WEBVTT

00:00:00.000 --> 00:00:19.189
<i>36c3 Vorspannmusik</i>

00:00:19.189 --> 00:00:22.980
Herald Engel: Unser nächster Vortrag hat
den Titel „Weichenstellung“. In welcher

00:00:22.980 --> 00:00:29.679
digitalen Welt werden wir leben? Der Herr
Kelber wird darin aufzeigen, welche Folgen

00:00:29.679 --> 00:00:33.509
die aktuellen politischen Entscheidungen
oder deren Ausbleiben auf unsere Zukunft

00:00:33.509 --> 00:00:38.468
als Gesellschaft haben. Insbesondere bei
den Themen digitale überwachung durch

00:00:38.468 --> 00:00:44.139
private und öffentliche Stellen. Ulrich
Kelber ist seit Januar diesen Jahres der

00:00:44.139 --> 00:00:48.449
Bundesdatenschutzbeauftragte, ist
studierter Diplominformatiker, hat 20

00:00:48.449 --> 00:00:54.670
Jahre im Bundestag als Bundestagsabgeordneter
gearbeitet und war vorher Staatssekretär

00:00:54.670 --> 00:00:58.359
im Justizministerium. Bitte begrüßt ihn
mit einem kräftigen Applaus.

00:00:58.359 --> 00:01:07.780
<i>Applaus</i>

00:01:07.780 --> 00:01:11.140
Ulrich Kelber: Ja, schönen guten Tag, auch
von meiner Seite, hab mich sehr über die

00:01:11.140 --> 00:01:16.420
Einladung gefreut. Ich bin natürlich etwas
beschämt, dass ich das erste Mal dabei bin,

00:01:16.420 --> 00:01:21.250
nämlich in den 20 Jahren, wo ich
tatsächlich Abgeordneter war, hat meine

00:01:21.250 --> 00:01:25.530
Familie gestreikt: neben den Wochenenden,
die immer dazugehören zur Arbeit, mir dann

00:01:25.530 --> 00:01:32.670
auch noch die Tage über Weihnachten für
digitale Themen frei zu geben. Aber

00:01:32.670 --> 00:01:36.270
nachdem ich ja im Januar in den Job
wechseln konnte, wo ich noch schön an

00:01:36.270 --> 00:01:41.479
einem Thema tief arbeiten kann, aber die
Wochenenden jetzt freier zur Verfügung

00:01:41.479 --> 00:01:46.189
habe, durfte ich mir zumindest mal einen
Tag dafür nehmen. Und ich hoffe, im

00:01:46.189 --> 00:01:49.409
nächsten Jahr vielleicht auch mal mit
Übernachtung ein bisschen mehr

00:01:49.409 --> 00:01:59.990
reinschnuppern auch in das, was andere zu
sagen und zu zeigen haben. — <i>Applaus</i>

00:01:59.990 --> 00:02:06.369
Ich habe in der Tat jetzt knapp ein Jahr in
der neuen Funktion zubringen können,

00:02:06.369 --> 00:02:11.820
versuchen, das Thema in der Breite
aufzunehmen, Schwerpunkte zu setzen,

00:02:11.820 --> 00:02:16.830
insbesondere bei den Aufgaben, die wir in
den letzten Jahren auch hinzubekommen

00:02:16.830 --> 00:02:21.010
haben: die Durchsetzung der europäischen
Datenschutzgrundverordnung, die

00:02:21.010 --> 00:02:25.100
Durchsetzung der ja erst noch in
nationales Recht umzusetzenden Joint

00:02:25.100 --> 00:02:30.270
Implementation Richtlinie, die Regulierung
von Scoring und Profiling, bereich-

00:02:30.270 --> 00:02:36.330
spezifische Gesetzgebung, die ja fast im
Wochenrhythmus erfolgt, insbesondere im

00:02:36.330 --> 00:02:41.870
Sicherheitsbereich und natürlich jetzt
auch drei Jahre oder dreieinhalb Jahre

00:02:41.870 --> 00:02:48.101
nach Inkrafttreten, anderthalb Jahre nach
der vollen Wirksamkeit. Auch die

00:02:48.101 --> 00:02:52.819
Überlegungen zur Weiterentwicklung
europäischen Datenschutzrechts. Und alles

00:02:52.819 --> 00:02:58.459
vor dem Hintergrund einer Entwicklung, wo
im Augenblick Weichenstellungen in der

00:02:58.459 --> 00:03:04.489
Frage von Regulierung, Nichtregulierung,
technische Entwicklung, Einführung von IT-

00:03:04.489 --> 00:03:09.129
Systemen gesetzt werden, die massive
Auswirkungen auch auf unsere

00:03:09.129 --> 00:03:13.129
Gesellschaftsordnung haben. Mich
interessieren die Debatten um digitale

00:03:13.129 --> 00:03:18.700
Überwachung, sei es durch private oder
staatliche Stellen und insbesondere

00:03:18.700 --> 00:03:23.129
natürlich auch der regelrechte hysterische
Wettlauf um immer neue

00:03:23.129 --> 00:03:30.240
Eingriffesbefugnisse von
Sicherheitsbehörden. — <i>Applaus</i> —

00:03:30.240 --> 00:03:34.260
Ich bin überzeugt, dass wir
schon die Weichenstellungen so vornehmen

00:03:34.260 --> 00:03:38.690
können, dass auch die digitale
Gesellschaft eine freiheitliche, liberale

00:03:38.690 --> 00:03:45.909
und diverse Gesellschaft bleibt. Aber
ausgemacht ist das noch keineswegs. Wir

00:03:45.909 --> 00:03:50.420
sehen immer wieder, dass die technischen
und ökonomischen Aspekte dieser Debatte in

00:03:50.420 --> 00:03:54.540
den Vordergrund gestellt werden und dass
es schwierig ist, durchzudringen mit

00:03:54.540 --> 00:03:59.139
gesellschaftspolitischen und
datenschutzrechtlichen Fragestellungen.

00:03:59.139 --> 00:04:05.450
Und wenn es eine Debatte gibt über diese
Weichenstellung in einer digitalpolitischen

00:04:05.450 --> 00:04:10.069
europäischen Debatte, dann werden eben vor
allem diese technischen und okönomischen

00:04:10.069 --> 00:04:15.000
Aspekte herangezogen. Es wird verwiesen
auf den Stand von ja durchaus

00:04:15.000 --> 00:04:20.740
durchaus weiterentwickelten Digital-
Ökonomien in den USA und China, deren

00:04:20.740 --> 00:04:25.650
Vorsprung im Bereich von dem, was immer
unscharf als „künstliche Intelligenz“

00:04:25.650 --> 00:04:31.849
bezeichnet wird. Dass dieser Vorsprung
uneinholbar geworden sei und wohlstands-

00:04:31.849 --> 00:04:36.240
gefährdend ist. Das wird durchaus als
Druckmittel verwendet, um dann bei

00:04:36.240 --> 00:04:42.970
einzelnen Debatten festzulegen, in welcher
Form darf es zu Datenverwertung mittels

00:04:42.970 --> 00:04:47.870
künstlicher Intelligenz, algorithmischer
Systeme oder auch der Nutzung von

00:04:47.870 --> 00:04:52.750
Datenbanken an der Stelle kommen? Und wenn
man etwas genauer hinschaut, dann ist es

00:04:52.750 --> 00:04:59.040
in der Tat natürlich so, dass in den USA
und China in manchen Sektoren bereits eine

00:04:59.040 --> 00:05:03.889
andere Phase der technologischen
Entwicklung eingetreten ist. Dort wird

00:05:03.889 --> 00:05:08.220
über deutlich höhere private und
staatliche Mittel in dem Bereich

00:05:08.220 --> 00:05:16.650
investiert. Aber man merkt auch, dass
beide Wirtschaftssysteme einen bestimmten

00:05:16.650 --> 00:05:21.680
Weg eingeschlagen haben für die Nutzung
von IT-System. In China entsteht ein

00:05:21.680 --> 00:05:27.510
Überwachungssystem, das den Polizeistaat
erst zur vollen Blüte bringen kann. Wer

00:05:27.510 --> 00:05:31.569
sich jetzt in den letzten Monaten ist das
mal zum Thema geworden mit dem, was im

00:05:31.569 --> 00:05:35.759
Westen des Landes bei den Uiguren
passiert. Aber ein System, wo das

00:05:35.759 --> 00:05:41.360
Verhalten aller Bürger digital überprüft
wird, was manche ja – außerhalb dieser

00:05:41.360 --> 00:05:46.540
Halle natürlich – nicht verstehen, ist, wie
analoges und digitales Leben heute so

00:05:46.540 --> 00:05:50.860
verschränkt sind, dass sie einander
beeinflussen. Dass deswegen eben auch auf

00:05:50.860 --> 00:05:57.840
das Verhalten außerhalb der unmittelbaren
digitalen Welt ein Verhaltensdruck

00:05:57.840 --> 00:06:03.850
ausgeübt wird. Wer sich im Sinne des
Systems verhält, dem winken Prämien,

00:06:03.850 --> 00:06:10.430
Belohnungen, Vorteile. Wer das nicht tut,
riskiert für sich und Angehörige

00:06:10.430 --> 00:06:18.039
Lebensmöglichkeiten vom Bildungssystem bis
hin zur Mobilität. Und es ist spannend,

00:06:18.039 --> 00:06:24.360
wer diese Standards setzt. Es ist
spannend, wie diese Standards sich ändern

00:06:24.360 --> 00:06:30.199
und vor allem, dass ein Gefühl entsteht,
dass ich gar nicht mehr abschätzen kann:

00:06:30.199 --> 00:06:35.320
Wann werde ich eigentlich beobachtet, mein
Verhalten interpretiert, gespeichert,

00:06:35.320 --> 00:06:42.150
bewertet von anderen. Und dies ist ein
Gefühl, dass es keine Bereiche mehr der

00:06:42.150 --> 00:06:45.910
Möglichkeit gibt, sich ins Private
zurückzuziehen, etwas zu tun, was

00:06:45.910 --> 00:06:52.039
vielleicht noch nicht von allen anderen so
vorgelebt wurde, verändert auch das eigene

00:06:52.039 --> 00:06:55.850
Verhalten. Das ist eine Entwicklung, die
sicherlich in Europa nur eine absolute

00:06:55.850 --> 00:07:00.900
Minderheit will, auch unter all denen,
die politische Positionen haben oder in

00:07:00.900 --> 00:07:04.459
der Wirtschaft an entscheidenden
Stellen kommt. Es gibt allerdings

00:07:04.459 --> 00:07:09.620
interessanterweise Studien, die unter
jüngeren Menschen schon eine größere

00:07:09.620 --> 00:07:17.210
Zustimmung zu einem solchen System zum
Ausdruck bringt, wo bestimmte

00:07:17.210 --> 00:07:22.530
Verhaltensweisen, die als durchaus … man
fängt ja an, mit welchen, die tatsächlich

00:07:22.530 --> 00:07:26.306
vielleicht gesellschaftspolitisch von der
großen Mehrheit nicht gewünscht sind,

00:07:26.306 --> 00:07:30.130
sanktionieren kann. Aber wie gesagt, die
große Mehrheit will das nicht, und zwar

00:07:30.130 --> 00:07:34.490
weder vom Staat noch von privaten Konzernen.
Also weder das chinesische Modell, noch

00:07:34.490 --> 00:07:40.240
das US-amerikanische Modell, die sich
ja durchaus auch beide teilweise mit

00:07:40.240 --> 00:07:47.360
Aspekten des anderen – die USA im
Sicherheitsbereich, die chinesische Seite

00:07:47.360 --> 00:07:51.940
mit dem Zusammenwirken zwischen Staat und
privaten Konzernen – beginnt. Und auch wenn

00:07:51.940 --> 00:07:56.590
das keiner in Europa will, glaube ich,
dass dieses Überwachungsgift durchaus in

00:07:56.590 --> 00:08:03.180
unser System träufelt von Tag zu Tag. Und
zwar, dass man Überwachung durchführen

00:08:03.180 --> 00:08:07.582
will, weil man sie durchführen kann. Dass
man Datensammlungen betreibt, wenn man

00:08:07.582 --> 00:08:12.569
diese Daten sammeln kann, weil Sensoren,
Speicher und Verarbeitungsmöglichkeiten

00:08:12.569 --> 00:08:17.539
immer kleiner, schneller, besser und
billiger werden. Und dass Dinge, die man

00:08:17.539 --> 00:08:22.229
vorher nicht gemacht hat, weil einfach der
Aufwand zu groß war, jetzt praktisch im

00:08:22.229 --> 00:08:29.419
Vorbeigehen mitlaufen lässt. Und wo kann
man dieses Gift schon spüren? Das spürt

00:08:29.419 --> 00:08:34.310
man, wenn die Geschäftsmodelle von
Verlagen in den politischen Debatten

00:08:34.310 --> 00:08:39.770
Vorrang bekommen sollen vor der
Unverletzlichkeit der Privatsphäre von

00:08:39.770 --> 00:08:44.920
Bürgerin und Bürger, wenn die Komfort
gegen Daten getauscht wird, auch im

00:08:44.920 --> 00:08:51.440
Individualverhalten. Und wenn Sicherheit
vor Freiheit gesetzt wird bei der Debatte:

00:08:51.440 --> 00:08:55.800
Was kann ich mit einem zusätzlichen
Durchgriffsrecht, Eingriffsrecht von

00:08:55.800 --> 00:09:02.439
Sicherheitsbehörden erreichen? Dann
erleben wir, dass die Bewertung von

00:09:02.439 --> 00:09:08.209
Verhalten und das Bewerten von Gesinnung,
wenn sie in die Auswertung mancher Daten

00:09:08.209 --> 00:09:12.129
schauen und auch in die ein oder anderen
Gesetzentwurf, wo jetzt auf einmal wieder

00:09:12.129 --> 00:09:17.840
aufgebracht wird, wer etwas unterstützt
oder befürwortet, dass das ebenfalls

00:09:17.840 --> 00:09:22.949
Einfluss nimmt, damit Normmodelle setzt,
die dann in der Verarbeitung von Daten

00:09:22.949 --> 00:09:28.100
überprüft werden durch Staat und durch
private Stellen auch in der Europäischen

00:09:28.100 --> 00:09:33.670
Union. Und wie wir das ausgestalten, wie
wir zum Beispiel über eine E-Privacy

00:09:33.670 --> 00:09:36.760
Verordnung in der Frage von Tracking
sprechen, das ist eine dieser

00:09:36.760 --> 00:09:42.429
Weichenstellungen, die ich meinte mit dem
Titel des Vortrags. Im Zentrum dieser

00:09:42.429 --> 00:09:46.159
Debatten steht tatsächlich das, was immer
mit dem großen Schlagwort „Künstliche

00:09:46.159 --> 00:09:50.930
Intelligenz“ genommen wird. Sind genügend
im Saal, mit denen man sich 2 Stunden darüber

00:09:50.930 --> 00:09:55.000
unterhalten könnte, was dieses Schlagwort
wirklich meint und wo es nicht meint. Aber

00:09:55.000 --> 00:09:59.319
das lasse ich mal außen vor. Ich spreche
über KI und algorithmische Systeme, mal

00:09:59.319 --> 00:10:06.940
als Bandbreite. Wir Datenschutzbeauftragten
haben für uns erkannt, dass es unsere

00:10:06.940 --> 00:10:11.220
Arbeit verändert. Dass es aber eben
auch eine große Auswirkung auf

00:10:11.220 --> 00:10:16.920
die Frage von Regulierung haben. Haben
deswegen in diesem Jahr, im Frühjahr und

00:10:16.920 --> 00:10:21.850
dann ausgearbeitet noch bis in den Herbst
bei der Tagung in Trier im Frühjahr die

00:10:21.850 --> 00:10:26.400
Hambacher Erklärung herausgegeben, auf
Schloss Hambach. Wir haben dieses Symbol

00:10:26.400 --> 00:10:33.390
tatsächlich gewählt. Das Hambacher
Freiheitsfest von 1832, wo die

00:10:33.390 --> 00:10:37.350
Grundrechte, die Bürgerrechte, auch in den
Vordergrund gestellt wurden. Übrigens ein

00:10:37.350 --> 00:10:41.300
internationales Fest, weil es immer manche
Deutschtümeler versuchen, für sich zu

00:10:41.300 --> 00:10:47.220
gewinnen. Es waren Franzosen und Polen und
andere Delegierte dort. Und haben

00:10:47.220 --> 00:10:51.880
versucht, Grundprinzipien bei diesem
Einsatz zu definieren. Menschen nicht zum

00:10:51.880 --> 00:10:55.809
bloßen Objekt einer solchen
Datenverarbeitung zu machen, das

00:10:55.809 --> 00:11:00.920
Zweckbindungsgebot nicht fallen zu
lassen. Nicht so einfach auch in der

00:11:00.920 --> 00:11:04.790
Entwicklung solcher Systeme. Die
Transparenz, die Nachvollziehbarkeit und

00:11:04.790 --> 00:11:10.780
die Erklärbarkeit von KI-Systemen, die
Verhinderung von Diskriminierung und den

00:11:10.780 --> 00:11:14.130
Grundsatz der Datenminimierung. Die
letzten drei sind übrigens sehr

00:11:14.130 --> 00:11:18.659
interessant in der gesamten Debatte mit
Techis, weil mir das selbst bei Leuten, die

00:11:18.659 --> 00:11:24.860
absolut liberal in ihren Grundsätzen sind,
immer wieder auffällt, dass sie ablehnen

00:11:24.860 --> 00:11:31.010
diese Verantwortung in der Entwicklung von
Systemen mit zu übernehmen. Uns wird dann

00:11:31.010 --> 00:11:34.829
entgegen geschleudert, das wäre ein
Generalverdacht. Wir würden zusätzlichen

00:11:34.829 --> 00:11:39.370
Aufwand berücksichtigen. Aber ich glaube,
wer solche Macht ausübt mit solchen

00:11:39.370 --> 00:11:43.870
Systemen in der Öffentlichkeit, der muss
zumindest selber überlegen: Kann der

00:11:43.870 --> 00:11:49.321
Bereich, in dem ich gerade arbeite,
Auswirkungen auf Menschen und Ihre Rechte

00:11:49.321 --> 00:11:52.760
haben? Und was muss ich dann
berücksichtigen in der Entwicklung dieser

00:11:52.760 --> 00:11:56.890
Technologie? Wir haben natürlich auch über
Verantwortlichkeit gesprochen. Jedes

00:11:56.890 --> 00:12:01.790
System muss auch jemand haben, den ich.
Ansprechen kann auf Fehlverhalten, auf

00:12:01.790 --> 00:12:06.990
Diskriminierungspotenziale und ähnliches.
Das kann nicht verwischen in einem

00:12:06.990 --> 00:12:18.900
komplexen Netzwerk unterschiedlicher
Systeme. Und wenn man … — <i>Applaus</i> Und wenn

00:12:18.900 --> 00:12:23.110
man dann wirtschaftspolitisch an das Ganze
herangeht, ist es regelrecht absurd, dass

00:12:23.110 --> 00:12:28.950
hier in Deutschland und in Europa, wo wir
eigentlich Erfahrung mit Datenschutz und

00:12:28.950 --> 00:12:33.520
ich hoffe auch mit IT-Sicherheit haben, wo
wir Gesetze haben, die uns dazu

00:12:33.520 --> 00:12:38.669
verpflichten, in diesem Bereich höhere
Qualität anzubieten als in anderen

00:12:38.669 --> 00:12:42.990
Weltregionen. Dass in dieser Weltregion
die Wirtschaftsverbände und die

00:12:42.990 --> 00:12:49.179
Unternehmen unterwegs sind, über diese
Regulierungen jammern und in anderen

00:12:49.179 --> 00:12:53.510
Weltregionen mehr oder minder glaubhaft
wie z. B. in den USA die ersten Unternehmen

00:12:53.510 --> 00:12:57.920
unterwegs sind und sagen: Wir wollen darüber
werben für unsere Produkte, für unsere

00:12:57.920 --> 00:13:02.770
Dienstleistungen, dass wir über die
gesetzlichen Vorgaben hinausgehen. Dass

00:13:02.770 --> 00:13:08.220
wir das von Anfang an mit rein nehmen.
Hätten wir das auch bei Autos, Maschinen

00:13:08.220 --> 00:13:11.970
und anderen Produkten gemacht, wäre
Deutschland ein armseliger Standort. Ich

00:13:11.970 --> 00:13:16.089
verstehe nicht, warum wir in der Digital-
Ökonomie auf den niedrigsten Standard einen

00:13:16.089 --> 00:13:19.890
Wettlauf nach unten machen wollen, nach
Meinung der Wirtschaftsverbände, anstatt

00:13:19.890 --> 00:13:23.689
mit Qualität und Unique Selling Points
auch weltweit zu punkten. Das wäre im

00:13:23.689 --> 00:13:27.090
Datenschutz, in der IT-Security,
wirklich möglich.

00:13:27.090 --> 00:13:35.380
<i>Applaus</i>
Wir begegnen natürlich immer einem

00:13:35.380 --> 00:13:39.799
logischen Wunsch. Das ist wirklich bei
Wirtschaft, Techies und großen Teilen der

00:13:39.799 --> 00:13:46.570
Politik gleich: Wir brauchen für die
Optimierung von Prozesssteuerung, so die

00:13:46.570 --> 00:13:51.230
Argumentation, die deutliche Erhöhung der
Menge an nutzbaren, qualitativ

00:13:51.230 --> 00:13:56.650
hochwertigen Daten. Ich will mich dem
übrigens keineswegs verschließen, weil ich

00:13:56.650 --> 00:14:01.150
durchaus der Meinung bin, selber eine
ganze Reihe von Prozessen zu sehen, wo ich

00:14:01.150 --> 00:14:06.040
mit dem richtigen Zugriff auf
verantwortlich zur Verfügung stellbare

00:14:06.040 --> 00:14:10.770
Daten, deutliche Verbesserungs-,
Optimierungs- und Fortschritts-Potenziale

00:14:10.770 --> 00:14:15.060
sehe. Aber es geht doch darum,
den Prozess so zu organisieren, dass

00:14:15.060 --> 00:14:21.000
Persönlichkeitsrechte, das Recht auf
informationelle Selbstbestimmung und

00:14:21.000 --> 00:14:26.490
andere Grundrechte nicht eingeschränkt
werden, nicht verletzt werden, sondern

00:14:26.490 --> 00:14:30.120
dass wir die neuen technischen
Möglichkeiten sogar nutzen, um

00:14:30.120 --> 00:14:33.670
informationelle Selbstbestimmung an
Stellen zu schaffen, wo ich sie in der

00:14:33.670 --> 00:14:38.380
Vergangenheit gar nicht hatte, weil sie
mir nicht zur Verfügung gestanden hat. Und

00:14:38.380 --> 00:14:42.640
diese Debatte zu führen und anders auf den
Markt zu treten, das ist der Vorschlag,

00:14:42.640 --> 00:14:46.850
den die deutschen Datenschutzbehörden mit
der Hambacher Erklärung und anderen

00:14:46.850 --> 00:14:52.110
Beschlüssen gefasst haben. Und auch der
Europäische Datenschutz-Ausschuss ist uns

00:14:52.110 --> 00:14:57.080
dort vor kurzem gefolgt. Ich glaube, dass
die Regulierung von künstlicher

00:14:57.080 --> 00:15:01.100
Intelligenz, von algorithmischen Systemen,
da eintreten muss, wo Gefahr für diese

00:15:01.100 --> 00:15:05.839
Rechtsgüter besteht – des Einzelnen oder
der Allgemeinheit. Sie haben vielleicht

00:15:05.839 --> 00:15:10.959
zum Teil mitverfolgt, dass es manche gibt:
Der Datenschutz übernähme sich, sagen die,

00:15:10.959 --> 00:15:15.010
wenn er nicht nur den Schutz des Einzelnen,
sondern einen gesellschaftspolitischen

00:15:15.010 --> 00:15:20.500
Zweck verfolgt. Aber natürlich habe ich
viele Stellen, wo die Frage des Schutz des

00:15:20.500 --> 00:15:24.860
Einzelnen ohne eine Beantwortung der
Rechte in der Gemeinschaft gar nicht zu

00:15:24.860 --> 00:15:29.900
leisten ist. Vom simpelsten Beispiel an:
wenn ich zulasse, dass bestimmte Daten

00:15:29.900 --> 00:15:33.930
erhoben werden können, freiwillig, dann
ist derjenige, der nicht bereit ist,

00:15:33.930 --> 00:15:37.880
freiwillig sie zur Verfügung zu stellen,
natürlich am Ende der*die Gekniffene, wenn

00:15:37.880 --> 00:15:42.001
die anderen diese Daten zur Verfügung gestellt
haben. Deswegen ist es richtig, an einem

00:15:42.001 --> 00:15:45.970
solchen Beispiel, wo es um besonders
sensible Daten geht, natürlich ein

00:15:45.970 --> 00:15:50.250
Erhebungs- und Verwertungsverbot allgemein
auszusprechen und es nicht mehr auf die

00:15:50.250 --> 00:15:58.949
Freiwilligkeit zurückfallen zu lassen.
— <i>Applaus</i> — Und diese Idee, auch

00:15:58.949 --> 00:16:04.040
technologische Entwicklungen und deren
Einsatz regulieren zu wollen, ist aber

00:16:04.040 --> 00:16:09.440
auch gar nichts Neues. Das haben wir doch
immer so gemacht. In den letzten zwei,

00:16:09.440 --> 00:16:13.750
dreihundert Jahren, seit wir eine
einigermaßen entwickelte Zivilgesellschaft

00:16:13.750 --> 00:16:19.180
und politische Debatte haben. Wir haben es
bei Dampfkesseln gemacht, wir haben es bei

00:16:19.180 --> 00:16:23.420
medizinischen Geräten, Autos und Handys
gemacht. Was sollte uns davon abhalten,

00:16:23.420 --> 00:16:30.310
diese Debatte zielgerichtet und
praktikabel auch im Bereich von Software

00:16:30.310 --> 00:16:36.030
und von Hybrid-Systemen einzuführen? Ein
Beispiel dafür; das war ja etwas, was die

00:16:36.030 --> 00:16:40.490
Datenethikkommissionen genannt hatte, als
sie gesagt hat, es muss auch die

00:16:40.490 --> 00:16:44.910
Möglichkeit des Verbots – um jetzt mal die
weitestgehende Möglichkeit zu benennen –

00:16:44.910 --> 00:16:50.850
von Algorithmen mit unvertretbarem
Schädigungspotenzial geben. Schon diese –

00:16:50.850 --> 00:16:56.699
eigentlich selbstverständliche – Forderung
„unvertretbares Schädigungspotenzial“ hat

00:16:56.699 --> 00:17:00.581
zu Widerspruch bei einigen
Wirtschaftsverbänden geführt. Also was das

00:17:00.581 --> 00:17:05.310
für ein Verständnis der Rolle von Staat
als Zusammenschluss der Gesellschaft gibt:

00:17:05.310 --> 00:17:09.100
„Es gibt bestimmte Dinge, die ich nicht
zulasse. Bestimmte medizinische Geräte

00:17:09.100 --> 00:17:14.949
sind nicht zugelassen. Der Verkauf von
Organen ist nicht zugelassen. Kinderarbeit

00:17:14.949 --> 00:17:19.309
ist nicht zugelassen.“ Und warum soll ich
nicht die Erlaubnis haben, bestimmte

00:17:19.309 --> 00:17:24.150
Software-Einsätze zu regulieren bis hin zu
einem Verbot? Wir unterhalten uns ja über

00:17:24.150 --> 00:17:30.711
eine kleine Spitze in einem unglaublich
innovativen Markt, wo 99,99% aller

00:17:30.711 --> 00:17:34.590
algorithmischen Systeme, die in Umlauf
kommen, nie mit einer Aufsicht oder einer

00:17:34.590 --> 00:17:39.141
Kontrolle zu tun haben werden. Aber um
diese Spitze müssen wir uns kümmern. Ich

00:17:39.141 --> 00:17:44.320
will jetzt nicht das ohnehin gestresste
Beispiel von automatischen Waffensystemen

00:17:44.320 --> 00:17:49.580
oder Hochfrequenzhandel heranbringen. Aber
schon im Bereich der Bildung, von

00:17:49.580 --> 00:17:53.450
persönlichen Profilen und der Frage, wem
sie zur Verfügung gestellt werden dürfen

00:17:53.450 --> 00:17:57.520
oder nicht, kann es solche unvertretbaren
Schädigungspotenziale geben und damit

00:17:57.520 --> 00:18:07.620
die Möglichkeit auch des Verbots in der
Regulierung. — <i>Applaus</i> — Und in der Tat

00:18:07.620 --> 00:18:13.550
kämpfen wir darum, dass das Prinzip der
Datenminimierung – so heißt es jetzt in der

00:18:13.550 --> 00:18:17.500
deutschen Version des europäischen
Datenschutzgrundverordnung. Früher hieß es

00:18:17.500 --> 00:18:21.990
mal Datensparsamkeit –, dass dieses Prinzip
nicht über den Haufen geworfen wird. Es

00:18:21.990 --> 00:18:29.460
wird angegriffen von allen Ecken: aus
dem technischen Umfeld, aus den

00:18:29.460 --> 00:18:34.030
Wirtschaftsverbänden, aus der Politik bis
hoch zu den Reden von Wirtschaftsministern

00:18:34.030 --> 00:18:38.733
und Bundeskanzlerin. Ich glaube teilweise
auch aus dem Unverständnis heraus, was

00:18:38.733 --> 00:18:42.630
der Begriff eigentlich bedeutet. Er heißt
ja nicht „Schmeiße alle Daten weg, die du

00:18:42.630 --> 00:18:48.420
hast“, also Datenarmut. Sondern er sagt
„Ja, du hast nicht das Recht, Daten zu

00:18:48.420 --> 00:18:52.390
erheben, die du nicht benötigst für die
Erbringung der Dienstleistung oder des

00:18:52.390 --> 00:18:57.920
Produkts. Weil diese Daten dich nichts
angehen von einer Bürgerin oder einem

00:18:57.920 --> 00:19:03.122
Bürger. Und an bestimmter Stelle darfst du
Daten auch nur weiterverwenden – und bitte

00:19:03.122 --> 00:19:07.080
jetzt kein Aufheulen, weil ich jetzt auch
hier einen holzschnittartigen Pulk mache –

00:19:07.080 --> 00:19:11.340
wenn du Anonymisierung oder Pseudonymisierung
verwendet hast. Ich weiß auch, dass es

00:19:11.340 --> 00:19:15.143
keine absolute Anonymisierung gibt. Den
Einschub mache ich mal kurz. Aber es gibt

00:19:15.143 --> 00:19:18.660
natürlich situationsgerechte
Anonymisierung. Wenn ich für einen

00:19:18.660 --> 00:19:23.970
Bruchteil der Sekunde für eine Steuerung
Daten brauche, dann ist das natürlich eine

00:19:23.970 --> 00:19:28.060
andere Form des Aufwands, um in dem
Augenblick an Daten zu kommen, wenn sie

00:19:28.060 --> 00:19:32.750
danach gelöscht werden, als wenn ich z. B.
biologische Daten für 30 Jahre ablege und

00:19:32.750 --> 00:19:36.580
überhaupt nicht weiß, mit welchen
Technologien oder anderen Datenbanken, die

00:19:36.580 --> 00:19:41.020
in Zukunft begegnet werden können, zu
einer Repersonalisierung. Wir glauben aber

00:19:41.020 --> 00:19:44.860
auch, dass technologische Entwicklungen
wie dezentrales Lernen oder datenschutz-

00:19:44.860 --> 00:19:49.300
konforme Data Spaces die Möglichkeit
geben, mit vielen Daten im Bereich der

00:19:49.300 --> 00:19:53.500
künstlichen Intelligenz die
Prozesssteuerung zu optimieren. Aber wir

00:19:53.500 --> 00:19:57.870
wollen eben auch eine solche
Herangehensweise haben und nicht die Idee,

00:19:57.870 --> 00:20:03.120
große Data Lakes zu bilden, mit denen ich
dann später mal reinschaue: Was ist

00:20:03.120 --> 00:20:07.210
möglich? Und dann, allerhöchstens wenn es
schon einen Missbrauch von Daten gegeben

00:20:07.210 --> 00:20:12.420
hat, zu gucken: Entdecke ich diesen
Missbrauch, kann ich ihn ahnden? Und finde

00:20:12.420 --> 00:20:16.270
ich dann als Aufsichtsbehörde auch noch
ein Gericht, das am Ende, wenn ich gesagt

00:20:16.270 --> 00:20:20.290
habe „Das will ich bestrafen“, mir dann auch
noch Recht gibt. Denn ich muss ja jedes

00:20:20.290 --> 00:20:24.130
Mal, wenn ich eine Entscheidung treffe,
eine Behörde oder ein Unternehmen mit

00:20:24.130 --> 00:20:28.290
einer Sanktion zu belegen – beim
Unternehmen das Bußgeld durchaus, bei

00:20:28.290 --> 00:20:31.981
einer Behörde vielleicht die Untersagung –
damit rechnen, dass ich vor Gericht so

00:20:31.981 --> 00:20:37.150
etwas auch verlieren kann. Dementsprechend
kann es länger dauern. Und es liegt ja

00:20:37.150 --> 00:20:41.440
nicht nur in meiner Hand, wie am Ende die
Praxis aussehen wird. Deswegen brauchen

00:20:41.440 --> 00:20:46.230
wir eine ganz klare Regelung zu diesem
Bereich. Das ist eben kein Bremsschuh

00:20:46.230 --> 00:20:51.330
für Innovationen, wenn man es von Anfang
an mitdenkt. Und wenn ich bei

00:20:51.330 --> 00:20:55.730
Wirtschaftsverbänden spreche, stelle ich
einfach immer frech die Frage: Glauben Sie

00:20:55.730 --> 00:21:01.760
denn, dass Sie als Silicon Valley-2 oder
als China-2 wirtschaftlichen Erfolg haben

00:21:01.760 --> 00:21:05.690
werden? Oder sind Sie dann der billige
Abklatsch? Wäre es nicht besser, unsere

00:21:05.690 --> 00:21:13.280
eigenen Werte einer IT-, einem KI-Verständnis
mit europäischen Werten abzubilden und

00:21:13.280 --> 00:21:18.560
dafür im Wettbewerb nach Unterstützung zu
suchen? Und zwar in Europa, aber auch bei

00:21:18.560 --> 00:21:23.890
den Menschen in der Welt, die gerne andere
Werte in ihren Sicherheitssystemen in

00:21:23.890 --> 00:21:27.430
ihrem privaten Datennutzung verankert
hätten, als sie das in ihren Ländern

00:21:27.430 --> 00:21:32.160
haben. Das war die Idee hinter der
Datenschutzgrundverordnung ohne Rücksicht

00:21:32.160 --> 00:21:36.520
auf den Standort eines Unternehmens
Europäerinnen und Europäer zu schützen und

00:21:36.520 --> 00:21:40.080
auch die Idee, dieses Recht zu
exportieren. Und im Augenblick sehen wir

00:21:40.080 --> 00:21:43.790
die ersten Erfolge, dass andere Länder
Datenschutzrechte auf Grundlage der

00:21:43.790 --> 00:21:48.220
Datenschutzgrundverordnung entwickeln. Wir
sind also hier an einer Stelle in einen

00:21:48.220 --> 00:21:52.790
Wettbewerb eingetreten, mit amerikanischem
Recht, mit den Überlegungen in China. Ich

00:21:52.790 --> 00:22:04.190
glaube, Europa sollte selbstbewusst sein,
diesen Wettbewerb anzunehmen. — <i>Applaus</i>

00:22:04.190 --> 00:22:09.640
Wir erleben, dass nach wie vor die großen
Internetkonzerne – und ich bedauere jeden

00:22:09.640 --> 00:22:17.370
Tag, dass wir zu keinem der großen
Entscheidungen schon eine entsprechend …

00:22:17.370 --> 00:22:22.350
oder der großen offensichtlichen Datenschutz-
Verstöße durch große Internetkonzerne

00:22:22.350 --> 00:22:26.490
schon eine Entscheidung auf europäischer
Ebene getroffen haben. Ich dringe bei

00:22:26.490 --> 00:22:30.040
jedem Treffen des Europäischen
Datenschutzausschuss darauf, dass von den

00:22:30.040 --> 00:22:33.930
vor allem federführenden Behörden in
Irland und Luxemburg diese Entscheidungen

00:22:33.930 --> 00:22:37.360
jetzt vorgelegt werden. Sie werden
übrigens nachher mit Mehrheit im

00:22:37.360 --> 00:22:40.820
Europäischen Datenschutzausschuss
beschlossen. Also man kann sich nicht

00:22:40.820 --> 00:22:45.100
hinter einer nationalen Behörde
verstecken, weil nach wie vor unter den

00:22:45.100 --> 00:22:51.780
Standardeinstellungen der großen Anbieter
– sei es die aus den USA, aber auch die

00:22:51.780 --> 00:22:55.490
zunehmend in den Markt dringenden, vor
allem auch aus China und aus Russland;

00:22:55.490 --> 00:23:01.640
andere werden kommen –, dass schon unter den
Standardeinstellungen weiterhin ungehemmt

00:23:01.640 --> 00:23:07.120
persönliche Daten abgegriffen werden. Man
ist formal datenschutzkonform, aber

00:23:07.120 --> 00:23:12.730
sammelt diese Daten ein und es bräuchte in
der Tat technische Kenntnisse, die hier im

00:23:12.730 --> 00:23:16.970
Saal vorhanden sein werden, aber nicht im
ganzen Land vorhanden sind, nie vorhanden

00:23:16.970 --> 00:23:21.430
sein werden und nicht auch nicht vorhanden
sein müssen, weil man auch durchs Leben

00:23:21.430 --> 00:23:27.340
gehen muss, ohne Expertin oder Experte zu
sein. Wenn man diese Kerneinstellungen

00:23:27.340 --> 00:23:32.360
nicht kennt, verliert man bei diesen
Anwendungen, bei diesen Systemen Daten.

00:23:32.360 --> 00:23:40.080
Und selbst die, die versuchen, diese Daten-
Sammler zu meiden, gehen dort auf den

00:23:40.080 --> 00:23:47.220
Leim, verlieren dort ihre Daten, wenn über
Tracking Tools, über Plug-Ins und Source

00:23:47.220 --> 00:23:53.530
Code Development Kits diese Daten auch bei
Dritten gesammelt werden. Und auch in

00:23:53.530 --> 00:23:57.340
diesen Fragen ist bisher leider außer
einem Versuch des Bundeskartellamts, das

00:23:57.340 --> 00:24:02.330
nicht an die gleichen Regeln gebunden ist
wie ich als Bundesdatenschutzbeauftragter,

00:24:02.330 --> 00:24:08.920
kein Versuch unternommen worden, das zu
stoppen. Ich habe bis heute die

00:24:08.920 --> 00:24:13.230
Entscheidung des Düsseldorfer Gerichts –
soviel darf ich ja, wo ich jetzt kein

00:24:13.230 --> 00:24:17.750
Staatssekretär im Justizministerium bin,
ja mal sagen – nicht nachvollziehen können.

00:24:17.750 --> 00:24:21.150
Ich glaube, da war etwas zu wenig
Berücksichtigung von

00:24:21.150 --> 00:24:25.670
Datenschutzgrundverordnung und verändertem
Wettbewerbsrecht seit 2016 in der

00:24:25.670 --> 00:24:30.530
Betrachtung enthalten. Also wir brauchen
die Durchsetzung des bestehenden Rechts.

00:24:30.530 --> 00:24:34.120
Wir brauchen Zertifizierung und
Labeling, damit man bestimmte Produkte

00:24:34.120 --> 00:24:37.990
nehmen kann, sicher weiß, das Produkt für
sich hält die Regeln ein. Jetzt kann ich

00:24:37.990 --> 00:24:42.350
darauf meine nächste Dienstleistung
optimieren. Und natürlich brauchen wir

00:24:42.350 --> 00:24:46.280
auch Digital Literacy in der Bevölkerung
bis zu einem bestimmten Grad. Ich muss

00:24:46.280 --> 00:24:50.320
wenigstens ungefähr verstehen, auf was ich
mich in einer digitalen Gesellschaft

00:24:50.320 --> 00:24:54.171
einlasse. Ich persönlich würde mir
wünschen, dass wir die Möglichkeiten des

00:24:54.171 --> 00:25:01.040
Schutz der Privatsphäre durch Technik
stärker ausarbeiten, also PIMs und PMTs fände

00:25:01.040 --> 00:25:05.559
ich wichtig, in einer Form einzuführen,
auf die man sich verlassen kann. Eins

00:25:05.559 --> 00:25:10.731
gilt: wenn große Konzerne Standards, die
mal eingeführt wurden, um sich zu schützen

00:25:10.731 --> 00:25:15.310
wie den Do-not-Track-Standard, einfach
ignorieren, dann ist das nichts anderes

00:25:15.310 --> 00:25:20.170
als ein Betteln um staatliche Regulierung.
Wer sich nicht an Standards hält, der

00:25:20.170 --> 00:25:26.190
möchte Regulierung vom Staat bekommen. Und
aus meiner Sicht sollten sie die mit der

00:25:26.190 --> 00:25:34.340
E-Privacy Verordnung auch bekommen.
<i>Applaus</i> — Normalerweise müsste ich als

00:25:34.340 --> 00:25:40.680
Leiter einer Datenschutzbehörde aufschreien
bei Ideen wie Interoperabilität, weil

00:25:40.680 --> 00:25:46.520
Interoperabilität Datenaustausch auch
bedeutet. Aber ich sehe heute einen Markt,

00:25:46.520 --> 00:25:51.260
der sich oligopolisert. Und wenn ich die
Markteintrittsbarrieren für neue

00:25:51.260 --> 00:25:54.930
Anbieterinnen/Anbieter senken will, dann
muss ich eine datenschutzfreundliche

00:25:54.930 --> 00:25:59.520
Interoperabilität für die Anwendungen, die
so wichtig geworden sind auf dem Markt,

00:25:59.520 --> 00:26:04.210
dass sie andere Dienste ersetzen, in denen
die Interoperabilität seit Jahren und

00:26:04.210 --> 00:26:09.240
Jahrzehnten gilt, auch vorschreiben. Ich
meine zum Beispiel im Bereich von Social

00:26:09.240 --> 00:26:17.591
Media und von Messenger Systemen. Dort
könnte man mit solchen Schritten durchaus

00:26:17.591 --> 00:26:21.890
auch europäische Alternativen, am besten
natürlich auf Open-Source Basis

00:26:21.890 --> 00:26:25.930
vorstellen. Ich würde mich freuen, wenn es
die deutsche Verwaltung der französischen

00:26:25.930 --> 00:26:30.220
nachtun würde, vielleicht sogar mit den
Franzosen gemeinsam ein System entwickeln,

00:26:30.220 --> 00:26:33.470
das dann schon mal 10 Millionen
Grundnutzerinnen und Grundnutzer in

00:26:33.470 --> 00:26:37.650
Zentraleuropa hätte. Das wäre ein Anfang,
mit dem man mit ganz anderer Schlagkraft

00:26:37.650 --> 00:26:42.650
eine solche Open-Source Messenger
Plattform in Europa etablieren könnte.

00:26:42.650 --> 00:26:50.130
<i>Applaus</i> — Wir wollen für alle Formen von
Datenverwertung die gleichen Regeln haben.

00:26:50.130 --> 00:26:54.600
Das gilt auch für die Sicherheitsbehörden,
die ja, wenn es Bundessicherheitsbehörden

00:26:54.600 --> 00:27:02.060
sind, auch meiner Aufsicht unterliegen.
Seit 2001, seit dem 11. September, sind in

00:27:02.060 --> 00:27:05.070
einer Geschwindigkeit neue
Sicherheitsgesetze in Deutschland

00:27:05.070 --> 00:27:11.070
dazugekommen, die es schwierig machen,
noch nachzuvollziehen, was tatsächlich der

00:27:11.070 --> 00:27:15.341
Stand des Datensammelns ist. Es hat nie
eine Evaluierung der Gesetze gegeben, ob

00:27:15.341 --> 00:27:20.760
sie erfolgreich waren oder nicht. Wir
erleben dass teilweise neue Datenschutz-

00:27:20.760 --> 00:27:24.140
Befugnisse gar nicht in der Breite
verwendet werden. Die Daten werden

00:27:24.140 --> 00:27:28.420
gesammelt, aber nicht ausgewertet, weil
natürlich längst das Personal fehlt. Wir

00:27:28.420 --> 00:27:33.790
haben problematische Datensammlungen, die
selbst von den Praktikerinnen und Praktikern

00:27:33.790 --> 00:27:39.440
in den Sicherheitsbehörden als überflüssig
eingestuft werden. Gleichzeitig gibt es

00:27:39.440 --> 00:27:44.460
aber natürlich auch immer wieder unbefugte
Zugriffe auf solche Daten. Wenn Sie den

00:27:44.460 --> 00:27:48.260
Tagen zum Beispiel nochmal von der
Berliner Polizei das gelesen haben, wo die

00:27:48.260 --> 00:27:53.710
Löschmoratorien dazu führen, dass seit
2013 keine Daten mehr aus den

00:27:53.710 --> 00:27:57.630
polizeilichen Informationssystem genommen
werden, selbst wenn sie nur Opfer oder

00:27:57.630 --> 00:28:03.790
Zeuge einer Straftat waren. Und die Daten
aber nicht etwa eine Zugriffsbefugnis zum

00:28:03.790 --> 00:28:08.440
Beispiel für einen Untersuchungsausschuss
bekommen – Anis Amri oder NSU –, sondern

00:28:08.440 --> 00:28:13.850
weiterhin für alle Polizistinnen und
Polizisten zugreifbar bleiben. Zu einem

00:28:13.850 --> 00:28:17.760
Protokollierung stattfindet, man aber
nicht einmal begründen muss, warum man

00:28:17.760 --> 00:28:21.600
darauf zugegriffen hat, und man sich dann
wundert, dass auf die Daten bestimmter

00:28:21.600 --> 00:28:26.430
Prominenter besonders häufig zugegriffen
wird, auf die Daten von Kolleginnen und

00:28:26.430 --> 00:28:32.540
Kollegen oder auch auf Nachbarn von
Menschen, die Zugriffsbefugnisse haben.

00:28:32.540 --> 00:28:37.420
Und solange das der Stand ist, wäre das
natürlich nicht wichtig, Löschmoratorien

00:28:37.420 --> 00:28:41.810
zu haben, sondern ein Sicherheitsgesetz-
Moratorium in diesem Land einzulegen und

00:28:41.810 --> 00:28:46.410
erst mal zu prüfen: Wo sind wir eigentlich
übers Ziel hinausgeschossen? Wo gibt es

00:28:46.410 --> 00:28:50.690
andere Mängel zu beseitigen, als laufend
Bürgerrechte einzuschränken? Mit der

00:28:50.690 --> 00:28:53.990
Sammlung zusätzlicher Daten über die
Bürgerinnen und Bürgern. Das täte

00:28:53.990 --> 00:29:05.290
Bürgerrechten und Sicherheit besser als
das nächste Gesetz. — <i>Applaus</i> —Stattdessen

00:29:05.290 --> 00:29:09.081
sollten wir beim Datenschutz nachschärfen
Die Datenschutzgrundverordnung ist ein

00:29:09.081 --> 00:29:12.840
großer Wurf, sie hat auch international
Strahlkraft, aber sie hat natürlich auch

00:29:12.840 --> 00:29:17.480
ihre Grenzen, wo wir heute schon merken,
dass sie technologischen Entwicklungen

00:29:17.480 --> 00:29:22.420
nicht ausreichend gefolgt ist, wo es
damals keinen Kompromiss gab und sie immer

00:29:22.420 --> 00:29:26.530
noch auf dem Stand von 1995 ist. Wenn ich
jetzt fragen würde, wer 1995 noch gar

00:29:26.530 --> 00:29:30.850
nicht geboren war, würden wahrscheinlich
einige Finger hochgehen. Sie können sich

00:29:30.850 --> 00:29:35.420
aber überlegen, was das für ein Stein-
zeitalter aus technologischer Sicht ist.

00:29:35.420 --> 00:29:39.340
Wir müssen es auch deswegen machen, weil
wir auch Vertrauen in Digitalisierung

00:29:39.340 --> 00:29:44.240
gewinnen müssen. Ich glaube nämlich nicht,
dass Daten der Rohstoff des 21.

00:29:44.240 --> 00:29:49.040
Jahrhunderts ist, sondern Vertrauen! In
einer so komplexen Welt, wo ich gar nicht

00:29:49.040 --> 00:29:53.550
mehr weiß – Wo werden Daten erhoben, wer
verwendet sie und ähnliches mehr? – kann ich

00:29:53.550 --> 00:29:57.210
nicht mir jedes einzelne Produkt, jede
einzelne Verbindung überprüfen, sondern

00:29:57.210 --> 00:30:02.841
ich muss ein System haben, in dem ich der
Anbieterin oder Anbieter, sei es staatlich

00:30:02.841 --> 00:30:06.827
oder privat, ein Grundvertrauen
entgegenbringen kann, weil sie bewiesen

00:30:06.827 --> 00:30:11.100
haben, dass sie bestimmte Standards jedes
Mal einhalten, wenn sie hereingehen, weil

00:30:11.100 --> 00:30:16.760
sie unabhängig überprüft werden können und
weil sie schwer bestraft werden, wenn sie

00:30:16.760 --> 00:30:21.030
sich an diese Standards dann bei einem
Produkt nicht gehalten haben. Wenn wir

00:30:21.030 --> 00:30:25.760
dies nicht machen, wenn wir das nicht
machen, hat es zwei Folgen. Es wird sich

00:30:25.760 --> 00:30:31.840
gewehrt werden gegen Digitalisierung, da,
wo es möglich ist. Andere werden gar nicht

00:30:31.840 --> 00:30:35.861
hineingehen. Wir wollen weder einen
Fatalismus nach dem Motto „Da kannst du

00:30:35.861 --> 00:30:40.080
nichts machen, ich stimme allen zu“. Und
auch keine digitale Askese haben. Wir

00:30:40.080 --> 00:30:43.679
möchten, dass Digitalisierung
gesellschaftliche Innovation und nicht nur

00:30:43.679 --> 00:30:52.707
technologische Innovation ist. — <i>Applaus</i>
Deswegen sind wir unterwegs und möchten in

00:30:52.707 --> 00:30:57.090
den Bereichen von Scoring und Profiling –
das sind ja die Schwestern des Trackings;

00:30:57.090 --> 00:31:02.320
Ich versuche, Leute einzuordnen, zu
kategorisieren, statistisch in Gruppen

00:31:02.320 --> 00:31:07.870
einzuteilen –; Da brauchen wir klare
Nachschärfungen. Und wir wollen natürlich

00:31:07.870 --> 00:31:13.450
gerade den kleinen Unternehmern und den
Start-Ups und den Einzel-EntwicklerInnen

00:31:13.450 --> 00:31:17.387
und -Entwicklern Erleichterungen im
Bereich der Informations- und

00:31:17.387 --> 00:31:21.380
Dokumentationspflichten verschaffen. Da
glaube ich durchaus, kann man an einigen

00:31:21.380 --> 00:31:25.770
Stellen zurückdrehen, wenn man dafür an
anderen Stellen das Datenschutzniveau

00:31:25.770 --> 00:31:32.610
durchaus höher wertet. Wir versuchen zu
helfen, über Guidelines und Auslegungs-

00:31:32.610 --> 00:31:38.020
Papiere, die wir heranziehen. Wir würden
aber gerne eins machen. Derzeit ist immer

00:31:38.020 --> 00:31:42.810
Verantwortlicher im Sinne des
Datenschutzrechts die Person, die ein

00:31:42.810 --> 00:31:48.390
System gegenüber Bürgerinnen und Bürgern,
Kundinnen und Kunden zum Einsatz bringt.

00:31:48.390 --> 00:31:53.690
Ich glaube, dass wir die Herstellerinnen
und Hersteller von Systemen stärker in die

00:31:53.690 --> 00:31:57.460
Verantwortung nehmen müssen und nicht nur
wegen Debatten, die Sie hier auf ihrem

00:31:57.460 --> 00:32:01.799
Kongress selber in den letzten Tagen ja
geführt haben, und interessanten

00:32:01.799 --> 00:32:06.990
investigativen Dokumenten, die Sie
veröffentlicht haben, sondern nur dann ist

00:32:06.990 --> 00:32:10.630
das möglich. Ich habe hier nur kurz
gestanden und bin wieder auf die üblichen

00:32:10.630 --> 00:32:16.320
Probleme angesprochen worden. Wie ist es
mit dem Einsatz von Windows 10 in meiner

00:32:16.320 --> 00:32:20.549
Rechtsanwaltskanzlei, in meiner Behörde in
ähnlichem mehr? Und dann immer zu sagen,

00:32:20.549 --> 00:32:23.660
„Ja derjenige der es einsetzt ist der
Verantwortliche im Sinne des

00:32:23.660 --> 00:32:27.380
Datenschutzrechts“ ist, glaube ich bei
immer komplexer werdenden Systemen, bei

00:32:27.380 --> 00:32:32.580
der Verabschiedung von der On-Premise-World
einfach zu kurz gesprungen und muss sich

00:32:32.580 --> 00:32:36.440
technisch an der Stelle durchaus weiter
bewegen. Es gibt also eine ganze Menge zu

00:32:36.440 --> 00:32:42.110
tun. Der Deutsche Bundestag hat uns
freundlicherweise eine deutliche

00:32:42.110 --> 00:32:46.370
Aufstockung an Stellen gegeben. Vielen
Dank an die anwesenden

00:32:46.370 --> 00:32:50.140
Bundestagsabgeordneten, damit wir ein
Stück noch mehr machen können. Sehr viel

00:32:50.140 --> 00:32:54.800
werden wir in der Tat in den
Sicherheitsbereich investieren. Wir

00:32:54.800 --> 00:32:59.980
stellen übrigens auch ein und deswegen an
alle, die im Saal sind: Wir brauchen Sie

00:32:59.980 --> 00:33:04.730
als Unterstützerin und Unterstützer in der
Sache. Wir brauchen Sie als konstruktive

00:33:04.730 --> 00:33:10.730
KritikerInnen und Kritiker. Wir brauchen
Sie als Beispielgeber und Beispielgeberinnen

00:33:10.730 --> 00:33:16.840
für datenschutzfreundliche, innovative
Technologien. Und wir würden auch gerne

00:33:16.840 --> 00:33:21.390
viele von Ihnen als Mitarbeiterinnen und
Mitarbeiter gewinnen. Es ist schön auf der

00:33:21.390 --> 00:33:25.910
hellen Seite der Macht – kommen Sie zum
BfDI! Vielen Dank für das Interesse bis zu

00:33:25.910 --> 00:33:28.650
dem Zeitpunkt. Ich freue mich
noch auf die Diskussion.

00:33:28.650 --> 00:33:38.960
<i>Applaus</i>

00:33:38.960 --> 00:33:51.580
Herald: So, wenn ihr Fragen habt, dann
stellt euch bitte an die Mikrofone hier im

00:33:51.580 --> 00:33:56.260
Saal und versucht eure Fragen kurz zu
formulieren. Frage Nummer 1 geht an den

00:33:56.260 --> 00:33:59.630
Signalangel.
Signalengel: Hier eine Frage von

00:33:59.630 --> 00:34:04.760
Mastodon: Nach dir hält auch Arne
Semsrott von Frag den Staat seinen Talk.

00:34:04.760 --> 00:34:09.850
Du bist ja auch
Informationsfreiheitbeauftragter. Hast du

00:34:09.850 --> 00:34:14.540
eine Erklärung, warum Ministerien und
Behörden, die selber immer mehr Befugnisse

00:34:14.540 --> 00:34:20.770
fordern, so unwillig sind, selber diese
öffentliche Daten auch preiszugeben?

00:34:20.770 --> 00:34:28.070
Kelber : Nein. — <i>Lachen, vereinzelt Applaus</i>
Und selbst dann, wenn sie gute Beispiele

00:34:28.070 --> 00:34:31.869
haben. Als wir damals im Justizministerium
2013 als neue Mannschaft angefangen

00:34:31.869 --> 00:34:37.020
hatten, haben wir uns nach ein paar Wochen
entschieden, dass wir alle Stellungnahmen,

00:34:37.020 --> 00:34:40.760
die im Rahmen zu Gesetzentwürfen ans
Ministerium geschickt werden – ist ja Teil

00:34:40.760 --> 00:34:45.149
der Gesetzgebung, dass man dann sagt,
jetzt hätten wir gerne Kommentierungen von

00:34:45.149 --> 00:34:50.780
Verbänden, Organisationen und anderen –
dass die alle öffentlich gemacht werden.

00:34:50.780 --> 00:34:58.460
Es ist keine einzige weniger reingekommen,
aber jeder kann nachprüfen: Von wem sind

00:34:58.460 --> 00:35:02.600
welche Anregungen zwischen Gesetzentwurf
und endgültigem Gesetz eingeflossen oder

00:35:02.600 --> 00:35:06.300
nicht. Das ist das, was ich als
Vertrauensbildung meine. Es haben

00:35:06.300 --> 00:35:10.120
teilweise einige übernommen, nachdem sie
vor Gericht dazu gezwungen wurden, haben

00:35:10.120 --> 00:35:13.880
das wieder eingestellt. Jetzt machen Sie
es wieder. In der Tat kann

00:35:13.880 --> 00:35:18.430
Informationsfreiheit für eine
Behördenleitung auch extrem ätzend sein.

00:35:18.430 --> 00:35:22.290
Und zwar nicht, weil irgendwas
Unangenehmes nachher veröffentlich wird.

00:35:22.290 --> 00:35:27.630
Dann muss man halt aufpassen, dass man
in den Kommentaren, die man auf

00:35:27.630 --> 00:35:31.830
was drauf schreibt in der Wortwahl
gemäßigt bleibt. Also schreibe ich nicht

00:35:31.830 --> 00:35:36.970
drauf. „Der Idiot“ oder so, sondern schreibe
ich „Ich bin nicht dieser Meinung“. Aber es

00:35:36.970 --> 00:35:42.260
kann natürlich unglaublich viel Arbeit
sein. Ich ärgere mich auch; ich bekomm irgendeine

00:35:42.260 --> 00:35:47.020
Beschwerde ins Haus. Nach zwei Wochen
stellt einer einen Informationsfreiheitsantrag

00:35:47.020 --> 00:35:50.750
alle E-Mails, die zu der Beschwerde in
unserem Haus geflossen sind, zu sehen.

00:35:50.750 --> 00:35:54.870
Dann schreiben wir ihm als Zwischengeschichte
auch noch zusätzlich zurück. Jetzt haben

00:35:54.870 --> 00:35:58.140
wir die Stelle um Stellungnahme gebeten.
Dann kriegen wir sofort

00:35:58.140 --> 00:36:02.020
Informationsfreiheitantrag, den gesamten
E-Mail-Verkehr mit der Stelle zu bekommen

00:36:02.020 --> 00:36:05.869
und am Ende anstatt 10 Beschwerden
bearbeiten zu können, sind wir mit einer

00:36:05.869 --> 00:36:10.370
Person beschäftigt. Das ärgert einen. Wir
sind natürlich die Guten. Da wir die

00:36:10.370 --> 00:36:14.440
Informationsfreiheit haben, machen wir
natürlich gerne mit Freude. Aber wenn ich

00:36:14.440 --> 00:36:18.420
zu ’ner Ministerin oder Minister gehe, die
kennen alle nur wieviele Leute werden

00:36:18.420 --> 00:36:23.630
abgezogen, um auch seltsame
Informationsfreiheitsgeschichten zu

00:36:23.630 --> 00:36:29.280
machen? Ich stoße dort auf wenige Fans. Zu
glauben, dass wir in absehbarer Zukunft

00:36:29.280 --> 00:36:31.750
auf Bundesebene eine deutliche
Verbesserung des

00:36:31.750 --> 00:36:35.050
Informationsfreiheitsgesetz sehen,
bezweifle ich. Da ist noch viel

00:36:35.050 --> 00:36:39.230
Überzeugungsarbeit zu leisten.
Herald: Mikrofon Nr. 4. Deine Frage

00:36:39.230 --> 00:36:42.360
bitte.
Frage: Herr Kelber, es ist Ihre Aufgabe,

00:36:42.360 --> 00:36:46.260
die Geheimdienste und Sicherheitsbehörden
zu kontrollieren und den Datenschutz auch

00:36:46.260 --> 00:36:50.710
dort. Sind Sie der Meinung, dass Sie das
effektiv tun können und ausreichend

00:36:50.710 --> 00:36:54.180
Fähigkeiten und Befugnisse haben?
Und wenn nein, was fehlt?

00:36:54.180 --> 00:37:00.730
Kelber: Die Kontrolle im Bereich der
Erhebung und Verarbeitung von Daten in dem

00:37:00.730 --> 00:37:05.340
gesamten restlichen Bereich? Ich glaube,
mit den zusätzlichen Stellen, wenn wir sie

00:37:05.340 --> 00:37:09.740
besetzt haben, haben wir durchaus erst
einmal Ressourcen, um auch die

00:37:09.740 --> 00:37:15.122
Kontrolldichte hochzuhalten. Wir werden
selber arbeiten müssen bei der Überlegung,

00:37:15.122 --> 00:37:19.130
wie technologische Veränderungen und auch
Veränderungen in den Informationssystemen

00:37:19.130 --> 00:37:23.741
der Dienste unsere Kontrolltätigkeit
gegenüber früher verändern. Aber das ist

00:37:23.741 --> 00:37:28.740
natürlich ganz was anderes. Ist Zugriff auf
eine sequentielle Datenbank mit einem

00:37:28.740 --> 00:37:35.080
Gothemsystem vom Palantier, wenn es zum
Einsatz käme, was in der Kontrolle in dem

00:37:35.080 --> 00:37:41.000
Unterschied ist, in der Zusammenarbeit der
Dienste untereinander mit dem Ausland,

00:37:41.000 --> 00:37:45.960
gibt es aus meiner Sicht durchaus
Kontrolllücken. Da versuchen wir auch, mit

00:37:45.960 --> 00:37:52.290
den anderen Aufsichtsgremien wie der
G-10-Kommission und der unabhängigen

00:37:52.290 --> 00:37:58.530
Gruppe im Kontakt zu sein. Und ich hätte
gerne natürlich … also in der Joint Implementation

00:37:58.530 --> 00:38:03.400
Richtlinie, die ich vorhin erwähnt hatte,
ja, für den Staatsbereich gilt. Die ist ja

00:38:03.400 --> 00:38:07.120
in Deutschland auch nach 3 Jahren noch
nicht vollständig umgesetzt. Im Bereich

00:38:07.120 --> 00:38:11.690
des BKA haben wir Untersagungsrechte.
Die müssten wir im

00:38:11.690 --> 00:38:15.410
Bereich der Bundespolizei auch haben. Die
hat man noch nicht eingerichtet als

00:38:15.410 --> 00:38:20.470
Gesetzgeber. Das ist ein Verstoß gegen
Europarecht in Deutschland. Wo es nicht

00:38:20.470 --> 00:38:23.780
vorgeschrieben wird durch Europarecht,
aber sinnvoll wäre, wäre diese

00:38:23.780 --> 00:38:27.490
Untersagungsrechte auch für die Dienste zu
haben. Das würde dann nicht nach dem

00:38:27.490 --> 00:38:31.360
Motto, Ich sage dann „aber die waren jetzt
ganz gemein, haben sich nicht ans Recht

00:38:31.360 --> 00:38:35.170
gehalten“, sondern ich könnte dann in
einem besonderen Fall in Zukunft

00:38:35.170 --> 00:38:39.960
untersagen die Nutzung von Daten oder die
Löschung anweisen. Und der Dienst müsste

00:38:39.960 --> 00:38:46.340
vor Gericht gehen und müsste vor Gericht
meine Anweisung widerrufen lassen. Ich

00:38:46.340 --> 00:38:50.200
glaube, das wäre der bessere Weg für die
Aufsicht und würde auch mehr Verständnis

00:38:50.200 --> 00:38:54.600
für die Arbeit der Dienste wecken. Aber
auch dafür gibt es noch keine Mehrheit

00:38:54.600 --> 00:38:59.290
beim Gesetzgeber.
Herald: Mikrofon Nr. 2. Deine Frage

00:38:59.290 --> 00:39:02.900
bitte.
Frage: Sie haben gesagt, dass wir ein

00:39:02.900 --> 00:39:07.290
gewisses Maß an Digital Literacy brauchen,
um der Probleme Herr werden zu können. Ich

00:39:07.290 --> 00:39:10.670
sehe gerade das Problem, dass wir
politisch eher in die entgegengesetzte

00:39:10.670 --> 00:39:15.280
Richtung steuern, primär weil kommunal
z. B. Meldedaten verkauft werden und die

00:39:15.280 --> 00:39:18.820
Bundesregierung auch eher rhetorisch
so eine … ökonomisch orientierte Linie

00:39:18.820 --> 00:39:24.910
fährt. Wie werden wir dieser Sache Herr?
Kelber: Ich meinte ja mit dem Begriff

00:39:24.910 --> 00:39:31.050
Digital Literacy, dass die Leute ein
Grundverständnis für digitale Vorgänge

00:39:31.050 --> 00:39:35.570
haben. Was passiert? Was passiert mit
Daten? Wie funktionieren IT-Systeme?

00:39:35.570 --> 00:39:39.720
Algorithmische Systeme? Das wird
übrigens—der Teil ist sicherlich auch

00:39:39.720 --> 00:39:44.470
eine Aufgabe von Schulen und
Bildungsinstitutionen. Da aber 80 Prozent

00:39:44.470 --> 00:39:49.119
der Bevölkerung die Schulzeit hinter sich
haben und mehr, werden wir sie auch über

00:39:49.119 --> 00:39:54.970
andere Wege erreichen müssen. Dazu gehören
übrigens auch in den Informationspflichten

00:39:54.970 --> 00:39:58.590
in der Datenverarbeitung nicht mehr „Ich
mache eine super lange Information“,

00:39:58.590 --> 00:40:03.650
sondern ich muss an einer Stelle, wo etwas
passiert, eine leichte Erläuterung des

00:40:03.650 --> 00:40:07.490
Vorgangs haben, damit die Menschen
tatsächlich mit dem Vorgang, den sie

00:40:07.490 --> 00:40:11.799
machen, ein Verständnis entwickeln können.
Was Sie meinen, ist ja die Frage, wie ist

00:40:11.799 --> 00:40:15.761
eigentlich die Souveränität? Wie kann ich
wenigstens wissen, was passiert? Was darf

00:40:15.761 --> 00:40:20.970
der Staat machen? Schaffen die gesetzliche
Grundlage für die Weitergabe von Daten

00:40:20.970 --> 00:40:24.420
einfach nur, weil sie davon ausgehen, dass
sie nicht genügend freiwillige

00:40:24.420 --> 00:40:28.460
Einverständnisses bekommen. Da muss sich
der Gesetzgeber zurückhalten. Er sollte bei

00:40:28.460 --> 00:40:32.832
den gesetzlichen Grundlagen trotzdem ’ne
Verhältnismäßigkeit bewahren. Ist übrigens

00:40:32.832 --> 00:40:36.660
auch etwas, was wir natürlich in unseren
Stellungnahmen immer mitprüfen und was

00:40:36.660 --> 00:40:41.510
auch vor Gericht angegriffen wird von
Nichtregierungsorganisationen. Das zweite

00:40:41.510 --> 00:40:45.270
ist, das war das, was ich vorhin meinte
technische Maßnahmen, die den Bürger auf

00:40:45.270 --> 00:40:48.230
einen höheren Stand nehmen.
Wenn wir jetzt wirklich mal an eine

00:40:48.230 --> 00:40:51.870
Registermodernisierung in Deutschland
herantreten, bitte bitte nicht – weil es

00:40:51.870 --> 00:40:56.150
aus meiner Sicht verfassungswidrig ist –
mit einem einheitlichen Identifier. Kann man

00:40:56.150 --> 00:41:00.190
auch anders machen. Aber dann wäre
wirklich mal ein Datencockpit, wo

00:41:00.190 --> 00:41:04.140
Bürgerinnen und Bürger sehen, zumindest
mal vielleicht außerhalb der unmittelbaren

00:41:04.140 --> 00:41:08.190
Sicherheitsdienste schon mal sehen können:
Wer hat welche Daten, wer hat sie

00:41:08.190 --> 00:41:12.990
abgerufen und mit wem geteilt? Von allen
staatlichen Registerstellen. Das kann man

00:41:12.990 --> 00:41:18.690
heute technisch herstellen, und das wäre
dann auch ein Gebot, dass der Bürgerinnen

00:41:18.690 --> 00:41:22.640
und Bürger etwas davon haben, wenn der
Staat seine IT-Systeme modernisiert.

00:41:22.640 --> 00:41:29.360
<i>Applaus</i>
Herald: Mikrofon Nummer 8 Deine Frage

00:41:29.360 --> 00:41:31.641
bitte.
Frage: Sie haben ja vorhin gesagt, dass

00:41:31.641 --> 00:41:37.510
ein möglicher Weg zu sichereren oder
datenschutzfreundlicheren IT-Produkten

00:41:37.510 --> 00:41:44.619
die Standardisierung und Zertifizierung
sein könnte. Was konkret ist denn da schon

00:41:44.619 --> 00:41:50.390
in der Entwicklung? Auf was können wir uns
einrichten? Es gibt ja die ISO 27001,

00:41:50.390 --> 00:41:55.600
aber da ist der Datenschutz eher ein
optionales Randthema. Und, genau,

00:41:55.600 --> 00:41:58.880
was kommt jetzt konkret?
Kelber: Bei der Standardisierung sind wir

00:41:58.880 --> 00:42:03.320
glaube ich noch nicht sehr weit. Aber wir
werden für die Entwicklungsmodelle gerade

00:42:03.320 --> 00:42:07.710
im Bereich algorithmischer Systeme und KI-
Systeme, denke ich, nochmal für erweiterte

00:42:07.710 --> 00:42:11.440
Standardisierung brauchen, mit der ich
wenigstens Modelle habe, wie ich in der

00:42:11.440 --> 00:42:14.700
Entwicklung bestimmte Dinge
berücksichtige. Wann mache ich welche

00:42:14.700 --> 00:42:18.580
Folgenabschätzungen? Wie steht die
Zurverfügungstellung von Daten aus? Wie

00:42:18.580 --> 00:42:23.380
sieht die Kontrolle von Datenqualität aus,
und und und. Bei der Zertifizierung sind

00:42:23.380 --> 00:42:27.700
wir ein Stückchen weiter. Ich spreche jetzt
bewusst nicht von Siegeln wie in dieser

00:42:27.700 --> 00:42:31.530
Debatte über das IT-Siegel, das ja dann
logischerweise, wenn es ein Siegel sein

00:42:31.530 --> 00:42:38.040
soll, auch weit über gesetzliche Vorgaben
hinausgehen müsste, sondern dass wir

00:42:38.040 --> 00:42:42.790
ermöglichen, dass man, wenn man ein
Produkt hat, sich durch eine

00:42:42.790 --> 00:42:47.340
Zertifizierungsstelle, die beliehen ist,
zertifizieren lassen kann, dass man damit

00:42:47.340 --> 00:42:51.690
die Anforderungen des Gesetzes eingehalten
hat. Das heißt, der nächste, der es

00:42:51.690 --> 00:42:55.869
einsetzt, bekommt das Siegel. Wenn ich das
wie vorgeschrieben einsetze, dann ist

00:42:55.869 --> 00:43:00.620
dieser Bestandteil DSGVO-konform, und
ich muss mir bei dem, was ich add-on mache,

00:43:00.620 --> 00:43:04.790
bin ich dann der Verantwortliche. Da sind
wir jetzt so weit, dass der Europäische

00:43:04.790 --> 00:43:09.110
Datenschutzausschuss seine Guideline
verabschiedet hat. Danach haben Sie

00:43:09.110 --> 00:43:12.790
erlaubt, dass die Nationalstaaten ihre
einbringen. Das haben wir im nächsten

00:43:12.790 --> 00:43:16.245
Monat gemacht. Ich hoffe, dass wir
spätestens im Februar die Genehmigung

00:43:16.245 --> 00:43:19.180
durch den europäischen
Datenschutzausschuss für die deutsche

00:43:19.180 --> 00:43:23.820
Variante bekommen. Dann dürften in diesem
Jahr noch die ersten Akkreditierungen,

00:43:23.820 --> 00:43:28.540
ersten Zertifizierer, durch die deutsche
Akkreditierungsstelle zugelassen werden.

00:43:28.540 --> 00:43:35.170
Ich erwarte, dass zum Beispiel im
Bereich der Cloud-Dienste ein solcher

00:43:35.170 --> 00:43:39.810
Zertifizierer an den Start geht.
Herald: Mikrofon Nummer 1,

00:43:39.810 --> 00:43:43.360
deine Frage bitte.
Frage: Vielen Dank für den Vortrag, auch

00:43:43.360 --> 00:43:47.709
dass Sie hier auf dem Kongress sind. Ja,
ich bin seit einiger Zeit verantwortlich

00:43:47.709 --> 00:43:50.310
in IT-Management-Positionen …
Herald: Bitte die Frage!

00:43:50.310 --> 00:43:54.420
Frage: … und auch da
implementierte ich natürlich sehr viele

00:43:54.420 --> 00:43:58.580
Datenschutzmaßnahmen. Sie haben es kurz
angesprochen. Mich würde interessieren,

00:43:58.580 --> 00:44:03.070
wann wir auch mal Ergebnisse sehen im
Bereich der großen Internetkonzerne –

00:44:03.070 --> 00:44:07.530
Google, Facebook, Amazon und so weiter,
ob dann auch mal vielleicht Bußgelder etc.

00:44:07.530 --> 00:44:12.370
auch an diese großen
Unternehmen zugeteilt werden.

00:44:12.370 --> 00:44:17.200
Kelber: Der Druck natürlich auf die Ba…
Ich habe ja vor allem zwei nationale

00:44:17.200 --> 00:44:22.950
Datenschutzbehörden genannt, die die
Zuständigkeit haben für besonders viele

00:44:22.950 --> 00:44:28.210
der großen Internetkonzerne. Ganz kurzer
Exkurs europäisches Datenschutzrecht,

00:44:28.210 --> 00:44:32.560
sogenannter One-Stop-Shop. Die nationale
Behörde, in der der Hauptsitz innerhalb

00:44:32.560 --> 00:44:37.630
der Europäischen Union ist, ist zuständig.
Das heißt, bei den Großen wie Google und

00:44:37.630 --> 00:44:45.000
Facebook und Microsoft und Apple ist das
z. B. Irland. Bei Amazon ist es Luxemburg

00:44:45.000 --> 00:44:50.830
als ein Beispiel. Und das sind
natürlich erstens relativ kleine

00:44:50.830 --> 00:44:56.740
Datenschutzbehörden. Sie haben einen
besonders wirtschaftsfreundliches

00:44:56.740 --> 00:45:01.260
Verwaltungsrecht,—<i>vereinzelt Applaus</i>—
… Ja, es sind besonders hohe

00:45:01.260 --> 00:45:05.650
Vorgaben dran, was man alles tun muss,
bevor man überhaupt einen Bescheid

00:45:05.650 --> 00:45:10.500
herausgeben darf. Wenn meine irische
Kollegin so über Fälle sprechen würde, wie

00:45:10.500 --> 00:45:14.220
ich das in Deutschland mache, würde sie
sofort vor Gericht scheitern. Weil dann

00:45:14.220 --> 00:45:17.270
würde der Richter sagen „Sie waren
voreingenommen in der gesamten

00:45:17.270 --> 00:45:21.139
Betrachtung“, völlig egal, ob sie selber
die Untersuchung gemacht hat oder jemand

00:45:21.139 --> 00:45:25.720
anderes. Trotzdem haben wir gesagt, es
sind jetzt über 600 Tage, und wir wollen

00:45:25.720 --> 00:45:29.290
zu sehr offensichtlichen Datenschutz-
Verstößen jetzt den Vorschlag der Iren

00:45:29.290 --> 00:45:33.140
und der Luxemburger auf den Tisch kriegen.
Und dann schauen wir anderen uns an, ob

00:45:33.140 --> 00:45:36.950
wir der gleichen Meinung sind. Und wenn
wir nicht der gleichen Meinung sind, dann

00:45:36.950 --> 00:45:40.460
wird mit Mehrheit im Europäischen
Datenschutzausschuss darüber abgestimmt,

00:45:40.460 --> 00:45:45.470
wie die Sicht der europäischen
Datenschutzbehörden sind. Und das ist dann

00:45:45.470 --> 00:45:51.340
der erlassene Bescheid. Das heißt, die
Gefahr, dass wie in Deutschland das

00:45:51.340 --> 00:45:55.860
Kraftfahrzeugbundesamt einfach alleine
entscheidet, entsteht am Ende im

00:45:55.860 --> 00:45:59.240
Datenschutz nicht. Da können dann die
anderen Kraftfahrzeugsbehörden das

00:45:59.240 --> 00:46:02.951
Kraftfahrzeugbundesamt bei Dieselgate
überstimmen. Das wäre doch schön, wenn es

00:46:02.951 --> 00:46:06.870
da auch gegeben hätte. Aber es dauert
halt. Ich habe jetzt den Iren angeboten, dass

00:46:06.870 --> 00:46:11.740
sie uns mal einen Fall abtreten dürfen.
Wir haben auch Fälle vorgeschlagen. Bisher

00:46:11.740 --> 00:46:17.459
ist das noch nicht beantwortet worden. Der
irische Staat hat nur einen minimalen

00:46:17.459 --> 00:46:20.980
Aufwuchs in diesem Jahr wiedergegeben
der Datenschutzbehörde. Die ist schon

00:46:20.980 --> 00:46:24.420
gewachsen in den letzten Jahren nur ein
Viertel von dem, was die Kollegin

00:46:24.420 --> 00:46:28.890
beantragt hatte. Und das ist ein Staat …
es ging um 5 Millionen Euro im Jahr. Der

00:46:28.890 --> 00:46:33.140
gleiche Staat, der im Augenblick vor
Gerichten, versucht zu verhindern, dass

00:46:33.140 --> 00:46:37.420
Apple ihm 14 Milliarden Euro Steuern bezahlen
muss. Da merken Sie, was der Gedanke

00:46:37.420 --> 00:46:41.350
dahinter ist. Ich habe bewusst Dieselgate
verwendet, um deutlich zu machen: Das ist

00:46:41.350 --> 00:46:44.690
ja auch den Nationalstaaten in der
Europäischen Union nicht fremd, sich

00:46:44.690 --> 00:46:48.450
schützend vor einen Wirtschaftszweig zu
stellen. Aber das dürfen wir ihm einfach

00:46:48.450 --> 00:46:52.360
nicht durchgehen lassen. Aber wann es
soweit ist, kann ich Ihnen noch nicht sagen.

00:46:52.360 --> 00:46:56.840
<i>Applaus</i>
Herald: Signal-Angel, die nächste Frage

00:46:56.840 --> 00:47:01.180
aus dem Internet bitte.
Frage: Woran scheitert es, dass

00:47:01.180 --> 00:47:05.480
Datensparsamkeit so wenig Gehör in der
Politik stößt? Und wie können wir Hacker

00:47:05.480 --> 00:47:10.020
dabei helfen, abseits davon
für Sie zu arbeiten? —<i>vereinzelt Lachen</i>

00:47:10.020 --> 00:47:16.710
Kelber: Ich glaube, erst einmal hat es
eine erfolgreiche Lobbyarbeit darin

00:47:16.710 --> 00:47:23.060
gegeben, Menschen an führenden Stellen
in der Politik zu verstehen zu geben,

00:47:23.060 --> 00:47:28.820
Datensparsamkeit sei Datenarmut. Man müsse
wichtige Daten wegschmeißen. Damit würden

00:47:28.820 --> 00:47:33.130
wir mit USA und China nie mehr
gleichziehen können. Dieser einfache

00:47:33.130 --> 00:47:37.950
Dreisatz ist denen in die Köpfe implementiert
worden. Deswegen – habe ich tatsächlich auf

00:47:37.950 --> 00:47:41.740
dem Digitalgipfel erlebt – wie einen Monat
bevor europäisches Recht ist, mit den

00:47:41.740 --> 00:47:45.810
Stimmen Deutschlands beschlossen
wurde, endgültig wirksam wurde:

00:47:45.810 --> 00:47:50.210
Datenschutzgrundverordnung, die
Bundeskanzlerin sich hinstellt und sagt:

00:47:50.210 --> 00:47:54.160
„Wir müssen das Prinzip der
Datensparsamkeit aufgeben“. Das aber später

00:47:54.160 --> 00:47:58.000
bindendes europäisches Recht wurde, vorher
bindendes deutsches Recht war. Das ist

00:47:58.000 --> 00:48:04.411
schon etwas, was man selten erlebt an dem
Punkt. Da werden wir ein ganzes Stück für

00:48:04.411 --> 00:48:09.820
werben müssen, dass das einfach nicht wahr
ist. Wenn wir aber auch einfache Narrative

00:48:09.820 --> 00:48:14.599
gemeinsam entwickeln müssen, die ähnlich
aufzuführen. Ich finde ja so ein

00:48:14.599 --> 00:48:18.840
Narrativ wie „dich gehen Daten nichts an,
die nichts mit einer Dienstleistung zu tun

00:48:18.840 --> 00:48:23.190
haben“, ist so eine einfach, weil das ist
eine Werteentscheidung, die ich treffe. Und

00:48:23.190 --> 00:48:27.089
solche Werteentscheidungen haben wir oft
getroffen. Klar wird es für Deutschland

00:48:27.089 --> 00:48:30.340
wirtschaftlich attraktiver,
Kohlekraftwerke mit Kindern zu betreiben,

00:48:30.340 --> 00:48:34.200
weil dann könnte man die Stollen kleiner
machen. Dann können wir gleich wieder mit

00:48:34.200 --> 00:48:38.150
Preisen aus Kolumbien mithalten. Haben wir
uns aber aus Wertegründen entschieden, es

00:48:38.150 --> 00:48:41.930
nicht zu tun. Dasselbe sollten wir auch
mit Daten machen, die unsere Grundrechte

00:48:41.930 --> 00:48:48.650
beeinflussen.
<i>Applaus</i>

00:48:48.650 --> 00:48:51.940
Herald: Mikrofon Nummer 4,
deine Frage bitte.

00:48:51.940 --> 00:48:57.140
Frage: Herr Kelber, Sie haben ja selber
gesagt, dass Gesetze oftmals noch nicht

00:48:57.140 --> 00:49:01.268
reichen. Mir persönlich geht es auch so,
dass ich das Gefühl habe, zum Beispiel die

00:49:01.268 --> 00:49:05.110
Datenschutzgrundverordnung ist manchmal
ein bisschen zahnlos, und meine Frage an

00:49:05.110 --> 00:49:08.891
Sie ist: Welche Handlungsalternativen
sehen Sie da? Wie sieht es aus z. B. mit

00:49:08.891 --> 00:49:13.358
Bereitstellung von alternativer
Infrastruktur? Gerade zu Cloud, großen

00:49:13.358 --> 00:49:17.080
Cloud-Anbietern zum Beispiel. Wie sieht es
aus mit Förderungen für Open-Source-

00:49:17.080 --> 00:49:21.081
Software für Projekte, die z. B. auch
irgendwie grün unterwegs sind,

00:49:21.081 --> 00:49:24.910
Daten schützen, wie auch immer. Was gibt’s
da für Möglichkeiten in der Politik?

00:49:24.910 --> 00:49:29.320
Kelber: Ich glaube, man sollte nicht das
eine lassen und das andere unterschätzen

00:49:29.320 --> 00:49:34.070
und das dritte dann nicht machen. Ich bin
für die Förderung vor allem dort, wo ich

00:49:34.070 --> 00:49:39.379
glaube, mit der Förderung – das ist ja dann
mein Job – Verbesserungen für die Datenschutz-

00:49:39.379 --> 00:49:43.610
Situation herbeizuführen. Das war das Beispiel
mit den Messengersystemen, weil die

00:49:43.610 --> 00:49:46.950
natürlich welche sind, wo ganz
besonders viele relevante sensible Daten

00:49:46.950 --> 00:49:52.860
abgegriffen werden. Da bin ich in eine
Monopolsituation reingekommen, die ich

00:49:52.860 --> 00:49:56.720
nur noch mit Krafft aufbrechen kann.
Das eine wäre, diese Frage der

00:49:56.720 --> 00:50:01.790
Interoperabilität zu erzwingen, wenn
allein ein Drittel der Sprachnachrichten

00:50:01.790 --> 00:50:05.910
heutzutage über Messengersysteme, nicht
mehr über Handy oder Festnetz geht, da

00:50:05.910 --> 00:50:09.590
müssen sie auch die gleichen Pflichten
erfüllen wie die anderen. Das ist z. B.

00:50:09.590 --> 00:50:16.080
Interoperabilität. Ich glaube aber, und
deswegen werbe ich dafür. Und der Chef des

00:50:16.080 --> 00:50:19.860
Bundesamtes für die Sicherheit in der
Informationstechnik hat ja ähnliches schon

00:50:19.860 --> 00:50:23.360
mal verlautbaren lassen. Ich glaube
tatsächlich, wir sollten ein Messenger

00:50:23.360 --> 00:50:27.280
System als deutsche Verwaltung – am besten
die gesamte, aber ansonsten muss der Bund

00:50:27.280 --> 00:50:31.440
eben anfangen – anbieten für Bürgerinnen
und Bürger. Aber eins, das datenschutz-

00:50:31.440 --> 00:50:35.740
freundlich ist. Und da, glaube ich, gehe
das tatsächlich nur auf der Open Source

00:50:35.740 --> 00:50:40.970
Software Basis. Und wenn unser großer
Nachbarstaat es auf einer solchen Basis

00:50:40.970 --> 00:50:45.440
macht – Matrix – sich dann anzuschauen,
sind das die gleichen Bedingungen, die die

00:50:45.440 --> 00:50:49.720
Franzosen haben und dann noch mehr
Schlagkraft reinzubringen. Ich verstehe

00:50:49.720 --> 00:50:54.550
das ja manchmal im privaten Umfeld nicht.
Dass Menschen, die 15 verschiedene

00:50:54.550 --> 00:51:03.270
Leih-Fahrräder und -Elektroscooter-
Anwendungen auf ihrem Gerät haben, nicht

00:51:03.270 --> 00:51:08.990
in der Lage sein wollen, einen zweiten
Messenger zu installieren, mit dem sie mir

00:51:08.990 --> 00:51:13.300
ohne Daten abgreifen, mit mir
kommunizieren können, da ist irgendwie

00:51:13.300 --> 00:51:20.700
eine Denkblockade. — <i>Applaus</i>
Herald: Mikrofon Nummer 2 bitte.

00:51:20.700 --> 00:51:25.640
Frage: Wie sensibilisiert man den
durchschnittlichen nicht-IT-affinen Bürger

00:51:25.640 --> 00:51:29.680
und Politiker für sein eigenes
Interesse an Datenschutz?

00:51:29.680 --> 00:51:35.320
Kelber: Ansprechen! Die wollen auch
angesprochen werden. Den Bürgerinnen

00:51:35.320 --> 00:51:38.891
und Bürgern muss man es wahrscheinlich …
Politikerinnen und Politiker wollen

00:51:38.891 --> 00:51:43.390
angesprochen werden, auch die nicht-
Netzpolitiker, nicht die Digital-

00:51:43.390 --> 00:51:48.590
Politikerinnen und -Politiker. Bei
Bürgerinnen und Bürgern wird man

00:51:48.590 --> 00:51:52.640
vielleicht auch neben dem jährlichen
Skandal, nachdem es mal ein kurzes

00:51:52.640 --> 00:51:57.500
Interesse gibt, das nicht immer sich im
Handeln ausprägt, wird man das auf eine

00:51:57.500 --> 00:52:01.640
Art und Weise machen müssen, dass sie
Bilder erkennen, dass sie in einfachen

00:52:01.640 --> 00:52:05.520
Systemen machen. Was meistens
funktioniert, wenn ich in Gruppen rede,

00:52:05.520 --> 00:52:10.859
die keine Vorbildung haben, ist ihnen zu
verdeutlichen, was das, was im digitalen

00:52:10.859 --> 00:52:15.440
Bereich gerade passiert, in ihrer
gewohnten analogen Welt bedeuten würde.

00:52:15.440 --> 00:52:19.370
Wenn ich denen dann erzähle mit Tracking:
Stell dir mal vor, du gehst in die Bonner

00:52:19.370 --> 00:52:23.369
Fußgängerzone und in dem Augenblick, wenn
du sie betrittst, beginnt einer, hinter dir

00:52:23.369 --> 00:52:26.959
herzulaufen, der schreibt auf, an
welchen Geschäften du stehenbleibst, mit

00:52:26.959 --> 00:52:31.040
wem du dich unterhälst. Der bietet dir
irgendwann Kaffee an. Kostenlos. Wenn ihr

00:52:31.040 --> 00:52:35.130
nach dem Becher greift, sagt er aber „Ich
will erstmal gucken, wer waren denn die

00:52:35.130 --> 00:52:38.960
letzten fünf Leute, die sie getroffen
haben.“ Wenn es verboten würde,

00:52:38.960 --> 00:52:43.100
Briefumschläge zu verwenden, alles nur
noch auf Postkarten geschrieben werden

00:52:43.100 --> 00:52:47.970
dürfte. Wenn Sie es so übertragen in die
Welt, die die kennen. Dann wird der ein

00:52:47.970 --> 00:52:58.480
oder andere auch wach. — <i>Applaus</i> — Als ich
noch Parteipolitiker war, habe ich mir

00:52:58.480 --> 00:53:03.170
immer mal vorgenommen, einen Kaffeestand beim
Tag der offenen Tür vorm Innenministerium

00:53:03.170 --> 00:53:07.740
zu machen mit umsonst Kaffee. Aber den
kriegen die Leute dann tatsächlich nur,

00:53:07.740 --> 00:53:11.830
wenn ich einmal kurz ihr Handy
durchgucken darf. — <i>Lachen, Applaus</i>

00:53:11.830 --> 00:53:15.310
Aber das kann ich jetzt nicht mehr machen,
das traue ich mich nicht mehr.

00:53:15.310 --> 00:53:19.190
Herald: Mikrofon Nummer 8 bitte!
Frage: Vielen Dank noch einmal für den

00:53:19.190 --> 00:53:24.170
Talk. Man sieht hier auf dem Kongress
selbst da, wo man denkt, man hat viel

00:53:24.170 --> 00:53:28.710
Gutes an Sicherheit gemacht, gibt es immer
noch Schlupflöcher. In den meisten Fällen

00:53:28.710 --> 00:53:34.170
hat man nicht so viel Gutes gemacht. Daher
von mir die kurze Frage: Wie ist bei Ihnen

00:53:34.170 --> 00:53:40.869
das Verhältnis Datenminimierung zu dem
Thema Datensicherheit, sprich in Form von

00:53:40.869 --> 00:53:46.690
Sicherheitsmaßnahmen zu sehen? Wo ist die
Minimierung wichtiger? Und wo ist die

00:53:46.690 --> 00:53:50.070
Sicherheit akzeptabel?
Kelber: Ich glaube übrigens, dass man

00:53:50.070 --> 00:53:54.950
erstmal durch Datensicherheit eine ganze
Reihe von Datenschutz-Sicherheitsproblemen

00:53:54.950 --> 00:53:58.600
ausschließen kann, aber was sie ja
wahrscheinlich ansprechen ist, dass ich an

00:53:58.600 --> 00:54:02.490
manchen Stellen eventuell Daten sammeln
muss, um z. B. Angriffsvektoren oder

00:54:02.490 --> 00:54:05.020
ähnliches zu erkennen. War es das,
was Sie meinten?

00:54:05.020 --> 00:54:12.061
Frage: Es ging darum, dass wir überall
sehen: Belgacom. Da greift sich einfach ein

00:54:12.061 --> 00:54:15.191
fremder Geheimdienst die Daten und
ähnliches …

00:54:15.191 --> 00:54:21.919
Kelber: Daten. Dann ist Datenminimierung
ein Teil eines Datensicherheitskonzeptes.

00:54:21.919 --> 00:54:26.620
Übrigens auch das Verteilthalten von Daten und
ähnliches ist eine Frage, die ich erwartet

00:54:26.620 --> 00:54:30.310
hatte. Wie ist das im digitalen
Gesundheitsschutz? Es gibt ja Daten, wo

00:54:30.310 --> 00:54:34.070
es durchaus unethisch sein könnte, sie
nicht einzusetzen. Aber was sind denn die

00:54:34.070 --> 00:54:37.220
Sicherheitsmaßnahmen? Wie kann ich
wenigstens das Sicherheitsniveau

00:54:37.220 --> 00:54:40.890
erreichen, das ich vorher in der analogen
Welt hatte, wo es ja auch eine Menge

00:54:40.890 --> 00:54:44.170
Verstöße gab? Wo krieg ich eine
Verbesserung hin? Wo sind die Daten so

00:54:44.170 --> 00:54:47.850
sensibel, dass ich mit zusätzlichen
Methoden dafür sorgen muss. Von daher auch

00:54:47.850 --> 00:54:51.810
vielen Dank an den Kongress für die
Aufdeckung der Sicherheitsprobleme bei den

00:54:51.810 --> 00:54:59.240
Karten. Thema Sie können sich sicher
sein, — <i>Applaus</i> — Sie können sich sicher

00:54:59.240 --> 00:55:03.450
sein, dass das auch Thema meiner
Referatsleitungsrunde am 6. Januar

00:55:03.450 --> 00:55:11.539
sein wird. — <i>Lachen, Applaus</i>
Herald: Mikrofon Nummer 1, Bitte.

00:55:11.539 --> 00:55:19.170
Frage: Herr Kelber, schön, dass Sie hier
sind. Sie haben sehr ambitionierte Ziele

00:55:19.170 --> 00:55:26.500
zu schadhaften Algorithmen geäußert und
auch zu, dass wir Vertrauen schaffen

00:55:26.500 --> 00:55:31.630
müssen. Dann haben Sie eben
gerade noch was erzählt von den

00:55:31.630 --> 00:55:37.180
Zertifizierungenmöglichkeiten? Da weise ich
mal darauf hin, dass die Diesel-Motoren

00:55:37.180 --> 00:55:45.520
unserer Auto-Hersteller auch alle zertifiziert
sind. Um mal an Auguste Kerckhoff zu

00:55:45.520 --> 00:55:50.670
erinnern: Die Sicherheit eines Algorithmus
kann nicht in der Geheimhaltung des

00:55:50.670 --> 00:55:54.510
Algorithmus liegen, sondern sollte
möglichst vielen Experten offenstehen.

00:55:54.510 --> 00:56:02.780
Jetzt die Frage: Sehen Sie eine andere
Möglichkeit als Open Source um Ihre Ziele,

00:56:02.780 --> 00:56:08.863
Algorithmen – schadhafte Algorithmen – zu
verhindern oder Vertrauen zu schaffen? Ist

00:56:08.863 --> 00:56:12.220
das mit proprietärer Software
überhaupt machbar?

00:56:12.220 --> 00:56:18.210
Kelber: Thema für einen eigenen Vortrag.
Ich glaube, es wird Bereiche geben, wo ich

00:56:18.210 --> 00:56:23.920
Daten, nur indem ich sie überhaupt … indem
ich den Algorithmus öffentlich mache, überhaupt

00:56:23.920 --> 00:56:28.880
nur Teil einer Kritikalitätsbetrachtung
sein kann. Schauen Sie sich das auch mal in

00:56:28.880 --> 00:56:33.589
Zusammenfassung der Empfehlung der Daten
Ethikkommission mit der Pyramide zu

00:56:33.589 --> 00:56:37.520
algorithmischen System an. Da ist die
zweitoberste Stufe eine mit der

00:56:37.520 --> 00:56:41.700
völligen Offenlage. Für mich als
Aufsichtsbehörde gilt aber trotzdem, dass

00:56:41.700 --> 00:56:45.859
wir an bestimmten Stellen
hineingucken wollen in Systemen.

00:56:45.859 --> 00:56:49.009
Das ist mir natürlich auch klar,
dass sich die sehr schnell ändern.

00:56:49.009 --> 00:56:51.560
also dass ich nicht einmal einen
Punkt habe, wo ich da bin. Dem „Nein“

00:56:51.560 --> 00:56:57.520
dort von Unternehmen oder
Behörden. Das akzeptieren wir nicht.

00:56:57.520 --> 00:57:01.300
Also wir als Aufsichtsbehörde dürfen alles
sehen. Ansonsten bin ich auch bereit,

00:57:01.300 --> 00:57:08.510
Zwangsmaßnahmen einzuleiten. Der Punkt
wird allerdings der sein, dass natürlich,

00:57:08.510 --> 00:57:13.302
wenn nicht zertifiziert werden kann, dass
etwas, was eingesetzt ist, tatsächlich die

00:57:13.302 --> 00:57:16.930
Punkte erreicht, die man zertifiziert,
dann darf auch kein Zertifikat erteilt

00:57:16.930 --> 00:57:20.710
werden. Das war eine der Erfahrungen aus
dem Dieselgate. Deswegen habe ich in

00:57:20.710 --> 00:57:24.068
meiner alten Verwendung ja noch
Koalitionsverhandlungen geführt, 2018,

00:57:24.068 --> 00:57:28.059
nach den Bundes-Wink-Wochen gab es echte
Koalitionsverhandlungen. Und da steht ein

00:57:28.059 --> 00:57:33.720
Satz drinnen: Es muss überhaupt mal etwas
geschaffen werden, wo öffentliche Behörden

00:57:33.720 --> 00:57:37.589
die Kompetenz entwickeln können, in
algorithmische Systeme rein zu schauen.

00:57:37.589 --> 00:57:41.210
Und das kann auch nicht sein, dass es
jeder einstellt. Weil ich kann nicht 20

00:57:41.210 --> 00:57:45.070
Expertinnen / Experten einstellen, das BSI
40, das Kraftfahrzeugbundesamt 10, das

00:57:45.070 --> 00:57:50.630
BaFin 10. Das wird nicht klappen. So viele
gibt es gar nicht auf dem Markt die das

00:57:50.630 --> 00:57:54.240
können. Wir werden also eine Stelle
beauftragen. Kann ja auch an einem

00:57:54.240 --> 00:57:58.450
Netzwerk mit Wissenschaft und
Zivilgesellschaft stehen, um die

00:57:58.450 --> 00:58:02.310
Entwicklung von so etwas anzuschauen. Und
dann sind wir wieder etwas näher an dem,

00:58:02.310 --> 00:58:06.370
was Sie gesagt haben.
Herald: Lieber Single-Angel, die nächste

00:58:06.370 --> 00:58:10.200
Frage aus Internet.
Frage: Sollte man darauf achten, IFG-

00:58:10.200 --> 00:58:15.109
Anfragen verantwortungsvoll zu stellen und
auf ein Minimum zu reduzieren, um die

00:58:15.109 --> 00:58:22.560
Akzeptanz bei Ministerien zu erhöhen?
Kelber: Wie bei jedem Instrument sollte

00:58:22.560 --> 00:58:26.320
man etwas nur dann machen, wenn man es
selber für richtig hält. Aber das ist der

00:58:26.320 --> 00:58:30.440
erste Maßstab, natürlich. Aber das wird ja
allein nicht reichen. Ich habe natürlich

00:58:30.440 --> 00:58:34.458
auch schon Informationsfreiheitsanfragen
gesehen, die man im Augenblick selber gesagt

00:58:34.458 --> 00:58:38.510
hat „Die ist nicht sinnvoll.“ Nachher kam
etwas raus über den kleinen Umweg, wo man

00:58:38.510 --> 00:58:42.279
gesagt hat „Es war gut, dass da einer
nachgefasst hat.“ Umgekehrt habe ich bei

00:58:42.279 --> 00:58:47.390
Sicherheitsbehörden auch schon IFG-Anträge
gesehen, wo man nichts anderes versucht hat,

00:58:47.390 --> 00:58:52.329
als den Ermittlungsstand der Sicherheits-
behörden gegen hochkriminelle Banden

00:58:52.329 --> 00:58:57.910
herauszubekommen. Die Bandbreite ist so
groß, die Entscheidung treffen Sie selbst.

00:58:57.910 --> 00:59:02.130
Das Gesetz sagt, was Sie dürfen, was Sie
nicht dürfen. Was beantwortet werden muss,

00:59:02.130 --> 00:59:07.099
was nicht beantwortet werden muss. Und bei
allem, was das IFG angeht, sind wir noch

00:59:07.099 --> 00:59:11.601
in der Ombudsmann-Funktion. Das heißt,
wenn eine Auskunft verweigert wird, können

00:59:11.601 --> 00:59:15.510
Sie sich an uns wenden, und wir beurteilen
aus unserer Sicht noch einmal die

00:59:15.510 --> 00:59:20.500
Situation.
Herald: Mikrofon Nr. 4, deine Frage?

00:59:20.500 --> 00:59:26.540
Frage: Hallo, zunächst vielen Dank, dass
Sie hier sind. Vielen Dank für den Vortrag

00:59:26.540 --> 00:59:31.100
und auch herzlichen Dank, dass Sie die
Problematik mit WiFi für die EU auf den

00:59:31.100 --> 00:59:36.510
europäischen Datenschutztisch gebracht
haben. Zu meiner Frage: Sie hatten gerade

00:59:36.510 --> 00:59:41.090
das Beispiel angesprochen mit der
Notwendigkeit von Datenschutz im

00:59:41.090 --> 00:59:45.190
öffentlichen Raum, am Beispiel des Laufens
durch die Fußgängerzone in beispielsweise

00:59:45.190 --> 00:59:52.810
Bonn. Sehen Sie dass momentan Arbeit im
Wettbewerbsrecht besteht, um entsprechend,

00:59:52.810 --> 00:59:56.770
ich sage mal datensammelwütige
Geschäftsmodelle für Kommunen auch

00:59:56.770 --> 01:00:00.720
handhabbar zu machen. Wir haben in Aachen
gerade das Problem, dass im Rahmen von der

01:00:00.720 --> 01:00:06.829
Stadtmobiliarausschreibung man ich sage
mal die Wertschöpfung von Daten aus dem

01:00:06.829 --> 01:00:12.020
öffentlichen Raum, in der Ausschreibung
nicht berücksichtigt hat, sodass die Stadt

01:00:12.020 --> 01:00:17.890
jetzt in der Problematik ist, dass für eine
Stadtmobiliarausschreibung ein Anbieter, der

01:00:17.890 --> 01:00:23.890
Daten abschnorchelt ein nach Wettbewerbsrecht
zu wählendes, weil günstigeres Angebot

01:00:23.890 --> 01:00:29.550
vorgelegt hat, als ein Anbieter, der nicht
Daten abschnorchelt. Konkret geht es um

01:00:29.550 --> 01:00:35.070
ICIM-Trekker an Bushaltestellen.
Kelber: Ist mir im Augenblick nichts

01:00:35.070 --> 01:00:38.479
bekannt. Müsste ich tatsächlich
nachhaken, ob auf meiner Fachebene schon

01:00:38.479 --> 01:00:42.340
Debatte gegeben hat? Vielen Dank für die
Anregung. Ist ja einer der Gründe, warum

01:00:42.340 --> 01:00:46.170
ich hierher gekommen bin, Anregungen
mitzunehmen. Nein, kann ich Ihnen leider gar

01:00:46.170 --> 01:00:49.770
nichts zu sagen. Ich weiß, dass im
Augenblick die nächste GWB Novelle dran

01:00:49.770 --> 01:00:53.980
ist, aber was dort in den Entwürfen steht
und ob wir schon beteiligt wurden im

01:00:53.980 --> 01:00:58.589
Vorfeld – manche Ministerien beteiligen uns
ja im Vorfeld – und dann geben wir unsere

01:00:58.589 --> 01:01:03.090
Beratungen nicht öffentlich. Weiß ich
nicht, aber ist zumindest nicht von meinem

01:01:03.090 --> 01:01:07.301
Fachebene für so relevant gehalten worden,
dass ich darüber informiert wurde. Also

01:01:07.301 --> 01:01:11.570
wenn ist es nur auf kleiner Ebene.
Herald: Vielen Dank, Herr Kelber, für das

01:01:11.570 --> 01:01:16.390
geduldige Beantworten aller Fragen. Vielen
Dank für Ihren Vortrag. Es können leider

01:01:16.390 --> 01:01:18.250
nicht mehr alle Fragen drankommen.

01:01:18.250 --> 01:01:26.210
<i>Applaus</i>

01:01:26.210 --> 01:01:31.690
<i>36c3 Abspannmusik</i>

01:01:31.690 --> 01:01:43.230
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!