzes“, an der es zu arbeiten gelte. Und um das zu verdeutlichen, erklärt Voßhoff, dass die Bundesdatenschutzbeauftragte mit der Unabhängigkeit im Grunde eine ähnliche Position erhalten habe wie der Bundesrat oder das Bundesverfassungsgericht. Der Zuhörer hat dabei sofort ein staatstragendes Säulenbild vor Augen.
Besser nachvollziehbar wird diese für den traditionellen Datenschutz etwas ungewöhnliche Perspektive, wenn man weiß, dass Voßhoff mehrere Jahre eines von zwölf Mitgliedern des Wahlausschusses des Bundestags war, der die Hälfte der Richter des Bundesverfassungsgerichts bestimmt. Zu dieser Aufgabe gehört es, regelmäßig über viele Jahre die Arbeit der Kandidaten zu beobachten, Vorlesungsbesuche an den Hochschulen nicht ausgeschlossen. Dafür braucht es Diskretion, strategisches Denken und einen langen Atem – und genau das zeigt Voßhoff auch in ihrer neuen Position.
Andrea Voßhoff pflegt diskrete Kommunikation. Hinter verschlossenen Türen kann es durchaus langwierige und knifflige Diskussionen geben.„Defizite müssen behoben werden“
Gemessen an dem Anspruch des Gesetzgebers an die Institution der Bundesdatenschutzbeauftragten, argumentiert Voßhoff, sei die Behörde auch mit den 49 neuen Stellen immer noch nicht in der Lage, ihre Aufgaben angemessen durchzuführen. Voßhoff fehlen beispielsweise die Sanktionsmöglichkeit im öffentlichen Bereich sowie die Möglichkeit, bei Nichtbefolgen von Beanstandungen zu klagen. „Für mich ist so etwas nichts Absonderliches“, sagt sie, „Beanstandungen müssen Folgen haben können. Wenn Defizite aufgedeckt werden, müssen sie nötigenfalls sanktioniert werden können.“
Dies ist umso wichtiger, da in den vergangenen Jahren viele Beanstandungen der BfDI ignoriert wurden. Welche Folgen ihre Beanstandungen des BND haben müssten, kommentiert Andrea Voßhoff jedoch nicht, da sie sich generell nicht zu geheim eingestuften Vorgängen äußert.
Eine Kontrolle ist in den Augen von Voßhoff übrigens dann erfolgreich, „wenn die beanstandeten Defizite behoben sind“. Ihre Prüfberichte sind in ihrer Kritik klar und deutlich, auch ihr letzter Tätigkeitsbericht hat positiv überrascht. Intern heißt es, dass ihr Vorgänger sich nicht mit ähnlichem Nachdruck mit den Sicherheitsbehörden befasst habe. Mit der Geheimhaltung, zu der sie gesetzlich verpflichtet ist, hat Voßhoff übrigens kein Problem, da sie die zuständigen Bundestagsgremien ja informieren kann. „Ich halte mich an Recht und Gesetz“, betont sie.
Voßhoff hat sich vorgenommen jedes ihrer Referate mindestens bei einer Prüfung persönlich zu begleiten, um selbst zu erfahren mit welchen praktischen Problemen ihre Mitarbeiter konfrontiert werden. So wurden in den vergangenen sechs Jahren rund 50 von über 300 Jobcentern kontrolliert. Ausführlichere Kontrollen wären aus ihrer Sicht erwünscht, ließen sich aber nur mit mehr Personal umsetzen. Auch der Sicherheitsbereich ist ihr ein großes Anliegen.
Für Kontrollen definiert sie auch Themen, die über alle Referate hinweg behandelt werden müssen – wie zum Beispiel die Auftragsdatenverarbeitung in den Behörden. Ein anderes Querschnittsthema ist die Frage, ob alle staatlichen Institutionen einen behördlichen Datenschutzbeauftragten bestellt haben. „Wenn die behördlichen Kollegen ihrem Anspruch gerecht werden können, müssen wir weniger tun“, sagt Voßhoff. Auch dies gehört für sie wesentlich zum Thema „Architektur des Datenschutzes“.
Direkt neben der Tür hat Andrea Voßhoff das Bild eines Mitarbeiterkindes aufgehängt – mit dem Titel „Wunschpunkte“. „Da gibt es natürlich immer viele“, sagt sie.„Nicht David versus Goliath, sondern Gleichgewicht“
Voßhoff zeigt ein neues, souveränes Selbstverständnis der Datenschutzaufsicht. Der Datenschutz gilt demnach nach Jahrzehnten höchstrichterlicher Rechtsprechung als etabliert, er muss nur konsequent durchgesetzt werden. „Ich halte es für selbstverständlich, dass eine effektive Aufsicht existiert“, sagt Voßhoff – und fügt eher im Nebenbei einen Satz hinzu, der ihr politisches Selbstverständnis wie kein anderer reflektiert: „Es geht nicht um David versus Goliath, sondern um ein Gleichgewicht.“
Darunter versteht sie im klassischen Sinne eine angemessene, ausgewogene Kontrolle, die das Vertrauen der Bürger verdient. Voßhoff: „Der Schutz des Menschen in der digitalen Welt verlangt es, dass wir diesem Anspruch gerecht werden.“ Die Grundsatzfrage sei eine der Einstellung: „Betrachte ich die Kontrolle als bürokratisches Hemmnis bei den Unternehmen beziehungsweise als Ärgernis im staatlichen Bereich – oder halte ich sie schlicht für notwendig?“
Voßhoff führt den Gedanken weiter aus: „Die Datenschutzaufsicht hat eine Kompensationsfunktion, die das Bundesverfassungsgericht stark herausgestellt hat. Ein massiver Eingriff in die informationelle Selbstbestimmung braucht eine effektive Kontrolle. Ich fühle mich dabei besonders angesprochen, dies sicherzustellen. Denn nur so kann das Vertrauen des Bürgers hergestellt werden. Diesen Ansatz des Gerichts darf man nicht klein reden, sondern man muss gewährleisten, dass die bestehenden Kontrollinstanzen effektiv zusammenarbeiten.“
Die Bürgereingaben erlebten ein Hoch aufgrund des Telekom-Skandals in den Jahren 2008 und 2009 und entwickeln sich – dieses Hoch ausgenommen – konstant nach oben, während die Beratungen und Kontrollen sich seither wieder auf höhe0rem Niveau befinden.Privacy by Design
In Bezug auf Unternehmen betont Voßhoff weniger die Kontrolle als die Prävention, die bisher zu kurz gekommen sei. Entsprechend wichtig ist ihr der „Privacy by Design“-Gedanke. Eine Voraussetzung für die Umsetzung von „Privacy by Design“ sei ein gemeinsames Grundverständnis: nämlich, dass die Unternehmen den „Datenschutz als Schutz des Menschen in der digitalen Welt“ wahrnehmen. „In Zeiten, in denen jeder versucht uns zu analysieren, um Produkte auf uns zuzuschneiden, muss die Menschenwürde vorangestellt werden“, sagt Voßhoff und betont, dass die Diskussion darüber wichtig sei, damit „die richtigen Produkte angeboten werden“. Datenschutz sei insofern als Qualität und damit als Wettbewerbsvorteil zu begreifen.
In den von ihr zu kontrollierenden Unternehmensbereichen kommen zunehmend mehr Unternehmen frühzeitig auf die BfDI zu, um etwa die Konzeption von „Privacy by Design“-Lösungen zu besprechen. Die BfDI begleitete auch bereits ein Forschungsprojekt des Fraunhofer AIESEC-Instituts namens Prividor, bei dem es um die Entwicklung eines Website-Checks für Privacy-Verletzungen ging. Dieses Tool ist bei der BfDI seit 2012 im Einsatz und wurde auch den Datenschutzbeauftragten der Länder zur Verfügung gestellt.
Der Bund als Koordinator gegenüber Europa
Von ihren Länderkollegen wird Voßhoff derzeit misstrauisch beäugt, da sie mit Blick auf Europa auf einer koordinierenden Rolle des Bundes besteht: „Es ist sinnvoll und notwendig, dass der Bund eine koordinierende Funktion wahrnimmt.“ Für die Vertretung Deutschlands im europäischen Datenschutzausschuss will Voßhoff „ein Meinungsbild in den Ländern einholen und dieses in der EU vertreten“. Im aktuellen BDSG-Entwurf gesteht das Bundesinnenministerium ihr entsprechend eine zentrale Rolle zu.
Die koordinierende Funktion des Bundes gegenüber Europa will Voßhoff über die in der Datenschutzgrundverordnung vorgesehene zentrale Anlaufstelle wahrnehmen, „in der ein Meinungsbild generiert wird“. „Wir müssen noch den Prozess diskutieren“, sagt Voßhoff, „wie wir den Abstimmungsprozess geregelt bekommen, um auch konkrete Streitverfahren steuern zu können.“ Dabei will sie den Meinungsbildungsprozess in der Datenschutzkonferenz bewahren. „Für manches wird es ein Mehrheitsprinzip geben, für anderes wieder das Einstimmigkeitsprinzip“, deutet sie etwas nebulös die gegenwärtige Diskussion an.
Die meisten der 49 neuen Planstellen werden übrigens für die zusätzlichen Aufgaben im Rahmen der Datenschutzgrundverordnung verwendet. Zudem werden sich neue Mitarbeiter den zusätzlichen Aufgaben widmen, die sich aus dem IT-Sicherheitsgesetz, der Vorratsdatenspeicherung, dem Transplantationsregister sowie der Unabhängigkeit der Behörde ergeben. Überdies sollen neben dem zentralen Technikreferat weitere Referate mit einem eigenen Techniker ausgestattet werden. 29 Stellen darf die Bundesbeauftragte ab Januar 2017 besetzen. Weitere 20 Stellen sind mit einem Sperrvermerk versehen, über deren Freigabe zum 1. Dezember 2017 entschieden wird.
Die jüngste Budgetaufstockung ist – was die bisherige Budgethistorie anbelangt – ohne Vergleich. Doch das Bundesamt für Sicherheit in der Informationstechnik holte für 2017 anteilsmäßig mehr heraus.Themen für Europa setzen
Voßhoff will sich mit ihrem so verstärkten Team in der Artikel-29-Gruppe und später in der Nachfolgeorganisation des Datenschutzausschusses „stärker engagieren“ und verweist darauf, dass der Bund schon jetzt in allen Subgroups der Artikel-29-Gruppe vertreten ist – wie auch in allen Arbeitskreisen der Datenschutzkonferenz und im Düsseldorfer Kreis.
Ein kommendes Thema für die europäische Zusammenarbeit ist für sie eine Leitlinie für die Bestellung der behördlichen und betrieblichen Datenschutzbeauftragten. Ein weiteres ist die Leitlinie für Zertifizierung sowie für die Datenschutzfolgeabschätzung, die die Europäische Datenschutzgrundverordnung von Herstellern, Plattformen und Datenverarbeitern in bestimmten Fällen verlangt.
Auch für das Standard-Datenschutzmodell (SDM) will sich Voßhoff in Europa stark machen: „Das SDM gibt eine gute Orientierung.“ Und sie betont, sie werde sich dafür einsetzen, dass dieses Analysemodell, in das viel Erfahrung und Kompetenz eingeflossen ist, auch in Europa angewandt werden kann“. Man müsse jetzt noch einige Überzeugungsarbeit leisten, dass das SDM mit der Datenschutzgrundverordnung kompatibel ist.
Auch international sieht Voßhoff dringenden Handlungsbedarf: „Wenn wir einen einheitlichen europäischen Rechtsrahmen haben, müssten wir auch im internationalen Bereich mehr machen. Sind die Daten global, muss auch der Schutz international sein“, sagt sie. Die Europäische Union könne mit ihrem Datenschutzrecht durchaus internationale Standards setzen. Auch im Europarat sieht sie in den Datenschutzgremien „ein mühsames, aber wichtiges Geschäft“. Entsprechend hält sie auch die Mitarbeit in europäischen und internationalen Standardisierungsgremien für notwendig. „Hier müssen wir uns noch stärker einbringen“, verspricht sie.
Auspuzzeln
Zurück zum „Rätsel Voßhoff“: Konnte man im ersten Jahr ihrer Amtszeit aus Perspektive der Presseberichterstattung keine eigenen Positionierungen erkennen, ändert sich das allmählich. Damals bat sie ihre Kritiker darum, ihr genügend Zeit für die Einarbeitung zu schenken. Irritierend ist für viele zwar nach wie vor der etwas ungewohnte, sehr zurückhaltende Kommunikationsstil. Aber inzwischen setzen sich verschiedene Puzzles Stück für Stück zusammen. So lassen auch ihre jüngeren Positionierungen erkennen, dass sich das Warten gelohnt hat:
Voßhoff legt großen Wert auf kooperatives Prüfen: Die Kontrolle der Falldatei Rauschgift im INPOL-System des Bundeskriminalamts wurde auf Initiative der BfDI gemeinsam mit den Landesdatenschützern durchgeführt. Dabei handelte es sich um die erste bundesweite gemeinsame Kontrolle von Bund und Ländern. Das ist angebracht, da es sich bei der Falldatei um eine Verbunddatei handelt, die zwar beim BKA geführt wird, deren Daten aber auch von den Landeskriminalämtern und dem Zoll eingespeist werden. Die Kontrolle war insofern erfolgreich, als dass sie verschiedene Probleme und rechtswidrige Speicherungen aufzeigte. Ihre Warnung im letzten Jahr vor dem Einsatz von Gesundheits-Apps durch Krankenkassen wurde im Rahmen einer kooperativen Prüfung von 16 Wearables von mehreren Datenschutzaufsichtsbehörden – inklusive ihrer eigenen – aufgegriffen und weitergeführt.
Mit ihrer Stellungnahme zur Berliner Erklärung der Innenminister konterte sie die Kritik der CDU-Innenminister an einem „überzogenen Datenschutzrecht“ mit dem Verweis auf den Datenschutz als Grundrecht einer demokratischen Gesellschaft. Und in Sachen „EU US Privacy Shield“ hat die Bundesdatenschutzbeauftragte die in der Artikel-29-Gruppe formulierte Kritik aufgegriffen und in Deutschland vertreten. Diese Positionierungen zeigen, dass ihr an einem kooperativen Arbeitsstil gelegen ist, wenn auch die Landesdatenschützer das in ihrer „Kühlungsborner Erklärung“ bezweifeln.
Hinweis:
Dieses Portrait beruht auf zwei Hintergrundgesprächen in den Jahren 2014 und 2015 sowie einem offiziell gehaltenen Interviewgespräch im Herbst 2016.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.