1
00:00:00,000 --> 00:00:19,189
<i>36c3 Vorspannmusik</i>

2
00:00:19,189 --> 00:00:22,980
Herald Engel: Unser nächster Vortrag hat
den Titel „Weichenstellung“. In welcher

3
00:00:22,980 --> 00:00:29,679
digitalen Welt werden wir leben? Der Herr
Kelber wird darin aufzeigen, welche Folgen

4
00:00:29,679 --> 00:00:33,509
die aktuellen politischen Entscheidungen
oder deren Ausbleiben auf unsere Zukunft

5
00:00:33,509 --> 00:00:38,468
als Gesellschaft haben. Insbesondere bei
den Themen digitale überwachung durch

6
00:00:38,468 --> 00:00:44,139
private und öffentliche Stellen. Ulrich
Kelber ist seit Januar diesen Jahres der

7
00:00:44,139 --> 00:00:48,449
Bundesdatenschutzbeauftragte, ist
studierter Diplominformatiker, hat 20

8
00:00:48,449 --> 00:00:54,670
Jahre im Bundestag als Bundestagsabgeordneter
gearbeitet und war vorher Staatssekretär

9
00:00:54,670 --> 00:00:58,359
im Justizministerium. Bitte begrüßt ihn
mit einem kräftigen Applaus.

10
00:00:58,359 --> 00:01:07,780
<i>Applaus</i>

11
00:01:07,780 --> 00:01:11,140
Ulrich Kelber: Ja, schönen guten Tag, auch
von meiner Seite, hab mich sehr über die

12
00:01:11,140 --> 00:01:16,420
Einladung gefreut. Ich bin natürlich etwas
beschämt, dass ich das erste Mal dabei bin,

13
00:01:16,420 --> 00:01:21,250
nämlich in den 20 Jahren, wo ich
tatsächlich Abgeordneter war, hat meine

14
00:01:21,250 --> 00:01:25,530
Familie gestreikt: neben den Wochenenden,
die immer dazugehören zur Arbeit, mir dann

15
00:01:25,530 --> 00:01:32,670
auch noch die Tage über Weihnachten für
digitale Themen frei zu geben. Aber

16
00:01:32,670 --> 00:01:36,270
nachdem ich ja im Januar in den Job
wechseln konnte, wo ich noch schön an

17
00:01:36,270 --> 00:01:41,479
einem Thema tief arbeiten kann, aber die
Wochenenden jetzt freier zur Verfügung

18
00:01:41,479 --> 00:01:46,189
habe, durfte ich mir zumindest mal einen
Tag dafür nehmen. Und ich hoffe, im

19
00:01:46,189 --> 00:01:49,409
nächsten Jahr vielleicht auch mal mit
Übernachtung ein bisschen mehr

20
00:01:49,409 --> 00:01:59,990
reinschnuppern auch in das, was andere zu
sagen und zu zeigen haben. — <i>Applaus</i>

21
00:01:59,990 --> 00:02:06,369
Ich habe in der Tat jetzt knapp ein Jahr in
der neuen Funktion zubringen können,

22
00:02:06,369 --> 00:02:11,820
versuchen, das Thema in der Breite
aufzunehmen, Schwerpunkte zu setzen,

23
00:02:11,820 --> 00:02:16,830
insbesondere bei den Aufgaben, die wir in
den letzten Jahren auch hinzubekommen

24
00:02:16,830 --> 00:02:21,010
haben: die Durchsetzung der europäischen
Datenschutzgrundverordnung, die

25
00:02:21,010 --> 00:02:25,100
Durchsetzung der ja erst noch in
nationales Recht umzusetzenden Joint

26
00:02:25,100 --> 00:02:30,270
Implementation Richtlinie, die Regulierung
von Scoring und Profiling, bereich-

27
00:02:30,270 --> 00:02:36,330
spezifische Gesetzgebung, die ja fast im
Wochenrhythmus erfolgt, insbesondere im

28
00:02:36,330 --> 00:02:41,870
Sicherheitsbereich und natürlich jetzt
auch drei Jahre oder dreieinhalb Jahre

29
00:02:41,870 --> 00:02:48,101
nach Inkrafttreten, anderthalb Jahre nach
der vollen Wirksamkeit. Auch die

30
00:02:48,101 --> 00:02:52,819
Überlegungen zur Weiterentwicklung
europäischen Datenschutzrechts. Und alles

31
00:02:52,819 --> 00:02:58,459
vor dem Hintergrund einer Entwicklung, wo
im Augenblick Weichenstellungen in der

32
00:02:58,459 --> 00:03:04,489
Frage von Regulierung, Nichtregulierung,
technische Entwicklung, Einführung von IT-

33
00:03:04,489 --> 00:03:09,129
Systemen gesetzt werden, die massive
Auswirkungen auch auf unsere

34
00:03:09,129 --> 00:03:13,129
Gesellschaftsordnung haben. Mich
interessieren die Debatten um digitale

35
00:03:13,129 --> 00:03:18,700
Überwachung, sei es durch private oder
staatliche Stellen und insbesondere

36
00:03:18,700 --> 00:03:23,129
natürlich auch der regelrechte hysterische
Wettlauf um immer neue

37
00:03:23,129 --> 00:03:30,240
Eingriffesbefugnisse von
Sicherheitsbehörden. — <i>Applaus</i> —

38
00:03:30,240 --> 00:03:34,260
Ich bin überzeugt, dass wir
schon die Weichenstellungen so vornehmen

39
00:03:34,260 --> 00:03:38,690
können, dass auch die digitale
Gesellschaft eine freiheitliche, liberale

40
00:03:38,690 --> 00:03:45,909
und diverse Gesellschaft bleibt. Aber
ausgemacht ist das noch keineswegs. Wir

41
00:03:45,909 --> 00:03:50,420
sehen immer wieder, dass die technischen
und ökonomischen Aspekte dieser Debatte in

42
00:03:50,420 --> 00:03:54,540
den Vordergrund gestellt werden und dass
es schwierig ist, durchzudringen mit

43
00:03:54,540 --> 00:03:59,139
gesellschaftspolitischen und
datenschutzrechtlichen Fragestellungen.

44
00:03:59,139 --> 00:04:05,450
Und wenn es eine Debatte gibt über diese
Weichenstellung in einer digitalpolitischen

45
00:04:05,450 --> 00:04:10,069
europäischen Debatte, dann werden eben vor
allem diese technischen und okönomischen

46
00:04:10,069 --> 00:04:15,000
Aspekte herangezogen. Es wird verwiesen
auf den Stand von ja durchaus

47
00:04:15,000 --> 00:04:20,740
durchaus weiterentwickelten Digital-
Ökonomien in den USA und China, deren

48
00:04:20,740 --> 00:04:25,650
Vorsprung im Bereich von dem, was immer
unscharf als „künstliche Intelligenz“

49
00:04:25,650 --> 00:04:31,849
bezeichnet wird. Dass dieser Vorsprung
uneinholbar geworden sei und wohlstands-

50
00:04:31,849 --> 00:04:36,240
gefährdend ist. Das wird durchaus als
Druckmittel verwendet, um dann bei

51
00:04:36,240 --> 00:04:42,970
einzelnen Debatten festzulegen, in welcher
Form darf es zu Datenverwertung mittels

52
00:04:42,970 --> 00:04:47,870
künstlicher Intelligenz, algorithmischer
Systeme oder auch der Nutzung von

53
00:04:47,870 --> 00:04:52,750
Datenbanken an der Stelle kommen? Und wenn
man etwas genauer hinschaut, dann ist es

54
00:04:52,750 --> 00:04:59,040
in der Tat natürlich so, dass in den USA
und China in manchen Sektoren bereits eine

55
00:04:59,040 --> 00:05:03,889
andere Phase der technologischen
Entwicklung eingetreten ist. Dort wird

56
00:05:03,889 --> 00:05:08,220
über deutlich höhere private und
staatliche Mittel in dem Bereich

57
00:05:08,220 --> 00:05:16,650
investiert. Aber man merkt auch, dass
beide Wirtschaftssysteme einen bestimmten

58
00:05:16,650 --> 00:05:21,680
Weg eingeschlagen haben für die Nutzung
von IT-System. In China entsteht ein

59
00:05:21,680 --> 00:05:27,510
Überwachungssystem, das den Polizeistaat
erst zur vollen Blüte bringen kann. Wer

60
00:05:27,510 --> 00:05:31,569
sich jetzt in den letzten Monaten ist das
mal zum Thema geworden mit dem, was im

61
00:05:31,569 --> 00:05:35,759
Westen des Landes bei den Uiguren
passiert. Aber ein System, wo das

62
00:05:35,759 --> 00:05:41,360
Verhalten aller Bürger digital überprüft
wird, was manche ja – außerhalb dieser

63
00:05:41,360 --> 00:05:46,540
Halle natürlich – nicht verstehen, ist, wie
analoges und digitales Leben heute so

64
00:05:46,540 --> 00:05:50,860
verschränkt sind, dass sie einander
beeinflussen. Dass deswegen eben auch auf

65
00:05:50,860 --> 00:05:57,840
das Verhalten außerhalb der unmittelbaren
digitalen Welt ein Verhaltensdruck

66
00:05:57,840 --> 00:06:03,850
ausgeübt wird. Wer sich im Sinne des
Systems verhält, dem winken Prämien,

67
00:06:03,850 --> 00:06:10,430
Belohnungen, Vorteile. Wer das nicht tut,
riskiert für sich und Angehörige

68
00:06:10,430 --> 00:06:18,039
Lebensmöglichkeiten vom Bildungssystem bis
hin zur Mobilität. Und es ist spannend,

69
00:06:18,039 --> 00:06:24,360
wer diese Standards setzt. Es ist
spannend, wie diese Standards sich ändern

70
00:06:24,360 --> 00:06:30,199
und vor allem, dass ein Gefühl entsteht,
dass ich gar nicht mehr abschätzen kann:

71
00:06:30,199 --> 00:06:35,320
Wann werde ich eigentlich beobachtet, mein
Verhalten interpretiert, gespeichert,

72
00:06:35,320 --> 00:06:42,150
bewertet von anderen. Und dies ist ein
Gefühl, dass es keine Bereiche mehr der

73
00:06:42,150 --> 00:06:45,910
Möglichkeit gibt, sich ins Private
zurückzuziehen, etwas zu tun, was

74
00:06:45,910 --> 00:06:52,039
vielleicht noch nicht von allen anderen so
vorgelebt wurde, verändert auch das eigene

75
00:06:52,039 --> 00:06:55,850
Verhalten. Das ist eine Entwicklung, die
sicherlich in Europa nur eine absolute

76
00:06:55,850 --> 00:07:00,900
Minderheit will, auch unter all denen,
die politische Positionen haben oder in

77
00:07:00,900 --> 00:07:04,459
der Wirtschaft an entscheidenden
Stellen kommt. Es gibt allerdings

78
00:07:04,459 --> 00:07:09,620
interessanterweise Studien, die unter
jüngeren Menschen schon eine größere

79
00:07:09,620 --> 00:07:17,210
Zustimmung zu einem solchen System zum
Ausdruck bringt, wo bestimmte

80
00:07:17,210 --> 00:07:22,530
Verhaltensweisen, die als durchaus … man
fängt ja an, mit welchen, die tatsächlich

81
00:07:22,530 --> 00:07:26,306
vielleicht gesellschaftspolitisch von der
großen Mehrheit nicht gewünscht sind,

82
00:07:26,306 --> 00:07:30,130
sanktionieren kann. Aber wie gesagt, die
große Mehrheit will das nicht, und zwar

83
00:07:30,130 --> 00:07:34,490
weder vom Staat noch von privaten Konzernen.
Also weder das chinesische Modell, noch

84
00:07:34,490 --> 00:07:40,240
das US-amerikanische Modell, die sich
ja durchaus auch beide teilweise mit

85
00:07:40,240 --> 00:07:47,360
Aspekten des anderen – die USA im
Sicherheitsbereich, die chinesische Seite

86
00:07:47,360 --> 00:07:51,940
mit dem Zusammenwirken zwischen Staat und
privaten Konzernen – beginnt. Und auch wenn

87
00:07:51,940 --> 00:07:56,590
das keiner in Europa will, glaube ich,
dass dieses Überwachungsgift durchaus in

88
00:07:56,590 --> 00:08:03,180
unser System träufelt von Tag zu Tag. Und
zwar, dass man Überwachung durchführen

89
00:08:03,180 --> 00:08:07,582
will, weil man sie durchführen kann. Dass
man Datensammlungen betreibt, wenn man

90
00:08:07,582 --> 00:08:12,569
diese Daten sammeln kann, weil Sensoren,
Speicher und Verarbeitungsmöglichkeiten

91
00:08:12,569 --> 00:08:17,539
immer kleiner, schneller, besser und
billiger werden. Und dass Dinge, die man

92
00:08:17,539 --> 00:08:22,229
vorher nicht gemacht hat, weil einfach der
Aufwand zu groß war, jetzt praktisch im

93
00:08:22,229 --> 00:08:29,419
Vorbeigehen mitlaufen lässt. Und wo kann
man dieses Gift schon spüren? Das spürt

94
00:08:29,419 --> 00:08:34,310
man, wenn die Geschäftsmodelle von
Verlagen in den politischen Debatten

95
00:08:34,310 --> 00:08:39,770
Vorrang bekommen sollen vor der
Unverletzlichkeit der Privatsphäre von

96
00:08:39,770 --> 00:08:44,920
Bürgerin und Bürger, wenn die Komfort
gegen Daten getauscht wird, auch im

97
00:08:44,920 --> 00:08:51,440
Individualverhalten. Und wenn Sicherheit
vor Freiheit gesetzt wird bei der Debatte:

98
00:08:51,440 --> 00:08:55,800
Was kann ich mit einem zusätzlichen
Durchgriffsrecht, Eingriffsrecht von

99
00:08:55,800 --> 00:09:02,439
Sicherheitsbehörden erreichen? Dann
erleben wir, dass die Bewertung von

100
00:09:02,439 --> 00:09:08,209
Verhalten und das Bewerten von Gesinnung,
wenn sie in die Auswertung mancher Daten

101
00:09:08,209 --> 00:09:12,129
schauen und auch in die ein oder anderen
Gesetzentwurf, wo jetzt auf einmal wieder

102
00:09:12,129 --> 00:09:17,840
aufgebracht wird, wer etwas unterstützt
oder befürwortet, dass das ebenfalls

103
00:09:17,840 --> 00:09:22,949
Einfluss nimmt, damit Normmodelle setzt,
die dann in der Verarbeitung von Daten

104
00:09:22,949 --> 00:09:28,100
überprüft werden durch Staat und durch
private Stellen auch in der Europäischen

105
00:09:28,100 --> 00:09:33,670
Union. Und wie wir das ausgestalten, wie
wir zum Beispiel über eine E-Privacy

106
00:09:33,670 --> 00:09:36,760
Verordnung in der Frage von Tracking
sprechen, das ist eine dieser

107
00:09:36,760 --> 00:09:42,429
Weichenstellungen, die ich meinte mit dem
Titel des Vortrags. Im Zentrum dieser

108
00:09:42,429 --> 00:09:46,159
Debatten steht tatsächlich das, was immer
mit dem großen Schlagwort „Künstliche

109
00:09:46,159 --> 00:09:50,930
Intelligenz“ genommen wird. Sind genügend
im Saal, mit denen man sich 2 Stunden darüber

110
00:09:50,930 --> 00:09:55,000
unterhalten könnte, was dieses Schlagwort
wirklich meint und wo es nicht meint. Aber

111
00:09:55,000 --> 00:09:59,319
das lasse ich mal außen vor. Ich spreche
über KI und algorithmische Systeme, mal

112
00:09:59,319 --> 00:10:06,940
als Bandbreite. Wir Datenschutzbeauftragten
haben für uns erkannt, dass es unsere

113
00:10:06,940 --> 00:10:11,220
Arbeit verändert. Dass es aber eben
auch eine große Auswirkung auf

114
00:10:11,220 --> 00:10:16,920
die Frage von Regulierung haben. Haben
deswegen in diesem Jahr, im Frühjahr und

115
00:10:16,920 --> 00:10:21,850
dann ausgearbeitet noch bis in den Herbst
bei der Tagung in Trier im Frühjahr die

116
00:10:21,850 --> 00:10:26,400
Hambacher Erklärung herausgegeben, auf
Schloss Hambach. Wir haben dieses Symbol

117
00:10:26,400 --> 00:10:33,390
tatsächlich gewählt. Das Hambacher
Freiheitsfest von 1832, wo die

118
00:10:33,390 --> 00:10:37,350
Grundrechte, die Bürgerrechte, auch in den
Vordergrund gestellt wurden. Übrigens ein

119
00:10:37,350 --> 00:10:41,300
internationales Fest, weil es immer manche
Deutschtümeler versuchen, für sich zu

120
00:10:41,300 --> 00:10:47,220
gewinnen. Es waren Franzosen und Polen und
andere Delegierte dort. Und haben

121
00:10:47,220 --> 00:10:51,880
versucht, Grundprinzipien bei diesem
Einsatz zu definieren. Menschen nicht zum

122
00:10:51,880 --> 00:10:55,809
bloßen Objekt einer solchen
Datenverarbeitung zu machen, das

123
00:10:55,809 --> 00:11:00,920
Zweckbindungsgebot nicht fallen zu
lassen. Nicht so einfach auch in der

124
00:11:00,920 --> 00:11:04,790
Entwicklung solcher Systeme. Die
Transparenz, die Nachvollziehbarkeit und

125
00:11:04,790 --> 00:11:10,780
die Erklärbarkeit von KI-Systemen, die
Verhinderung von Diskriminierung und den

126
00:11:10,780 --> 00:11:14,130
Grundsatz der Datenminimierung. Die
letzten drei sind übrigens sehr

127
00:11:14,130 --> 00:11:18,659
interessant in der gesamten Debatte mit
Techis, weil mir das selbst bei Leuten, die

128
00:11:18,659 --> 00:11:24,860
absolut liberal in ihren Grundsätzen sind,
immer wieder auffällt, dass sie ablehnen

129
00:11:24,860 --> 00:11:31,010
diese Verantwortung in der Entwicklung von
Systemen mit zu übernehmen. Uns wird dann

130
00:11:31,010 --> 00:11:34,829
entgegen geschleudert, das wäre ein
Generalverdacht. Wir würden zusätzlichen

131
00:11:34,829 --> 00:11:39,370
Aufwand berücksichtigen. Aber ich glaube,
wer solche Macht ausübt mit solchen

132
00:11:39,370 --> 00:11:43,870
Systemen in der Öffentlichkeit, der muss
zumindest selber überlegen: Kann der

133
00:11:43,870 --> 00:11:49,321
Bereich, in dem ich gerade arbeite,
Auswirkungen auf Menschen und Ihre Rechte

134
00:11:49,321 --> 00:11:52,760
haben? Und was muss ich dann
berücksichtigen in der Entwicklung dieser

135
00:11:52,760 --> 00:11:56,890
Technologie? Wir haben natürlich auch über
Verantwortlichkeit gesprochen. Jedes

136
00:11:56,890 --> 00:12:01,790
System muss auch jemand haben, den ich.
Ansprechen kann auf Fehlverhalten, auf

137
00:12:01,790 --> 00:12:06,990
Diskriminierungspotenziale und ähnliches.
Das kann nicht verwischen in einem

138
00:12:06,990 --> 00:12:18,900
komplexen Netzwerk unterschiedlicher
Systeme. Und wenn man … — <i>Applaus</i> Und wenn

139
00:12:18,900 --> 00:12:23,110
man dann wirtschaftspolitisch an das Ganze
herangeht, ist es regelrecht absurd, dass

140
00:12:23,110 --> 00:12:28,950
hier in Deutschland und in Europa, wo wir
eigentlich Erfahrung mit Datenschutz und

141
00:12:28,950 --> 00:12:33,520
ich hoffe auch mit IT-Sicherheit haben, wo
wir Gesetze haben, die uns dazu

142
00:12:33,520 --> 00:12:38,669
verpflichten, in diesem Bereich höhere
Qualität anzubieten als in anderen

143
00:12:38,669 --> 00:12:42,990
Weltregionen. Dass in dieser Weltregion
die Wirtschaftsverbände und die

144
00:12:42,990 --> 00:12:49,179
Unternehmen unterwegs sind, über diese
Regulierungen jammern und in anderen

145
00:12:49,179 --> 00:12:53,510
Weltregionen mehr oder minder glaubhaft
wie z. B. in den USA die ersten Unternehmen

146
00:12:53,510 --> 00:12:57,920
unterwegs sind und sagen: Wir wollen darüber
werben für unsere Produkte, für unsere

147
00:12:57,920 --> 00:13:02,770
Dienstleistungen, dass wir über die
gesetzlichen Vorgaben hinausgehen. Dass

148
00:13:02,770 --> 00:13:08,220
wir das von Anfang an mit rein nehmen.
Hätten wir das auch bei Autos, Maschinen

149
00:13:08,220 --> 00:13:11,970
und anderen Produkten gemacht, wäre
Deutschland ein armseliger Standort. Ich

150
00:13:11,970 --> 00:13:16,089
verstehe nicht, warum wir in der Digital-
Ökonomie auf den niedrigsten Standard einen

151
00:13:16,089 --> 00:13:19,890
Wettlauf nach unten machen wollen, nach
Meinung der Wirtschaftsverbände, anstatt

152
00:13:19,890 --> 00:13:23,689
mit Qualität und Unique Selling Points
auch weltweit zu punkten. Das wäre im

153
00:13:23,689 --> 00:13:27,090
Datenschutz, in der IT-Security,
wirklich möglich.

154
00:13:27,090 --> 00:13:35,380
<i>Applaus</i>
Wir begegnen natürlich immer einem

155
00:13:35,380 --> 00:13:39,799
logischen Wunsch. Das ist wirklich bei
Wirtschaft, Techies und großen Teilen der

156
00:13:39,799 --> 00:13:46,570
Politik gleich: Wir brauchen für die
Optimierung von Prozesssteuerung, so die

157
00:13:46,570 --> 00:13:51,230
Argumentation, die deutliche Erhöhung der
Menge an nutzbaren, qualitativ

158
00:13:51,230 --> 00:13:56,650
hochwertigen Daten. Ich will mich dem
übrigens keineswegs verschließen, weil ich

159
00:13:56,650 --> 00:14:01,150
durchaus der Meinung bin, selber eine
ganze Reihe von Prozessen zu sehen, wo ich

160
00:14:01,150 --> 00:14:06,040
mit dem richtigen Zugriff auf
verantwortlich zur Verfügung stellbare

161
00:14:06,040 --> 00:14:10,770
Daten, deutliche Verbesserungs-,
Optimierungs- und Fortschritts-Potenziale

162
00:14:10,770 --> 00:14:15,060
sehe. Aber es geht doch darum,
den Prozess so zu organisieren, dass

163
00:14:15,060 --> 00:14:21,000
Persönlichkeitsrechte, das Recht auf
informationelle Selbstbestimmung und

164
00:14:21,000 --> 00:14:26,490
andere Grundrechte nicht eingeschränkt
werden, nicht verletzt werden, sondern

165
00:14:26,490 --> 00:14:30,120
dass wir die neuen technischen
Möglichkeiten sogar nutzen, um

166
00:14:30,120 --> 00:14:33,670
informationelle Selbstbestimmung an
Stellen zu schaffen, wo ich sie in der

167
00:14:33,670 --> 00:14:38,380
Vergangenheit gar nicht hatte, weil sie
mir nicht zur Verfügung gestanden hat. Und

168
00:14:38,380 --> 00:14:42,640
diese Debatte zu führen und anders auf den
Markt zu treten, das ist der Vorschlag,

169
00:14:42,640 --> 00:14:46,850
den die deutschen Datenschutzbehörden mit
der Hambacher Erklärung und anderen

170
00:14:46,850 --> 00:14:52,110
Beschlüssen gefasst haben. Und auch der
Europäische Datenschutz-Ausschuss ist uns

171
00:14:52,110 --> 00:14:57,080
dort vor kurzem gefolgt. Ich glaube, dass
die Regulierung von künstlicher

172
00:14:57,080 --> 00:15:01,100
Intelligenz, von algorithmischen Systemen,
da eintreten muss, wo Gefahr für diese

173
00:15:01,100 --> 00:15:05,839
Rechtsgüter besteht – des Einzelnen oder
der Allgemeinheit. Sie haben vielleicht

174
00:15:05,839 --> 00:15:10,959
zum Teil mitverfolgt, dass es manche gibt:
Der Datenschutz übernähme sich, sagen die,

175
00:15:10,959 --> 00:15:15,010
wenn er nicht nur den Schutz des Einzelnen,
sondern einen gesellschaftspolitischen

176
00:15:15,010 --> 00:15:20,500
Zweck verfolgt. Aber natürlich habe ich
viele Stellen, wo die Frage des Schutz des

177
00:15:20,500 --> 00:15:24,860
Einzelnen ohne eine Beantwortung der
Rechte in der Gemeinschaft gar nicht zu

178
00:15:24,860 --> 00:15:29,900
leisten ist. Vom simpelsten Beispiel an:
wenn ich zulasse, dass bestimmte Daten

179
00:15:29,900 --> 00:15:33,930
erhoben werden können, freiwillig, dann
ist derjenige, der nicht bereit ist,

180
00:15:33,930 --> 00:15:37,880
freiwillig sie zur Verfügung zu stellen,
natürlich am Ende der*die Gekniffene, wenn

181
00:15:37,880 --> 00:15:42,001
die anderen diese Daten zur Verfügung gestellt
haben. Deswegen ist es richtig, an einem

182
00:15:42,001 --> 00:15:45,970
solchen Beispiel, wo es um besonders
sensible Daten geht, natürlich ein

183
00:15:45,970 --> 00:15:50,250
Erhebungs- und Verwertungsverbot allgemein
auszusprechen und es nicht mehr auf die

184
00:15:50,250 --> 00:15:58,949
Freiwilligkeit zurückfallen zu lassen.
— <i>Applaus</i> — Und diese Idee, auch

185
00:15:58,949 --> 00:16:04,040
technologische Entwicklungen und deren
Einsatz regulieren zu wollen, ist aber

186
00:16:04,040 --> 00:16:09,440
auch gar nichts Neues. Das haben wir doch
immer so gemacht. In den letzten zwei,

187
00:16:09,440 --> 00:16:13,750
dreihundert Jahren, seit wir eine
einigermaßen entwickelte Zivilgesellschaft

188
00:16:13,750 --> 00:16:19,180
und politische Debatte haben. Wir haben es
bei Dampfkesseln gemacht, wir haben es bei

189
00:16:19,180 --> 00:16:23,420
medizinischen Geräten, Autos und Handys
gemacht. Was sollte uns davon abhalten,

190
00:16:23,420 --> 00:16:30,310
diese Debatte zielgerichtet und
praktikabel auch im Bereich von Software

191
00:16:30,310 --> 00:16:36,030
und von Hybrid-Systemen einzuführen? Ein
Beispiel dafür; das war ja etwas, was die

192
00:16:36,030 --> 00:16:40,490
Datenethikkommissionen genannt hatte, als
sie gesagt hat, es muss auch die

193
00:16:40,490 --> 00:16:44,910
Möglichkeit des Verbots – um jetzt mal die
weitestgehende Möglichkeit zu benennen –

194
00:16:44,910 --> 00:16:50,850
von Algorithmen mit unvertretbarem
Schädigungspotenzial geben. Schon diese –

195
00:16:50,850 --> 00:16:56,699
eigentlich selbstverständliche – Forderung
„unvertretbares Schädigungspotenzial“ hat

196
00:16:56,699 --> 00:17:00,581
zu Widerspruch bei einigen
Wirtschaftsverbänden geführt. Also was das

197
00:17:00,581 --> 00:17:05,310
für ein Verständnis der Rolle von Staat
als Zusammenschluss der Gesellschaft gibt:

198
00:17:05,310 --> 00:17:09,100
„Es gibt bestimmte Dinge, die ich nicht
zulasse. Bestimmte medizinische Geräte

199
00:17:09,100 --> 00:17:14,949
sind nicht zugelassen. Der Verkauf von
Organen ist nicht zugelassen. Kinderarbeit

200
00:17:14,949 --> 00:17:19,309
ist nicht zugelassen.“ Und warum soll ich
nicht die Erlaubnis haben, bestimmte

201
00:17:19,309 --> 00:17:24,150
Software-Einsätze zu regulieren bis hin zu
einem Verbot? Wir unterhalten uns ja über

202
00:17:24,150 --> 00:17:30,711
eine kleine Spitze in einem unglaublich
innovativen Markt, wo 99,99% aller

203
00:17:30,711 --> 00:17:34,590
algorithmischen Systeme, die in Umlauf
kommen, nie mit einer Aufsicht oder einer

204
00:17:34,590 --> 00:17:39,141
Kontrolle zu tun haben werden. Aber um
diese Spitze müssen wir uns kümmern. Ich

205
00:17:39,141 --> 00:17:44,320
will jetzt nicht das ohnehin gestresste
Beispiel von automatischen Waffensystemen

206
00:17:44,320 --> 00:17:49,580
oder Hochfrequenzhandel heranbringen. Aber
schon im Bereich der Bildung, von

207
00:17:49,580 --> 00:17:53,450
persönlichen Profilen und der Frage, wem
sie zur Verfügung gestellt werden dürfen

208
00:17:53,450 --> 00:17:57,520
oder nicht, kann es solche unvertretbaren
Schädigungspotenziale geben und damit

209
00:17:57,520 --> 00:18:07,620
die Möglichkeit auch des Verbots in der
Regulierung. — <i>Applaus</i> — Und in der Tat

210
00:18:07,620 --> 00:18:13,550
kämpfen wir darum, dass das Prinzip der
Datenminimierung – so heißt es jetzt in der

211
00:18:13,550 --> 00:18:17,500
deutschen Version des europäischen
Datenschutzgrundverordnung. Früher hieß es

212
00:18:17,500 --> 00:18:21,990
mal Datensparsamkeit –, dass dieses Prinzip
nicht über den Haufen geworfen wird. Es

213
00:18:21,990 --> 00:18:29,460
wird angegriffen von allen Ecken: aus
dem technischen Umfeld, aus den

214
00:18:29,460 --> 00:18:34,030
Wirtschaftsverbänden, aus der Politik bis
hoch zu den Reden von Wirtschaftsministern

215
00:18:34,030 --> 00:18:38,733
und Bundeskanzlerin. Ich glaube teilweise
auch aus dem Unverständnis heraus, was

216
00:18:38,733 --> 00:18:42,630
der Begriff eigentlich bedeutet. Er heißt
ja nicht „Schmeiße alle Daten weg, die du

217
00:18:42,630 --> 00:18:48,420
hast“, also Datenarmut. Sondern er sagt
„Ja, du hast nicht das Recht, Daten zu

218
00:18:48,420 --> 00:18:52,390
erheben, die du nicht benötigst für die
Erbringung der Dienstleistung oder des

219
00:18:52,390 --> 00:18:57,920
Produkts. Weil diese Daten dich nichts
angehen von einer Bürgerin oder einem

220
00:18:57,920 --> 00:19:03,122
Bürger. Und an bestimmter Stelle darfst du
Daten auch nur weiterverwenden – und bitte

221
00:19:03,122 --> 00:19:07,080
jetzt kein Aufheulen, weil ich jetzt auch
hier einen holzschnittartigen Pulk mache –

222
00:19:07,080 --> 00:19:11,340
wenn du Anonymisierung oder Pseudonymisierung
verwendet hast. Ich weiß auch, dass es

223
00:19:11,340 --> 00:19:15,143
keine absolute Anonymisierung gibt. Den
Einschub mache ich mal kurz. Aber es gibt

224
00:19:15,143 --> 00:19:18,660
natürlich situationsgerechte
Anonymisierung. Wenn ich für einen

225
00:19:18,660 --> 00:19:23,970
Bruchteil der Sekunde für eine Steuerung
Daten brauche, dann ist das natürlich eine

226
00:19:23,970 --> 00:19:28,060
andere Form des Aufwands, um in dem
Augenblick an Daten zu kommen, wenn sie

227
00:19:28,060 --> 00:19:32,750
danach gelöscht werden, als wenn ich z. B.
biologische Daten für 30 Jahre ablege und

228
00:19:32,750 --> 00:19:36,580
überhaupt nicht weiß, mit welchen
Technologien oder anderen Datenbanken, die

229
00:19:36,580 --> 00:19:41,020
in Zukunft begegnet werden können, zu
einer Repersonalisierung. Wir glauben aber

230
00:19:41,020 --> 00:19:44,860
auch, dass technologische Entwicklungen
wie dezentrales Lernen oder datenschutz-

231
00:19:44,860 --> 00:19:49,300
konforme Data Spaces die Möglichkeit
geben, mit vielen Daten im Bereich der

232
00:19:49,300 --> 00:19:53,500
künstlichen Intelligenz die
Prozesssteuerung zu optimieren. Aber wir

233
00:19:53,500 --> 00:19:57,870
wollen eben auch eine solche
Herangehensweise haben und nicht die Idee,

234
00:19:57,870 --> 00:20:03,120
große Data Lakes zu bilden, mit denen ich
dann später mal reinschaue: Was ist

235
00:20:03,120 --> 00:20:07,210
möglich? Und dann, allerhöchstens wenn es
schon einen Missbrauch von Daten gegeben

236
00:20:07,210 --> 00:20:12,420
hat, zu gucken: Entdecke ich diesen
Missbrauch, kann ich ihn ahnden? Und finde

237
00:20:12,420 --> 00:20:16,270
ich dann als Aufsichtsbehörde auch noch
ein Gericht, das am Ende, wenn ich gesagt

238
00:20:16,270 --> 00:20:20,290
habe „Das will ich bestrafen“, mir dann auch
noch Recht gibt. Denn ich muss ja jedes

239
00:20:20,290 --> 00:20:24,130
Mal, wenn ich eine Entscheidung treffe,
eine Behörde oder ein Unternehmen mit

240
00:20:24,130 --> 00:20:28,290
einer Sanktion zu belegen – beim
Unternehmen das Bußgeld durchaus, bei

241
00:20:28,290 --> 00:20:31,981
einer Behörde vielleicht die Untersagung –
damit rechnen, dass ich vor Gericht so

242
00:20:31,981 --> 00:20:37,150
etwas auch verlieren kann. Dementsprechend
kann es länger dauern. Und es liegt ja

243
00:20:37,150 --> 00:20:41,440
nicht nur in meiner Hand, wie am Ende die
Praxis aussehen wird. Deswegen brauchen

244
00:20:41,440 --> 00:20:46,230
wir eine ganz klare Regelung zu diesem
Bereich. Das ist eben kein Bremsschuh

245
00:20:46,230 --> 00:20:51,330
für Innovationen, wenn man es von Anfang
an mitdenkt. Und wenn ich bei

246
00:20:51,330 --> 00:20:55,730
Wirtschaftsverbänden spreche, stelle ich
einfach immer frech die Frage: Glauben Sie

247
00:20:55,730 --> 00:21:01,760
denn, dass Sie als Silicon Valley-2 oder
als China-2 wirtschaftlichen Erfolg haben

248
00:21:01,760 --> 00:21:05,690
werden? Oder sind Sie dann der billige
Abklatsch? Wäre es nicht besser, unsere

249
00:21:05,690 --> 00:21:13,280
eigenen Werte einer IT-, einem KI-Verständnis
mit europäischen Werten abzubilden und

250
00:21:13,280 --> 00:21:18,560
dafür im Wettbewerb nach Unterstützung zu
suchen? Und zwar in Europa, aber auch bei

251
00:21:18,560 --> 00:21:23,890
den Menschen in der Welt, die gerne andere
Werte in ihren Sicherheitssystemen in

252
00:21:23,890 --> 00:21:27,430
ihrem privaten Datennutzung verankert
hätten, als sie das in ihren Ländern

253
00:21:27,430 --> 00:21:32,160
haben. Das war die Idee hinter der
Datenschutzgrundverordnung ohne Rücksicht

254
00:21:32,160 --> 00:21:36,520
auf den Standort eines Unternehmens
Europäerinnen und Europäer zu schützen und

255
00:21:36,520 --> 00:21:40,080
auch die Idee, dieses Recht zu
exportieren. Und im Augenblick sehen wir

256
00:21:40,080 --> 00:21:43,790
die ersten Erfolge, dass andere Länder
Datenschutzrechte auf Grundlage der

257
00:21:43,790 --> 00:21:48,220
Datenschutzgrundverordnung entwickeln. Wir
sind also hier an einer Stelle in einen

258
00:21:48,220 --> 00:21:52,790
Wettbewerb eingetreten, mit amerikanischem
Recht, mit den Überlegungen in China. Ich

259
00:21:52,790 --> 00:22:04,190
glaube, Europa sollte selbstbewusst sein,
diesen Wettbewerb anzunehmen. — <i>Applaus</i>

260
00:22:04,190 --> 00:22:09,640
Wir erleben, dass nach wie vor die großen
Internetkonzerne – und ich bedauere jeden

261
00:22:09,640 --> 00:22:17,370
Tag, dass wir zu keinem der großen
Entscheidungen schon eine entsprechend …

262
00:22:17,370 --> 00:22:22,350
oder der großen offensichtlichen Datenschutz-
Verstöße durch große Internetkonzerne

263
00:22:22,350 --> 00:22:26,490
schon eine Entscheidung auf europäischer
Ebene getroffen haben. Ich dringe bei

264
00:22:26,490 --> 00:22:30,040
jedem Treffen des Europäischen
Datenschutzausschuss darauf, dass von den

265
00:22:30,040 --> 00:22:33,930
vor allem federführenden Behörden in
Irland und Luxemburg diese Entscheidungen

266
00:22:33,930 --> 00:22:37,360
jetzt vorgelegt werden. Sie werden
übrigens nachher mit Mehrheit im

267
00:22:37,360 --> 00:22:40,820
Europäischen Datenschutzausschuss
beschlossen. Also man kann sich nicht

268
00:22:40,820 --> 00:22:45,100
hinter einer nationalen Behörde
verstecken, weil nach wie vor unter den

269
00:22:45,100 --> 00:22:51,780
Standardeinstellungen der großen Anbieter
– sei es die aus den USA, aber auch die

270
00:22:51,780 --> 00:22:55,490
zunehmend in den Markt dringenden, vor
allem auch aus China und aus Russland;

271
00:22:55,490 --> 00:23:01,640
andere werden kommen –, dass schon unter den
Standardeinstellungen weiterhin ungehemmt

272
00:23:01,640 --> 00:23:07,120
persönliche Daten abgegriffen werden. Man
ist formal datenschutzkonform, aber

273
00:23:07,120 --> 00:23:12,730
sammelt diese Daten ein und es bräuchte in
der Tat technische Kenntnisse, die hier im

274
00:23:12,730 --> 00:23:16,970
Saal vorhanden sein werden, aber nicht im
ganzen Land vorhanden sind, nie vorhanden

275
00:23:16,970 --> 00:23:21,430
sein werden und nicht auch nicht vorhanden
sein müssen, weil man auch durchs Leben

276
00:23:21,430 --> 00:23:27,340
gehen muss, ohne Expertin oder Experte zu
sein. Wenn man diese Kerneinstellungen

277
00:23:27,340 --> 00:23:32,360
nicht kennt, verliert man bei diesen
Anwendungen, bei diesen Systemen Daten.

278
00:23:32,360 --> 00:23:40,080
Und selbst die, die versuchen, diese Daten-
Sammler zu meiden, gehen dort auf den

279
00:23:40,080 --> 00:23:47,220
Leim, verlieren dort ihre Daten, wenn über
Tracking Tools, über Plug-Ins und Source

280
00:23:47,220 --> 00:23:53,530
Code Development Kits diese Daten auch bei
Dritten gesammelt werden. Und auch in

281
00:23:53,530 --> 00:23:57,340
diesen Fragen ist bisher leider außer
einem Versuch des Bundeskartellamts, das

282
00:23:57,340 --> 00:24:02,330
nicht an die gleichen Regeln gebunden ist
wie ich als Bundesdatenschutzbeauftragter,

283
00:24:02,330 --> 00:24:08,920
kein Versuch unternommen worden, das zu
stoppen. Ich habe bis heute die

284
00:24:08,920 --> 00:24:13,230
Entscheidung des Düsseldorfer Gerichts –
soviel darf ich ja, wo ich jetzt kein

285
00:24:13,230 --> 00:24:17,750
Staatssekretär im Justizministerium bin,
ja mal sagen – nicht nachvollziehen können.

286
00:24:17,750 --> 00:24:21,150
Ich glaube, da war etwas zu wenig
Berücksichtigung von

287
00:24:21,150 --> 00:24:25,670
Datenschutzgrundverordnung und verändertem
Wettbewerbsrecht seit 2016 in der

288
00:24:25,670 --> 00:24:30,530
Betrachtung enthalten. Also wir brauchen
die Durchsetzung des bestehenden Rechts.

289
00:24:30,530 --> 00:24:34,120
Wir brauchen Zertifizierung und
Labeling, damit man bestimmte Produkte

290
00:24:34,120 --> 00:24:37,990
nehmen kann, sicher weiß, das Produkt für
sich hält die Regeln ein. Jetzt kann ich

291
00:24:37,990 --> 00:24:42,350
darauf meine nächste Dienstleistung
optimieren. Und natürlich brauchen wir

292
00:24:42,350 --> 00:24:46,280
auch Digital Literacy in der Bevölkerung
bis zu einem bestimmten Grad. Ich muss

293
00:24:46,280 --> 00:24:50,320
wenigstens ungefähr verstehen, auf was ich
mich in einer digitalen Gesellschaft

294
00:24:50,320 --> 00:24:54,171
einlasse. Ich persönlich würde mir
wünschen, dass wir die Möglichkeiten des

295
00:24:54,171 --> 00:25:01,040
Schutz der Privatsphäre durch Technik
stärker ausarbeiten, also PIMs und PMTs fände

296
00:25:01,040 --> 00:25:05,559
ich wichtig, in einer Form einzuführen,
auf die man sich verlassen kann. Eins

297
00:25:05,559 --> 00:25:10,731
gilt: wenn große Konzerne Standards, die
mal eingeführt wurden, um sich zu schützen

298
00:25:10,731 --> 00:25:15,310
wie den Do-not-Track-Standard, einfach
ignorieren, dann ist das nichts anderes

299
00:25:15,310 --> 00:25:20,170
als ein Betteln um staatliche Regulierung.
Wer sich nicht an Standards hält, der

300
00:25:20,170 --> 00:25:26,190
möchte Regulierung vom Staat bekommen. Und
aus meiner Sicht sollten sie die mit der

301
00:25:26,190 --> 00:25:34,340
E-Privacy Verordnung auch bekommen.
<i>Applaus</i> — Normalerweise müsste ich als

302
00:25:34,340 --> 00:25:40,680
Leiter einer Datenschutzbehörde aufschreien
bei Ideen wie Interoperabilität, weil

303
00:25:40,680 --> 00:25:46,520
Interoperabilität Datenaustausch auch
bedeutet. Aber ich sehe heute einen Markt,

304
00:25:46,520 --> 00:25:51,260
der sich oligopolisert. Und wenn ich die
Markteintrittsbarrieren für neue

305
00:25:51,260 --> 00:25:54,930
Anbieterinnen/Anbieter senken will, dann
muss ich eine datenschutzfreundliche

306
00:25:54,930 --> 00:25:59,520
Interoperabilität für die Anwendungen, die
so wichtig geworden sind auf dem Markt,

307
00:25:59,520 --> 00:26:04,210
dass sie andere Dienste ersetzen, in denen
die Interoperabilität seit Jahren und

308
00:26:04,210 --> 00:26:09,240
Jahrzehnten gilt, auch vorschreiben. Ich
meine zum Beispiel im Bereich von Social

309
00:26:09,240 --> 00:26:17,591
Media und von Messenger Systemen. Dort
könnte man mit solchen Schritten durchaus

310
00:26:17,591 --> 00:26:21,890
auch europäische Alternativen, am besten
natürlich auf Open-Source Basis

311
00:26:21,890 --> 00:26:25,930
vorstellen. Ich würde mich freuen, wenn es
die deutsche Verwaltung der französischen

312
00:26:25,930 --> 00:26:30,220
nachtun würde, vielleicht sogar mit den
Franzosen gemeinsam ein System entwickeln,

313
00:26:30,220 --> 00:26:33,470
das dann schon mal 10 Millionen
Grundnutzerinnen und Grundnutzer in

314
00:26:33,470 --> 00:26:37,650
Zentraleuropa hätte. Das wäre ein Anfang,
mit dem man mit ganz anderer Schlagkraft

315
00:26:37,650 --> 00:26:42,650
eine solche Open-Source Messenger
Plattform in Europa etablieren könnte.

316
00:26:42,650 --> 00:26:50,130
<i>Applaus</i> — Wir wollen für alle Formen von
Datenverwertung die gleichen Regeln haben.

317
00:26:50,130 --> 00:26:54,600
Das gilt auch für die Sicherheitsbehörden,
die ja, wenn es Bundessicherheitsbehörden

318
00:26:54,600 --> 00:27:02,060
sind, auch meiner Aufsicht unterliegen.
Seit 2001, seit dem 11. September, sind in

319
00:27:02,060 --> 00:27:05,070
einer Geschwindigkeit neue
Sicherheitsgesetze in Deutschland

320
00:27:05,070 --> 00:27:11,070
dazugekommen, die es schwierig machen,
noch nachzuvollziehen, was tatsächlich der

321
00:27:11,070 --> 00:27:15,341
Stand des Datensammelns ist. Es hat nie
eine Evaluierung der Gesetze gegeben, ob

322
00:27:15,341 --> 00:27:20,760
sie erfolgreich waren oder nicht. Wir
erleben dass teilweise neue Datenschutz-

323
00:27:20,760 --> 00:27:24,140
Befugnisse gar nicht in der Breite
verwendet werden. Die Daten werden

324
00:27:24,140 --> 00:27:28,420
gesammelt, aber nicht ausgewertet, weil
natürlich längst das Personal fehlt. Wir

325
00:27:28,420 --> 00:27:33,790
haben problematische Datensammlungen, die
selbst von den Praktikerinnen und Praktikern

326
00:27:33,790 --> 00:27:39,440
in den Sicherheitsbehörden als überflüssig
eingestuft werden. Gleichzeitig gibt es

327
00:27:39,440 --> 00:27:44,460
aber natürlich auch immer wieder unbefugte
Zugriffe auf solche Daten. Wenn Sie den

328
00:27:44,460 --> 00:27:48,260
Tagen zum Beispiel nochmal von der
Berliner Polizei das gelesen haben, wo die

329
00:27:48,260 --> 00:27:53,710
Löschmoratorien dazu führen, dass seit
2013 keine Daten mehr aus den

330
00:27:53,710 --> 00:27:57,630
polizeilichen Informationssystem genommen
werden, selbst wenn sie nur Opfer oder

331
00:27:57,630 --> 00:28:03,790
Zeuge einer Straftat waren. Und die Daten
aber nicht etwa eine Zugriffsbefugnis zum

332
00:28:03,790 --> 00:28:08,440
Beispiel für einen Untersuchungsausschuss
bekommen – Anis Amri oder NSU –, sondern

333
00:28:08,440 --> 00:28:13,850
weiterhin für alle Polizistinnen und
Polizisten zugreifbar bleiben. Zu einem

334
00:28:13,850 --> 00:28:17,760
Protokollierung stattfindet, man aber
nicht einmal begründen muss, warum man

335
00:28:17,760 --> 00:28:21,600
darauf zugegriffen hat, und man sich dann
wundert, dass auf die Daten bestimmter

336
00:28:21,600 --> 00:28:26,430
Prominenter besonders häufig zugegriffen
wird, auf die Daten von Kolleginnen und

337
00:28:26,430 --> 00:28:32,540
Kollegen oder auch auf Nachbarn von
Menschen, die Zugriffsbefugnisse haben.

338
00:28:32,540 --> 00:28:37,420
Und solange das der Stand ist, wäre das
natürlich nicht wichtig, Löschmoratorien

339
00:28:37,420 --> 00:28:41,810
zu haben, sondern ein Sicherheitsgesetz-
Moratorium in diesem Land einzulegen und

340
00:28:41,810 --> 00:28:46,410
erst mal zu prüfen: Wo sind wir eigentlich
übers Ziel hinausgeschossen? Wo gibt es

341
00:28:46,410 --> 00:28:50,690
andere Mängel zu beseitigen, als laufend
Bürgerrechte einzuschränken? Mit der

342
00:28:50,690 --> 00:28:53,990
Sammlung zusätzlicher Daten über die
Bürgerinnen und Bürgern. Das täte

343
00:28:53,990 --> 00:29:05,290
Bürgerrechten und Sicherheit besser als
das nächste Gesetz. — <i>Applaus</i> —Stattdessen

344
00:29:05,290 --> 00:29:09,081
sollten wir beim Datenschutz nachschärfen
Die Datenschutzgrundverordnung ist ein

345
00:29:09,081 --> 00:29:12,840
großer Wurf, sie hat auch international
Strahlkraft, aber sie hat natürlich auch

346
00:29:12,840 --> 00:29:17,480
ihre Grenzen, wo wir heute schon merken,
dass sie technologischen Entwicklungen

347
00:29:17,480 --> 00:29:22,420
nicht ausreichend gefolgt ist, wo es
damals keinen Kompromiss gab und sie immer

348
00:29:22,420 --> 00:29:26,530
noch auf dem Stand von 1995 ist. Wenn ich
jetzt fragen würde, wer 1995 noch gar

349
00:29:26,530 --> 00:29:30,850
nicht geboren war, würden wahrscheinlich
einige Finger hochgehen. Sie können sich

350
00:29:30,850 --> 00:29:35,420
aber überlegen, was das für ein Stein-
zeitalter aus technologischer Sicht ist.

351
00:29:35,420 --> 00:29:39,340
Wir müssen es auch deswegen machen, weil
wir auch Vertrauen in Digitalisierung

352
00:29:39,340 --> 00:29:44,240
gewinnen müssen. Ich glaube nämlich nicht,
dass Daten der Rohstoff des 21.

353
00:29:44,240 --> 00:29:49,040
Jahrhunderts ist, sondern Vertrauen! In
einer so komplexen Welt, wo ich gar nicht

354
00:29:49,040 --> 00:29:53,550
mehr weiß – Wo werden Daten erhoben, wer
verwendet sie und ähnliches mehr? – kann ich

355
00:29:53,550 --> 00:29:57,210
nicht mir jedes einzelne Produkt, jede
einzelne Verbindung überprüfen, sondern

356
00:29:57,210 --> 00:30:02,841
ich muss ein System haben, in dem ich der
Anbieterin oder Anbieter, sei es staatlich

357
00:30:02,841 --> 00:30:06,827
oder privat, ein Grundvertrauen
entgegenbringen kann, weil sie bewiesen

358
00:30:06,827 --> 00:30:11,100
haben, dass sie bestimmte Standards jedes
Mal einhalten, wenn sie hereingehen, weil

359
00:30:11,100 --> 00:30:16,760
sie unabhängig überprüft werden können und
weil sie schwer bestraft werden, wenn sie

360
00:30:16,760 --> 00:30:21,030
sich an diese Standards dann bei einem
Produkt nicht gehalten haben. Wenn wir

361
00:30:21,030 --> 00:30:25,760
dies nicht machen, wenn wir das nicht
machen, hat es zwei Folgen. Es wird sich

362
00:30:25,760 --> 00:30:31,840
gewehrt werden gegen Digitalisierung, da,
wo es möglich ist. Andere werden gar nicht

363
00:30:31,840 --> 00:30:35,861
hineingehen. Wir wollen weder einen
Fatalismus nach dem Motto „Da kannst du

364
00:30:35,861 --> 00:30:40,080
nichts machen, ich stimme allen zu“. Und
auch keine digitale Askese haben. Wir

365
00:30:40,080 --> 00:30:43,679
möchten, dass Digitalisierung
gesellschaftliche Innovation und nicht nur

366
00:30:43,679 --> 00:30:52,707
technologische Innovation ist. — <i>Applaus</i>
Deswegen sind wir unterwegs und möchten in

367
00:30:52,707 --> 00:30:57,090
den Bereichen von Scoring und Profiling –
das sind ja die Schwestern des Trackings;

368
00:30:57,090 --> 00:31:02,320
Ich versuche, Leute einzuordnen, zu
kategorisieren, statistisch in Gruppen

369
00:31:02,320 --> 00:31:07,870
einzuteilen –; Da brauchen wir klare
Nachschärfungen. Und wir wollen natürlich

370
00:31:07,870 --> 00:31:13,450
gerade den kleinen Unternehmern und den
Start-Ups und den Einzel-EntwicklerInnen

371
00:31:13,450 --> 00:31:17,387
und -Entwicklern Erleichterungen im
Bereich der Informations- und

372
00:31:17,387 --> 00:31:21,380
Dokumentationspflichten verschaffen. Da
glaube ich durchaus, kann man an einigen

373
00:31:21,380 --> 00:31:25,770
Stellen zurückdrehen, wenn man dafür an
anderen Stellen das Datenschutzniveau

374
00:31:25,770 --> 00:31:32,610
durchaus höher wertet. Wir versuchen zu
helfen, über Guidelines und Auslegungs-

375
00:31:32,610 --> 00:31:38,020
Papiere, die wir heranziehen. Wir würden
aber gerne eins machen. Derzeit ist immer

376
00:31:38,020 --> 00:31:42,810
Verantwortlicher im Sinne des
Datenschutzrechts die Person, die ein

377
00:31:42,810 --> 00:31:48,390
System gegenüber Bürgerinnen und Bürgern,
Kundinnen und Kunden zum Einsatz bringt.

378
00:31:48,390 --> 00:31:53,690
Ich glaube, dass wir die Herstellerinnen
und Hersteller von Systemen stärker in die

379
00:31:53,690 --> 00:31:57,460
Verantwortung nehmen müssen und nicht nur
wegen Debatten, die Sie hier auf ihrem

380
00:31:57,460 --> 00:32:01,799
Kongress selber in den letzten Tagen ja
geführt haben, und interessanten

381
00:32:01,799 --> 00:32:06,990
investigativen Dokumenten, die Sie
veröffentlicht haben, sondern nur dann ist

382
00:32:06,990 --> 00:32:10,630
das möglich. Ich habe hier nur kurz
gestanden und bin wieder auf die üblichen

383
00:32:10,630 --> 00:32:16,320
Probleme angesprochen worden. Wie ist es
mit dem Einsatz von Windows 10 in meiner

384
00:32:16,320 --> 00:32:20,549
Rechtsanwaltskanzlei, in meiner Behörde in
ähnlichem mehr? Und dann immer zu sagen,

385
00:32:20,549 --> 00:32:23,660
„Ja derjenige der es einsetzt ist der
Verantwortliche im Sinne des

386
00:32:23,660 --> 00:32:27,380
Datenschutzrechts“ ist, glaube ich bei
immer komplexer werdenden Systemen, bei

387
00:32:27,380 --> 00:32:32,580
der Verabschiedung von der On-Premise-World
einfach zu kurz gesprungen und muss sich

388
00:32:32,580 --> 00:32:36,440
technisch an der Stelle durchaus weiter
bewegen. Es gibt also eine ganze Menge zu

389
00:32:36,440 --> 00:32:42,110
tun. Der Deutsche Bundestag hat uns
freundlicherweise eine deutliche

390
00:32:42,110 --> 00:32:46,370
Aufstockung an Stellen gegeben. Vielen
Dank an die anwesenden

391
00:32:46,370 --> 00:32:50,140
Bundestagsabgeordneten, damit wir ein
Stück noch mehr machen können. Sehr viel

392
00:32:50,140 --> 00:32:54,800
werden wir in der Tat in den
Sicherheitsbereich investieren. Wir

393
00:32:54,800 --> 00:32:59,980
stellen übrigens auch ein und deswegen an
alle, die im Saal sind: Wir brauchen Sie

394
00:32:59,980 --> 00:33:04,730
als Unterstützerin und Unterstützer in der
Sache. Wir brauchen Sie als konstruktive

395
00:33:04,730 --> 00:33:10,730
KritikerInnen und Kritiker. Wir brauchen
Sie als Beispielgeber und Beispielgeberinnen

396
00:33:10,730 --> 00:33:16,840
für datenschutzfreundliche, innovative
Technologien. Und wir würden auch gerne

397
00:33:16,840 --> 00:33:21,390
viele von Ihnen als Mitarbeiterinnen und
Mitarbeiter gewinnen. Es ist schön auf der

398
00:33:21,390 --> 00:33:25,910
hellen Seite der Macht – kommen Sie zum
BfDI! Vielen Dank für das Interesse bis zu

399
00:33:25,910 --> 00:33:28,650
dem Zeitpunkt. Ich freue mich
noch auf die Diskussion.

400
00:33:28,650 --> 00:33:38,960
<i>Applaus</i>

401
00:33:38,960 --> 00:33:51,580
Herald: So, wenn ihr Fragen habt, dann
stellt euch bitte an die Mikrofone hier im

402
00:33:51,580 --> 00:33:56,260
Saal und versucht eure Fragen kurz zu
formulieren. Frage Nummer 1 geht an den

403
00:33:56,260 --> 00:33:59,630
Signalangel.
Signalengel: Hier eine Frage von

404
00:33:59,630 --> 00:34:04,760
Mastodon: Nach dir hält auch Arne
Semsrott von Frag den Staat seinen Talk.

405
00:34:04,760 --> 00:34:09,850
Du bist ja auch
Informationsfreiheitbeauftragter. Hast du

406
00:34:09,850 --> 00:34:14,540
eine Erklärung, warum Ministerien und
Behörden, die selber immer mehr Befugnisse

407
00:34:14,540 --> 00:34:20,770
fordern, so unwillig sind, selber diese
öffentliche Daten auch preiszugeben?

408
00:34:20,770 --> 00:34:28,070
Kelber : Nein. — <i>Lachen, vereinzelt Applaus</i>
Und selbst dann, wenn sie gute Beispiele

409
00:34:28,070 --> 00:34:31,869
haben. Als wir damals im Justizministerium
2013 als neue Mannschaft angefangen

410
00:34:31,869 --> 00:34:37,020
hatten, haben wir uns nach ein paar Wochen
entschieden, dass wir alle Stellungnahmen,

411
00:34:37,020 --> 00:34:40,760
die im Rahmen zu Gesetzentwürfen ans
Ministerium geschickt werden – ist ja Teil

412
00:34:40,760 --> 00:34:45,149
der Gesetzgebung, dass man dann sagt,
jetzt hätten wir gerne Kommentierungen von

413
00:34:45,149 --> 00:34:50,780
Verbänden, Organisationen und anderen –
dass die alle öffentlich gemacht werden.

414
00:34:50,780 --> 00:34:58,460
Es ist keine einzige weniger reingekommen,
aber jeder kann nachprüfen: Von wem sind

415
00:34:58,460 --> 00:35:02,600
welche Anregungen zwischen Gesetzentwurf
und endgültigem Gesetz eingeflossen oder

416
00:35:02,600 --> 00:35:06,300
nicht. Das ist das, was ich als
Vertrauensbildung meine. Es haben

417
00:35:06,300 --> 00:35:10,120
teilweise einige übernommen, nachdem sie
vor Gericht dazu gezwungen wurden, haben

418
00:35:10,120 --> 00:35:13,880
das wieder eingestellt. Jetzt machen Sie
es wieder. In der Tat kann

419
00:35:13,880 --> 00:35:18,430
Informationsfreiheit für eine
Behördenleitung auch extrem ätzend sein.

420
00:35:18,430 --> 00:35:22,290
Und zwar nicht, weil irgendwas
Unangenehmes nachher veröffentlich wird.

421
00:35:22,290 --> 00:35:27,630
Dann muss man halt aufpassen, dass man
in den Kommentaren, die man auf

422
00:35:27,630 --> 00:35:31,830
was drauf schreibt in der Wortwahl
gemäßigt bleibt. Also schreibe ich nicht

423
00:35:31,830 --> 00:35:36,970
drauf. „Der Idiot“ oder so, sondern schreibe
ich „Ich bin nicht dieser Meinung“. Aber es

424
00:35:36,970 --> 00:35:42,260
kann natürlich unglaublich viel Arbeit
sein. Ich ärgere mich auch; ich bekomm irgendeine

425
00:35:42,260 --> 00:35:47,020
Beschwerde ins Haus. Nach zwei Wochen
stellt einer einen Informationsfreiheitsantrag

426
00:35:47,020 --> 00:35:50,750
alle E-Mails, die zu der Beschwerde in
unserem Haus geflossen sind, zu sehen.

427
00:35:50,750 --> 00:35:54,870
Dann schreiben wir ihm als Zwischengeschichte
auch noch zusätzlich zurück. Jetzt haben

428
00:35:54,870 --> 00:35:58,140
wir die Stelle um Stellungnahme gebeten.
Dann kriegen wir sofort

429
00:35:58,140 --> 00:36:02,020
Informationsfreiheitantrag, den gesamten
E-Mail-Verkehr mit der Stelle zu bekommen

430
00:36:02,020 --> 00:36:05,869
und am Ende anstatt 10 Beschwerden
bearbeiten zu können, sind wir mit einer

431
00:36:05,869 --> 00:36:10,370
Person beschäftigt. Das ärgert einen. Wir
sind natürlich die Guten. Da wir die

432
00:36:10,370 --> 00:36:14,440
Informationsfreiheit haben, machen wir
natürlich gerne mit Freude. Aber wenn ich

433
00:36:14,440 --> 00:36:18,420
zu ’ner Ministerin oder Minister gehe, die
kennen alle nur wieviele Leute werden

434
00:36:18,420 --> 00:36:23,630
abgezogen, um auch seltsame
Informationsfreiheitsgeschichten zu

435
00:36:23,630 --> 00:36:29,280
machen? Ich stoße dort auf wenige Fans. Zu
glauben, dass wir in absehbarer Zukunft

436
00:36:29,280 --> 00:36:31,750
auf Bundesebene eine deutliche
Verbesserung des

437
00:36:31,750 --> 00:36:35,050
Informationsfreiheitsgesetz sehen,
bezweifle ich. Da ist noch viel

438
00:36:35,050 --> 00:36:39,230
Überzeugungsarbeit zu leisten.
Herald: Mikrofon Nr. 4. Deine Frage

439
00:36:39,230 --> 00:36:42,360
bitte.
Frage: Herr Kelber, es ist Ihre Aufgabe,

440
00:36:42,360 --> 00:36:46,260
die Geheimdienste und Sicherheitsbehörden
zu kontrollieren und den Datenschutz auch

441
00:36:46,260 --> 00:36:50,710
dort. Sind Sie der Meinung, dass Sie das
effektiv tun können und ausreichend

442
00:36:50,710 --> 00:36:54,180
Fähigkeiten und Befugnisse haben?
Und wenn nein, was fehlt?

443
00:36:54,180 --> 00:37:00,730
Kelber: Die Kontrolle im Bereich der
Erhebung und Verarbeitung von Daten in dem

444
00:37:00,730 --> 00:37:05,340
gesamten restlichen Bereich? Ich glaube,
mit den zusätzlichen Stellen, wenn wir sie

445
00:37:05,340 --> 00:37:09,740
besetzt haben, haben wir durchaus erst
einmal Ressourcen, um auch die

446
00:37:09,740 --> 00:37:15,122
Kontrolldichte hochzuhalten. Wir werden
selber arbeiten müssen bei der Überlegung,

447
00:37:15,122 --> 00:37:19,130
wie technologische Veränderungen und auch
Veränderungen in den Informationssystemen

448
00:37:19,130 --> 00:37:23,741
der Dienste unsere Kontrolltätigkeit
gegenüber früher verändern. Aber das ist

449
00:37:23,741 --> 00:37:28,740
natürlich ganz was anderes. Ist Zugriff auf
eine sequentielle Datenbank mit einem

450
00:37:28,740 --> 00:37:35,080
Gothemsystem vom Palantier, wenn es zum
Einsatz käme, was in der Kontrolle in dem

451
00:37:35,080 --> 00:37:41,000
Unterschied ist, in der Zusammenarbeit der
Dienste untereinander mit dem Ausland,

452
00:37:41,000 --> 00:37:45,960
gibt es aus meiner Sicht durchaus
Kontrolllücken. Da versuchen wir auch, mit

453
00:37:45,960 --> 00:37:52,290
den anderen Aufsichtsgremien wie der
G-10-Kommission und der unabhängigen

454
00:37:52,290 --> 00:37:58,530
Gruppe im Kontakt zu sein. Und ich hätte
gerne natürlich … also in der Joint Implementation

455
00:37:58,530 --> 00:38:03,400
Richtlinie, die ich vorhin erwähnt hatte,
ja, für den Staatsbereich gilt. Die ist ja

456
00:38:03,400 --> 00:38:07,120
in Deutschland auch nach 3 Jahren noch
nicht vollständig umgesetzt. Im Bereich

457
00:38:07,120 --> 00:38:11,690
des BKA haben wir Untersagungsrechte.
Die müssten wir im

458
00:38:11,690 --> 00:38:15,410
Bereich der Bundespolizei auch haben. Die
hat man noch nicht eingerichtet als

459
00:38:15,410 --> 00:38:20,470
Gesetzgeber. Das ist ein Verstoß gegen
Europarecht in Deutschland. Wo es nicht

460
00:38:20,470 --> 00:38:23,780
vorgeschrieben wird durch Europarecht,
aber sinnvoll wäre, wäre diese

461
00:38:23,780 --> 00:38:27,490
Untersagungsrechte auch für die Dienste zu
haben. Das würde dann nicht nach dem

462
00:38:27,490 --> 00:38:31,360
Motto, Ich sage dann „aber die waren jetzt
ganz gemein, haben sich nicht ans Recht

463
00:38:31,360 --> 00:38:35,170
gehalten“, sondern ich könnte dann in
einem besonderen Fall in Zukunft

464
00:38:35,170 --> 00:38:39,960
untersagen die Nutzung von Daten oder die
Löschung anweisen. Und der Dienst müsste

465
00:38:39,960 --> 00:38:46,340
vor Gericht gehen und müsste vor Gericht
meine Anweisung widerrufen lassen. Ich

466
00:38:46,340 --> 00:38:50,200
glaube, das wäre der bessere Weg für die
Aufsicht und würde auch mehr Verständnis

467
00:38:50,200 --> 00:38:54,600
für die Arbeit der Dienste wecken. Aber
auch dafür gibt es noch keine Mehrheit

468
00:38:54,600 --> 00:38:59,290
beim Gesetzgeber.
Herald: Mikrofon Nr. 2. Deine Frage

469
00:38:59,290 --> 00:39:02,900
bitte.
Frage: Sie haben gesagt, dass wir ein

470
00:39:02,900 --> 00:39:07,290
gewisses Maß an Digital Literacy brauchen,
um der Probleme Herr werden zu können. Ich

471
00:39:07,290 --> 00:39:10,670
sehe gerade das Problem, dass wir
politisch eher in die entgegengesetzte

472
00:39:10,670 --> 00:39:15,280
Richtung steuern, primär weil kommunal
z. B. Meldedaten verkauft werden und die

473
00:39:15,280 --> 00:39:18,820
Bundesregierung auch eher rhetorisch
so eine … ökonomisch orientierte Linie

474
00:39:18,820 --> 00:39:24,910
fährt. Wie werden wir dieser Sache Herr?
Kelber: Ich meinte ja mit dem Begriff

475
00:39:24,910 --> 00:39:31,050
Digital Literacy, dass die Leute ein
Grundverständnis für digitale Vorgänge

476
00:39:31,050 --> 00:39:35,570
haben. Was passiert? Was passiert mit
Daten? Wie funktionieren IT-Systeme?

477
00:39:35,570 --> 00:39:39,720
Algorithmische Systeme? Das wird
übrigens—der Teil ist sicherlich auch

478
00:39:39,720 --> 00:39:44,470
eine Aufgabe von Schulen und
Bildungsinstitutionen. Da aber 80 Prozent

479
00:39:44,470 --> 00:39:49,119
der Bevölkerung die Schulzeit hinter sich
haben und mehr, werden wir sie auch über

480
00:39:49,119 --> 00:39:54,970
andere Wege erreichen müssen. Dazu gehören
übrigens auch in den Informationspflichten

481
00:39:54,970 --> 00:39:58,590
in der Datenverarbeitung nicht mehr „Ich
mache eine super lange Information“,

482
00:39:58,590 --> 00:40:03,650
sondern ich muss an einer Stelle, wo etwas
passiert, eine leichte Erläuterung des

483
00:40:03,650 --> 00:40:07,490
Vorgangs haben, damit die Menschen
tatsächlich mit dem Vorgang, den sie

484
00:40:07,490 --> 00:40:11,799
machen, ein Verständnis entwickeln können.
Was Sie meinen, ist ja die Frage, wie ist

485
00:40:11,799 --> 00:40:15,761
eigentlich die Souveränität? Wie kann ich
wenigstens wissen, was passiert? Was darf

486
00:40:15,761 --> 00:40:20,970
der Staat machen? Schaffen die gesetzliche
Grundlage für die Weitergabe von Daten

487
00:40:20,970 --> 00:40:24,420
einfach nur, weil sie davon ausgehen, dass
sie nicht genügend freiwillige

488
00:40:24,420 --> 00:40:28,460
Einverständnisses bekommen. Da muss sich
der Gesetzgeber zurückhalten. Er sollte bei

489
00:40:28,460 --> 00:40:32,832
den gesetzlichen Grundlagen trotzdem ’ne
Verhältnismäßigkeit bewahren. Ist übrigens

490
00:40:32,832 --> 00:40:36,660
auch etwas, was wir natürlich in unseren
Stellungnahmen immer mitprüfen und was

491
00:40:36,660 --> 00:40:41,510
auch vor Gericht angegriffen wird von
Nichtregierungsorganisationen. Das zweite

492
00:40:41,510 --> 00:40:45,270
ist, das war das, was ich vorhin meinte
technische Maßnahmen, die den Bürger auf

493
00:40:45,270 --> 00:40:48,230
einen höheren Stand nehmen.
Wenn wir jetzt wirklich mal an eine

494
00:40:48,230 --> 00:40:51,870
Registermodernisierung in Deutschland
herantreten, bitte bitte nicht – weil es

495
00:40:51,870 --> 00:40:56,150
aus meiner Sicht verfassungswidrig ist –
mit einem einheitlichen Identifier. Kann man

496
00:40:56,150 --> 00:41:00,190
auch anders machen. Aber dann wäre
wirklich mal ein Datencockpit, wo

497
00:41:00,190 --> 00:41:04,140
Bürgerinnen und Bürger sehen, zumindest
mal vielleicht außerhalb der unmittelbaren

498
00:41:04,140 --> 00:41:08,190
Sicherheitsdienste schon mal sehen können:
Wer hat welche Daten, wer hat sie

499
00:41:08,190 --> 00:41:12,990
abgerufen und mit wem geteilt? Von allen
staatlichen Registerstellen. Das kann man

500
00:41:12,990 --> 00:41:18,690
heute technisch herstellen, und das wäre
dann auch ein Gebot, dass der Bürgerinnen

501
00:41:18,690 --> 00:41:22,640
und Bürger etwas davon haben, wenn der
Staat seine IT-Systeme modernisiert.

502
00:41:22,640 --> 00:41:29,360
<i>Applaus</i>
Herald: Mikrofon Nummer 8 Deine Frage

503
00:41:29,360 --> 00:41:31,641
bitte.
Frage: Sie haben ja vorhin gesagt, dass

504
00:41:31,641 --> 00:41:37,510
ein möglicher Weg zu sichereren oder
datenschutzfreundlicheren IT-Produkten

505
00:41:37,510 --> 00:41:44,619
die Standardisierung und Zertifizierung
sein könnte. Was konkret ist denn da schon

506
00:41:44,619 --> 00:41:50,390
in der Entwicklung? Auf was können wir uns
einrichten? Es gibt ja die ISO 27001,

507
00:41:50,390 --> 00:41:55,600
aber da ist der Datenschutz eher ein
optionales Randthema. Und, genau,

508
00:41:55,600 --> 00:41:58,880
was kommt jetzt konkret?
Kelber: Bei der Standardisierung sind wir

509
00:41:58,880 --> 00:42:03,320
glaube ich noch nicht sehr weit. Aber wir
werden für die Entwicklungsmodelle gerade

510
00:42:03,320 --> 00:42:07,710
im Bereich algorithmischer Systeme und KI-
Systeme, denke ich, nochmal für erweiterte

511
00:42:07,710 --> 00:42:11,440
Standardisierung brauchen, mit der ich
wenigstens Modelle habe, wie ich in der

512
00:42:11,440 --> 00:42:14,700
Entwicklung bestimmte Dinge
berücksichtige. Wann mache ich welche

513
00:42:14,700 --> 00:42:18,580
Folgenabschätzungen? Wie steht die
Zurverfügungstellung von Daten aus? Wie

514
00:42:18,580 --> 00:42:23,380
sieht die Kontrolle von Datenqualität aus,
und und und. Bei der Zertifizierung sind

515
00:42:23,380 --> 00:42:27,700
wir ein Stückchen weiter. Ich spreche jetzt
bewusst nicht von Siegeln wie in dieser

516
00:42:27,700 --> 00:42:31,530
Debatte über das IT-Siegel, das ja dann
logischerweise, wenn es ein Siegel sein

517
00:42:31,530 --> 00:42:38,040
soll, auch weit über gesetzliche Vorgaben
hinausgehen müsste, sondern dass wir

518
00:42:38,040 --> 00:42:42,790
ermöglichen, dass man, wenn man ein
Produkt hat, sich durch eine

519
00:42:42,790 --> 00:42:47,340
Zertifizierungsstelle, die beliehen ist,
zertifizieren lassen kann, dass man damit

520
00:42:47,340 --> 00:42:51,690
die Anforderungen des Gesetzes eingehalten
hat. Das heißt, der nächste, der es

521
00:42:51,690 --> 00:42:55,869
einsetzt, bekommt das Siegel. Wenn ich das
wie vorgeschrieben einsetze, dann ist

522
00:42:55,869 --> 00:43:00,620
dieser Bestandteil DSGVO-konform, und
ich muss mir bei dem, was ich add-on mache,

523
00:43:00,620 --> 00:43:04,790
bin ich dann der Verantwortliche. Da sind
wir jetzt so weit, dass der Europäische

524
00:43:04,790 --> 00:43:09,110
Datenschutzausschuss seine Guideline
verabschiedet hat. Danach haben Sie

525
00:43:09,110 --> 00:43:12,790
erlaubt, dass die Nationalstaaten ihre
einbringen. Das haben wir im nächsten

526
00:43:12,790 --> 00:43:16,245
Monat gemacht. Ich hoffe, dass wir
spätestens im Februar die Genehmigung

527
00:43:16,245 --> 00:43:19,180
durch den europäischen
Datenschutzausschuss für die deutsche

528
00:43:19,180 --> 00:43:23,820
Variante bekommen. Dann dürften in diesem
Jahr noch die ersten Akkreditierungen,

529
00:43:23,820 --> 00:43:28,540
ersten Zertifizierer, durch die deutsche
Akkreditierungsstelle zugelassen werden.

530
00:43:28,540 --> 00:43:35,170
Ich erwarte, dass zum Beispiel im
Bereich der Cloud-Dienste ein solcher

531
00:43:35,170 --> 00:43:39,810
Zertifizierer an den Start geht.
Herald: Mikrofon Nummer 1,

532
00:43:39,810 --> 00:43:43,360
deine Frage bitte.
Frage: Vielen Dank für den Vortrag, auch

533
00:43:43,360 --> 00:43:47,709
dass Sie hier auf dem Kongress sind. Ja,
ich bin seit einiger Zeit verantwortlich

534
00:43:47,709 --> 00:43:50,310
in IT-Management-Positionen …
Herald: Bitte die Frage!

535
00:43:50,310 --> 00:43:54,420
Frage: … und auch da
implementierte ich natürlich sehr viele

536
00:43:54,420 --> 00:43:58,580
Datenschutzmaßnahmen. Sie haben es kurz
angesprochen. Mich würde interessieren,

537
00:43:58,580 --> 00:44:03,070
wann wir auch mal Ergebnisse sehen im
Bereich der großen Internetkonzerne –

538
00:44:03,070 --> 00:44:07,530
Google, Facebook, Amazon und so weiter,
ob dann auch mal vielleicht Bußgelder etc.

539
00:44:07,530 --> 00:44:12,370
auch an diese großen
Unternehmen zugeteilt werden.

540
00:44:12,370 --> 00:44:17,200
Kelber: Der Druck natürlich auf die Ba…
Ich habe ja vor allem zwei nationale

541
00:44:17,200 --> 00:44:22,950
Datenschutzbehörden genannt, die die
Zuständigkeit haben für besonders viele

542
00:44:22,950 --> 00:44:28,210
der großen Internetkonzerne. Ganz kurzer
Exkurs europäisches Datenschutzrecht,

543
00:44:28,210 --> 00:44:32,560
sogenannter One-Stop-Shop. Die nationale
Behörde, in der der Hauptsitz innerhalb

544
00:44:32,560 --> 00:44:37,630
der Europäischen Union ist, ist zuständig.
Das heißt, bei den Großen wie Google und

545
00:44:37,630 --> 00:44:45,000
Facebook und Microsoft und Apple ist das
z. B. Irland. Bei Amazon ist es Luxemburg

546
00:44:45,000 --> 00:44:50,830
als ein Beispiel. Und das sind
natürlich erstens relativ kleine

547
00:44:50,830 --> 00:44:56,740
Datenschutzbehörden. Sie haben einen
besonders wirtschaftsfreundliches

548
00:44:56,740 --> 00:45:01,260
Verwaltungsrecht,—<i>vereinzelt Applaus</i>—
… Ja, es sind besonders hohe

549
00:45:01,260 --> 00:45:05,650
Vorgaben dran, was man alles tun muss,
bevor man überhaupt einen Bescheid

550
00:45:05,650 --> 00:45:10,500
herausgeben darf. Wenn meine irische
Kollegin so über Fälle sprechen würde, wie

551
00:45:10,500 --> 00:45:14,220
ich das in Deutschland mache, würde sie
sofort vor Gericht scheitern. Weil dann

552
00:45:14,220 --> 00:45:17,270
würde der Richter sagen „Sie waren
voreingenommen in der gesamten

553
00:45:17,270 --> 00:45:21,139
Betrachtung“, völlig egal, ob sie selber
die Untersuchung gemacht hat oder jemand

554
00:45:21,139 --> 00:45:25,720
anderes. Trotzdem haben wir gesagt, es
sind jetzt über 600 Tage, und wir wollen

555
00:45:25,720 --> 00:45:29,290
zu sehr offensichtlichen Datenschutz-
Verstößen jetzt den Vorschlag der Iren

556
00:45:29,290 --> 00:45:33,140
und der Luxemburger auf den Tisch kriegen.
Und dann schauen wir anderen uns an, ob

557
00:45:33,140 --> 00:45:36,950
wir der gleichen Meinung sind. Und wenn
wir nicht der gleichen Meinung sind, dann

558
00:45:36,950 --> 00:45:40,460
wird mit Mehrheit im Europäischen
Datenschutzausschuss darüber abgestimmt,

559
00:45:40,460 --> 00:45:45,470
wie die Sicht der europäischen
Datenschutzbehörden sind. Und das ist dann

560
00:45:45,470 --> 00:45:51,340
der erlassene Bescheid. Das heißt, die
Gefahr, dass wie in Deutschland das

561
00:45:51,340 --> 00:45:55,860
Kraftfahrzeugbundesamt einfach alleine
entscheidet, entsteht am Ende im

562
00:45:55,860 --> 00:45:59,240
Datenschutz nicht. Da können dann die
anderen Kraftfahrzeugsbehörden das

563
00:45:59,240 --> 00:46:02,951
Kraftfahrzeugbundesamt bei Dieselgate
überstimmen. Das wäre doch schön, wenn es

564
00:46:02,951 --> 00:46:06,870
da auch gegeben hätte. Aber es dauert
halt. Ich habe jetzt den Iren angeboten, dass

565
00:46:06,870 --> 00:46:11,740
sie uns mal einen Fall abtreten dürfen.
Wir haben auch Fälle vorgeschlagen. Bisher

566
00:46:11,740 --> 00:46:17,459
ist das noch nicht beantwortet worden. Der
irische Staat hat nur einen minimalen

567
00:46:17,459 --> 00:46:20,980
Aufwuchs in diesem Jahr wiedergegeben
der Datenschutzbehörde. Die ist schon

568
00:46:20,980 --> 00:46:24,420
gewachsen in den letzten Jahren nur ein
Viertel von dem, was die Kollegin

569
00:46:24,420 --> 00:46:28,890
beantragt hatte. Und das ist ein Staat …
es ging um 5 Millionen Euro im Jahr. Der

570
00:46:28,890 --> 00:46:33,140
gleiche Staat, der im Augenblick vor
Gerichten, versucht zu verhindern, dass

571
00:46:33,140 --> 00:46:37,420
Apple ihm 14 Milliarden Euro Steuern bezahlen
muss. Da merken Sie, was der Gedanke

572
00:46:37,420 --> 00:46:41,350
dahinter ist. Ich habe bewusst Dieselgate
verwendet, um deutlich zu machen: Das ist

573
00:46:41,350 --> 00:46:44,690
ja auch den Nationalstaaten in der
Europäischen Union nicht fremd, sich

574
00:46:44,690 --> 00:46:48,450
schützend vor einen Wirtschaftszweig zu
stellen. Aber das dürfen wir ihm einfach

575
00:46:48,450 --> 00:46:52,360
nicht durchgehen lassen. Aber wann es
soweit ist, kann ich Ihnen noch nicht sagen.

576
00:46:52,360 --> 00:46:56,840
<i>Applaus</i>
Herald: Signal-Angel, die nächste Frage

577
00:46:56,840 --> 00:47:01,180
aus dem Internet bitte.
Frage: Woran scheitert es, dass

578
00:47:01,180 --> 00:47:05,480
Datensparsamkeit so wenig Gehör in der
Politik stößt? Und wie können wir Hacker

579
00:47:05,480 --> 00:47:10,020
dabei helfen, abseits davon
für Sie zu arbeiten? —<i>vereinzelt Lachen</i>

580
00:47:10,020 --> 00:47:16,710
Kelber: Ich glaube, erst einmal hat es
eine erfolgreiche Lobbyarbeit darin

581
00:47:16,710 --> 00:47:23,060
gegeben, Menschen an führenden Stellen
in der Politik zu verstehen zu geben,

582
00:47:23,060 --> 00:47:28,820
Datensparsamkeit sei Datenarmut. Man müsse
wichtige Daten wegschmeißen. Damit würden

583
00:47:28,820 --> 00:47:33,130
wir mit USA und China nie mehr
gleichziehen können. Dieser einfache

584
00:47:33,130 --> 00:47:37,950
Dreisatz ist denen in die Köpfe implementiert
worden. Deswegen – habe ich tatsächlich auf

585
00:47:37,950 --> 00:47:41,740
dem Digitalgipfel erlebt – wie einen Monat
bevor europäisches Recht ist, mit den

586
00:47:41,740 --> 00:47:45,810
Stimmen Deutschlands beschlossen
wurde, endgültig wirksam wurde:

587
00:47:45,810 --> 00:47:50,210
Datenschutzgrundverordnung, die
Bundeskanzlerin sich hinstellt und sagt:

588
00:47:50,210 --> 00:47:54,160
„Wir müssen das Prinzip der
Datensparsamkeit aufgeben“. Das aber später

589
00:47:54,160 --> 00:47:58,000
bindendes europäisches Recht wurde, vorher
bindendes deutsches Recht war. Das ist

590
00:47:58,000 --> 00:48:04,411
schon etwas, was man selten erlebt an dem
Punkt. Da werden wir ein ganzes Stück für

591
00:48:04,411 --> 00:48:09,820
werben müssen, dass das einfach nicht wahr
ist. Wenn wir aber auch einfache Narrative

592
00:48:09,820 --> 00:48:14,599
gemeinsam entwickeln müssen, die ähnlich
aufzuführen. Ich finde ja so ein

593
00:48:14,599 --> 00:48:18,840
Narrativ wie „dich gehen Daten nichts an,
die nichts mit einer Dienstleistung zu tun

594
00:48:18,840 --> 00:48:23,190
haben“, ist so eine einfach, weil das ist
eine Werteentscheidung, die ich treffe. Und

595
00:48:23,190 --> 00:48:27,089
solche Werteentscheidungen haben wir oft
getroffen. Klar wird es für Deutschland

596
00:48:27,089 --> 00:48:30,340
wirtschaftlich attraktiver,
Kohlekraftwerke mit Kindern zu betreiben,

597
00:48:30,340 --> 00:48:34,200
weil dann könnte man die Stollen kleiner
machen. Dann können wir gleich wieder mit

598
00:48:34,200 --> 00:48:38,150
Preisen aus Kolumbien mithalten. Haben wir
uns aber aus Wertegründen entschieden, es

599
00:48:38,150 --> 00:48:41,930
nicht zu tun. Dasselbe sollten wir auch
mit Daten machen, die unsere Grundrechte

600
00:48:41,930 --> 00:48:48,650
beeinflussen.
<i>Applaus</i>

601
00:48:48,650 --> 00:48:51,940
Herald: Mikrofon Nummer 4,
deine Frage bitte.

602
00:48:51,940 --> 00:48:57,140
Frage: Herr Kelber, Sie haben ja selber
gesagt, dass Gesetze oftmals noch nicht

603
00:48:57,140 --> 00:49:01,268
reichen. Mir persönlich geht es auch so,
dass ich das Gefühl habe, zum Beispiel die

604
00:49:01,268 --> 00:49:05,110
Datenschutzgrundverordnung ist manchmal
ein bisschen zahnlos, und meine Frage an

605
00:49:05,110 --> 00:49:08,891
Sie ist: Welche Handlungsalternativen
sehen Sie da? Wie sieht es aus z. B. mit

606
00:49:08,891 --> 00:49:13,358
Bereitstellung von alternativer
Infrastruktur? Gerade zu Cloud, großen

607
00:49:13,358 --> 00:49:17,080
Cloud-Anbietern zum Beispiel. Wie sieht es
aus mit Förderungen für Open-Source-

608
00:49:17,080 --> 00:49:21,081
Software für Projekte, die z. B. auch
irgendwie grün unterwegs sind,

609
00:49:21,081 --> 00:49:24,910
Daten schützen, wie auch immer. Was gibt’s
da für Möglichkeiten in der Politik?

610
00:49:24,910 --> 00:49:29,320
Kelber: Ich glaube, man sollte nicht das
eine lassen und das andere unterschätzen

611
00:49:29,320 --> 00:49:34,070
und das dritte dann nicht machen. Ich bin
für die Förderung vor allem dort, wo ich

612
00:49:34,070 --> 00:49:39,379
glaube, mit der Förderung – das ist ja dann
mein Job – Verbesserungen für die Datenschutz-

613
00:49:39,379 --> 00:49:43,610
Situation herbeizuführen. Das war das Beispiel
mit den Messengersystemen, weil die

614
00:49:43,610 --> 00:49:46,950
natürlich welche sind, wo ganz
besonders viele relevante sensible Daten

615
00:49:46,950 --> 00:49:52,860
abgegriffen werden. Da bin ich in eine
Monopolsituation reingekommen, die ich

616
00:49:52,860 --> 00:49:56,720
nur noch mit Krafft aufbrechen kann.
Das eine wäre, diese Frage der

617
00:49:56,720 --> 00:50:01,790
Interoperabilität zu erzwingen, wenn
allein ein Drittel der Sprachnachrichten

618
00:50:01,790 --> 00:50:05,910
heutzutage über Messengersysteme, nicht
mehr über Handy oder Festnetz geht, da

619
00:50:05,910 --> 00:50:09,590
müssen sie auch die gleichen Pflichten
erfüllen wie die anderen. Das ist z. B.

620
00:50:09,590 --> 00:50:16,080
Interoperabilität. Ich glaube aber, und
deswegen werbe ich dafür. Und der Chef des

621
00:50:16,080 --> 00:50:19,860
Bundesamtes für die Sicherheit in der
Informationstechnik hat ja ähnliches schon

622
00:50:19,860 --> 00:50:23,360
mal verlautbaren lassen. Ich glaube
tatsächlich, wir sollten ein Messenger

623
00:50:23,360 --> 00:50:27,280
System als deutsche Verwaltung – am besten
die gesamte, aber ansonsten muss der Bund

624
00:50:27,280 --> 00:50:31,440
eben anfangen – anbieten für Bürgerinnen
und Bürger. Aber eins, das datenschutz-

625
00:50:31,440 --> 00:50:35,740
freundlich ist. Und da, glaube ich, gehe
das tatsächlich nur auf der Open Source

626
00:50:35,740 --> 00:50:40,970
Software Basis. Und wenn unser großer
Nachbarstaat es auf einer solchen Basis

627
00:50:40,970 --> 00:50:45,440
macht – Matrix – sich dann anzuschauen,
sind das die gleichen Bedingungen, die die

628
00:50:45,440 --> 00:50:49,720
Franzosen haben und dann noch mehr
Schlagkraft reinzubringen. Ich verstehe

629
00:50:49,720 --> 00:50:54,550
das ja manchmal im privaten Umfeld nicht.
Dass Menschen, die 15 verschiedene

630
00:50:54,550 --> 00:51:03,270
Leih-Fahrräder und -Elektroscooter-
Anwendungen auf ihrem Gerät haben, nicht

631
00:51:03,270 --> 00:51:08,990
in der Lage sein wollen, einen zweiten
Messenger zu installieren, mit dem sie mir

632
00:51:08,990 --> 00:51:13,300
ohne Daten abgreifen, mit mir
kommunizieren können, da ist irgendwie

633
00:51:13,300 --> 00:51:20,700
eine Denkblockade. — <i>Applaus</i>
Herald: Mikrofon Nummer 2 bitte.

634
00:51:20,700 --> 00:51:25,640
Frage: Wie sensibilisiert man den
durchschnittlichen nicht-IT-affinen Bürger

635
00:51:25,640 --> 00:51:29,680
und Politiker für sein eigenes
Interesse an Datenschutz?

636
00:51:29,680 --> 00:51:35,320
Kelber: Ansprechen! Die wollen auch
angesprochen werden. Den Bürgerinnen

637
00:51:35,320 --> 00:51:38,891
und Bürgern muss man es wahrscheinlich …
Politikerinnen und Politiker wollen

638
00:51:38,891 --> 00:51:43,390
angesprochen werden, auch die nicht-
Netzpolitiker, nicht die Digital-

639
00:51:43,390 --> 00:51:48,590
Politikerinnen und -Politiker. Bei
Bürgerinnen und Bürgern wird man

640
00:51:48,590 --> 00:51:52,640
vielleicht auch neben dem jährlichen
Skandal, nachdem es mal ein kurzes

641
00:51:52,640 --> 00:51:57,500
Interesse gibt, das nicht immer sich im
Handeln ausprägt, wird man das auf eine

642
00:51:57,500 --> 00:52:01,640
Art und Weise machen müssen, dass sie
Bilder erkennen, dass sie in einfachen

643
00:52:01,640 --> 00:52:05,520
Systemen machen. Was meistens
funktioniert, wenn ich in Gruppen rede,

644
00:52:05,520 --> 00:52:10,859
die keine Vorbildung haben, ist ihnen zu
verdeutlichen, was das, was im digitalen

645
00:52:10,859 --> 00:52:15,440
Bereich gerade passiert, in ihrer
gewohnten analogen Welt bedeuten würde.

646
00:52:15,440 --> 00:52:19,370
Wenn ich denen dann erzähle mit Tracking:
Stell dir mal vor, du gehst in die Bonner

647
00:52:19,370 --> 00:52:23,369
Fußgängerzone und in dem Augenblick, wenn
du sie betrittst, beginnt einer, hinter dir

648
00:52:23,369 --> 00:52:26,959
herzulaufen, der schreibt auf, an
welchen Geschäften du stehenbleibst, mit

649
00:52:26,959 --> 00:52:31,040
wem du dich unterhälst. Der bietet dir
irgendwann Kaffee an. Kostenlos. Wenn ihr

650
00:52:31,040 --> 00:52:35,130
nach dem Becher greift, sagt er aber „Ich
will erstmal gucken, wer waren denn die

651
00:52:35,130 --> 00:52:38,960
letzten fünf Leute, die sie getroffen
haben.“ Wenn es verboten würde,

652
00:52:38,960 --> 00:52:43,100
Briefumschläge zu verwenden, alles nur
noch auf Postkarten geschrieben werden

653
00:52:43,100 --> 00:52:47,970
dürfte. Wenn Sie es so übertragen in die
Welt, die die kennen. Dann wird der ein

654
00:52:47,970 --> 00:52:58,480
oder andere auch wach. — <i>Applaus</i> — Als ich
noch Parteipolitiker war, habe ich mir

655
00:52:58,480 --> 00:53:03,170
immer mal vorgenommen, einen Kaffeestand beim
Tag der offenen Tür vorm Innenministerium

656
00:53:03,170 --> 00:53:07,740
zu machen mit umsonst Kaffee. Aber den
kriegen die Leute dann tatsächlich nur,

657
00:53:07,740 --> 00:53:11,830
wenn ich einmal kurz ihr Handy
durchgucken darf. — <i>Lachen, Applaus</i>

658
00:53:11,830 --> 00:53:15,310
Aber das kann ich jetzt nicht mehr machen,
das traue ich mich nicht mehr.

659
00:53:15,310 --> 00:53:19,190
Herald: Mikrofon Nummer 8 bitte!
Frage: Vielen Dank noch einmal für den

660
00:53:19,190 --> 00:53:24,170
Talk. Man sieht hier auf dem Kongress
selbst da, wo man denkt, man hat viel

661
00:53:24,170 --> 00:53:28,710
Gutes an Sicherheit gemacht, gibt es immer
noch Schlupflöcher. In den meisten Fällen

662
00:53:28,710 --> 00:53:34,170
hat man nicht so viel Gutes gemacht. Daher
von mir die kurze Frage: Wie ist bei Ihnen

663
00:53:34,170 --> 00:53:40,869
das Verhältnis Datenminimierung zu dem
Thema Datensicherheit, sprich in Form von

664
00:53:40,869 --> 00:53:46,690
Sicherheitsmaßnahmen zu sehen? Wo ist die
Minimierung wichtiger? Und wo ist die

665
00:53:46,690 --> 00:53:50,070
Sicherheit akzeptabel?
Kelber: Ich glaube übrigens, dass man

666
00:53:50,070 --> 00:53:54,950
erstmal durch Datensicherheit eine ganze
Reihe von Datenschutz-Sicherheitsproblemen

667
00:53:54,950 --> 00:53:58,600
ausschließen kann, aber was sie ja
wahrscheinlich ansprechen ist, dass ich an

668
00:53:58,600 --> 00:54:02,490
manchen Stellen eventuell Daten sammeln
muss, um z. B. Angriffsvektoren oder

669
00:54:02,490 --> 00:54:05,020
ähnliches zu erkennen. War es das,
was Sie meinten?

670
00:54:05,020 --> 00:54:12,061
Frage: Es ging darum, dass wir überall
sehen: Belgacom. Da greift sich einfach ein

671
00:54:12,061 --> 00:54:15,191
fremder Geheimdienst die Daten und
ähnliches …

672
00:54:15,191 --> 00:54:21,919
Kelber: Daten. Dann ist Datenminimierung
ein Teil eines Datensicherheitskonzeptes.

673
00:54:21,919 --> 00:54:26,620
Übrigens auch das Verteilthalten von Daten und
ähnliches ist eine Frage, die ich erwartet

674
00:54:26,620 --> 00:54:30,310
hatte. Wie ist das im digitalen
Gesundheitsschutz? Es gibt ja Daten, wo

675
00:54:30,310 --> 00:54:34,070
es durchaus unethisch sein könnte, sie
nicht einzusetzen. Aber was sind denn die

676
00:54:34,070 --> 00:54:37,220
Sicherheitsmaßnahmen? Wie kann ich
wenigstens das Sicherheitsniveau

677
00:54:37,220 --> 00:54:40,890
erreichen, das ich vorher in der analogen
Welt hatte, wo es ja auch eine Menge

678
00:54:40,890 --> 00:54:44,170
Verstöße gab? Wo krieg ich eine
Verbesserung hin? Wo sind die Daten so

679
00:54:44,170 --> 00:54:47,850
sensibel, dass ich mit zusätzlichen
Methoden dafür sorgen muss. Von daher auch

680
00:54:47,850 --> 00:54:51,810
vielen Dank an den Kongress für die
Aufdeckung der Sicherheitsprobleme bei den

681
00:54:51,810 --> 00:54:59,240
Karten. Thema Sie können sich sicher
sein, — <i>Applaus</i> — Sie können sich sicher

682
00:54:59,240 --> 00:55:03,450
sein, dass das auch Thema meiner
Referatsleitungsrunde am 6. Januar

683
00:55:03,450 --> 00:55:11,539
sein wird. — <i>Lachen, Applaus</i>
Herald: Mikrofon Nummer 1, Bitte.

684
00:55:11,539 --> 00:55:19,170
Frage: Herr Kelber, schön, dass Sie hier
sind. Sie haben sehr ambitionierte Ziele

685
00:55:19,170 --> 00:55:26,500
zu schadhaften Algorithmen geäußert und
auch zu, dass wir Vertrauen schaffen

686
00:55:26,500 --> 00:55:31,630
müssen. Dann haben Sie eben
gerade noch was erzählt von den

687
00:55:31,630 --> 00:55:37,180
Zertifizierungenmöglichkeiten? Da weise ich
mal darauf hin, dass die Diesel-Motoren

688
00:55:37,180 --> 00:55:45,520
unserer Auto-Hersteller auch alle zertifiziert
sind. Um mal an Auguste Kerckhoff zu

689
00:55:45,520 --> 00:55:50,670
erinnern: Die Sicherheit eines Algorithmus
kann nicht in der Geheimhaltung des

690
00:55:50,670 --> 00:55:54,510
Algorithmus liegen, sondern sollte
möglichst vielen Experten offenstehen.

691
00:55:54,510 --> 00:56:02,780
Jetzt die Frage: Sehen Sie eine andere
Möglichkeit als Open Source um Ihre Ziele,

692
00:56:02,780 --> 00:56:08,863
Algorithmen – schadhafte Algorithmen – zu
verhindern oder Vertrauen zu schaffen? Ist

693
00:56:08,863 --> 00:56:12,220
das mit proprietärer Software
überhaupt machbar?

694
00:56:12,220 --> 00:56:18,210
Kelber: Thema für einen eigenen Vortrag.
Ich glaube, es wird Bereiche geben, wo ich

695
00:56:18,210 --> 00:56:23,920
Daten, nur indem ich sie überhaupt … indem
ich den Algorithmus öffentlich mache, überhaupt

696
00:56:23,920 --> 00:56:28,880
nur Teil einer Kritikalitätsbetrachtung
sein kann. Schauen Sie sich das auch mal in

697
00:56:28,880 --> 00:56:33,589
Zusammenfassung der Empfehlung der Daten
Ethikkommission mit der Pyramide zu

698
00:56:33,589 --> 00:56:37,520
algorithmischen System an. Da ist die
zweitoberste Stufe eine mit der

699
00:56:37,520 --> 00:56:41,700
völligen Offenlage. Für mich als
Aufsichtsbehörde gilt aber trotzdem, dass

700
00:56:41,700 --> 00:56:45,859
wir an bestimmten Stellen
hineingucken wollen in Systemen.

701
00:56:45,859 --> 00:56:49,009
Das ist mir natürlich auch klar,
dass sich die sehr schnell ändern.

702
00:56:49,009 --> 00:56:51,560
also dass ich nicht einmal einen
Punkt habe, wo ich da bin. Dem „Nein“

703
00:56:51,560 --> 00:56:57,520
dort von Unternehmen oder
Behörden. Das akzeptieren wir nicht.

704
00:56:57,520 --> 00:57:01,300
Also wir als Aufsichtsbehörde dürfen alles
sehen. Ansonsten bin ich auch bereit,

705
00:57:01,300 --> 00:57:08,510
Zwangsmaßnahmen einzuleiten. Der Punkt
wird allerdings der sein, dass natürlich,

706
00:57:08,510 --> 00:57:13,302
wenn nicht zertifiziert werden kann, dass
etwas, was eingesetzt ist, tatsächlich die

707
00:57:13,302 --> 00:57:16,930
Punkte erreicht, die man zertifiziert,
dann darf auch kein Zertifikat erteilt

708
00:57:16,930 --> 00:57:20,710
werden. Das war eine der Erfahrungen aus
dem Dieselgate. Deswegen habe ich in

709
00:57:20,710 --> 00:57:24,068
meiner alten Verwendung ja noch
Koalitionsverhandlungen geführt, 2018,

710
00:57:24,068 --> 00:57:28,059
nach den Bundes-Wink-Wochen gab es echte
Koalitionsverhandlungen. Und da steht ein

711
00:57:28,059 --> 00:57:33,720
Satz drinnen: Es muss überhaupt mal etwas
geschaffen werden, wo öffentliche Behörden

712
00:57:33,720 --> 00:57:37,589
die Kompetenz entwickeln können, in
algorithmische Systeme rein zu schauen.

713
00:57:37,589 --> 00:57:41,210
Und das kann auch nicht sein, dass es
jeder einstellt. Weil ich kann nicht 20

714
00:57:41,210 --> 00:57:45,070
Expertinnen / Experten einstellen, das BSI
40, das Kraftfahrzeugbundesamt 10, das

715
00:57:45,070 --> 00:57:50,630
BaFin 10. Das wird nicht klappen. So viele
gibt es gar nicht auf dem Markt die das

716
00:57:50,630 --> 00:57:54,240
können. Wir werden also eine Stelle
beauftragen. Kann ja auch an einem

717
00:57:54,240 --> 00:57:58,450
Netzwerk mit Wissenschaft und
Zivilgesellschaft stehen, um die

718
00:57:58,450 --> 00:58:02,310
Entwicklung von so etwas anzuschauen. Und
dann sind wir wieder etwas näher an dem,

719
00:58:02,310 --> 00:58:06,370
was Sie gesagt haben.
Herald: Lieber Single-Angel, die nächste

720
00:58:06,370 --> 00:58:10,200
Frage aus Internet.
Frage: Sollte man darauf achten, IFG-

721
00:58:10,200 --> 00:58:15,109
Anfragen verantwortungsvoll zu stellen und
auf ein Minimum zu reduzieren, um die

722
00:58:15,109 --> 00:58:22,560
Akzeptanz bei Ministerien zu erhöhen?
Kelber: Wie bei jedem Instrument sollte

723
00:58:22,560 --> 00:58:26,320
man etwas nur dann machen, wenn man es
selber für richtig hält. Aber das ist der

724
00:58:26,320 --> 00:58:30,440
erste Maßstab, natürlich. Aber das wird ja
allein nicht reichen. Ich habe natürlich

725
00:58:30,440 --> 00:58:34,458
auch schon Informationsfreiheitsanfragen
gesehen, die man im Augenblick selber gesagt

726
00:58:34,458 --> 00:58:38,510
hat „Die ist nicht sinnvoll.“ Nachher kam
etwas raus über den kleinen Umweg, wo man

727
00:58:38,510 --> 00:58:42,279
gesagt hat „Es war gut, dass da einer
nachgefasst hat.“ Umgekehrt habe ich bei

728
00:58:42,279 --> 00:58:47,390
Sicherheitsbehörden auch schon IFG-Anträge
gesehen, wo man nichts anderes versucht hat,

729
00:58:47,390 --> 00:58:52,329
als den Ermittlungsstand der Sicherheits-
behörden gegen hochkriminelle Banden

730
00:58:52,329 --> 00:58:57,910
herauszubekommen. Die Bandbreite ist so
groß, die Entscheidung treffen Sie selbst.

731
00:58:57,910 --> 00:59:02,130
Das Gesetz sagt, was Sie dürfen, was Sie
nicht dürfen. Was beantwortet werden muss,

732
00:59:02,130 --> 00:59:07,099
was nicht beantwortet werden muss. Und bei
allem, was das IFG angeht, sind wir noch

733
00:59:07,099 --> 00:59:11,601
in der Ombudsmann-Funktion. Das heißt,
wenn eine Auskunft verweigert wird, können

734
00:59:11,601 --> 00:59:15,510
Sie sich an uns wenden, und wir beurteilen
aus unserer Sicht noch einmal die

735
00:59:15,510 --> 00:59:20,500
Situation.
Herald: Mikrofon Nr. 4, deine Frage?

736
00:59:20,500 --> 00:59:26,540
Frage: Hallo, zunächst vielen Dank, dass
Sie hier sind. Vielen Dank für den Vortrag

737
00:59:26,540 --> 00:59:31,100
und auch herzlichen Dank, dass Sie die
Problematik mit WiFi für die EU auf den

738
00:59:31,100 --> 00:59:36,510
europäischen Datenschutztisch gebracht
haben. Zu meiner Frage: Sie hatten gerade

739
00:59:36,510 --> 00:59:41,090
das Beispiel angesprochen mit der
Notwendigkeit von Datenschutz im

740
00:59:41,090 --> 00:59:45,190
öffentlichen Raum, am Beispiel des Laufens
durch die Fußgängerzone in beispielsweise

741
00:59:45,190 --> 00:59:52,810
Bonn. Sehen Sie dass momentan Arbeit im
Wettbewerbsrecht besteht, um entsprechend,

742
00:59:52,810 --> 00:59:56,770
ich sage mal datensammelwütige
Geschäftsmodelle für Kommunen auch

743
00:59:56,770 --> 01:00:00,720
handhabbar zu machen. Wir haben in Aachen
gerade das Problem, dass im Rahmen von der

744
01:00:00,720 --> 01:00:06,829
Stadtmobiliarausschreibung man ich sage
mal die Wertschöpfung von Daten aus dem

745
01:00:06,829 --> 01:00:12,020
öffentlichen Raum, in der Ausschreibung
nicht berücksichtigt hat, sodass die Stadt

746
01:00:12,020 --> 01:00:17,890
jetzt in der Problematik ist, dass für eine
Stadtmobiliarausschreibung ein Anbieter, der

747
01:00:17,890 --> 01:00:23,890
Daten abschnorchelt ein nach Wettbewerbsrecht
zu wählendes, weil günstigeres Angebot

748
01:00:23,890 --> 01:00:29,550
vorgelegt hat, als ein Anbieter, der nicht
Daten abschnorchelt. Konkret geht es um

749
01:00:29,550 --> 01:00:35,070
ICIM-Trekker an Bushaltestellen.
Kelber: Ist mir im Augenblick nichts

750
01:00:35,070 --> 01:00:38,479
bekannt. Müsste ich tatsächlich
nachhaken, ob auf meiner Fachebene schon

751
01:00:38,479 --> 01:00:42,340
Debatte gegeben hat? Vielen Dank für die
Anregung. Ist ja einer der Gründe, warum

752
01:00:42,340 --> 01:00:46,170
ich hierher gekommen bin, Anregungen
mitzunehmen. Nein, kann ich Ihnen leider gar

753
01:00:46,170 --> 01:00:49,770
nichts zu sagen. Ich weiß, dass im
Augenblick die nächste GWB Novelle dran

754
01:00:49,770 --> 01:00:53,980
ist, aber was dort in den Entwürfen steht
und ob wir schon beteiligt wurden im

755
01:00:53,980 --> 01:00:58,589
Vorfeld – manche Ministerien beteiligen uns
ja im Vorfeld – und dann geben wir unsere

756
01:00:58,589 --> 01:01:03,090
Beratungen nicht öffentlich. Weiß ich
nicht, aber ist zumindest nicht von meinem

757
01:01:03,090 --> 01:01:07,301
Fachebene für so relevant gehalten worden,
dass ich darüber informiert wurde. Also

758
01:01:07,301 --> 01:01:11,570
wenn ist es nur auf kleiner Ebene.
Herald: Vielen Dank, Herr Kelber, für das

759
01:01:11,570 --> 01:01:16,390
geduldige Beantworten aller Fragen. Vielen
Dank für Ihren Vortrag. Es können leider

760
01:01:16,390 --> 01:01:18,250
nicht mehr alle Fragen drankommen.

761
01:01:18,250 --> 01:01:26,210
<i>Applaus</i>

762
01:01:26,210 --> 01:01:31,690
<i>36c3 Abspannmusik</i>

763
01:01:31,690 --> 01:01:43,230
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!