<i>36c3 Vorspannmusik</i>

Herald Engel: Unser nächster Vortrag hat
den Titel „Weichenstellung“. In welcher

digitalen Welt werden wir leben? Der Herr
Kelber wird darin aufzeigen, welche Folgen

die aktuellen politischen Entscheidungen
oder deren Ausbleiben auf unsere Zukunft

als Gesellschaft haben. Insbesondere bei
den Themen digitale überwachung durch

private und öffentliche Stellen. Ulrich
Kelber ist seit Januar diesen Jahres der

Bundesdatenschutzbeauftragte, ist
studierter Diplominformatiker, hat 20

Jahre im Bundestag als Bundestagsabgeordneter
gearbeitet und war vorher Staatssekretär

im Justizministerium. Bitte begrüßt ihn
mit einem kräftigen Applaus.

<i>Applaus</i>

Ulrich Kelber: Ja, schönen guten Tag, auch
von meiner Seite, hab mich sehr über die

Einladung gefreut. Ich bin natürlich etwas
beschämt, dass ich das erste Mal dabei bin,

nämlich in den 20 Jahren, wo ich
tatsächlich Abgeordneter war, hat meine

Familie gestreikt: neben den Wochenenden,
die immer dazugehören zur Arbeit, mir dann

auch noch die Tage über Weihnachten für
digitale Themen frei zu geben. Aber

nachdem ich ja im Januar in den Job
wechseln konnte, wo ich noch schön an

einem Thema tief arbeiten kann, aber die
Wochenenden jetzt freier zur Verfügung

habe, durfte ich mir zumindest mal einen
Tag dafür nehmen. Und ich hoffe, im

nächsten Jahr vielleicht auch mal mit
Übernachtung ein bisschen mehr

reinschnuppern auch in das, was andere zu
sagen und zu zeigen haben. — <i>Applaus</i>

Ich habe in der Tat jetzt knapp ein Jahr in
der neuen Funktion zubringen können,

versuchen, das Thema in der Breite
aufzunehmen, Schwerpunkte zu setzen,

insbesondere bei den Aufgaben, die wir in
den letzten Jahren auch hinzubekommen

haben: die Durchsetzung der europäischen
Datenschutzgrundverordnung, die

Durchsetzung der ja erst noch in
nationales Recht umzusetzenden Joint

Implementation Richtlinie, die Regulierung
von Scoring und Profiling, bereich-

spezifische Gesetzgebung, die ja fast im
Wochenrhythmus erfolgt, insbesondere im

Sicherheitsbereich und natürlich jetzt
auch drei Jahre oder dreieinhalb Jahre

nach Inkrafttreten, anderthalb Jahre nach
der vollen Wirksamkeit. Auch die

Überlegungen zur Weiterentwicklung
europäischen Datenschutzrechts. Und alles

vor dem Hintergrund einer Entwicklung, wo
im Augenblick Weichenstellungen in der

Frage von Regulierung, Nichtregulierung,
technische Entwicklung, Einführung von IT-

Systemen gesetzt werden, die massive
Auswirkungen auch auf unsere

Gesellschaftsordnung haben. Mich
interessieren die Debatten um digitale

Überwachung, sei es durch private oder
staatliche Stellen und insbesondere

natürlich auch der regelrechte hysterische
Wettlauf um immer neue

Eingriffesbefugnisse von
Sicherheitsbehörden. — <i>Applaus</i> —

Ich bin überzeugt, dass wir
schon die Weichenstellungen so vornehmen

können, dass auch die digitale
Gesellschaft eine freiheitliche, liberale

und diverse Gesellschaft bleibt. Aber
ausgemacht ist das noch keineswegs. Wir

sehen immer wieder, dass die technischen
und ökonomischen Aspekte dieser Debatte in

den Vordergrund gestellt werden und dass
es schwierig ist, durchzudringen mit

gesellschaftspolitischen und
datenschutzrechtlichen Fragestellungen.

Und wenn es eine Debatte gibt über diese
Weichenstellung in einer digitalpolitischen

europäischen Debatte, dann werden eben vor
allem diese technischen und okönomischen

Aspekte herangezogen. Es wird verwiesen
auf den Stand von ja durchaus

durchaus weiterentwickelten Digital-
Ökonomien in den USA und China, deren

Vorsprung im Bereich von dem, was immer
unscharf als „künstliche Intelligenz“

bezeichnet wird. Dass dieser Vorsprung
uneinholbar geworden sei und wohlstands-

gefährdend ist. Das wird durchaus als
Druckmittel verwendet, um dann bei

einzelnen Debatten festzulegen, in welcher
Form darf es zu Datenverwertung mittels

künstlicher Intelligenz, algorithmischer
Systeme oder auch der Nutzung von

Datenbanken an der Stelle kommen? Und wenn
man etwas genauer hinschaut, dann ist es

in der Tat natürlich so, dass in den USA
und China in manchen Sektoren bereits eine

andere Phase der technologischen
Entwicklung eingetreten ist. Dort wird

über deutlich höhere private und
staatliche Mittel in dem Bereich

investiert. Aber man merkt auch, dass
beide Wirtschaftssysteme einen bestimmten

Weg eingeschlagen haben für die Nutzung
von IT-System. In China entsteht ein

Überwachungssystem, das den Polizeistaat
erst zur vollen Blüte bringen kann. Wer

sich jetzt in den letzten Monaten ist das
mal zum Thema geworden mit dem, was im

Westen des Landes bei den Uiguren
passiert. Aber ein System, wo das

Verhalten aller Bürger digital überprüft
wird, was manche ja – außerhalb dieser

Halle natürlich – nicht verstehen, ist, wie
analoges und digitales Leben heute so

verschränkt sind, dass sie einander
beeinflussen. Dass deswegen eben auch auf

das Verhalten außerhalb der unmittelbaren
digitalen Welt ein Verhaltensdruck

ausgeübt wird. Wer sich im Sinne des
Systems verhält, dem winken Prämien,

Belohnungen, Vorteile. Wer das nicht tut,
riskiert für sich und Angehörige

Lebensmöglichkeiten vom Bildungssystem bis
hin zur Mobilität. Und es ist spannend,

wer diese Standards setzt. Es ist
spannend, wie diese Standards sich ändern

und vor allem, dass ein Gefühl entsteht,
dass ich gar nicht mehr abschätzen kann:

Wann werde ich eigentlich beobachtet, mein
Verhalten interpretiert, gespeichert,

bewertet von anderen. Und dies ist ein
Gefühl, dass es keine Bereiche mehr der

Möglichkeit gibt, sich ins Private
zurückzuziehen, etwas zu tun, was

vielleicht noch nicht von allen anderen so
vorgelebt wurde, verändert auch das eigene

Verhalten. Das ist eine Entwicklung, die
sicherlich in Europa nur eine absolute

Minderheit will, auch unter all denen,
die politische Positionen haben oder in

der Wirtschaft an entscheidenden
Stellen kommt. Es gibt allerdings

interessanterweise Studien, die unter
jüngeren Menschen schon eine größere

Zustimmung zu einem solchen System zum
Ausdruck bringt, wo bestimmte

Verhaltensweisen, die als durchaus … man
fängt ja an, mit welchen, die tatsächlich

vielleicht gesellschaftspolitisch von der
großen Mehrheit nicht gewünscht sind,

sanktionieren kann. Aber wie gesagt, die
große Mehrheit will das nicht, und zwar

weder vom Staat noch von privaten Konzernen.
Also weder das chinesische Modell, noch

das US-amerikanische Modell, die sich
ja durchaus auch beide teilweise mit

Aspekten des anderen – die USA im
Sicherheitsbereich, die chinesische Seite

mit dem Zusammenwirken zwischen Staat und
privaten Konzernen – beginnt. Und auch wenn

das keiner in Europa will, glaube ich,
dass dieses Überwachungsgift durchaus in

unser System träufelt von Tag zu Tag. Und
zwar, dass man Überwachung durchführen

will, weil man sie durchführen kann. Dass
man Datensammlungen betreibt, wenn man

diese Daten sammeln kann, weil Sensoren,
Speicher und Verarbeitungsmöglichkeiten

immer kleiner, schneller, besser und
billiger werden. Und dass Dinge, die man

vorher nicht gemacht hat, weil einfach der
Aufwand zu groß war, jetzt praktisch im

Vorbeigehen mitlaufen lässt. Und wo kann
man dieses Gift schon spüren? Das spürt

man, wenn die Geschäftsmodelle von
Verlagen in den politischen Debatten

Vorrang bekommen sollen vor der
Unverletzlichkeit der Privatsphäre von

Bürgerin und Bürger, wenn die Komfort
gegen Daten getauscht wird, auch im

Individualverhalten. Und wenn Sicherheit
vor Freiheit gesetzt wird bei der Debatte:

Was kann ich mit einem zusätzlichen
Durchgriffsrecht, Eingriffsrecht von

Sicherheitsbehörden erreichen? Dann
erleben wir, dass die Bewertung von

Verhalten und das Bewerten von Gesinnung,
wenn sie in die Auswertung mancher Daten

schauen und auch in die ein oder anderen
Gesetzentwurf, wo jetzt auf einmal wieder

aufgebracht wird, wer etwas unterstützt
oder befürwortet, dass das ebenfalls

Einfluss nimmt, damit Normmodelle setzt,
die dann in der Verarbeitung von Daten

überprüft werden durch Staat und durch
private Stellen auch in der Europäischen

Union. Und wie wir das ausgestalten, wie
wir zum Beispiel über eine E-Privacy

Verordnung in der Frage von Tracking
sprechen, das ist eine dieser

Weichenstellungen, die ich meinte mit dem
Titel des Vortrags. Im Zentrum dieser

Debatten steht tatsächlich das, was immer
mit dem großen Schlagwort „Künstliche

Intelligenz“ genommen wird. Sind genügend
im Saal, mit denen man sich 2 Stunden darüber

unterhalten könnte, was dieses Schlagwort
wirklich meint und wo es nicht meint. Aber

das lasse ich mal außen vor. Ich spreche
über KI und algorithmische Systeme, mal

als Bandbreite. Wir Datenschutzbeauftragten
haben für uns erkannt, dass es unsere

Arbeit verändert. Dass es aber eben
auch eine große Auswirkung auf

die Frage von Regulierung haben. Haben
deswegen in diesem Jahr, im Frühjahr und

dann ausgearbeitet noch bis in den Herbst
bei der Tagung in Trier im Frühjahr die

Hambacher Erklärung herausgegeben, auf
Schloss Hambach. Wir haben dieses Symbol

tatsächlich gewählt. Das Hambacher
Freiheitsfest von 1832, wo die

Grundrechte, die Bürgerrechte, auch in den
Vordergrund gestellt wurden. Übrigens ein

internationales Fest, weil es immer manche
Deutschtümeler versuchen, für sich zu

gewinnen. Es waren Franzosen und Polen und
andere Delegierte dort. Und haben

versucht, Grundprinzipien bei diesem
Einsatz zu definieren. Menschen nicht zum

bloßen Objekt einer solchen
Datenverarbeitung zu machen, das

Zweckbindungsgebot nicht fallen zu
lassen. Nicht so einfach auch in der

Entwicklung solcher Systeme. Die
Transparenz, die Nachvollziehbarkeit und

die Erklärbarkeit von KI-Systemen, die
Verhinderung von Diskriminierung und den

Grundsatz der Datenminimierung. Die
letzten drei sind übrigens sehr

interessant in der gesamten Debatte mit
Techis, weil mir das selbst bei Leuten, die

absolut liberal in ihren Grundsätzen sind,
immer wieder auffällt, dass sie ablehnen

diese Verantwortung in der Entwicklung von
Systemen mit zu übernehmen. Uns wird dann

entgegen geschleudert, das wäre ein
Generalverdacht. Wir würden zusätzlichen

Aufwand berücksichtigen. Aber ich glaube,
wer solche Macht ausübt mit solchen

Systemen in der Öffentlichkeit, der muss
zumindest selber überlegen: Kann der

Bereich, in dem ich gerade arbeite,
Auswirkungen auf Menschen und Ihre Rechte

haben? Und was muss ich dann
berücksichtigen in der Entwicklung dieser

Technologie? Wir haben natürlich auch über
Verantwortlichkeit gesprochen. Jedes

System muss auch jemand haben, den ich.
Ansprechen kann auf Fehlverhalten, auf

Diskriminierungspotenziale und ähnliches.
Das kann nicht verwischen in einem

komplexen Netzwerk unterschiedlicher
Systeme. Und wenn man … — <i>Applaus</i> Und wenn

man dann wirtschaftspolitisch an das Ganze
herangeht, ist es regelrecht absurd, dass

hier in Deutschland und in Europa, wo wir
eigentlich Erfahrung mit Datenschutz und

ich hoffe auch mit IT-Sicherheit haben, wo
wir Gesetze haben, die uns dazu

verpflichten, in diesem Bereich höhere
Qualität anzubieten als in anderen

Weltregionen. Dass in dieser Weltregion
die Wirtschaftsverbände und die

Unternehmen unterwegs sind, über diese
Regulierungen jammern und in anderen

Weltregionen mehr oder minder glaubhaft
wie z. B. in den USA die ersten Unternehmen

unterwegs sind und sagen: Wir wollen darüber
werben für unsere Produkte, für unsere

Dienstleistungen, dass wir über die
gesetzlichen Vorgaben hinausgehen. Dass

wir das von Anfang an mit rein nehmen.
Hätten wir das auch bei Autos, Maschinen

und anderen Produkten gemacht, wäre
Deutschland ein armseliger Standort. Ich

verstehe nicht, warum wir in der Digital-
Ökonomie auf den niedrigsten Standard einen

Wettlauf nach unten machen wollen, nach
Meinung der Wirtschaftsverbände, anstatt

mit Qualität und Unique Selling Points
auch weltweit zu punkten. Das wäre im

Datenschutz, in der IT-Security,
wirklich möglich.

<i>Applaus</i>
Wir begegnen natürlich immer einem

logischen Wunsch. Das ist wirklich bei
Wirtschaft, Techies und großen Teilen der

Politik gleich: Wir brauchen für die
Optimierung von Prozesssteuerung, so die

Argumentation, die deutliche Erhöhung der
Menge an nutzbaren, qualitativ

hochwertigen Daten. Ich will mich dem
übrigens keineswegs verschließen, weil ich

durchaus der Meinung bin, selber eine
ganze Reihe von Prozessen zu sehen, wo ich

mit dem richtigen Zugriff auf
verantwortlich zur Verfügung stellbare

Daten, deutliche Verbesserungs-,
Optimierungs- und Fortschritts-Potenziale

sehe. Aber es geht doch darum,
den Prozess so zu organisieren, dass

Persönlichkeitsrechte, das Recht auf
informationelle Selbstbestimmung und

andere Grundrechte nicht eingeschränkt
werden, nicht verletzt werden, sondern

dass wir die neuen technischen
Möglichkeiten sogar nutzen, um

informationelle Selbstbestimmung an
Stellen zu schaffen, wo ich sie in der

Vergangenheit gar nicht hatte, weil sie
mir nicht zur Verfügung gestanden hat. Und

diese Debatte zu führen und anders auf den
Markt zu treten, das ist der Vorschlag,

den die deutschen Datenschutzbehörden mit
der Hambacher Erklärung und anderen

Beschlüssen gefasst haben. Und auch der
Europäische Datenschutz-Ausschuss ist uns

dort vor kurzem gefolgt. Ich glaube, dass
die Regulierung von künstlicher

Intelligenz, von algorithmischen Systemen,
da eintreten muss, wo Gefahr für diese

Rechtsgüter besteht – des Einzelnen oder
der Allgemeinheit. Sie haben vielleicht

zum Teil mitverfolgt, dass es manche gibt:
Der Datenschutz übernähme sich, sagen die,

wenn er nicht nur den Schutz des Einzelnen,
sondern einen gesellschaftspolitischen

Zweck verfolgt. Aber natürlich habe ich
viele Stellen, wo die Frage des Schutz des

Einzelnen ohne eine Beantwortung der
Rechte in der Gemeinschaft gar nicht zu

leisten ist. Vom simpelsten Beispiel an:
wenn ich zulasse, dass bestimmte Daten

erhoben werden können, freiwillig, dann
ist derjenige, der nicht bereit ist,

freiwillig sie zur Verfügung zu stellen,
natürlich am Ende der*die Gekniffene, wenn

die anderen diese Daten zur Verfügung gestellt
haben. Deswegen ist es richtig, an einem

solchen Beispiel, wo es um besonders
sensible Daten geht, natürlich ein

Erhebungs- und Verwertungsverbot allgemein
auszusprechen und es nicht mehr auf die

Freiwilligkeit zurückfallen zu lassen.
— <i>Applaus</i> — Und diese Idee, auch

technologische Entwicklungen und deren
Einsatz regulieren zu wollen, ist aber

auch gar nichts Neues. Das haben wir doch
immer so gemacht. In den letzten zwei,

dreihundert Jahren, seit wir eine
einigermaßen entwickelte Zivilgesellschaft

und politische Debatte haben. Wir haben es
bei Dampfkesseln gemacht, wir haben es bei

medizinischen Geräten, Autos und Handys
gemacht. Was sollte uns davon abhalten,

diese Debatte zielgerichtet und
praktikabel auch im Bereich von Software

und von Hybrid-Systemen einzuführen? Ein
Beispiel dafür; das war ja etwas, was die

Datenethikkommissionen genannt hatte, als
sie gesagt hat, es muss auch die

Möglichkeit des Verbots – um jetzt mal die
weitestgehende Möglichkeit zu benennen –

von Algorithmen mit unvertretbarem
Schädigungspotenzial geben. Schon diese –

eigentlich selbstverständliche – Forderung
„unvertretbares Schädigungspotenzial“ hat

zu Widerspruch bei einigen
Wirtschaftsverbänden geführt. Also was das

für ein Verständnis der Rolle von Staat
als Zusammenschluss der Gesellschaft gibt:

„Es gibt bestimmte Dinge, die ich nicht
zulasse. Bestimmte medizinische Geräte

sind nicht zugelassen. Der Verkauf von
Organen ist nicht zugelassen. Kinderarbeit

ist nicht zugelassen.“ Und warum soll ich
nicht die Erlaubnis haben, bestimmte

Software-Einsätze zu regulieren bis hin zu
einem Verbot? Wir unterhalten uns ja über

eine kleine Spitze in einem unglaublich
innovativen Markt, wo 99,99% aller

algorithmischen Systeme, die in Umlauf
kommen, nie mit einer Aufsicht oder einer

Kontrolle zu tun haben werden. Aber um
diese Spitze müssen wir uns kümmern. Ich

will jetzt nicht das ohnehin gestresste
Beispiel von automatischen Waffensystemen

oder Hochfrequenzhandel heranbringen. Aber
schon im Bereich der Bildung, von

persönlichen Profilen und der Frage, wem
sie zur Verfügung gestellt werden dürfen

oder nicht, kann es solche unvertretbaren
Schädigungspotenziale geben und damit

die Möglichkeit auch des Verbots in der
Regulierung. — <i>Applaus</i> — Und in der Tat

kämpfen wir darum, dass das Prinzip der
Datenminimierung – so heißt es jetzt in der

deutschen Version des europäischen
Datenschutzgrundverordnung. Früher hieß es

mal Datensparsamkeit –, dass dieses Prinzip
nicht über den Haufen geworfen wird. Es

wird angegriffen von allen Ecken: aus
dem technischen Umfeld, aus den

Wirtschaftsverbänden, aus der Politik bis
hoch zu den Reden von Wirtschaftsministern

und Bundeskanzlerin. Ich glaube teilweise
auch aus dem Unverständnis heraus, was

der Begriff eigentlich bedeutet. Er heißt
ja nicht „Schmeiße alle Daten weg, die du

hast“, also Datenarmut. Sondern er sagt
„Ja, du hast nicht das Recht, Daten zu

erheben, die du nicht benötigst für die
Erbringung der Dienstleistung oder des

Produkts. Weil diese Daten dich nichts
angehen von einer Bürgerin oder einem

Bürger. Und an bestimmter Stelle darfst du
Daten auch nur weiterverwenden – und bitte

jetzt kein Aufheulen, weil ich jetzt auch
hier einen holzschnittartigen Pulk mache –

wenn du Anonymisierung oder Pseudonymisierung
verwendet hast. Ich weiß auch, dass es

keine absolute Anonymisierung gibt. Den
Einschub mache ich mal kurz. Aber es gibt

natürlich situationsgerechte
Anonymisierung. Wenn ich für einen

Bruchteil der Sekunde für eine Steuerung
Daten brauche, dann ist das natürlich eine

andere Form des Aufwands, um in dem
Augenblick an Daten zu kommen, wenn sie

danach gelöscht werden, als wenn ich z. B.
biologische Daten für 30 Jahre ablege und

überhaupt nicht weiß, mit welchen
Technologien oder anderen Datenbanken, die

in Zukunft begegnet werden können, zu
einer Repersonalisierung. Wir glauben aber

auch, dass technologische Entwicklungen
wie dezentrales Lernen oder datenschutz-

konforme Data Spaces die Möglichkeit
geben, mit vielen Daten im Bereich der

künstlichen Intelligenz die
Prozesssteuerung zu optimieren. Aber wir

wollen eben auch eine solche
Herangehensweise haben und nicht die Idee,

große Data Lakes zu bilden, mit denen ich
dann später mal reinschaue: Was ist

möglich? Und dann, allerhöchstens wenn es
schon einen Missbrauch von Daten gegeben

hat, zu gucken: Entdecke ich diesen
Missbrauch, kann ich ihn ahnden? Und finde

ich dann als Aufsichtsbehörde auch noch
ein Gericht, das am Ende, wenn ich gesagt

habe „Das will ich bestrafen“, mir dann auch
noch Recht gibt. Denn ich muss ja jedes

Mal, wenn ich eine Entscheidung treffe,
eine Behörde oder ein Unternehmen mit

einer Sanktion zu belegen – beim
Unternehmen das Bußgeld durchaus, bei

einer Behörde vielleicht die Untersagung –
damit rechnen, dass ich vor Gericht so

etwas auch verlieren kann. Dementsprechend
kann es länger dauern. Und es liegt ja

nicht nur in meiner Hand, wie am Ende die
Praxis aussehen wird. Deswegen brauchen

wir eine ganz klare Regelung zu diesem
Bereich. Das ist eben kein Bremsschuh

für Innovationen, wenn man es von Anfang
an mitdenkt. Und wenn ich bei

Wirtschaftsverbänden spreche, stelle ich
einfach immer frech die Frage: Glauben Sie

denn, dass Sie als Silicon Valley-2 oder
als China-2 wirtschaftlichen Erfolg haben

werden? Oder sind Sie dann der billige
Abklatsch? Wäre es nicht besser, unsere

eigenen Werte einer IT-, einem KI-Verständnis
mit europäischen Werten abzubilden und

dafür im Wettbewerb nach Unterstützung zu
suchen? Und zwar in Europa, aber auch bei

den Menschen in der Welt, die gerne andere
Werte in ihren Sicherheitssystemen in

ihrem privaten Datennutzung verankert
hätten, als sie das in ihren Ländern

haben. Das war die Idee hinter der
Datenschutzgrundverordnung ohne Rücksicht

auf den Standort eines Unternehmens
Europäerinnen und Europäer zu schützen und

auch die Idee, dieses Recht zu
exportieren. Und im Augenblick sehen wir

die ersten Erfolge, dass andere Länder
Datenschutzrechte auf Grundlage der

Datenschutzgrundverordnung entwickeln. Wir
sind also hier an einer Stelle in einen

Wettbewerb eingetreten, mit amerikanischem
Recht, mit den Überlegungen in China. Ich

glaube, Europa sollte selbstbewusst sein,
diesen Wettbewerb anzunehmen. — <i>Applaus</i>

Wir erleben, dass nach wie vor die großen
Internetkonzerne – und ich bedauere jeden

Tag, dass wir zu keinem der großen
Entscheidungen schon eine entsprechend …

oder der großen offensichtlichen Datenschutz-
Verstöße durch große Internetkonzerne

schon eine Entscheidung auf europäischer
Ebene getroffen haben. Ich dringe bei

jedem Treffen des Europäischen
Datenschutzausschuss darauf, dass von den

vor allem federführenden Behörden in
Irland und Luxemburg diese Entscheidungen

jetzt vorgelegt werden. Sie werden
übrigens nachher mit Mehrheit im

Europäischen Datenschutzausschuss
beschlossen. Also man kann sich nicht

hinter einer nationalen Behörde
verstecken, weil nach wie vor unter den

Standardeinstellungen der großen Anbieter
– sei es die aus den USA, aber auch die

zunehmend in den Markt dringenden, vor
allem auch aus China und aus Russland;

andere werden kommen –, dass schon unter den
Standardeinstellungen weiterhin ungehemmt

persönliche Daten abgegriffen werden. Man
ist formal datenschutzkonform, aber

sammelt diese Daten ein und es bräuchte in
der Tat technische Kenntnisse, die hier im

Saal vorhanden sein werden, aber nicht im
ganzen Land vorhanden sind, nie vorhanden

sein werden und nicht auch nicht vorhanden
sein müssen, weil man auch durchs Leben

gehen muss, ohne Expertin oder Experte zu
sein. Wenn man diese Kerneinstellungen

nicht kennt, verliert man bei diesen
Anwendungen, bei diesen Systemen Daten.

Und selbst die, die versuchen, diese Daten-
Sammler zu meiden, gehen dort auf den

Leim, verlieren dort ihre Daten, wenn über
Tracking Tools, über Plug-Ins und Source

Code Development Kits diese Daten auch bei
Dritten gesammelt werden. Und auch in

diesen Fragen ist bisher leider außer
einem Versuch des Bundeskartellamts, das

nicht an die gleichen Regeln gebunden ist
wie ich als Bundesdatenschutzbeauftragter,

kein Versuch unternommen worden, das zu
stoppen. Ich habe bis heute die

Entscheidung des Düsseldorfer Gerichts –
soviel darf ich ja, wo ich jetzt kein

Staatssekretär im Justizministerium bin,
ja mal sagen – nicht nachvollziehen können.

Ich glaube, da war etwas zu wenig
Berücksichtigung von

Datenschutzgrundverordnung und verändertem
Wettbewerbsrecht seit 2016 in der

Betrachtung enthalten. Also wir brauchen
die Durchsetzung des bestehenden Rechts.

Wir brauchen Zertifizierung und
Labeling, damit man bestimmte Produkte

nehmen kann, sicher weiß, das Produkt für
sich hält die Regeln ein. Jetzt kann ich

darauf meine nächste Dienstleistung
optimieren. Und natürlich brauchen wir

auch Digital Literacy in der Bevölkerung
bis zu einem bestimmten Grad. Ich muss

wenigstens ungefähr verstehen, auf was ich
mich in einer digitalen Gesellschaft

einlasse. Ich persönlich würde mir
wünschen, dass wir die Möglichkeiten des

Schutz der Privatsphäre durch Technik
stärker ausarbeiten, also PIMs und PMTs fände

ich wichtig, in einer Form einzuführen,
auf die man sich verlassen kann. Eins

gilt: wenn große Konzerne Standards, die
mal eingeführt wurden, um sich zu schützen

wie den Do-not-Track-Standard, einfach
ignorieren, dann ist das nichts anderes

als ein Betteln um staatliche Regulierung.
Wer sich nicht an Standards hält, der

möchte Regulierung vom Staat bekommen. Und
aus meiner Sicht sollten sie die mit der

E-Privacy Verordnung auch bekommen.
<i>Applaus</i> — Normalerweise müsste ich als

Leiter einer Datenschutzbehörde aufschreien
bei Ideen wie Interoperabilität, weil

Interoperabilität Datenaustausch auch
bedeutet. Aber ich sehe heute einen Markt,

der sich oligopolisert. Und wenn ich die
Markteintrittsbarrieren für neue

Anbieterinnen/Anbieter senken will, dann
muss ich eine datenschutzfreundliche

Interoperabilität für die Anwendungen, die
so wichtig geworden sind auf dem Markt,

dass sie andere Dienste ersetzen, in denen
die Interoperabilität seit Jahren und

Jahrzehnten gilt, auch vorschreiben. Ich
meine zum Beispiel im Bereich von Social

Media und von Messenger Systemen. Dort
könnte man mit solchen Schritten durchaus

auch europäische Alternativen, am besten
natürlich auf Open-Source Basis

vorstellen. Ich würde mich freuen, wenn es
die deutsche Verwaltung der französischen

nachtun würde, vielleicht sogar mit den
Franzosen gemeinsam ein System entwickeln,

das dann schon mal 10 Millionen
Grundnutzerinnen und Grundnutzer in

Zentraleuropa hätte. Das wäre ein Anfang,
mit dem man mit ganz anderer Schlagkraft

eine solche Open-Source Messenger
Plattform in Europa etablieren könnte.

<i>Applaus</i> — Wir wollen für alle Formen von
Datenverwertung die gleichen Regeln haben.

Das gilt auch für die Sicherheitsbehörden,
die ja, wenn es Bundessicherheitsbehörden

sind, auch meiner Aufsicht unterliegen.
Seit 2001, seit dem 11. September, sind in

einer Geschwindigkeit neue
Sicherheitsgesetze in Deutschland

dazugekommen, die es schwierig machen,
noch nachzuvollziehen, was tatsächlich der

Stand des Datensammelns ist. Es hat nie
eine Evaluierung der Gesetze gegeben, ob

sie erfolgreich waren oder nicht. Wir
erleben dass teilweise neue Datenschutz-

Befugnisse gar nicht in der Breite
verwendet werden. Die Daten werden

gesammelt, aber nicht ausgewertet, weil
natürlich längst das Personal fehlt. Wir

haben problematische Datensammlungen, die
selbst von den Praktikerinnen und Praktikern

in den Sicherheitsbehörden als überflüssig
eingestuft werden. Gleichzeitig gibt es

aber natürlich auch immer wieder unbefugte
Zugriffe auf solche Daten. Wenn Sie den

Tagen zum Beispiel nochmal von der
Berliner Polizei das gelesen haben, wo die

Löschmoratorien dazu führen, dass seit
2013 keine Daten mehr aus den

polizeilichen Informationssystem genommen
werden, selbst wenn sie nur Opfer oder

Zeuge einer Straftat waren. Und die Daten
aber nicht etwa eine Zugriffsbefugnis zum

Beispiel für einen Untersuchungsausschuss
bekommen – Anis Amri oder NSU –, sondern

weiterhin für alle Polizistinnen und
Polizisten zugreifbar bleiben. Zu einem

Protokollierung stattfindet, man aber
nicht einmal begründen muss, warum man

darauf zugegriffen hat, und man sich dann
wundert, dass auf die Daten bestimmter

Prominenter besonders häufig zugegriffen
wird, auf die Daten von Kolleginnen und

Kollegen oder auch auf Nachbarn von
Menschen, die Zugriffsbefugnisse haben.

Und solange das der Stand ist, wäre das
natürlich nicht wichtig, Löschmoratorien

zu haben, sondern ein Sicherheitsgesetz-
Moratorium in diesem Land einzulegen und

erst mal zu prüfen: Wo sind wir eigentlich
übers Ziel hinausgeschossen? Wo gibt es

andere Mängel zu beseitigen, als laufend
Bürgerrechte einzuschränken? Mit der

Sammlung zusätzlicher Daten über die
Bürgerinnen und Bürgern. Das täte

Bürgerrechten und Sicherheit besser als
das nächste Gesetz. — <i>Applaus</i> —Stattdessen

sollten wir beim Datenschutz nachschärfen
Die Datenschutzgrundverordnung ist ein

großer Wurf, sie hat auch international
Strahlkraft, aber sie hat natürlich auch

ihre Grenzen, wo wir heute schon merken,
dass sie technologischen Entwicklungen

nicht ausreichend gefolgt ist, wo es
damals keinen Kompromiss gab und sie immer

noch auf dem Stand von 1995 ist. Wenn ich
jetzt fragen würde, wer 1995 noch gar

nicht geboren war, würden wahrscheinlich
einige Finger hochgehen. Sie können sich

aber überlegen, was das für ein Stein-
zeitalter aus technologischer Sicht ist.

Wir müssen es auch deswegen machen, weil
wir auch Vertrauen in Digitalisierung

gewinnen müssen. Ich glaube nämlich nicht,
dass Daten der Rohstoff des 21.

Jahrhunderts ist, sondern Vertrauen! In
einer so komplexen Welt, wo ich gar nicht

mehr weiß – Wo werden Daten erhoben, wer
verwendet sie und ähnliches mehr? – kann ich

nicht mir jedes einzelne Produkt, jede
einzelne Verbindung überprüfen, sondern

ich muss ein System haben, in dem ich der
Anbieterin oder Anbieter, sei es staatlich

oder privat, ein Grundvertrauen
entgegenbringen kann, weil sie bewiesen

haben, dass sie bestimmte Standards jedes
Mal einhalten, wenn sie hereingehen, weil

sie unabhängig überprüft werden können und
weil sie schwer bestraft werden, wenn sie

sich an diese Standards dann bei einem
Produkt nicht gehalten haben. Wenn wir

dies nicht machen, wenn wir das nicht
machen, hat es zwei Folgen. Es wird sich

gewehrt werden gegen Digitalisierung, da,
wo es möglich ist. Andere werden gar nicht

hineingehen. Wir wollen weder einen
Fatalismus nach dem Motto „Da kannst du

nichts machen, ich stimme allen zu“. Und
auch keine digitale Askese haben. Wir

möchten, dass Digitalisierung
gesellschaftliche Innovation und nicht nur

technologische Innovation ist. — <i>Applaus</i>
Deswegen sind wir unterwegs und möchten in

den Bereichen von Scoring und Profiling –
das sind ja die Schwestern des Trackings;

Ich versuche, Leute einzuordnen, zu
kategorisieren, statistisch in Gruppen

einzuteilen –; Da brauchen wir klare
Nachschärfungen. Und wir wollen natürlich

gerade den kleinen Unternehmern und den
Start-Ups und den Einzel-EntwicklerInnen

und -Entwicklern Erleichterungen im
Bereich der Informations- und

Dokumentationspflichten verschaffen. Da
glaube ich durchaus, kann man an einigen

Stellen zurückdrehen, wenn man dafür an
anderen Stellen das Datenschutzniveau

durchaus höher wertet. Wir versuchen zu
helfen, über Guidelines und Auslegungs-

Papiere, die wir heranziehen. Wir würden
aber gerne eins machen. Derzeit ist immer

Verantwortlicher im Sinne des
Datenschutzrechts die Person, die ein

System gegenüber Bürgerinnen und Bürgern,
Kundinnen und Kunden zum Einsatz bringt.

Ich glaube, dass wir die Herstellerinnen
und Hersteller von Systemen stärker in die

Verantwortung nehmen müssen und nicht nur
wegen Debatten, die Sie hier auf ihrem

Kongress selber in den letzten Tagen ja
geführt haben, und interessanten

investigativen Dokumenten, die Sie
veröffentlicht haben, sondern nur dann ist

das möglich. Ich habe hier nur kurz
gestanden und bin wieder auf die üblichen

Probleme angesprochen worden. Wie ist es
mit dem Einsatz von Windows 10 in meiner

Rechtsanwaltskanzlei, in meiner Behörde in
ähnlichem mehr? Und dann immer zu sagen,

„Ja derjenige der es einsetzt ist der
Verantwortliche im Sinne des

Datenschutzrechts“ ist, glaube ich bei
immer komplexer werdenden Systemen, bei

der Verabschiedung von der On-Premise-World
einfach zu kurz gesprungen und muss sich

technisch an der Stelle durchaus weiter
bewegen. Es gibt also eine ganze Menge zu

tun. Der Deutsche Bundestag hat uns
freundlicherweise eine deutliche

Aufstockung an Stellen gegeben. Vielen
Dank an die anwesenden

Bundestagsabgeordneten, damit wir ein
Stück noch mehr machen können. Sehr viel

werden wir in der Tat in den
Sicherheitsbereich investieren. Wir

stellen übrigens auch ein und deswegen an
alle, die im Saal sind: Wir brauchen Sie

als Unterstützerin und Unterstützer in der
Sache. Wir brauchen Sie als konstruktive

KritikerInnen und Kritiker. Wir brauchen
Sie als Beispielgeber und Beispielgeberinnen

für datenschutzfreundliche, innovative
Technologien. Und wir würden auch gerne

viele von Ihnen als Mitarbeiterinnen und
Mitarbeiter gewinnen. Es ist schön auf der

hellen Seite der Macht – kommen Sie zum
BfDI! Vielen Dank für das Interesse bis zu

dem Zeitpunkt. Ich freue mich
noch auf die Diskussion.

<i>Applaus</i>

Herald: So, wenn ihr Fragen habt, dann
stellt euch bitte an die Mikrofone hier im

Saal und versucht eure Fragen kurz zu
formulieren. Frage Nummer 1 geht an den

Signalangel.
Signalengel: Hier eine Frage von

Mastodon: Nach dir hält auch Arne
Semsrott von Frag den Staat seinen Talk.

Du bist ja auch
Informationsfreiheitbeauftragter. Hast du

eine Erklärung, warum Ministerien und
Behörden, die selber immer mehr Befugnisse

fordern, so unwillig sind, selber diese
öffentliche Daten auch preiszugeben?

Kelber : Nein. — <i>Lachen, vereinzelt Applaus</i>
Und selbst dann, wenn sie gute Beispiele

haben. Als wir damals im Justizministerium
2013 als neue Mannschaft angefangen

hatten, haben wir uns nach ein paar Wochen
entschieden, dass wir alle Stellungnahmen,

die im Rahmen zu Gesetzentwürfen ans
Ministerium geschickt werden – ist ja Teil

der Gesetzgebung, dass man dann sagt,
jetzt hätten wir gerne Kommentierungen von

Verbänden, Organisationen und anderen –
dass die alle öffentlich gemacht werden.

Es ist keine einzige weniger reingekommen,
aber jeder kann nachprüfen: Von wem sind

welche Anregungen zwischen Gesetzentwurf
und endgültigem Gesetz eingeflossen oder

nicht. Das ist das, was ich als
Vertrauensbildung meine. Es haben

teilweise einige übernommen, nachdem sie
vor Gericht dazu gezwungen wurden, haben

das wieder eingestellt. Jetzt machen Sie
es wieder. In der Tat kann

Informationsfreiheit für eine
Behördenleitung auch extrem ätzend sein.

Und zwar nicht, weil irgendwas
Unangenehmes nachher veröffentlich wird.

Dann muss man halt aufpassen, dass man
in den Kommentaren, die man auf

was drauf schreibt in der Wortwahl
gemäßigt bleibt. Also schreibe ich nicht

drauf. „Der Idiot“ oder so, sondern schreibe
ich „Ich bin nicht dieser Meinung“. Aber es

kann natürlich unglaublich viel Arbeit
sein. Ich ärgere mich auch; ich bekomm irgendeine

Beschwerde ins Haus. Nach zwei Wochen
stellt einer einen Informationsfreiheitsantrag

alle E-Mails, die zu der Beschwerde in
unserem Haus geflossen sind, zu sehen.

Dann schreiben wir ihm als Zwischengeschichte
auch noch zusätzlich zurück. Jetzt haben

wir die Stelle um Stellungnahme gebeten.
Dann kriegen wir sofort

Informationsfreiheitantrag, den gesamten
E-Mail-Verkehr mit der Stelle zu bekommen

und am Ende anstatt 10 Beschwerden
bearbeiten zu können, sind wir mit einer

Person beschäftigt. Das ärgert einen. Wir
sind natürlich die Guten. Da wir die

Informationsfreiheit haben, machen wir
natürlich gerne mit Freude. Aber wenn ich

zu ’ner Ministerin oder Minister gehe, die
kennen alle nur wieviele Leute werden

abgezogen, um auch seltsame
Informationsfreiheitsgeschichten zu

machen? Ich stoße dort auf wenige Fans. Zu
glauben, dass wir in absehbarer Zukunft

auf Bundesebene eine deutliche
Verbesserung des

Informationsfreiheitsgesetz sehen,
bezweifle ich. Da ist noch viel

Überzeugungsarbeit zu leisten.
Herald: Mikrofon Nr. 4. Deine Frage

bitte.
Frage: Herr Kelber, es ist Ihre Aufgabe,

die Geheimdienste und Sicherheitsbehörden
zu kontrollieren und den Datenschutz auch

dort. Sind Sie der Meinung, dass Sie das
effektiv tun können und ausreichend

Fähigkeiten und Befugnisse haben?
Und wenn nein, was fehlt?

Kelber: Die Kontrolle im Bereich der
Erhebung und Verarbeitung von Daten in dem

gesamten restlichen Bereich? Ich glaube,
mit den zusätzlichen Stellen, wenn wir sie

besetzt haben, haben wir durchaus erst
einmal Ressourcen, um auch die

Kontrolldichte hochzuhalten. Wir werden
selber arbeiten müssen bei der Überlegung,

wie technologische Veränderungen und auch
Veränderungen in den Informationssystemen

der Dienste unsere Kontrolltätigkeit
gegenüber früher verändern. Aber das ist

natürlich ganz was anderes. Ist Zugriff auf
eine sequentielle Datenbank mit einem

Gothemsystem vom Palantier, wenn es zum
Einsatz käme, was in der Kontrolle in dem

Unterschied ist, in der Zusammenarbeit der
Dienste untereinander mit dem Ausland,

gibt es aus meiner Sicht durchaus
Kontrolllücken. Da versuchen wir auch, mit

den anderen Aufsichtsgremien wie der
G-10-Kommission und der unabhängigen

Gruppe im Kontakt zu sein. Und ich hätte
gerne natürlich … also in der Joint Implementation

Richtlinie, die ich vorhin erwähnt hatte,
ja, für den Staatsbereich gilt. Die ist ja

in Deutschland auch nach 3 Jahren noch
nicht vollständig umgesetzt. Im Bereich

des BKA haben wir Untersagungsrechte.
Die müssten wir im

Bereich der Bundespolizei auch haben. Die
hat man noch nicht eingerichtet als

Gesetzgeber. Das ist ein Verstoß gegen
Europarecht in Deutschland. Wo es nicht

vorgeschrieben wird durch Europarecht,
aber sinnvoll wäre, wäre diese

Untersagungsrechte auch für die Dienste zu
haben. Das würde dann nicht nach dem

Motto, Ich sage dann „aber die waren jetzt
ganz gemein, haben sich nicht ans Recht

gehalten“, sondern ich könnte dann in
einem besonderen Fall in Zukunft

untersagen die Nutzung von Daten oder die
Löschung anweisen. Und der Dienst müsste

vor Gericht gehen und müsste vor Gericht
meine Anweisung widerrufen lassen. Ich

glaube, das wäre der bessere Weg für die
Aufsicht und würde auch mehr Verständnis

für die Arbeit der Dienste wecken. Aber
auch dafür gibt es noch keine Mehrheit

beim Gesetzgeber.
Herald: Mikrofon Nr. 2. Deine Frage

bitte.
Frage: Sie haben gesagt, dass wir ein

gewisses Maß an Digital Literacy brauchen,
um der Probleme Herr werden zu können. Ich

sehe gerade das Problem, dass wir
politisch eher in die entgegengesetzte

Richtung steuern, primär weil kommunal
z. B. Meldedaten verkauft werden und die

Bundesregierung auch eher rhetorisch
so eine … ökonomisch orientierte Linie

fährt. Wie werden wir dieser Sache Herr?
Kelber: Ich meinte ja mit dem Begriff

Digital Literacy, dass die Leute ein
Grundverständnis für digitale Vorgänge

haben. Was passiert? Was passiert mit
Daten? Wie funktionieren IT-Systeme?

Algorithmische Systeme? Das wird
übrigens—der Teil ist sicherlich auch

eine Aufgabe von Schulen und
Bildungsinstitutionen. Da aber 80 Prozent

der Bevölkerung die Schulzeit hinter sich
haben und mehr, werden wir sie auch über

andere Wege erreichen müssen. Dazu gehören
übrigens auch in den Informationspflichten

in der Datenverarbeitung nicht mehr „Ich
mache eine super lange Information“,

sondern ich muss an einer Stelle, wo etwas
passiert, eine leichte Erläuterung des

Vorgangs haben, damit die Menschen
tatsächlich mit dem Vorgang, den sie

machen, ein Verständnis entwickeln können.
Was Sie meinen, ist ja die Frage, wie ist

eigentlich die Souveränität? Wie kann ich
wenigstens wissen, was passiert? Was darf

der Staat machen? Schaffen die gesetzliche
Grundlage für die Weitergabe von Daten

einfach nur, weil sie davon ausgehen, dass
sie nicht genügend freiwillige

Einverständnisses bekommen. Da muss sich
der Gesetzgeber zurückhalten. Er sollte bei

den gesetzlichen Grundlagen trotzdem ’ne
Verhältnismäßigkeit bewahren. Ist übrigens

auch etwas, was wir natürlich in unseren
Stellungnahmen immer mitprüfen und was

auch vor Gericht angegriffen wird von
Nichtregierungsorganisationen. Das zweite

ist, das war das, was ich vorhin meinte
technische Maßnahmen, die den Bürger auf

einen höheren Stand nehmen.
Wenn wir jetzt wirklich mal an eine

Registermodernisierung in Deutschland
herantreten, bitte bitte nicht – weil es

aus meiner Sicht verfassungswidrig ist –
mit einem einheitlichen Identifier. Kann man

auch anders machen. Aber dann wäre
wirklich mal ein Datencockpit, wo

Bürgerinnen und Bürger sehen, zumindest
mal vielleicht außerhalb der unmittelbaren

Sicherheitsdienste schon mal sehen können:
Wer hat welche Daten, wer hat sie

abgerufen und mit wem geteilt? Von allen
staatlichen Registerstellen. Das kann man

heute technisch herstellen, und das wäre
dann auch ein Gebot, dass der Bürgerinnen

und Bürger etwas davon haben, wenn der
Staat seine IT-Systeme modernisiert.

<i>Applaus</i>
Herald: Mikrofon Nummer 8 Deine Frage

bitte.
Frage: Sie haben ja vorhin gesagt, dass

ein möglicher Weg zu sichereren oder
datenschutzfreundlicheren IT-Produkten

die Standardisierung und Zertifizierung
sein könnte. Was konkret ist denn da schon

in der Entwicklung? Auf was können wir uns
einrichten? Es gibt ja die ISO 27001,

aber da ist der Datenschutz eher ein
optionales Randthema. Und, genau,

was kommt jetzt konkret?
Kelber: Bei der Standardisierung sind wir

glaube ich noch nicht sehr weit. Aber wir
werden für die Entwicklungsmodelle gerade

im Bereich algorithmischer Systeme und KI-
Systeme, denke ich, nochmal für erweiterte

Standardisierung brauchen, mit der ich
wenigstens Modelle habe, wie ich in der

Entwicklung bestimmte Dinge
berücksichtige. Wann mache ich welche

Folgenabschätzungen? Wie steht die
Zurverfügungstellung von Daten aus? Wie

sieht die Kontrolle von Datenqualität aus,
und und und. Bei der Zertifizierung sind

wir ein Stückchen weiter. Ich spreche jetzt
bewusst nicht von Siegeln wie in dieser

Debatte über das IT-Siegel, das ja dann
logischerweise, wenn es ein Siegel sein

soll, auch weit über gesetzliche Vorgaben
hinausgehen müsste, sondern dass wir

ermöglichen, dass man, wenn man ein
Produkt hat, sich durch eine

Zertifizierungsstelle, die beliehen ist,
zertifizieren lassen kann, dass man damit

die Anforderungen des Gesetzes eingehalten
hat. Das heißt, der nächste, der es

einsetzt, bekommt das Siegel. Wenn ich das
wie vorgeschrieben einsetze, dann ist

dieser Bestandteil DSGVO-konform, und
ich muss mir bei dem, was ich add-on mache,

bin ich dann der Verantwortliche. Da sind
wir jetzt so weit, dass der Europäische

Datenschutzausschuss seine Guideline
verabschiedet hat. Danach haben Sie

erlaubt, dass die Nationalstaaten ihre
einbringen. Das haben wir im nächsten

Monat gemacht. Ich hoffe, dass wir
spätestens im Februar die Genehmigung

durch den europäischen
Datenschutzausschuss für die deutsche

Variante bekommen. Dann dürften in diesem
Jahr noch die ersten Akkreditierungen,

ersten Zertifizierer, durch die deutsche
Akkreditierungsstelle zugelassen werden.

Ich erwarte, dass zum Beispiel im
Bereich der Cloud-Dienste ein solcher

Zertifizierer an den Start geht.
Herald: Mikrofon Nummer 1,

deine Frage bitte.
Frage: Vielen Dank für den Vortrag, auch

dass Sie hier auf dem Kongress sind. Ja,
ich bin seit einiger Zeit verantwortlich

in IT-Management-Positionen …
Herald: Bitte die Frage!

Frage: … und auch da
implementierte ich natürlich sehr viele

Datenschutzmaßnahmen. Sie haben es kurz
angesprochen. Mich würde interessieren,

wann wir auch mal Ergebnisse sehen im
Bereich der großen Internetkonzerne –

Google, Facebook, Amazon und so weiter,
ob dann auch mal vielleicht Bußgelder etc.

auch an diese großen
Unternehmen zugeteilt werden.

Kelber: Der Druck natürlich auf die Ba…
Ich habe ja vor allem zwei nationale

Datenschutzbehörden genannt, die die
Zuständigkeit haben für besonders viele

der großen Internetkonzerne. Ganz kurzer
Exkurs europäisches Datenschutzrecht,

sogenannter One-Stop-Shop. Die nationale
Behörde, in der der Hauptsitz innerhalb

der Europäischen Union ist, ist zuständig.
Das heißt, bei den Großen wie Google und

Facebook und Microsoft und Apple ist das
z. B. Irland. Bei Amazon ist es Luxemburg

als ein Beispiel. Und das sind
natürlich erstens relativ kleine

Datenschutzbehörden. Sie haben einen
besonders wirtschaftsfreundliches

Verwaltungsrecht,—<i>vereinzelt Applaus</i>—
… Ja, es sind besonders hohe

Vorgaben dran, was man alles tun muss,
bevor man überhaupt einen Bescheid

herausgeben darf. Wenn meine irische
Kollegin so über Fälle sprechen würde, wie

ich das in Deutschland mache, würde sie
sofort vor Gericht scheitern. Weil dann

würde der Richter sagen „Sie waren
voreingenommen in der gesamten

Betrachtung“, völlig egal, ob sie selber
die Untersuchung gemacht hat oder jemand

anderes. Trotzdem haben wir gesagt, es
sind jetzt über 600 Tage, und wir wollen

zu sehr offensichtlichen Datenschutz-
Verstößen jetzt den Vorschlag der Iren

und der Luxemburger auf den Tisch kriegen.
Und dann schauen wir anderen uns an, ob

wir der gleichen Meinung sind. Und wenn
wir nicht der gleichen Meinung sind, dann

wird mit Mehrheit im Europäischen
Datenschutzausschuss darüber abgestimmt,

wie die Sicht der europäischen
Datenschutzbehörden sind. Und das ist dann

der erlassene Bescheid. Das heißt, die
Gefahr, dass wie in Deutschland das

Kraftfahrzeugbundesamt einfach alleine
entscheidet, entsteht am Ende im

Datenschutz nicht. Da können dann die
anderen Kraftfahrzeugsbehörden das

Kraftfahrzeugbundesamt bei Dieselgate
überstimmen. Das wäre doch schön, wenn es

da auch gegeben hätte. Aber es dauert
halt. Ich habe jetzt den Iren angeboten, dass

sie uns mal einen Fall abtreten dürfen.
Wir haben auch Fälle vorgeschlagen. Bisher

ist das noch nicht beantwortet worden. Der
irische Staat hat nur einen minimalen

Aufwuchs in diesem Jahr wiedergegeben
der Datenschutzbehörde. Die ist schon

gewachsen in den letzten Jahren nur ein
Viertel von dem, was die Kollegin

beantragt hatte. Und das ist ein Staat …
es ging um 5 Millionen Euro im Jahr. Der

gleiche Staat, der im Augenblick vor
Gerichten, versucht zu verhindern, dass

Apple ihm 14 Milliarden Euro Steuern bezahlen
muss. Da merken Sie, was der Gedanke

dahinter ist. Ich habe bewusst Dieselgate
verwendet, um deutlich zu machen: Das ist

ja auch den Nationalstaaten in der
Europäischen Union nicht fremd, sich

schützend vor einen Wirtschaftszweig zu
stellen. Aber das dürfen wir ihm einfach

nicht durchgehen lassen. Aber wann es
soweit ist, kann ich Ihnen noch nicht sagen.

<i>Applaus</i>
Herald: Signal-Angel, die nächste Frage

aus dem Internet bitte.
Frage: Woran scheitert es, dass

Datensparsamkeit so wenig Gehör in der
Politik stößt? Und wie können wir Hacker

dabei helfen, abseits davon
für Sie zu arbeiten? —<i>vereinzelt Lachen</i>

Kelber: Ich glaube, erst einmal hat es
eine erfolgreiche Lobbyarbeit darin

gegeben, Menschen an führenden Stellen
in der Politik zu verstehen zu geben,

Datensparsamkeit sei Datenarmut. Man müsse
wichtige Daten wegschmeißen. Damit würden

wir mit USA und China nie mehr
gleichziehen können. Dieser einfache

Dreisatz ist denen in die Köpfe implementiert
worden. Deswegen – habe ich tatsächlich auf

dem Digitalgipfel erlebt – wie einen Monat
bevor europäisches Recht ist, mit den

Stimmen Deutschlands beschlossen
wurde, endgültig wirksam wurde:

Datenschutzgrundverordnung, die
Bundeskanzlerin sich hinstellt und sagt:

„Wir müssen das Prinzip der
Datensparsamkeit aufgeben“. Das aber später

bindendes europäisches Recht wurde, vorher
bindendes deutsches Recht war. Das ist

schon etwas, was man selten erlebt an dem
Punkt. Da werden wir ein ganzes Stück für

werben müssen, dass das einfach nicht wahr
ist. Wenn wir aber auch einfache Narrative

gemeinsam entwickeln müssen, die ähnlich
aufzuführen. Ich finde ja so ein

Narrativ wie „dich gehen Daten nichts an,
die nichts mit einer Dienstleistung zu tun

haben“, ist so eine einfach, weil das ist
eine Werteentscheidung, die ich treffe. Und

solche Werteentscheidungen haben wir oft
getroffen. Klar wird es für Deutschland

wirtschaftlich attraktiver,
Kohlekraftwerke mit Kindern zu betreiben,

weil dann könnte man die Stollen kleiner
machen. Dann können wir gleich wieder mit

Preisen aus Kolumbien mithalten. Haben wir
uns aber aus Wertegründen entschieden, es

nicht zu tun. Dasselbe sollten wir auch
mit Daten machen, die unsere Grundrechte

beeinflussen.
<i>Applaus</i>

Herald: Mikrofon Nummer 4,
deine Frage bitte.

Frage: Herr Kelber, Sie haben ja selber
gesagt, dass Gesetze oftmals noch nicht

reichen. Mir persönlich geht es auch so,
dass ich das Gefühl habe, zum Beispiel die

Datenschutzgrundverordnung ist manchmal
ein bisschen zahnlos, und meine Frage an

Sie ist: Welche Handlungsalternativen
sehen Sie da? Wie sieht es aus z. B. mit

Bereitstellung von alternativer
Infrastruktur? Gerade zu Cloud, großen

Cloud-Anbietern zum Beispiel. Wie sieht es
aus mit Förderungen für Open-Source-

Software für Projekte, die z. B. auch
irgendwie grün unterwegs sind,

Daten schützen, wie auch immer. Was gibt’s
da für Möglichkeiten in der Politik?

Kelber: Ich glaube, man sollte nicht das
eine lassen und das andere unterschätzen

und das dritte dann nicht machen. Ich bin
für die Förderung vor allem dort, wo ich

glaube, mit der Förderung – das ist ja dann
mein Job – Verbesserungen für die Datenschutz-

Situation herbeizuführen. Das war das Beispiel
mit den Messengersystemen, weil die

natürlich welche sind, wo ganz
besonders viele relevante sensible Daten

abgegriffen werden. Da bin ich in eine
Monopolsituation reingekommen, die ich

nur noch mit Krafft aufbrechen kann.
Das eine wäre, diese Frage der

Interoperabilität zu erzwingen, wenn
allein ein Drittel der Sprachnachrichten

heutzutage über Messengersysteme, nicht
mehr über Handy oder Festnetz geht, da

müssen sie auch die gleichen Pflichten
erfüllen wie die anderen. Das ist z. B.

Interoperabilität. Ich glaube aber, und
deswegen werbe ich dafür. Und der Chef des

Bundesamtes für die Sicherheit in der
Informationstechnik hat ja ähnliches schon

mal verlautbaren lassen. Ich glaube
tatsächlich, wir sollten ein Messenger

System als deutsche Verwaltung – am besten
die gesamte, aber ansonsten muss der Bund

eben anfangen – anbieten für Bürgerinnen
und Bürger. Aber eins, das datenschutz-

freundlich ist. Und da, glaube ich, gehe
das tatsächlich nur auf der Open Source

Software Basis. Und wenn unser großer
Nachbarstaat es auf einer solchen Basis

macht – Matrix – sich dann anzuschauen,
sind das die gleichen Bedingungen, die die

Franzosen haben und dann noch mehr
Schlagkraft reinzubringen. Ich verstehe

das ja manchmal im privaten Umfeld nicht.
Dass Menschen, die 15 verschiedene

Leih-Fahrräder und -Elektroscooter-
Anwendungen auf ihrem Gerät haben, nicht

in der Lage sein wollen, einen zweiten
Messenger zu installieren, mit dem sie mir

ohne Daten abgreifen, mit mir
kommunizieren können, da ist irgendwie

eine Denkblockade. — <i>Applaus</i>
Herald: Mikrofon Nummer 2 bitte.

Frage: Wie sensibilisiert man den
durchschnittlichen nicht-IT-affinen Bürger

und Politiker für sein eigenes
Interesse an Datenschutz?

Kelber: Ansprechen! Die wollen auch
angesprochen werden. Den Bürgerinnen

und Bürgern muss man es wahrscheinlich …
Politikerinnen und Politiker wollen

angesprochen werden, auch die nicht-
Netzpolitiker, nicht die Digital-

Politikerinnen und -Politiker. Bei
Bürgerinnen und Bürgern wird man

vielleicht auch neben dem jährlichen
Skandal, nachdem es mal ein kurzes

Interesse gibt, das nicht immer sich im
Handeln ausprägt, wird man das auf eine

Art und Weise machen müssen, dass sie
Bilder erkennen, dass sie in einfachen

Systemen machen. Was meistens
funktioniert, wenn ich in Gruppen rede,

die keine Vorbildung haben, ist ihnen zu
verdeutlichen, was das, was im digitalen

Bereich gerade passiert, in ihrer
gewohnten analogen Welt bedeuten würde.

Wenn ich denen dann erzähle mit Tracking:
Stell dir mal vor, du gehst in die Bonner

Fußgängerzone und in dem Augenblick, wenn
du sie betrittst, beginnt einer, hinter dir

herzulaufen, der schreibt auf, an
welchen Geschäften du stehenbleibst, mit

wem du dich unterhälst. Der bietet dir
irgendwann Kaffee an. Kostenlos. Wenn ihr

nach dem Becher greift, sagt er aber „Ich
will erstmal gucken, wer waren denn die

letzten fünf Leute, die sie getroffen
haben.“ Wenn es verboten würde,

Briefumschläge zu verwenden, alles nur
noch auf Postkarten geschrieben werden

dürfte. Wenn Sie es so übertragen in die
Welt, die die kennen. Dann wird der ein

oder andere auch wach. — <i>Applaus</i> — Als ich
noch Parteipolitiker war, habe ich mir

immer mal vorgenommen, einen Kaffeestand beim
Tag der offenen Tür vorm Innenministerium

zu machen mit umsonst Kaffee. Aber den
kriegen die Leute dann tatsächlich nur,

wenn ich einmal kurz ihr Handy
durchgucken darf. — <i>Lachen, Applaus</i>

Aber das kann ich jetzt nicht mehr machen,
das traue ich mich nicht mehr.

Herald: Mikrofon Nummer 8 bitte!
Frage: Vielen Dank noch einmal für den

Talk. Man sieht hier auf dem Kongress
selbst da, wo man denkt, man hat viel

Gutes an Sicherheit gemacht, gibt es immer
noch Schlupflöcher. In den meisten Fällen

hat man nicht so viel Gutes gemacht. Daher
von mir die kurze Frage: Wie ist bei Ihnen

das Verhältnis Datenminimierung zu dem
Thema Datensicherheit, sprich in Form von

Sicherheitsmaßnahmen zu sehen? Wo ist die
Minimierung wichtiger? Und wo ist die

Sicherheit akzeptabel?
Kelber: Ich glaube übrigens, dass man

erstmal durch Datensicherheit eine ganze
Reihe von Datenschutz-Sicherheitsproblemen

ausschließen kann, aber was sie ja
wahrscheinlich ansprechen ist, dass ich an

manchen Stellen eventuell Daten sammeln
muss, um z. B. Angriffsvektoren oder

ähnliches zu erkennen. War es das,
was Sie meinten?

Frage: Es ging darum, dass wir überall
sehen: Belgacom. Da greift sich einfach ein

fremder Geheimdienst die Daten und
ähnliches …

Kelber: Daten. Dann ist Datenminimierung
ein Teil eines Datensicherheitskonzeptes.

Übrigens auch das Verteilthalten von Daten und
ähnliches ist eine Frage, die ich erwartet

hatte. Wie ist das im digitalen
Gesundheitsschutz? Es gibt ja Daten, wo

es durchaus unethisch sein könnte, sie
nicht einzusetzen. Aber was sind denn die

Sicherheitsmaßnahmen? Wie kann ich
wenigstens das Sicherheitsniveau

erreichen, das ich vorher in der analogen
Welt hatte, wo es ja auch eine Menge

Verstöße gab? Wo krieg ich eine
Verbesserung hin? Wo sind die Daten so

sensibel, dass ich mit zusätzlichen
Methoden dafür sorgen muss. Von daher auch

vielen Dank an den Kongress für die
Aufdeckung der Sicherheitsprobleme bei den

Karten. Thema Sie können sich sicher
sein, — <i>Applaus</i> — Sie können sich sicher

sein, dass das auch Thema meiner
Referatsleitungsrunde am 6. Januar

sein wird. — <i>Lachen, Applaus</i>
Herald: Mikrofon Nummer 1, Bitte.

Frage: Herr Kelber, schön, dass Sie hier
sind. Sie haben sehr ambitionierte Ziele

zu schadhaften Algorithmen geäußert und
auch zu, dass wir Vertrauen schaffen

müssen. Dann haben Sie eben
gerade noch was erzählt von den

Zertifizierungenmöglichkeiten? Da weise ich
mal darauf hin, dass die Diesel-Motoren

unserer Auto-Hersteller auch alle zertifiziert
sind. Um mal an Auguste Kerckhoff zu

erinnern: Die Sicherheit eines Algorithmus
kann nicht in der Geheimhaltung des

Algorithmus liegen, sondern sollte
möglichst vielen Experten offenstehen.

Jetzt die Frage: Sehen Sie eine andere
Möglichkeit als Open Source um Ihre Ziele,

Algorithmen – schadhafte Algorithmen – zu
verhindern oder Vertrauen zu schaffen? Ist

das mit proprietärer Software
überhaupt machbar?

Kelber: Thema für einen eigenen Vortrag.
Ich glaube, es wird Bereiche geben, wo ich

Daten, nur indem ich sie überhaupt … indem
ich den Algorithmus öffentlich mache, überhaupt

nur Teil einer Kritikalitätsbetrachtung
sein kann. Schauen Sie sich das auch mal in

Zusammenfassung der Empfehlung der Daten
Ethikkommission mit der Pyramide zu

algorithmischen System an. Da ist die
zweitoberste Stufe eine mit der

völligen Offenlage. Für mich als
Aufsichtsbehörde gilt aber trotzdem, dass

wir an bestimmten Stellen
hineingucken wollen in Systemen.

Das ist mir natürlich auch klar,
dass sich die sehr schnell ändern.

also dass ich nicht einmal einen
Punkt habe, wo ich da bin. Dem „Nein“

dort von Unternehmen oder
Behörden. Das akzeptieren wir nicht.

Also wir als Aufsichtsbehörde dürfen alles
sehen. Ansonsten bin ich auch bereit,

Zwangsmaßnahmen einzuleiten. Der Punkt
wird allerdings der sein, dass natürlich,

wenn nicht zertifiziert werden kann, dass
etwas, was eingesetzt ist, tatsächlich die

Punkte erreicht, die man zertifiziert,
dann darf auch kein Zertifikat erteilt

werden. Das war eine der Erfahrungen aus
dem Dieselgate. Deswegen habe ich in

meiner alten Verwendung ja noch
Koalitionsverhandlungen geführt, 2018,

nach den Bundes-Wink-Wochen gab es echte
Koalitionsverhandlungen. Und da steht ein

Satz drinnen: Es muss überhaupt mal etwas
geschaffen werden, wo öffentliche Behörden

die Kompetenz entwickeln können, in
algorithmische Systeme rein zu schauen.

Und das kann auch nicht sein, dass es
jeder einstellt. Weil ich kann nicht 20

Expertinnen / Experten einstellen, das BSI
40, das Kraftfahrzeugbundesamt 10, das

BaFin 10. Das wird nicht klappen. So viele
gibt es gar nicht auf dem Markt die das

können. Wir werden also eine Stelle
beauftragen. Kann ja auch an einem

Netzwerk mit Wissenschaft und
Zivilgesellschaft stehen, um die

Entwicklung von so etwas anzuschauen. Und
dann sind wir wieder etwas näher an dem,

was Sie gesagt haben.
Herald: Lieber Single-Angel, die nächste

Frage aus Internet.
Frage: Sollte man darauf achten, IFG-

Anfragen verantwortungsvoll zu stellen und
auf ein Minimum zu reduzieren, um die

Akzeptanz bei Ministerien zu erhöhen?
Kelber: Wie bei jedem Instrument sollte

man etwas nur dann machen, wenn man es
selber für richtig hält. Aber das ist der

erste Maßstab, natürlich. Aber das wird ja
allein nicht reichen. Ich habe natürlich

auch schon Informationsfreiheitsanfragen
gesehen, die man im Augenblick selber gesagt

hat „Die ist nicht sinnvoll.“ Nachher kam
etwas raus über den kleinen Umweg, wo man

gesagt hat „Es war gut, dass da einer
nachgefasst hat.“ Umgekehrt habe ich bei

Sicherheitsbehörden auch schon IFG-Anträge
gesehen, wo man nichts anderes versucht hat,

als den Ermittlungsstand der Sicherheits-
behörden gegen hochkriminelle Banden

herauszubekommen. Die Bandbreite ist so
groß, die Entscheidung treffen Sie selbst.

Das Gesetz sagt, was Sie dürfen, was Sie
nicht dürfen. Was beantwortet werden muss,

was nicht beantwortet werden muss. Und bei
allem, was das IFG angeht, sind wir noch

in der Ombudsmann-Funktion. Das heißt,
wenn eine Auskunft verweigert wird, können

Sie sich an uns wenden, und wir beurteilen
aus unserer Sicht noch einmal die

Situation.
Herald: Mikrofon Nr. 4, deine Frage?

Frage: Hallo, zunächst vielen Dank, dass
Sie hier sind. Vielen Dank für den Vortrag

und auch herzlichen Dank, dass Sie die
Problematik mit WiFi für die EU auf den

europäischen Datenschutztisch gebracht
haben. Zu meiner Frage: Sie hatten gerade

das Beispiel angesprochen mit der
Notwendigkeit von Datenschutz im

öffentlichen Raum, am Beispiel des Laufens
durch die Fußgängerzone in beispielsweise

Bonn. Sehen Sie dass momentan Arbeit im
Wettbewerbsrecht besteht, um entsprechend,

ich sage mal datensammelwütige
Geschäftsmodelle für Kommunen auch

handhabbar zu machen. Wir haben in Aachen
gerade das Problem, dass im Rahmen von der

Stadtmobiliarausschreibung man ich sage
mal die Wertschöpfung von Daten aus dem

öffentlichen Raum, in der Ausschreibung
nicht berücksichtigt hat, sodass die Stadt

jetzt in der Problematik ist, dass für eine
Stadtmobiliarausschreibung ein Anbieter, der

Daten abschnorchelt ein nach Wettbewerbsrecht
zu wählendes, weil günstigeres Angebot

vorgelegt hat, als ein Anbieter, der nicht
Daten abschnorchelt. Konkret geht es um

ICIM-Trekker an Bushaltestellen.
Kelber: Ist mir im Augenblick nichts

bekannt. Müsste ich tatsächlich
nachhaken, ob auf meiner Fachebene schon

Debatte gegeben hat? Vielen Dank für die
Anregung. Ist ja einer der Gründe, warum

ich hierher gekommen bin, Anregungen
mitzunehmen. Nein, kann ich Ihnen leider gar

nichts zu sagen. Ich weiß, dass im
Augenblick die nächste GWB Novelle dran

ist, aber was dort in den Entwürfen steht
und ob wir schon beteiligt wurden im

Vorfeld – manche Ministerien beteiligen uns
ja im Vorfeld – und dann geben wir unsere

Beratungen nicht öffentlich. Weiß ich
nicht, aber ist zumindest nicht von meinem

Fachebene für so relevant gehalten worden,
dass ich darüber informiert wurde. Also

wenn ist es nur auf kleiner Ebene.
Herald: Vielen Dank, Herr Kelber, für das

geduldige Beantworten aller Fragen. Vielen
Dank für Ihren Vortrag. Es können leider

nicht mehr alle Fragen drankommen.

<i>Applaus</i>

<i>36c3 Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!