-
36c3 Vorspannmusik
-
Herald Engel: Unser nächster Vortrag hat
den Titel „Weichenstellung“. In welcher
-
digitalen Welt werden wir leben? Der Herr
Kelber wird darin aufzeigen, welche Folgen
-
die aktuellen politischen Entscheidungen
oder deren Ausbleiben auf unsere Zukunft
-
als Gesellschaft haben. Insbesondere bei
den Themen digitale überwachung durch
-
private und öffentliche Stellen. Ulrich
Kelber ist seit Januar diesen Jahres der
-
Bundesdatenschutzbeauftragte, ist
studierter Diplominformatiker, hat 20
-
Jahre im Bundestag als Bundestagsabgeordneter
gearbeitet und war vorher Staatssekretär
-
im Justizministerium. Bitte begrüßt ihn
mit einem kräftigen Applaus.
-
Applaus
-
Ulrich Kelber: Ja, schönen guten Tag, auch
von meiner Seite, hab mich sehr über die
-
Einladung gefreut. Ich bin natürlich etwas
beschämt, dass ich das erste Mal dabei bin,
-
nämlich in den 20 Jahren, wo ich
tatsächlich Abgeordneter war, hat meine
-
Familie gestreikt: neben den Wochenenden,
die immer dazugehören zur Arbeit, mir dann
-
auch noch die Tage über Weihnachten für
digitale Themen frei zu geben. Aber
-
nachdem ich ja im Januar in den Job
wechseln konnte, wo ich noch schön an
-
einem Thema tief arbeiten kann, aber die
Wochenenden jetzt freier zur Verfügung
-
habe, durfte ich mir zumindest mal einen
Tag dafür nehmen. Und ich hoffe, im
-
nächsten Jahr vielleicht auch mal mit
Übernachtung ein bisschen mehr
-
reinschnuppern auch in das, was andere zu
sagen und zu zeigen haben. — Applaus
-
Ich habe in der Tat jetzt knapp ein Jahr in
der neuen Funktion zubringen können,
-
versuchen, das Thema in der Breite
aufzunehmen, Schwerpunkte zu setzen,
-
insbesondere bei den Aufgaben, die wir in
den letzten Jahren auch hinzubekommen
-
haben: die Durchsetzung der europäischen
Datenschutzgrundverordnung, die
-
Durchsetzung der ja erst noch in
nationales Recht umzusetzenden Joint
-
Implementation Richtlinie, die Regulierung
von Scoring und Profiling, bereich-
-
spezifische Gesetzgebung, die ja fast im
Wochenrhythmus erfolgt, insbesondere im
-
Sicherheitsbereich und natürlich jetzt
auch drei Jahre oder dreieinhalb Jahre
-
nach Inkrafttreten, anderthalb Jahre nach
der vollen Wirksamkeit. Auch die
-
Überlegungen zur Weiterentwicklung
europäischen Datenschutzrechts. Und alles
-
vor dem Hintergrund einer Entwicklung, wo
im Augenblick Weichenstellungen in der
-
Frage von Regulierung, Nichtregulierung,
technische Entwicklung, Einführung von IT-
-
Systemen gesetzt werden, die massive
Auswirkungen auch auf unsere
-
Gesellschaftsordnung haben. Mich
interessieren die Debatten um digitale
-
Überwachung, sei es durch private oder
staatliche Stellen und insbesondere
-
natürlich auch der regelrechte hysterische
Wettlauf um immer neue
-
Eingriffesbefugnisse von
Sicherheitsbehörden. — Applaus —
-
Ich bin überzeugt, dass wir
schon die Weichenstellungen so vornehmen
-
können, dass auch die digitale
Gesellschaft eine freiheitliche, liberale
-
und diverse Gesellschaft bleibt. Aber
ausgemacht ist das noch keineswegs. Wir
-
sehen immer wieder, dass die technischen
und ökonomischen Aspekte dieser Debatte in
-
den Vordergrund gestellt werden und dass
es schwierig ist, durchzudringen mit
-
gesellschaftspolitischen und
datenschutzrechtlichen Fragestellungen.
-
Und wenn es eine Debatte gibt über diese
Weichenstellung in einer digitalpolitischen
-
europäischen Debatte, dann werden eben vor
allem diese technischen und okönomischen
-
Aspekte herangezogen. Es wird verwiesen
auf den Stand von ja durchaus
-
durchaus weiterentwickelten Digital-
Ökonomien in den USA und China, deren
-
Vorsprung im Bereich von dem, was immer
unscharf als „künstliche Intelligenz“
-
bezeichnet wird. Dass dieser Vorsprung
uneinholbar geworden sei und wohlstands-
-
gefährdend ist. Das wird durchaus als
Druckmittel verwendet, um dann bei
-
einzelnen Debatten festzulegen, in welcher
Form darf es zu Datenverwertung mittels
-
künstlicher Intelligenz, algorithmischer
Systeme oder auch der Nutzung von
-
Datenbanken an der Stelle kommen? Und wenn
man etwas genauer hinschaut, dann ist es
-
in der Tat natürlich so, dass in den USA
und China in manchen Sektoren bereits eine
-
andere Phase der technologischen
Entwicklung eingetreten ist. Dort wird
-
über deutlich höhere private und
staatliche Mittel in dem Bereich
-
investiert. Aber man merkt auch, dass
beide Wirtschaftssysteme einen bestimmten
-
Weg eingeschlagen haben für die Nutzung
von IT-System. In China entsteht ein
-
Überwachungssystem, das den Polizeistaat
erst zur vollen Blüte bringen kann. Wer
-
sich jetzt in den letzten Monaten ist das
mal zum Thema geworden mit dem, was im
-
Westen des Landes bei den Uiguren
passiert. Aber ein System, wo das
-
Verhalten aller Bürger digital überprüft
wird, was manche ja – außerhalb dieser
-
Halle natürlich – nicht verstehen, ist, wie
analoges und digitales Leben heute so
-
verschränkt sind, dass sie einander
beeinflussen. Dass deswegen eben auch auf
-
das Verhalten außerhalb der unmittelbaren
digitalen Welt ein Verhaltensdruck
-
ausgeübt wird. Wer sich im Sinne des
Systems verhält, dem winken Prämien,
-
Belohnungen, Vorteile. Wer das nicht tut,
riskiert für sich und Angehörige
-
Lebensmöglichkeiten vom Bildungssystem bis
hin zur Mobilität. Und es ist spannend,
-
wer diese Standards setzt. Es ist
spannend, wie diese Standards sich ändern
-
und vor allem, dass ein Gefühl entsteht,
dass ich gar nicht mehr abschätzen kann:
-
Wann werde ich eigentlich beobachtet, mein
Verhalten interpretiert, gespeichert,
-
bewertet von anderen. Und dies ist ein
Gefühl, dass es keine Bereiche mehr der
-
Möglichkeit gibt, sich ins Private
zurückzuziehen, etwas zu tun, was
-
vielleicht noch nicht von allen anderen so
vorgelebt wurde, verändert auch das eigene
-
Verhalten. Das ist eine Entwicklung, die
sicherlich in Europa nur eine absolute
-
Minderheit will, auch unter all denen,
die politische Positionen haben oder in
-
der Wirtschaft an entscheidenden
Stellen kommt. Es gibt allerdings
-
interessanterweise Studien, die unter
jüngeren Menschen schon eine größere
-
Zustimmung zu einem solchen System zum
Ausdruck bringt, wo bestimmte
-
Verhaltensweisen, die als durchaus … man
fängt ja an, mit welchen, die tatsächlich
-
vielleicht gesellschaftspolitisch von der
großen Mehrheit nicht gewünscht sind,
-
sanktionieren kann. Aber wie gesagt, die
große Mehrheit will das nicht, und zwar
-
weder vom Staat noch von privaten Konzernen.
Also weder das chinesische Modell, noch
-
das US-amerikanische Modell, die sich
ja durchaus auch beide teilweise mit
-
Aspekten des anderen – die USA im
Sicherheitsbereich, die chinesische Seite
-
mit dem Zusammenwirken zwischen Staat und
privaten Konzernen – beginnt. Und auch wenn
-
das keiner in Europa will, glaube ich,
dass dieses Überwachungsgift durchaus in
-
unser System träufelt von Tag zu Tag. Und
zwar, dass man Überwachung durchführen
-
will, weil man sie durchführen kann. Dass
man Datensammlungen betreibt, wenn man
-
diese Daten sammeln kann, weil Sensoren,
Speicher und Verarbeitungsmöglichkeiten
-
immer kleiner, schneller, besser und
billiger werden. Und dass Dinge, die man
-
vorher nicht gemacht hat, weil einfach der
Aufwand zu groß war, jetzt praktisch im
-
Vorbeigehen mitlaufen lässt. Und wo kann
man dieses Gift schon spüren? Das spürt
-
man, wenn die Geschäftsmodelle von
Verlagen in den politischen Debatten
-
Vorrang bekommen sollen vor der
Unverletzlichkeit der Privatsphäre von
-
Bürgerin und Bürger, wenn die Komfort
gegen Daten getauscht wird, auch im
-
Individualverhalten. Und wenn Sicherheit
vor Freiheit gesetzt wird bei der Debatte:
-
Was kann ich mit einem zusätzlichen
Durchgriffsrecht, Eingriffsrecht von
-
Sicherheitsbehörden erreichen? Dann
erleben wir, dass die Bewertung von
-
Verhalten und das Bewerten von Gesinnung,
wenn sie in die Auswertung mancher Daten
-
schauen und auch in die ein oder anderen
Gesetzentwurf, wo jetzt auf einmal wieder
-
aufgebracht wird, wer etwas unterstützt
oder befürwortet, dass das ebenfalls
-
Einfluss nimmt, damit Normmodelle setzt,
die dann in der Verarbeitung von Daten
-
überprüft werden durch Staat und durch
private Stellen auch in der Europäischen
-
Union. Und wie wir das ausgestalten, wie
wir zum Beispiel über eine E-Privacy
-
Verordnung in der Frage von Tracking
sprechen, das ist eine dieser
-
Weichenstellungen, die ich meinte mit dem
Titel des Vortrags. Im Zentrum dieser
-
Debatten steht tatsächlich das, was immer
mit dem großen Schlagwort „Künstliche
-
Intelligenz“ genommen wird. Sind genügend
im Saal, mit denen man sich 2 Stunden darüber
-
unterhalten könnte, was dieses Schlagwort
wirklich meint und wo es nicht meint. Aber
-
das lasse ich mal außen vor. Ich spreche
über KI und algorithmische Systeme, mal
-
als Bandbreite. Wir Datenschutzbeauftragten
haben für uns erkannt, dass es unsere
-
Arbeit verändert. Dass es aber eben
auch eine große Auswirkung auf
-
die Frage von Regulierung haben. Haben
deswegen in diesem Jahr, im Frühjahr und
-
dann ausgearbeitet noch bis in den Herbst
bei der Tagung in Trier im Frühjahr die
-
Hambacher Erklärung herausgegeben, auf
Schloss Hambach. Wir haben dieses Symbol
-
tatsächlich gewählt. Das Hambacher
Freiheitsfest von 1832, wo die
-
Grundrechte, die Bürgerrechte, auch in den
Vordergrund gestellt wurden. Übrigens ein
-
internationales Fest, weil es immer manche
Deutschtümeler versuchen, für sich zu
-
gewinnen. Es waren Franzosen und Polen und
andere Delegierte dort. Und haben
-
versucht, Grundprinzipien bei diesem
Einsatz zu definieren. Menschen nicht zum
-
bloßen Objekt einer solchen
Datenverarbeitung zu machen, das
-
Zweckbindungsgebot nicht fallen zu
lassen. Nicht so einfach auch in der
-
Entwicklung solcher Systeme. Die
Transparenz, die Nachvollziehbarkeit und
-
die Erklärbarkeit von KI-Systemen, die
Verhinderung von Diskriminierung und den
-
Grundsatz der Datenminimierung. Die
letzten drei sind übrigens sehr
-
interessant in der gesamten Debatte mit
Techis, weil mir das selbst bei Leuten, die
-
absolut liberal in ihren Grundsätzen sind,
immer wieder auffällt, dass sie ablehnen
-
diese Verantwortung in der Entwicklung von
Systemen mit zu übernehmen. Uns wird dann
-
entgegen geschleudert, das wäre ein
Generalverdacht. Wir würden zusätzlichen
-
Aufwand berücksichtigen. Aber ich glaube,
wer solche Macht ausübt mit solchen
-
Systemen in der Öffentlichkeit, der muss
zumindest selber überlegen: Kann der
-
Bereich, in dem ich gerade arbeite,
Auswirkungen auf Menschen und Ihre Rechte
-
haben? Und was muss ich dann
berücksichtigen in der Entwicklung dieser
-
Technologie? Wir haben natürlich auch über
Verantwortlichkeit gesprochen. Jedes
-
System muss auch jemand haben, den ich.
Ansprechen kann auf Fehlverhalten, auf
-
Diskriminierungspotenziale und ähnliches.
Das kann nicht verwischen in einem
-
komplexen Netzwerk unterschiedlicher
Systeme. Und wenn man … — Applaus Und wenn
-
man dann wirtschaftspolitisch an das Ganze
herangeht, ist es regelrecht absurd, dass
-
hier in Deutschland und in Europa, wo wir
eigentlich Erfahrung mit Datenschutz und
-
ich hoffe auch mit IT-Sicherheit haben, wo
wir Gesetze haben, die uns dazu
-
verpflichten, in diesem Bereich höhere
Qualität anzubieten als in anderen
-
Weltregionen. Dass in dieser Weltregion
die Wirtschaftsverbände und die
-
Unternehmen unterwegs sind, über diese
Regulierungen jammern und in anderen
-
Weltregionen mehr oder minder glaubhaft
wie z. B. in den USA die ersten Unternehmen
-
unterwegs sind und sagen: Wir wollen darüber
werben für unsere Produkte, für unsere
-
Dienstleistungen, dass wir über die
gesetzlichen Vorgaben hinausgehen. Dass
-
wir das von Anfang an mit rein nehmen.
Hätten wir das auch bei Autos, Maschinen
-
und anderen Produkten gemacht, wäre
Deutschland ein armseliger Standort. Ich
-
verstehe nicht, warum wir in der Digital-
Ökonomie auf den niedrigsten Standard einen
-
Wettlauf nach unten machen wollen, nach
Meinung der Wirtschaftsverbände, anstatt
-
mit Qualität und Unique Selling Points
auch weltweit zu punkten. Das wäre im
-
Datenschutz, in der IT-Security,
wirklich möglich.
-
Applaus
Wir begegnen natürlich immer einem
-
logischen Wunsch. Das ist wirklich bei
Wirtschaft, Techies und großen Teilen der
-
Politik gleich: Wir brauchen für die
Optimierung von Prozesssteuerung, so die
-
Argumentation, die deutliche Erhöhung der
Menge an nutzbaren, qualitativ
-
hochwertigen Daten. Ich will mich dem
übrigens keineswegs verschließen, weil ich
-
durchaus der Meinung bin, selber eine
ganze Reihe von Prozessen zu sehen, wo ich
-
mit dem richtigen Zugriff auf
verantwortlich zur Verfügung stellbare
-
Daten, deutliche Verbesserungs-,
Optimierungs- und Fortschritts-Potenziale
-
sehe. Aber es geht doch darum,
den Prozess so zu organisieren, dass
-
Persönlichkeitsrechte, das Recht auf
informationelle Selbstbestimmung und
-
andere Grundrechte nicht eingeschränkt
werden, nicht verletzt werden, sondern
-
dass wir die neuen technischen
Möglichkeiten sogar nutzen, um
-
informationelle Selbstbestimmung an
Stellen zu schaffen, wo ich sie in der
-
Vergangenheit gar nicht hatte, weil sie
mir nicht zur Verfügung gestanden hat. Und
-
diese Debatte zu führen und anders auf den
Markt zu treten, das ist der Vorschlag,
-
den die deutschen Datenschutzbehörden mit
der Hambacher Erklärung und anderen
-
Beschlüssen gefasst haben. Und auch der
Europäische Datenschutz-Ausschuss ist uns
-
dort vor kurzem gefolgt. Ich glaube, dass
die Regulierung von künstlicher
-
Intelligenz, von algorithmischen Systemen,
da eintreten muss, wo Gefahr für diese
-
Rechtsgüter besteht – des Einzelnen oder
der Allgemeinheit. Sie haben vielleicht
-
zum Teil mitverfolgt, dass es manche gibt:
Der Datenschutz übernähme sich, sagen die,
-
wenn er nicht nur den Schutz des Einzelnen,
sondern einen gesellschaftspolitischen
-
Zweck verfolgt. Aber natürlich habe ich
viele Stellen, wo die Frage des Schutz des
-
Einzelnen ohne eine Beantwortung der
Rechte in der Gemeinschaft gar nicht zu
-
leisten ist. Vom simpelsten Beispiel an:
wenn ich zulasse, dass bestimmte Daten
-
erhoben werden können, freiwillig, dann
ist derjenige, der nicht bereit ist,
-
freiwillig sie zur Verfügung zu stellen,
natürlich am Ende der*die Gekniffene, wenn
-
die anderen diese Daten zur Verfügung gestellt
haben. Deswegen ist es richtig, an einem
-
solchen Beispiel, wo es um besonders
sensible Daten geht, natürlich ein
-
Erhebungs- und Verwertungsverbot allgemein
auszusprechen und es nicht mehr auf die
-
Freiwilligkeit zurückfallen zu lassen.
— Applaus — Und diese Idee, auch
-
technologische Entwicklungen und deren
Einsatz regulieren zu wollen, ist aber
-
auch gar nichts Neues. Das haben wir doch
immer so gemacht. In den letzten zwei,
-
dreihundert Jahren, seit wir eine
einigermaßen entwickelte Zivilgesellschaft
-
und politische Debatte haben. Wir haben es
bei Dampfkesseln gemacht, wir haben es bei
-
medizinischen Geräten, Autos und Handys
gemacht. Was sollte uns davon abhalten,
-
diese Debatte zielgerichtet und
praktikabel auch im Bereich von Software
-
und von Hybrid-Systemen einzuführen? Ein
Beispiel dafür; das war ja etwas, was die
-
Datenethikkommissionen genannt hatte, als
sie gesagt hat, es muss auch die
-
Möglichkeit des Verbots – um jetzt mal die
weitestgehende Möglichkeit zu benennen –
-
von Algorithmen mit unvertretbarem
Schädigungspotenzial geben. Schon diese –
-
eigentlich selbstverständliche – Forderung
„unvertretbares Schädigungspotenzial“ hat
-
zu Widerspruch bei einigen
Wirtschaftsverbänden geführt. Also was das
-
für ein Verständnis der Rolle von Staat
als Zusammenschluss der Gesellschaft gibt:
-
„Es gibt bestimmte Dinge, die ich nicht
zulasse. Bestimmte medizinische Geräte
-
sind nicht zugelassen. Der Verkauf von
Organen ist nicht zugelassen. Kinderarbeit
-
ist nicht zugelassen.“ Und warum soll ich
nicht die Erlaubnis haben, bestimmte
-
Software-Einsätze zu regulieren bis hin zu
einem Verbot? Wir unterhalten uns ja über
-
eine kleine Spitze in einem unglaublich
innovativen Markt, wo 99,99% aller
-
algorithmischen Systeme, die in Umlauf
kommen, nie mit einer Aufsicht oder einer
-
Kontrolle zu tun haben werden. Aber um
diese Spitze müssen wir uns kümmern. Ich
-
will jetzt nicht das ohnehin gestresste
Beispiel von automatischen Waffensystemen
-
oder Hochfrequenzhandel heranbringen. Aber
schon im Bereich der Bildung, von
-
persönlichen Profilen und der Frage, wem
sie zur Verfügung gestellt werden dürfen
-
oder nicht, kann es solche unvertretbaren
Schädigungspotenziale geben und damit
-
die Möglichkeit auch des Verbots in der
Regulierung. — Applaus — Und in der Tat
-
kämpfen wir darum, dass das Prinzip der
Datenminimierung – so heißt es jetzt in der
-
deutschen Version des europäischen
Datenschutzgrundverordnung. Früher hieß es
-
mal Datensparsamkeit –, dass dieses Prinzip
nicht über den Haufen geworfen wird. Es
-
wird angegriffen von allen Ecken: aus
dem technischen Umfeld, aus den
-
Wirtschaftsverbänden, aus der Politik bis
hoch zu den Reden von Wirtschaftsministern
-
und Bundeskanzlerin. Ich glaube teilweise
auch aus dem Unverständnis heraus, was
-
der Begriff eigentlich bedeutet. Er heißt
ja nicht „Schmeiße alle Daten weg, die du
-
hast“, also Datenarmut. Sondern er sagt
„Ja, du hast nicht das Recht, Daten zu
-
erheben, die du nicht benötigst für die
Erbringung der Dienstleistung oder des
-
Produkts. Weil diese Daten dich nichts
angehen von einer Bürgerin oder einem
-
Bürger. Und an bestimmter Stelle darfst du
Daten auch nur weiterverwenden – und bitte
-
jetzt kein Aufheulen, weil ich jetzt auch
hier einen holzschnittartigen Pulk mache –
-
wenn du Anonymisierung oder Pseudonymisierung
verwendet hast. Ich weiß auch, dass es
-
keine absolute Anonymisierung gibt. Den
Einschub mache ich mal kurz. Aber es gibt
-
natürlich situationsgerechte
Anonymisierung. Wenn ich für einen
-
Bruchteil der Sekunde für eine Steuerung
Daten brauche, dann ist das natürlich eine
-
andere Form des Aufwands, um in dem
Augenblick an Daten zu kommen, wenn sie
-
danach gelöscht werden, als wenn ich z. B.
biologische Daten für 30 Jahre ablege und
-
überhaupt nicht weiß, mit welchen
Technologien oder anderen Datenbanken, die
-
in Zukunft begegnet werden können, zu
einer Repersonalisierung. Wir glauben aber
-
auch, dass technologische Entwicklungen
wie dezentrales Lernen oder datenschutz-
-
konforme Data Spaces die Möglichkeit
geben, mit vielen Daten im Bereich der
-
künstlichen Intelligenz die
Prozesssteuerung zu optimieren. Aber wir
-
wollen eben auch eine solche
Herangehensweise haben und nicht die Idee,
-
große Data Lakes zu bilden, mit denen ich
dann später mal reinschaue: Was ist
-
möglich? Und dann, allerhöchstens wenn es
schon einen Missbrauch von Daten gegeben
-
hat, zu gucken: Entdecke ich diesen
Missbrauch, kann ich ihn ahnden? Und finde
-
ich dann als Aufsichtsbehörde auch noch
ein Gericht, das am Ende, wenn ich gesagt
-
habe „Das will ich bestrafen“, mir dann auch
noch Recht gibt. Denn ich muss ja jedes
-
Mal, wenn ich eine Entscheidung treffe,
eine Behörde oder ein Unternehmen mit
-
einer Sanktion zu belegen – beim
Unternehmen das Bußgeld durchaus, bei
-
einer Behörde vielleicht die Untersagung –
damit rechnen, dass ich vor Gericht so
-
etwas auch verlieren kann. Dementsprechend
kann es länger dauern. Und es liegt ja
-
nicht nur in meiner Hand, wie am Ende die
Praxis aussehen wird. Deswegen brauchen
-
wir eine ganz klare Regelung zu diesem
Bereich. Das ist eben kein Bremsschuh
-
für Innovationen, wenn man es von Anfang
an mitdenkt. Und wenn ich bei
-
Wirtschaftsverbänden spreche, stelle ich
einfach immer frech die Frage: Glauben Sie
-
denn, dass Sie als Silicon Valley-2 oder
als China-2 wirtschaftlichen Erfolg haben
-
werden? Oder sind Sie dann der billige
Abklatsch? Wäre es nicht besser, unsere
-
eigenen Werte einer IT-, einem KI-Verständnis
mit europäischen Werten abzubilden und
-
dafür im Wettbewerb nach Unterstützung zu
suchen? Und zwar in Europa, aber auch bei
-
den Menschen in der Welt, die gerne andere
Werte in ihren Sicherheitssystemen in
-
ihrem privaten Datennutzung verankert
hätten, als sie das in ihren Ländern
-
haben. Das war die Idee hinter der
Datenschutzgrundverordnung ohne Rücksicht
-
auf den Standort eines Unternehmens
Europäerinnen und Europäer zu schützen und
-
auch die Idee, dieses Recht zu
exportieren. Und im Augenblick sehen wir
-
die ersten Erfolge, dass andere Länder
Datenschutzrechte auf Grundlage der
-
Datenschutzgrundverordnung entwickeln. Wir
sind also hier an einer Stelle in einen
-
Wettbewerb eingetreten, mit amerikanischem
Recht, mit den Überlegungen in China. Ich
-
glaube, Europa sollte selbstbewusst sein,
diesen Wettbewerb anzunehmen. — Applaus
-
Wir erleben, dass nach wie vor die großen
Internetkonzerne – und ich bedauere jeden
-
Tag, dass wir zu keinem der großen
Entscheidungen schon eine entsprechend …
-
oder der großen offensichtlichen Datenschutz-
Verstöße durch große Internetkonzerne
-
schon eine Entscheidung auf europäischer
Ebene getroffen haben. Ich dringe bei
-
jedem Treffen des Europäischen
Datenschutzausschuss darauf, dass von den
-
vor allem federführenden Behörden in
Irland und Luxemburg diese Entscheidungen
-
jetzt vorgelegt werden. Sie werden
übrigens nachher mit Mehrheit im
-
Europäischen Datenschutzausschuss
beschlossen. Also man kann sich nicht
-
hinter einer nationalen Behörde
verstecken, weil nach wie vor unter den
-
Standardeinstellungen der großen Anbieter
– sei es die aus den USA, aber auch die
-
zunehmend in den Markt dringenden, vor
allem auch aus China und aus Russland;
-
andere werden kommen –, dass schon unter den
Standardeinstellungen weiterhin ungehemmt
-
persönliche Daten abgegriffen werden. Man
ist formal datenschutzkonform, aber
-
sammelt diese Daten ein und es bräuchte in
der Tat technische Kenntnisse, die hier im
-
Saal vorhanden sein werden, aber nicht im
ganzen Land vorhanden sind, nie vorhanden
-
sein werden und nicht auch nicht vorhanden
sein müssen, weil man auch durchs Leben
-
gehen muss, ohne Expertin oder Experte zu
sein. Wenn man diese Kerneinstellungen
-
nicht kennt, verliert man bei diesen
Anwendungen, bei diesen Systemen Daten.
-
Und selbst die, die versuchen, diese Daten-
Sammler zu meiden, gehen dort auf den
-
Leim, verlieren dort ihre Daten, wenn über
Tracking Tools, über Plug-Ins und Source
-
Code Development Kits diese Daten auch bei
Dritten gesammelt werden. Und auch in
-
diesen Fragen ist bisher leider außer
einem Versuch des Bundeskartellamts, das
-
nicht an die gleichen Regeln gebunden ist
wie ich als Bundesdatenschutzbeauftragter,
-
kein Versuch unternommen worden, das zu
stoppen. Ich habe bis heute die
-
Entscheidung des Düsseldorfer Gerichts –
soviel darf ich ja, wo ich jetzt kein
-
Staatssekretär im Justizministerium bin,
ja mal sagen – nicht nachvollziehen können.
-
Ich glaube, da war etwas zu wenig
Berücksichtigung von
-
Datenschutzgrundverordnung und verändertem
Wettbewerbsrecht seit 2016 in der
-
Betrachtung enthalten. Also wir brauchen
die Durchsetzung des bestehenden Rechts.
-
Wir brauchen Zertifizierung und
Labeling, damit man bestimmte Produkte
-
nehmen kann, sicher weiß, das Produkt für
sich hält die Regeln ein. Jetzt kann ich
-
darauf meine nächste Dienstleistung
optimieren. Und natürlich brauchen wir
-
auch Digital Literacy in der Bevölkerung
bis zu einem bestimmten Grad. Ich muss
-
wenigstens ungefähr verstehen, auf was ich
mich in einer digitalen Gesellschaft
-
einlasse. Ich persönlich würde mir
wünschen, dass wir die Möglichkeiten des
-
Schutz der Privatsphäre durch Technik
stärker ausarbeiten, also PIMs und PMTs fände
-
ich wichtig, in einer Form einzuführen,
auf die man sich verlassen kann. Eins
-
gilt: wenn große Konzerne Standards, die
mal eingeführt wurden, um sich zu schützen
-
wie den Do-not-Track-Standard, einfach
ignorieren, dann ist das nichts anderes
-
als ein Betteln um staatliche Regulierung.
Wer sich nicht an Standards hält, der
-
möchte Regulierung vom Staat bekommen. Und
aus meiner Sicht sollten sie die mit der
-
E-Privacy Verordnung auch bekommen.
Applaus — Normalerweise müsste ich als
-
Leiter einer Datenschutzbehörde aufschreien
bei Ideen wie Interoperabilität, weil
-
Interoperabilität Datenaustausch auch
bedeutet. Aber ich sehe heute einen Markt,
-
der sich oligopolisert. Und wenn ich die
Markteintrittsbarrieren für neue
-
Anbieterinnen/Anbieter senken will, dann
muss ich eine datenschutzfreundliche
-
Interoperabilität für die Anwendungen, die
so wichtig geworden sind auf dem Markt,
-
dass sie andere Dienste ersetzen, in denen
die Interoperabilität seit Jahren und
-
Jahrzehnten gilt, auch vorschreiben. Ich
meine zum Beispiel im Bereich von Social
-
Media und von Messenger Systemen. Dort
könnte man mit solchen Schritten durchaus
-
auch europäische Alternativen, am besten
natürlich auf Open-Source Basis
-
vorstellen. Ich würde mich freuen, wenn es
die deutsche Verwaltung der französischen
-
nachtun würde, vielleicht sogar mit den
Franzosen gemeinsam ein System entwickeln,
-
das dann schon mal 10 Millionen
Grundnutzerinnen und Grundnutzer in
-
Zentraleuropa hätte. Das wäre ein Anfang,
mit dem man mit ganz anderer Schlagkraft
-
eine solche Open-Source Messenger
Plattform in Europa etablieren könnte.
-
Applaus — Wir wollen für alle Formen von
Datenverwertung die gleichen Regeln haben.
-
Das gilt auch für die Sicherheitsbehörden,
die ja, wenn es Bundessicherheitsbehörden
-
sind, auch meiner Aufsicht unterliegen.
Seit 2001, seit dem 11. September, sind in
-
einer Geschwindigkeit neue
Sicherheitsgesetze in Deutschland
-
dazugekommen, die es schwierig machen,
noch nachzuvollziehen, was tatsächlich der
-
Stand des Datensammelns ist. Es hat nie
eine Evaluierung der Gesetze gegeben, ob
-
sie erfolgreich waren oder nicht. Wir
erleben dass teilweise neue Datenschutz-
-
Befugnisse gar nicht in der Breite
verwendet werden. Die Daten werden
-
gesammelt, aber nicht ausgewertet, weil
natürlich längst das Personal fehlt. Wir
-
haben problematische Datensammlungen, die
selbst von den Praktikerinnen und Praktikern
-
in den Sicherheitsbehörden als überflüssig
eingestuft werden. Gleichzeitig gibt es
-
aber natürlich auch immer wieder unbefugte
Zugriffe auf solche Daten. Wenn Sie den
-
Tagen zum Beispiel nochmal von der
Berliner Polizei das gelesen haben, wo die
-
Löschmoratorien dazu führen, dass seit
2013 keine Daten mehr aus den
-
polizeilichen Informationssystem genommen
werden, selbst wenn sie nur Opfer oder
-
Zeuge einer Straftat waren. Und die Daten
aber nicht etwa eine Zugriffsbefugnis zum
-
Beispiel für einen Untersuchungsausschuss
bekommen – Anis Amri oder NSU –, sondern
-
weiterhin für alle Polizistinnen und
Polizisten zugreifbar bleiben. Zu einem
-
Protokollierung stattfindet, man aber
nicht einmal begründen muss, warum man
-
darauf zugegriffen hat, und man sich dann
wundert, dass auf die Daten bestimmter
-
Prominenter besonders häufig zugegriffen
wird, auf die Daten von Kolleginnen und
-
Kollegen oder auch auf Nachbarn von
Menschen, die Zugriffsbefugnisse haben.
-
Und solange das der Stand ist, wäre das
natürlich nicht wichtig, Löschmoratorien
-
zu haben, sondern ein Sicherheitsgesetz-
Moratorium in diesem Land einzulegen und
-
erst mal zu prüfen: Wo sind wir eigentlich
übers Ziel hinausgeschossen? Wo gibt es
-
andere Mängel zu beseitigen, als laufend
Bürgerrechte einzuschränken? Mit der
-
Sammlung zusätzlicher Daten über die
Bürgerinnen und Bürgern. Das täte
-
Bürgerrechten und Sicherheit besser als
das nächste Gesetz. — Applaus —Stattdessen
-
sollten wir beim Datenschutz nachschärfen
Die Datenschutzgrundverordnung ist ein
-
großer Wurf, sie hat auch international
Strahlkraft, aber sie hat natürlich auch
-
ihre Grenzen, wo wir heute schon merken,
dass sie technologischen Entwicklungen
-
nicht ausreichend gefolgt ist, wo es
damals keinen Kompromiss gab und sie immer
-
noch auf dem Stand von 1995 ist. Wenn ich
jetzt fragen würde, wer 1995 noch gar
-
nicht geboren war, würden wahrscheinlich
einige Finger hochgehen. Sie können sich
-
aber überlegen, was das für ein Stein-
zeitalter aus technologischer Sicht ist.
-
Wir müssen es auch deswegen machen, weil
wir auch Vertrauen in Digitalisierung
-
gewinnen müssen. Ich glaube nämlich nicht,
dass Daten der Rohstoff des 21.
-
Jahrhunderts ist, sondern Vertrauen! In
einer so komplexen Welt, wo ich gar nicht
-
mehr weiß – Wo werden Daten erhoben, wer
verwendet sie und ähnliches mehr? – kann ich
-
nicht mir jedes einzelne Produkt, jede
einzelne Verbindung überprüfen, sondern
-
ich muss ein System haben, in dem ich der
Anbieterin oder Anbieter, sei es staatlich
-
oder privat, ein Grundvertrauen
entgegenbringen kann, weil sie bewiesen
-
haben, dass sie bestimmte Standards jedes
Mal einhalten, wenn sie hereingehen, weil
-
sie unabhängig überprüft werden können und
weil sie schwer bestraft werden, wenn sie
-
sich an diese Standards dann bei einem
Produkt nicht gehalten haben. Wenn wir
-
dies nicht machen, wenn wir das nicht
machen, hat es zwei Folgen. Es wird sich
-
gewehrt werden gegen Digitalisierung, da,
wo es möglich ist. Andere werden gar nicht
-
hineingehen. Wir wollen weder einen
Fatalismus nach dem Motto „Da kannst du
-
nichts machen, ich stimme allen zu“. Und
auch keine digitale Askese haben. Wir
-
möchten, dass Digitalisierung
gesellschaftliche Innovation und nicht nur
-
technologische Innovation ist. — Applaus
Deswegen sind wir unterwegs und möchten in
-
den Bereichen von Scoring und Profiling –
das sind ja die Schwestern des Trackings;
-
Ich versuche, Leute einzuordnen, zu
kategorisieren, statistisch in Gruppen
-
einzuteilen –; Da brauchen wir klare
Nachschärfungen. Und wir wollen natürlich
-
gerade den kleinen Unternehmern und den
Start-Ups und den Einzel-EntwicklerInnen
-
und -Entwicklern Erleichterungen im
Bereich der Informations- und
-
Dokumentationspflichten verschaffen. Da
glaube ich durchaus, kann man an einigen
-
Stellen zurückdrehen, wenn man dafür an
anderen Stellen das Datenschutzniveau
-
durchaus höher wertet. Wir versuchen zu
helfen, über Guidelines und Auslegungs-
-
Papiere, die wir heranziehen. Wir würden
aber gerne eins machen. Derzeit ist immer
-
Verantwortlicher im Sinne des
Datenschutzrechts die Person, die ein
-
System gegenüber Bürgerinnen und Bürgern,
Kundinnen und Kunden zum Einsatz bringt.
-
Ich glaube, dass wir die Herstellerinnen
und Hersteller von Systemen stärker in die
-
Verantwortung nehmen müssen und nicht nur
wegen Debatten, die Sie hier auf ihrem
-
Kongress selber in den letzten Tagen ja
geführt haben, und interessanten
-
investigativen Dokumenten, die Sie
veröffentlicht haben, sondern nur dann ist
-
das möglich. Ich habe hier nur kurz
gestanden und bin wieder auf die üblichen
-
Probleme angesprochen worden. Wie ist es
mit dem Einsatz von Windows 10 in meiner
-
Rechtsanwaltskanzlei, in meiner Behörde in
ähnlichem mehr? Und dann immer zu sagen,
-
„Ja derjenige der es einsetzt ist der
Verantwortliche im Sinne des
-
Datenschutzrechts“ ist, glaube ich bei
immer komplexer werdenden Systemen, bei
-
der Verabschiedung von der On-Premise-World
einfach zu kurz gesprungen und muss sich
-
technisch an der Stelle durchaus weiter
bewegen. Es gibt also eine ganze Menge zu
-
tun. Der Deutsche Bundestag hat uns
freundlicherweise eine deutliche
-
Aufstockung an Stellen gegeben. Vielen
Dank an die anwesenden
-
Bundestagsabgeordneten, damit wir ein
Stück noch mehr machen können. Sehr viel
-
werden wir in der Tat in den
Sicherheitsbereich investieren. Wir
-
stellen übrigens auch ein und deswegen an
alle, die im Saal sind: Wir brauchen Sie
-
als Unterstützerin und Unterstützer in der
Sache. Wir brauchen Sie als konstruktive
-
KritikerInnen und Kritiker. Wir brauchen
Sie als Beispielgeber und Beispielgeberinnen
-
für datenschutzfreundliche, innovative
Technologien. Und wir würden auch gerne
-
viele von Ihnen als Mitarbeiterinnen und
Mitarbeiter gewinnen. Es ist schön auf der
-
hellen Seite der Macht – kommen Sie zum
BfDI! Vielen Dank für das Interesse bis zu
-
dem Zeitpunkt. Ich freue mich
noch auf die Diskussion.
-
Applaus
-
Herald: So, wenn ihr Fragen habt, dann
stellt euch bitte an die Mikrofone hier im
-
Saal und versucht eure Fragen kurz zu
formulieren. Frage Nummer 1 geht an den
-
Signalangel.
Signalengel: Hier eine Frage von
-
Mastodon: Nach dir hält auch Arne
Semsrott von Frag den Staat seinen Talk.
-
Du bist ja auch
Informationsfreiheitbeauftragter. Hast du
-
eine Erklärung, warum Ministerien und
Behörden, die selber immer mehr Befugnisse
-
fordern, so unwillig sind, selber diese
öffentliche Daten auch preiszugeben?
-
Kelber : Nein. — Lachen, vereinzelt Applaus
Und selbst dann, wenn sie gute Beispiele
-
haben. Als wir damals im Justizministerium
2013 als neue Mannschaft angefangen
-
hatten, haben wir uns nach ein paar Wochen
entschieden, dass wir alle Stellungnahmen,
-
die im Rahmen zu Gesetzentwürfen ans
Ministerium geschickt werden – ist ja Teil
-
der Gesetzgebung, dass man dann sagt,
jetzt hätten wir gerne Kommentierungen von
-
Verbänden, Organisationen und anderen –
dass die alle öffentlich gemacht werden.
-
Es ist keine einzige weniger reingekommen,
aber jeder kann nachprüfen: Von wem sind
-
welche Anregungen zwischen Gesetzentwurf
und endgültigem Gesetz eingeflossen oder
-
nicht. Das ist das, was ich als
Vertrauensbildung meine. Es haben
-
teilweise einige übernommen, nachdem sie
vor Gericht dazu gezwungen wurden, haben
-
das wieder eingestellt. Jetzt machen Sie
es wieder. In der Tat kann
-
Informationsfreiheit für eine
Behördenleitung auch extrem ätzend sein.
-
Und zwar nicht, weil irgendwas
Unangenehmes nachher veröffentlich wird.
-
Dann muss man halt aufpassen, dass man
in den Kommentaren, die man auf
-
was drauf schreibt in der Wortwahl
gemäßigt bleibt. Also schreibe ich nicht
-
drauf. „Der Idiot“ oder so, sondern schreibe
ich „Ich bin nicht dieser Meinung“. Aber es
-
kann natürlich unglaublich viel Arbeit
sein. Ich ärgere mich auch; ich bekomm irgendeine
-
Beschwerde ins Haus. Nach zwei Wochen
stellt einer einen Informationsfreiheitsantrag
-
alle E-Mails, die zu der Beschwerde in
unserem Haus geflossen sind, zu sehen.
-
Dann schreiben wir ihm als Zwischengeschichte
auch noch zusätzlich zurück. Jetzt haben
-
wir die Stelle um Stellungnahme gebeten.
Dann kriegen wir sofort
-
Informationsfreiheitantrag, den gesamten
E-Mail-Verkehr mit der Stelle zu bekommen
-
und am Ende anstatt 10 Beschwerden
bearbeiten zu können, sind wir mit einer
-
Person beschäftigt. Das ärgert einen. Wir
sind natürlich die Guten. Da wir die
-
Informationsfreiheit haben, machen wir
natürlich gerne mit Freude. Aber wenn ich
-
zu ’ner Ministerin oder Minister gehe, die
kennen alle nur wieviele Leute werden
-
abgezogen, um auch seltsame
Informationsfreiheitsgeschichten zu
-
machen? Ich stoße dort auf wenige Fans. Zu
glauben, dass wir in absehbarer Zukunft
-
auf Bundesebene eine deutliche
Verbesserung des
-
Informationsfreiheitsgesetz sehen,
bezweifle ich. Da ist noch viel
-
Überzeugungsarbeit zu leisten.
Herald: Mikrofon Nr. 4. Deine Frage
-
bitte.
Frage: Herr Kelber, es ist Ihre Aufgabe,
-
die Geheimdienste und Sicherheitsbehörden
zu kontrollieren und den Datenschutz auch
-
dort. Sind Sie der Meinung, dass Sie das
effektiv tun können und ausreichend
-
Fähigkeiten und Befugnisse haben?
Und wenn nein, was fehlt?
-
Kelber: Die Kontrolle im Bereich der
Erhebung und Verarbeitung von Daten in dem
-
gesamten restlichen Bereich? Ich glaube,
mit den zusätzlichen Stellen, wenn wir sie
-
besetzt haben, haben wir durchaus erst
einmal Ressourcen, um auch die
-
Kontrolldichte hochzuhalten. Wir werden
selber arbeiten müssen bei der Überlegung,
-
wie technologische Veränderungen und auch
Veränderungen in den Informationssystemen
-
der Dienste unsere Kontrolltätigkeit
gegenüber früher verändern. Aber das ist
-
natürlich ganz was anderes. Ist Zugriff auf
eine sequentielle Datenbank mit einem
-
Gothemsystem vom Palantier, wenn es zum
Einsatz käme, was in der Kontrolle in dem
-
Unterschied ist, in der Zusammenarbeit der
Dienste untereinander mit dem Ausland,
-
gibt es aus meiner Sicht durchaus
Kontrolllücken. Da versuchen wir auch, mit
-
den anderen Aufsichtsgremien wie der
G-10-Kommission und der unabhängigen
-
Gruppe im Kontakt zu sein. Und ich hätte
gerne natürlich … also in der Joint Implementation
-
Richtlinie, die ich vorhin erwähnt hatte,
ja, für den Staatsbereich gilt. Die ist ja
-
in Deutschland auch nach 3 Jahren noch
nicht vollständig umgesetzt. Im Bereich
-
des BKA haben wir Untersagungsrechte.
Die müssten wir im
-
Bereich der Bundespolizei auch haben. Die
hat man noch nicht eingerichtet als
-
Gesetzgeber. Das ist ein Verstoß gegen
Europarecht in Deutschland. Wo es nicht
-
vorgeschrieben wird durch Europarecht,
aber sinnvoll wäre, wäre diese
-
Untersagungsrechte auch für die Dienste zu
haben. Das würde dann nicht nach dem
-
Motto, Ich sage dann „aber die waren jetzt
ganz gemein, haben sich nicht ans Recht
-
gehalten“, sondern ich könnte dann in
einem besonderen Fall in Zukunft
-
untersagen die Nutzung von Daten oder die
Löschung anweisen. Und der Dienst müsste
-
vor Gericht gehen und müsste vor Gericht
meine Anweisung widerrufen lassen. Ich
-
glaube, das wäre der bessere Weg für die
Aufsicht und würde auch mehr Verständnis
-
für die Arbeit der Dienste wecken. Aber
auch dafür gibt es noch keine Mehrheit
-
beim Gesetzgeber.
Herald: Mikrofon Nr. 2. Deine Frage
-
bitte.
Frage: Sie haben gesagt, dass wir ein
-
gewisses Maß an Digital Literacy brauchen,
um der Probleme Herr werden zu können. Ich
-
sehe gerade das Problem, dass wir
politisch eher in die entgegengesetzte
-
Richtung steuern, primär weil kommunal
z. B. Meldedaten verkauft werden und die
-
Bundesregierung auch eher rhetorisch
so eine … ökonomisch orientierte Linie
-
fährt. Wie werden wir dieser Sache Herr?
Kelber: Ich meinte ja mit dem Begriff
-
Digital Literacy, dass die Leute ein
Grundverständnis für digitale Vorgänge
-
haben. Was passiert? Was passiert mit
Daten? Wie funktionieren IT-Systeme?
-
Algorithmische Systeme? Das wird
übrigens—der Teil ist sicherlich auch
-
eine Aufgabe von Schulen und
Bildungsinstitutionen. Da aber 80 Prozent
-
der Bevölkerung die Schulzeit hinter sich
haben und mehr, werden wir sie auch über
-
andere Wege erreichen müssen. Dazu gehören
übrigens auch in den Informationspflichten
-
in der Datenverarbeitung nicht mehr „Ich
mache eine super lange Information“,
-
sondern ich muss an einer Stelle, wo etwas
passiert, eine leichte Erläuterung des
-
Vorgangs haben, damit die Menschen
tatsächlich mit dem Vorgang, den sie
-
machen, ein Verständnis entwickeln können.
Was Sie meinen, ist ja die Frage, wie ist
-
eigentlich die Souveränität? Wie kann ich
wenigstens wissen, was passiert? Was darf
-
der Staat machen? Schaffen die gesetzliche
Grundlage für die Weitergabe von Daten
-
einfach nur, weil sie davon ausgehen, dass
sie nicht genügend freiwillige
-
Einverständnisses bekommen. Da muss sich
der Gesetzgeber zurückhalten. Er sollte bei
-
den gesetzlichen Grundlagen trotzdem ’ne
Verhältnismäßigkeit bewahren. Ist übrigens
-
auch etwas, was wir natürlich in unseren
Stellungnahmen immer mitprüfen und was
-
auch vor Gericht angegriffen wird von
Nichtregierungsorganisationen. Das zweite
-
ist, das war das, was ich vorhin meinte
technische Maßnahmen, die den Bürger auf
-
einen höheren Stand nehmen.
Wenn wir jetzt wirklich mal an eine
-
Registermodernisierung in Deutschland
herantreten, bitte bitte nicht – weil es
-
aus meiner Sicht verfassungswidrig ist –
mit einem einheitlichen Identifier. Kann man
-
auch anders machen. Aber dann wäre
wirklich mal ein Datencockpit, wo
-
Bürgerinnen und Bürger sehen, zumindest
mal vielleicht außerhalb der unmittelbaren
-
Sicherheitsdienste schon mal sehen können:
Wer hat welche Daten, wer hat sie
-
abgerufen und mit wem geteilt? Von allen
staatlichen Registerstellen. Das kann man
-
heute technisch herstellen, und das wäre
dann auch ein Gebot, dass der Bürgerinnen
-
und Bürger etwas davon haben, wenn der
Staat seine IT-Systeme modernisiert.
-
Applaus
Herald: Mikrofon Nummer 8 Deine Frage
-
bitte.
Frage: Sie haben ja vorhin gesagt, dass
-
ein möglicher Weg zu sichereren oder
datenschutzfreundlicheren IT-Produkten
-
die Standardisierung und Zertifizierung
sein könnte. Was konkret ist denn da schon
-
in der Entwicklung? Auf was können wir uns
einrichten? Es gibt ja die ISO 27001,
-
aber da ist der Datenschutz eher ein
optionales Randthema. Und, genau,
-
was kommt jetzt konkret?
Kelber: Bei der Standardisierung sind wir
-
glaube ich noch nicht sehr weit. Aber wir
werden für die Entwicklungsmodelle gerade
-
im Bereich algorithmischer Systeme und KI-
Systeme, denke ich, nochmal für erweiterte
-
Standardisierung brauchen, mit der ich
wenigstens Modelle habe, wie ich in der
-
Entwicklung bestimmte Dinge
berücksichtige. Wann mache ich welche
-
Folgenabschätzungen? Wie steht die
Zurverfügungstellung von Daten aus? Wie
-
sieht die Kontrolle von Datenqualität aus,
und und und. Bei der Zertifizierung sind
-
wir ein Stückchen weiter. Ich spreche jetzt
bewusst nicht von Siegeln wie in dieser
-
Debatte über das IT-Siegel, das ja dann
logischerweise, wenn es ein Siegel sein
-
soll, auch weit über gesetzliche Vorgaben
hinausgehen müsste, sondern dass wir
-
ermöglichen, dass man, wenn man ein
Produkt hat, sich durch eine
-
Zertifizierungsstelle, die beliehen ist,
zertifizieren lassen kann, dass man damit
-
die Anforderungen des Gesetzes eingehalten
hat. Das heißt, der nächste, der es
-
einsetzt, bekommt das Siegel. Wenn ich das
wie vorgeschrieben einsetze, dann ist
-
dieser Bestandteil DSGVO-konform, und
ich muss mir bei dem, was ich add-on mache,
-
bin ich dann der Verantwortliche. Da sind
wir jetzt so weit, dass der Europäische
-
Datenschutzausschuss seine Guideline
verabschiedet hat. Danach haben Sie
-
erlaubt, dass die Nationalstaaten ihre
einbringen. Das haben wir im nächsten
-
Monat gemacht. Ich hoffe, dass wir
spätestens im Februar die Genehmigung
-
durch den europäischen
Datenschutzausschuss für die deutsche
-
Variante bekommen. Dann dürften in diesem
Jahr noch die ersten Akkreditierungen,
-
ersten Zertifizierer, durch die deutsche
Akkreditierungsstelle zugelassen werden.
-
Ich erwarte, dass zum Beispiel im
Bereich der Cloud-Dienste ein solcher
-
Zertifizierer an den Start geht.
Herald: Mikrofon Nummer 1,
-
deine Frage bitte.
Frage: Vielen Dank für den Vortrag, auch
-
dass Sie hier auf dem Kongress sind. Ja,
ich bin seit einiger Zeit verantwortlich
-
in IT-Management-Positionen …
Herald: Bitte die Frage!
-
Frage: … und auch da
implementierte ich natürlich sehr viele
-
Datenschutzmaßnahmen. Sie haben es kurz
angesprochen. Mich würde interessieren,
-
wann wir auch mal Ergebnisse sehen im
Bereich der großen Internetkonzerne –
-
Google, Facebook, Amazon und so weiter,
ob dann auch mal vielleicht Bußgelder etc.
-
auch an diese großen
Unternehmen zugeteilt werden.
-
Kelber: Der Druck natürlich auf die Ba…
Ich habe ja vor allem zwei nationale
-
Datenschutzbehörden genannt, die die
Zuständigkeit haben für besonders viele
-
der großen Internetkonzerne. Ganz kurzer
Exkurs europäisches Datenschutzrecht,
-
sogenannter One-Stop-Shop. Die nationale
Behörde, in der der Hauptsitz innerhalb
-
der Europäischen Union ist, ist zuständig.
Das heißt, bei den Großen wie Google und
-
Facebook und Microsoft und Apple ist das
z. B. Irland. Bei Amazon ist es Luxemburg
-
als ein Beispiel. Und das sind
natürlich erstens relativ kleine
-
Datenschutzbehörden. Sie haben einen
besonders wirtschaftsfreundliches
-
Verwaltungsrecht,—vereinzelt Applaus—
… Ja, es sind besonders hohe
-
Vorgaben dran, was man alles tun muss,
bevor man überhaupt einen Bescheid
-
herausgeben darf. Wenn meine irische
Kollegin so über Fälle sprechen würde, wie
-
ich das in Deutschland mache, würde sie
sofort vor Gericht scheitern. Weil dann
-
würde der Richter sagen „Sie waren
voreingenommen in der gesamten
-
Betrachtung“, völlig egal, ob sie selber
die Untersuchung gemacht hat oder jemand
-
anderes. Trotzdem haben wir gesagt, es
sind jetzt über 600 Tage, und wir wollen
-
zu sehr offensichtlichen Datenschutz-
Verstößen jetzt den Vorschlag der Iren
-
und der Luxemburger auf den Tisch kriegen.
Und dann schauen wir anderen uns an, ob
-
wir der gleichen Meinung sind. Und wenn
wir nicht der gleichen Meinung sind, dann
-
wird mit Mehrheit im Europäischen
Datenschutzausschuss darüber abgestimmt,
-
wie die Sicht der europäischen
Datenschutzbehörden sind. Und das ist dann
-
der erlassene Bescheid. Das heißt, die
Gefahr, dass wie in Deutschland das
-
Kraftfahrzeugbundesamt einfach alleine
entscheidet, entsteht am Ende im
-
Datenschutz nicht. Da können dann die
anderen Kraftfahrzeugsbehörden das
-
Kraftfahrzeugbundesamt bei Dieselgate
überstimmen. Das wäre doch schön, wenn es
-
da auch gegeben hätte. Aber es dauert
halt. Ich habe jetzt den Iren angeboten, dass
-
sie uns mal einen Fall abtreten dürfen.
Wir haben auch Fälle vorgeschlagen. Bisher
-
ist das noch nicht beantwortet worden. Der
irische Staat hat nur einen minimalen
-
Aufwuchs in diesem Jahr wiedergegeben
der Datenschutzbehörde. Die ist schon
-
gewachsen in den letzten Jahren nur ein
Viertel von dem, was die Kollegin
-
beantragt hatte. Und das ist ein Staat …
es ging um 5 Millionen Euro im Jahr. Der
-
gleiche Staat, der im Augenblick vor
Gerichten, versucht zu verhindern, dass
-
Apple ihm 14 Milliarden Euro Steuern bezahlen
muss. Da merken Sie, was der Gedanke
-
dahinter ist. Ich habe bewusst Dieselgate
verwendet, um deutlich zu machen: Das ist
-
ja auch den Nationalstaaten in der
Europäischen Union nicht fremd, sich
-
schützend vor einen Wirtschaftszweig zu
stellen. Aber das dürfen wir ihm einfach
-
nicht durchgehen lassen. Aber wann es
soweit ist, kann ich Ihnen noch nicht sagen.
-
Applaus
Herald: Signal-Angel, die nächste Frage
-
aus dem Internet bitte.
Frage: Woran scheitert es, dass
-
Datensparsamkeit so wenig Gehör in der
Politik stößt? Und wie können wir Hacker
-
dabei helfen, abseits davon
für Sie zu arbeiten? —vereinzelt Lachen
-
Kelber: Ich glaube, erst einmal hat es
eine erfolgreiche Lobbyarbeit darin
-
gegeben, Menschen an führenden Stellen
in der Politik zu verstehen zu geben,
-
Datensparsamkeit sei Datenarmut. Man müsse
wichtige Daten wegschmeißen. Damit würden
-
wir mit USA und China nie mehr
gleichziehen können. Dieser einfache
-
Dreisatz ist denen in die Köpfe implementiert
worden. Deswegen – habe ich tatsächlich auf
-
dem Digitalgipfel erlebt – wie einen Monat
bevor europäisches Recht ist, mit den
-
Stimmen Deutschlands beschlossen
wurde, endgültig wirksam wurde:
-
Datenschutzgrundverordnung, die
Bundeskanzlerin sich hinstellt und sagt:
-
„Wir müssen das Prinzip der
Datensparsamkeit aufgeben“. Das aber später
-
bindendes europäisches Recht wurde, vorher
bindendes deutsches Recht war. Das ist
-
schon etwas, was man selten erlebt an dem
Punkt. Da werden wir ein ganzes Stück für
-
werben müssen, dass das einfach nicht wahr
ist. Wenn wir aber auch einfache Narrative
-
gemeinsam entwickeln müssen, die ähnlich
aufzuführen. Ich finde ja so ein
-
Narrativ wie „dich gehen Daten nichts an,
die nichts mit einer Dienstleistung zu tun
-
haben“, ist so eine einfach, weil das ist
eine Werteentscheidung, die ich treffe. Und
-
solche Werteentscheidungen haben wir oft
getroffen. Klar wird es für Deutschland
-
wirtschaftlich attraktiver,
Kohlekraftwerke mit Kindern zu betreiben,
-
weil dann könnte man die Stollen kleiner
machen. Dann können wir gleich wieder mit
-
Preisen aus Kolumbien mithalten. Haben wir
uns aber aus Wertegründen entschieden, es
-
nicht zu tun. Dasselbe sollten wir auch
mit Daten machen, die unsere Grundrechte
-
beeinflussen.
Applaus
-
Herald: Mikrofon Nummer 4,
deine Frage bitte.
-
Frage: Herr Kelber, Sie haben ja selber
gesagt, dass Gesetze oftmals noch nicht
-
reichen. Mir persönlich geht es auch so,
dass ich das Gefühl habe, zum Beispiel die
-
Datenschutzgrundverordnung ist manchmal
ein bisschen zahnlos, und meine Frage an
-
Sie ist: Welche Handlungsalternativen
sehen Sie da? Wie sieht es aus z. B. mit
-
Bereitstellung von alternativer
Infrastruktur? Gerade zu Cloud, großen
-
Cloud-Anbietern zum Beispiel. Wie sieht es
aus mit Förderungen für Open-Source-
-
Software für Projekte, die z. B. auch
irgendwie grün unterwegs sind,
-
Daten schützen, wie auch immer. Was gibt’s
da für Möglichkeiten in der Politik?
-
Kelber: Ich glaube, man sollte nicht das
eine lassen und das andere unterschätzen
-
und das dritte dann nicht machen. Ich bin
für die Förderung vor allem dort, wo ich
-
glaube, mit der Förderung – das ist ja dann
mein Job – Verbesserungen für die Datenschutz-
-
Situation herbeizuführen. Das war das Beispiel
mit den Messengersystemen, weil die
-
natürlich welche sind, wo ganz
besonders viele relevante sensible Daten
-
abgegriffen werden. Da bin ich in eine
Monopolsituation reingekommen, die ich
-
nur noch mit Krafft aufbrechen kann.
Das eine wäre, diese Frage der
-
Interoperabilität zu erzwingen, wenn
allein ein Drittel der Sprachnachrichten
-
heutzutage über Messengersysteme, nicht
mehr über Handy oder Festnetz geht, da
-
müssen sie auch die gleichen Pflichten
erfüllen wie die anderen. Das ist z. B.
-
Interoperabilität. Ich glaube aber, und
deswegen werbe ich dafür. Und der Chef des
-
Bundesamtes für die Sicherheit in der
Informationstechnik hat ja ähnliches schon
-
mal verlautbaren lassen. Ich glaube
tatsächlich, wir sollten ein Messenger
-
System als deutsche Verwaltung – am besten
die gesamte, aber ansonsten muss der Bund
-
eben anfangen – anbieten für Bürgerinnen
und Bürger. Aber eins, das datenschutz-
-
freundlich ist. Und da, glaube ich, gehe
das tatsächlich nur auf der Open Source
-
Software Basis. Und wenn unser großer
Nachbarstaat es auf einer solchen Basis
-
macht – Matrix – sich dann anzuschauen,
sind das die gleichen Bedingungen, die die
-
Franzosen haben und dann noch mehr
Schlagkraft reinzubringen. Ich verstehe
-
das ja manchmal im privaten Umfeld nicht.
Dass Menschen, die 15 verschiedene
-
Leih-Fahrräder und -Elektroscooter-
Anwendungen auf ihrem Gerät haben, nicht
-
in der Lage sein wollen, einen zweiten
Messenger zu installieren, mit dem sie mir
-
ohne Daten abgreifen, mit mir
kommunizieren können, da ist irgendwie
-
eine Denkblockade. — Applaus
Herald: Mikrofon Nummer 2 bitte.
-
Frage: Wie sensibilisiert man den
durchschnittlichen nicht-IT-affinen Bürger
-
und Politiker für sein eigenes
Interesse an Datenschutz?
-
Kelber: Ansprechen! Die wollen auch
angesprochen werden. Den Bürgerinnen
-
und Bürgern muss man es wahrscheinlich …
Politikerinnen und Politiker wollen
-
angesprochen werden, auch die nicht-
Netzpolitiker, nicht die Digital-
-
Politikerinnen und -Politiker. Bei
Bürgerinnen und Bürgern wird man
-
vielleicht auch neben dem jährlichen
Skandal, nachdem es mal ein kurzes
-
Interesse gibt, das nicht immer sich im
Handeln ausprägt, wird man das auf eine
-
Art und Weise machen müssen, dass sie
Bilder erkennen, dass sie in einfachen
-
Systemen machen. Was meistens
funktioniert, wenn ich in Gruppen rede,
-
die keine Vorbildung haben, ist ihnen zu
verdeutlichen, was das, was im digitalen
-
Bereich gerade passiert, in ihrer
gewohnten analogen Welt bedeuten würde.
-
Wenn ich denen dann erzähle mit Tracking:
Stell dir mal vor, du gehst in die Bonner
-
Fußgängerzone und in dem Augenblick, wenn
du sie betrittst, beginnt einer, hinter dir
-
herzulaufen, der schreibt auf, an
welchen Geschäften du stehenbleibst, mit
-
wem du dich unterhälst. Der bietet dir
irgendwann Kaffee an. Kostenlos. Wenn ihr
-
nach dem Becher greift, sagt er aber „Ich
will erstmal gucken, wer waren denn die
-
letzten fünf Leute, die sie getroffen
haben.“ Wenn es verboten würde,
-
Briefumschläge zu verwenden, alles nur
noch auf Postkarten geschrieben werden
-
dürfte. Wenn Sie es so übertragen in die
Welt, die die kennen. Dann wird der ein
-
oder andere auch wach. — Applaus — Als ich
noch Parteipolitiker war, habe ich mir
-
immer mal vorgenommen, einen Kaffeestand beim
Tag der offenen Tür vorm Innenministerium
-
zu machen mit umsonst Kaffee. Aber den
kriegen die Leute dann tatsächlich nur,
-
wenn ich einmal kurz ihr Handy
durchgucken darf. — Lachen, Applaus
-
Aber das kann ich jetzt nicht mehr machen,
das traue ich mich nicht mehr.
-
Herald: Mikrofon Nummer 8 bitte!
Frage: Vielen Dank noch einmal für den
-
Talk. Man sieht hier auf dem Kongress
selbst da, wo man denkt, man hat viel
-
Gutes an Sicherheit gemacht, gibt es immer
noch Schlupflöcher. In den meisten Fällen
-
hat man nicht so viel Gutes gemacht. Daher
von mir die kurze Frage: Wie ist bei Ihnen
-
das Verhältnis Datenminimierung zu dem
Thema Datensicherheit, sprich in Form von
-
Sicherheitsmaßnahmen zu sehen? Wo ist die
Minimierung wichtiger? Und wo ist die
-
Sicherheit akzeptabel?
Kelber: Ich glaube übrigens, dass man
-
erstmal durch Datensicherheit eine ganze
Reihe von Datenschutz-Sicherheitsproblemen
-
ausschließen kann, aber was sie ja
wahrscheinlich ansprechen ist, dass ich an
-
manchen Stellen eventuell Daten sammeln
muss, um z. B. Angriffsvektoren oder
-
ähnliches zu erkennen. War es das,
was Sie meinten?
-
Frage: Es ging darum, dass wir überall
sehen: Belgacom. Da greift sich einfach ein
-
fremder Geheimdienst die Daten und
ähnliches …
-
Kelber: Daten. Dann ist Datenminimierung
ein Teil eines Datensicherheitskonzeptes.
-
Übrigens auch das Verteilthalten von Daten und
ähnliches ist eine Frage, die ich erwartet
-
hatte. Wie ist das im digitalen
Gesundheitsschutz? Es gibt ja Daten, wo
-
es durchaus unethisch sein könnte, sie
nicht einzusetzen. Aber was sind denn die
-
Sicherheitsmaßnahmen? Wie kann ich
wenigstens das Sicherheitsniveau
-
erreichen, das ich vorher in der analogen
Welt hatte, wo es ja auch eine Menge
-
Verstöße gab? Wo krieg ich eine
Verbesserung hin? Wo sind die Daten so
-
sensibel, dass ich mit zusätzlichen
Methoden dafür sorgen muss. Von daher auch
-
vielen Dank an den Kongress für die
Aufdeckung der Sicherheitsprobleme bei den
-
Karten. Thema Sie können sich sicher
sein, — Applaus — Sie können sich sicher
-
sein, dass das auch Thema meiner
Referatsleitungsrunde am 6. Januar
-
sein wird. — Lachen, Applaus
Herald: Mikrofon Nummer 1, Bitte.
-
Frage: Herr Kelber, schön, dass Sie hier
sind. Sie haben sehr ambitionierte Ziele
-
zu schadhaften Algorithmen geäußert und
auch zu, dass wir Vertrauen schaffen
-
müssen. Dann haben Sie eben
gerade noch was erzählt von den
-
Zertifizierungenmöglichkeiten? Da weise ich
mal darauf hin, dass die Diesel-Motoren
-
unserer Auto-Hersteller auch alle zertifiziert
sind. Um mal an Auguste Kerckhoff zu
-
erinnern: Die Sicherheit eines Algorithmus
kann nicht in der Geheimhaltung des
-
Algorithmus liegen, sondern sollte
möglichst vielen Experten offenstehen.
-
Jetzt die Frage: Sehen Sie eine andere
Möglichkeit als Open Source um Ihre Ziele,
-
Algorithmen – schadhafte Algorithmen – zu
verhindern oder Vertrauen zu schaffen? Ist
-
das mit proprietärer Software
überhaupt machbar?
-
Kelber: Thema für einen eigenen Vortrag.
Ich glaube, es wird Bereiche geben, wo ich
-
Daten, nur indem ich sie überhaupt … indem
ich den Algorithmus öffentlich mache, überhaupt
-
nur Teil einer Kritikalitätsbetrachtung
sein kann. Schauen Sie sich das auch mal in
-
Zusammenfassung der Empfehlung der Daten
Ethikkommission mit der Pyramide zu
-
algorithmischen System an. Da ist die
zweitoberste Stufe eine mit der
-
völligen Offenlage. Für mich als
Aufsichtsbehörde gilt aber trotzdem, dass
-
wir an bestimmten Stellen
hineingucken wollen in Systemen.
-
Das ist mir natürlich auch klar,
dass sich die sehr schnell ändern.
-
also dass ich nicht einmal einen
Punkt habe, wo ich da bin. Dem „Nein“
-
dort von Unternehmen oder
Behörden. Das akzeptieren wir nicht.
-
Also wir als Aufsichtsbehörde dürfen alles
sehen. Ansonsten bin ich auch bereit,
-
Zwangsmaßnahmen einzuleiten. Der Punkt
wird allerdings der sein, dass natürlich,
-
wenn nicht zertifiziert werden kann, dass
etwas, was eingesetzt ist, tatsächlich die
-
Punkte erreicht, die man zertifiziert,
dann darf auch kein Zertifikat erteilt
-
werden. Das war eine der Erfahrungen aus
dem Dieselgate. Deswegen habe ich in
-
meiner alten Verwendung ja noch
Koalitionsverhandlungen geführt, 2018,
-
nach den Bundes-Wink-Wochen gab es echte
Koalitionsverhandlungen. Und da steht ein
-
Satz drinnen: Es muss überhaupt mal etwas
geschaffen werden, wo öffentliche Behörden
-
die Kompetenz entwickeln können, in
algorithmische Systeme rein zu schauen.
-
Und das kann auch nicht sein, dass es
jeder einstellt. Weil ich kann nicht 20
-
Expertinnen / Experten einstellen, das BSI
40, das Kraftfahrzeugbundesamt 10, das
-
BaFin 10. Das wird nicht klappen. So viele
gibt es gar nicht auf dem Markt die das
-
können. Wir werden also eine Stelle
beauftragen. Kann ja auch an einem
-
Netzwerk mit Wissenschaft und
Zivilgesellschaft stehen, um die
-
Entwicklung von so etwas anzuschauen. Und
dann sind wir wieder etwas näher an dem,
-
was Sie gesagt haben.
Herald: Lieber Single-Angel, die nächste
-
Frage aus Internet.
Frage: Sollte man darauf achten, IFG-
-
Anfragen verantwortungsvoll zu stellen und
auf ein Minimum zu reduzieren, um die
-
Akzeptanz bei Ministerien zu erhöhen?
Kelber: Wie bei jedem Instrument sollte
-
man etwas nur dann machen, wenn man es
selber für richtig hält. Aber das ist der
-
erste Maßstab, natürlich. Aber das wird ja
allein nicht reichen. Ich habe natürlich
-
auch schon Informationsfreiheitsanfragen
gesehen, die man im Augenblick selber gesagt
-
hat „Die ist nicht sinnvoll.“ Nachher kam
etwas raus über den kleinen Umweg, wo man
-
gesagt hat „Es war gut, dass da einer
nachgefasst hat.“ Umgekehrt habe ich bei
-
Sicherheitsbehörden auch schon IFG-Anträge
gesehen, wo man nichts anderes versucht hat,
-
als den Ermittlungsstand der Sicherheits-
behörden gegen hochkriminelle Banden
-
herauszubekommen. Die Bandbreite ist so
groß, die Entscheidung treffen Sie selbst.
-
Das Gesetz sagt, was Sie dürfen, was Sie
nicht dürfen. Was beantwortet werden muss,
-
was nicht beantwortet werden muss. Und bei
allem, was das IFG angeht, sind wir noch
-
in der Ombudsmann-Funktion. Das heißt,
wenn eine Auskunft verweigert wird, können
-
Sie sich an uns wenden, und wir beurteilen
aus unserer Sicht noch einmal die
-
Situation.
Herald: Mikrofon Nr. 4, deine Frage?
-
Frage: Hallo, zunächst vielen Dank, dass
Sie hier sind. Vielen Dank für den Vortrag
-
und auch herzlichen Dank, dass Sie die
Problematik mit WiFi für die EU auf den
-
europäischen Datenschutztisch gebracht
haben. Zu meiner Frage: Sie hatten gerade
-
das Beispiel angesprochen mit der
Notwendigkeit von Datenschutz im
-
öffentlichen Raum, am Beispiel des Laufens
durch die Fußgängerzone in beispielsweise
-
Bonn. Sehen Sie dass momentan Arbeit im
Wettbewerbsrecht besteht, um entsprechend,
-
ich sage mal datensammelwütige
Geschäftsmodelle für Kommunen auch
-
handhabbar zu machen. Wir haben in Aachen
gerade das Problem, dass im Rahmen von der
-
Stadtmobiliarausschreibung man ich sage
mal die Wertschöpfung von Daten aus dem
-
öffentlichen Raum, in der Ausschreibung
nicht berücksichtigt hat, sodass die Stadt
-
jetzt in der Problematik ist, dass für eine
Stadtmobiliarausschreibung ein Anbieter, der
-
Daten abschnorchelt ein nach Wettbewerbsrecht
zu wählendes, weil günstigeres Angebot
-
vorgelegt hat, als ein Anbieter, der nicht
Daten abschnorchelt. Konkret geht es um
-
ICIM-Trekker an Bushaltestellen.
Kelber: Ist mir im Augenblick nichts
-
bekannt. Müsste ich tatsächlich
nachhaken, ob auf meiner Fachebene schon
-
Debatte gegeben hat? Vielen Dank für die
Anregung. Ist ja einer der Gründe, warum
-
ich hierher gekommen bin, Anregungen
mitzunehmen. Nein, kann ich Ihnen leider gar
-
nichts zu sagen. Ich weiß, dass im
Augenblick die nächste GWB Novelle dran
-
ist, aber was dort in den Entwürfen steht
und ob wir schon beteiligt wurden im
-
Vorfeld – manche Ministerien beteiligen uns
ja im Vorfeld – und dann geben wir unsere
-
Beratungen nicht öffentlich. Weiß ich
nicht, aber ist zumindest nicht von meinem
-
Fachebene für so relevant gehalten worden,
dass ich darüber informiert wurde. Also
-
wenn ist es nur auf kleiner Ebene.
Herald: Vielen Dank, Herr Kelber, für das
-
geduldige Beantworten aller Fragen. Vielen
Dank für Ihren Vortrag. Es können leider
-
nicht mehr alle Fragen drankommen.
-
Applaus
-
36c3 Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!
