Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) hatte die Forderung bereits am Montag (28.06.2021) vorgebracht und sie nun im Interview der Woche im Deutschlandfunk verteidigt. Die Bundesbehörden seien nicht in der Lage, den Nutzerinnen darüber Auskunft zu geben, welche Daten von Facebook zu welchen Zwecken verarbeitet würden. Der Konzern sei zu entsprechenden Änderungen nicht bereit. Dies stehe im Widerspruch zur europäischen Datenschutzgrundverordnung. Die Bundesregierung habe diese umgesetzt und müsse sie nun auch durchfechten. "Jetzt gibt es kein Kneifen, wenn es ein bisschen unangenehmer wird", so Kelber.

Kelber sagte, das Problem sei lösbar, wenn die für Facebook zuständige irische Datenschutzbehörde "mit aufsichtsrechtlichen Maßnahmen" eingreifen würde. "Dazu hat die Behörde auch in über drei Jahren vollständiger Wirksamkeit der Datenschutzgrundverordnung nichts vorgelegt", so Kelber. Dublin ist federführend für Facebook und andere amerikanische Digitalkonzerne zuständig, die ihre Europazentrale in Irland haben.

Seine Kritik teilten auch das Europaparlament und inzwischen sogar das irische Parlament, sagte Kelber. Hinzu komme das Urteil des Europäischen Gerichtshofs von 2020, dass der Schutz der Nutzerdaten auch in den USA nicht gewährleistet sei. Dies mache das Problem der Fanpages und deren nicht-existente Rechtsgrundlage noch deutlicher.

Bei der Gesetzgebung in Deutschland sieht der Bundesdatenschutzbeauftragte deutliche Mängel in der Zusammenarbeit mit der Bundesregierung. Die vorgeschriebene Beteiligung an Gesetzesvorhaben sei ihm seit seinem Amtsantritt 2019 oft erst sehr spät ermöglicht worden, sagte Kelber im Dlf. Die Bundesregierung ist eigentlich gesetzlich angewiesen, den Datenschutzbeauftragten frühzeitig in alle Fragen einzubeziehen, die mit dem Schutz personenbezogener Daten zusammenhängen.

Seine Behörde habe Gesetzentwürfe aber häufig sehr kurzfristig prüfen müssen, so Kelber. Bei einem Pandemie-Gesetz habe ihm die Bundesregierung nur zweieinhalb Stunden Zeit zur Begutachtung gegeben. Häufig habe diese Hast nicht unmittelbar mit externen Faktoren wie der Pandemie zu tun. Vielmehr folge der schnelle Abschluss von Gesetzentwürfen oft "nach langer Zeit des Nichtstuns."

Kelber bemängelte zudem eine "Scheuklappendigitalisierung". Federführende Ministerien ignorierten dabei datenschutzrechtlich saubere Alternativ-Vorschläge für die Umsetzung von Gesetzesvorhaben. Als Beispiel nannte er die Nutzung der Steueridentifikationsnummer für die Registermodernisierung, die verfassungsrechtlich problematisch sei.

Johannes Kuhn: Herr Kelber, Sie waren diese Woche mal wieder in den Schlagzeilen. Das sind Sie ja qua Amtes meistens, wenn Sie etwas kritisieren oder mit etwas drohen. In diesem Fall haben Sie die Bundesregierung und die obersten Bundesbehörden aufgefordert, ihre Facebook-Fanseiten bis Ende des Jahres abzuschalten. Warum diese drastische Maßnahme?

Ulrich Kelber: Die Debatte ist eigentlich schon älter als mein Amt. Sie ist nämlich 2018 aufgenommen worden, als klar war, dass die Facebook-Fanpages datenschutzrechtlich so keine Grundlage haben. 2019 gab es dann die ganz klare Aufforderung: Es muss eine neue Vereinbarung zwischen den Bundesbehörden und Facebook geben, damit die Bürgerinnen und Bürger auch wirklich ihre Betroffenenrechte wahrnehmen können, damit klar ist, welche Daten zu welchen Zwecken verarbeitet werden. Facebook war zu diesen Änderungen nicht bereit. Damit gibt es jetzt keine Rechtsgrundlage. Und es bliebe dann tatsächlich nur, diese Fanpages abzuschalten. Besser wäre es natürlich, wenn Facebook sich endlich an geltendes Recht hält.

Kuhn: Jetzt lässt sich natürlich argumentieren: Die Politik muss in den Dialog gehen und auch dort sein, wo die Menschen sind. Und das sind ja auch de facto die amerikanischen Plattformen. Die Bundesregierung hat auf ihrem Hauptaccount ja da fast 900.000 Follower oder Fans dort. Und es ist ja nicht so, dass jetzt jemand extra ein Facebook-Konto anlegen würde, um die neuesten Postings vom Finanzministerium zu lesen zum Beispiel …

Kelber: … das ist übrigens auch nicht die Kritik, dass jemand nur dafür zu Facebook gezogen wird. Es geht darum, dass wenn Sie auf einer Fan-Page einer Bundesbehörde sind, viele Daten erhoben werden. Ihr Alter, Ihre Interessen. Was folgen Sie? Wie reagieren Sie darauf? Und es bleibt bis heute völlig unklar, was Facebook mit diesen Daten macht. Gleichzeitig sagt Facebook: Es gibt eine gemeinsame datenschutzrechtliche Verantwortung mit der Bundesbehörde. Die Bundesbehörde kann dies aber gar nicht beeinflussen und kann den Bürgerinnen und Bürgern auch keine Auskunft geben, welche Daten über sie erfasst wurden, wie die bewertet werden. Ob es vielleicht Fehler in der Bewertung über die Bürgerinnen und Bürger gibt. Das ist ein unhaltbarer Zustand. Europa muss seine Werte auch gegen amerikanische Plattformen durchsetzen. Das haben wir uns mit der Datenschutzgrundverordnung alle gemeinsam vorgenommen. Jetzt gibt es kein Kneifen, wenn es ein bisschen unangenehmer wird.

Kuhn: Sie haben ja gesagt, Facebook war da nicht besonders kooperativ. Der Konflikt zeigt vielleicht schon ein bisschen das Ungleichgewicht, das ja trotz der Datenschutzgrundverordnung, die existiert, herrscht. Die meisten Plattformen haben ihren Sitz in der EU auch in Dublin, in Irland also. Welchen Spielraum haben Sie da überhaupt als oberster Datenschützer in Deutschland?

Kelber: Das ist richtig. Wir könnten das Problem einfacher lösen, wenn die für Facebook Zuständige irische Datenschutzbehörde die Fragestellungen, die es ja aus vielen EU-Mitgliedsstaaten zum Thema gibt, auch mit aufsichtsrechtlichen Maßnahmen lösen würde. Dazu hat die Behörde auch in über drei Jahren vollständiger Wirksamkeit der Datenschutzgrundverordnung nichts vorgelegt. Das kritisiere nicht nur ich heftig, sondern zunehmend auch alle meine Kolleginnen und Kollegen. Es war sogar schon Thema in einer Anhörung im Europaparlament, wo das Europaparlament die EU-Kommission aufgefordert hat, gegen Irland wegen Vertragsverletzungsverfahren vorzugehen. Und zuletzt sogar im irischen Parlament, wo das irische Parlament dieses Verhalten kritisiert hat.

Kuhn: Es gab jüngst ein EuGH-Urteil, demzufolge Datenschutzverfahren nicht nur am EU-Hauptsitz eines Konzerns wie Facebook oder Google gestartet werden können, also nicht nur in Irland, sondern auch von Ihnen. Allerdings unter strengen Voraussetzungen, nämlich zum Beispiel müssen die irischen Datenschutzbehörden das Einschreiten ablehnen. Und es dürfen zum Beispiel auch keine Grundsatzfragen geklärt werden. Und es muss ausschließlich um deutsche Bürger gehen, wenn Sie eingreifen wollen. Das klingt jetzt erst mal nicht nach besonders viel neuem Handlungsspielraum, den Sie da bekommen haben. Oder sehe ich das falsch?

Kelber: Das werden wir in einzelnen Fällen auch in der Zukunft abprüfen, was dort möglich geworden ist durch dieses Urteil. In der Tat gibt es einige Vorschriften, die uns nicht ermöglichen, jedes Mal, wenn wir eigentlich es für notwendig halten würden, jetzt zu handeln, ganz einfach dieses Verfahren auf europäischer Ebene abzukürzen. Was ja aus gutem Grund auch eingerichtet wurde. Und oft genug sind wir ja auch als deutsche Aufsichtsbehörden die federführende und müssen dann Beschwerden aus anderen Ländern abarbeiten. Aber in der Tat hat der Europäische Gerichtshof klare Vorgaben gemacht. Ich erwähne auch noch aus dem letzten Jahr das Urteil zu den Datenschutzabkommen mit den USA, in dem es ein klares Ergebnis war: Der Schutz der Daten ist dort nicht gewährleistet. Das hat die Situation mit den Fan-Pages natürlich weiter verschärft und die Rechtsgrundlage noch klarer gemacht, dass sie nicht existiert.

Kuhn: Herr Kelber, lassen Sie uns nun auf die zu Ende gehende Legislaturperiode blicken. Die haben Sie ja teils als Abgeordneter und Staatssekretär, teils in Ihrer aktuellen Funktion miterlebt. Inwiefern nehmen Sie wahr, dass sich der Stellenwert des Datenschutzes bei der Gesetzgebung verändert hat? Also, sei es in die eine oder in die andere Richtung.

Kelber: Ja, wir haben vor allem eine Legislaturperiode mit einer sehr hohen Zahl von Rechtsetzungsvorhaben, Gesetze und Verordnungen hinter uns. Nach wie vor immer noch in atemberaubender Geschwindigkeit im Sicherheitsbereich. Viele Digitalisierungsvorhaben und natürlich alles rund um die Corona-Pandemie. Dementsprechend war es wahrscheinlich die Legislaturperiode, ohne es noch mal einzeln zu prüfen, mit der am Abstand meisten Gesetzgebung. Alleine im letzten Jahr hat mein Haus 423 Rechtsetzungsvorhaben von Parlament und Regierung begleitet, also 1,5 pro Arbeitstag – ohne Urlaub an der Stelle. Das hat für sich schon dem Gesetzgebungssystem nicht gutgetan, diese Vielzahl. Oft mit einer Hast, die nicht unmittelbar nur aus externen Vorgaben, wie jetzt zum Beispiel einer Pandemie zu folgen ist, sondern langer Zeit des Nichtstuns und dann einem schnellen Abschluss. Bis hin, dass die eigentlich vorgeschriebene frühzeitige Einbindung des Datenschutzbeauftragten nicht stattgefunden hat, sondern erst am Ende vom Prozess. Was es übrigens auch teurer machen würde und zeitverzögert, dann Datenschutz noch umzusetzen. Das ist unverständlich.

Kuhn: Bei Digitalgesetzen, speziell – Sie haben es erwähnt – bei sicherheitsrelevanten Gesetzen kommt nicht nur von Ihnen, sondern auch von Fachleuten und der Opposition im Bundestag häufig Kritik. Und ein Vorwurf ist, dass da auf ministerieller Fachebene offenbar nicht genügend digitale Expertise zum Einsatz kommt. Und dann oft Gesetzesentwürfe herauskommen, die – Sie haben es angesprochen – sehr, sehr kurzfristig bewertet werden müssen. Und dann im parlamentarischen Verfahren oft sehr negativ in den Anhörungen aufgenommen werden, aber so gestaltet sind, dass sie eigentlich kaum zu reparieren sind. Teilen Sie diesen Kritikpunkt in Bezug auf die Datenschutzaspekte von Gesetzen, die in der letzten Zeit angekommen sind?

Kelber: Ich würde mal drei Aspekte da auseinanderhalten. Das eine ist bei den Sicherheitsgesetzen. Dort werden seit 20 Jahren immer neue Eingriffsbefugnisse geschaffen, ohne wirklich mal zu evaluieren: Was haben die gebracht? Die Entscheidungen der Gerichte, die ja immer wieder korrigierend eingreifen, werden immer nur minimal umgesetzt und nicht grundsätzlich. Das ist sicherlich ein Fehler. Der zweite ist die sehr kurzfristige Beteiligung, auch an Stellen, wo es nicht notwendig gewesen wäre. Also nicht, wenn man die erste Idee hat, mal kommen, zu sagen, was ist hier zu beachten, einen dann währenddessen zu beteiligen. Der Rekord waren sogar 2,5 Stunden für Änderungen an einem Gesetz, die wirklich relevant waren. Da war es zwar ein Pandemiegesetz, aber die haben natürlich auch nicht erst eine Stunde vorher mit dem Schreiben dieser Änderungen angefangen, sondern wahrscheinlich Wochen vorher. Da wäre Zeit gewesen.

Und der letzte Bereich ist Digitalisierung mit Scheuklappen, wie ich das immer bezeichne. Also, man will eine bestimmte Funktionalität erreichen, zum Beispiel eine bessere Verknüpfung von Registern in der Verwaltung, auch um Verwaltungsdienstleistungen zu vereinfachen. Dann legt man sich auf eine erste Lösung, das zu machen, fest. Und, wenn der Datenschutzbeauftragte sagt: Tolle Funktionalität, kann man aber auf diese Art und Weise genauso haben, ohne Datenschutzprobleme, ohne Probleme mit der Verfassung zu bekommen, dann ist man nicht mehr bereit, zu diesem Zeitpunkt die Änderung noch vorzunehmen, sondern geht mit dem Brechhammer an die Geschichte ran und versucht dann das Gesetz dadurch ein bisschen zu verbessern, dass man dem Datenschutzbeauftragten dann Pflichtkontrollen und andere Regelungen ins Gesetz schreibt. Als würde das eine falsche Regelung verbessern, wenn man sie öfter kontrolliert.

Kuhn: Sie sind ja auch der Beauftragte für die Informationsfreiheit, also das Grundrecht auf die Einsicht in Dokumente und Akten, die in der öffentlichen Verwaltung anfallen und auch in Gesetzesprozesse. Sie kennen aber auch die andere Seite aus dem Justiz- und Verbraucherschutzministerium. Wie sehen Sie denn Deutschland in diesem Bereich aufgestellt? Und wenn wir jetzt schon mal nach vorne blicken, welche konkreten Maßnahmen würden Sie denn der nächsten Bundesregierung mit auf den Weg geben, um da Transparenz oder mehr Transparenz zu schaffen?

Kelber: Ja, man könnte sich zum Beispiel das Justiz- und Verbraucherministerium anschauen. Die haben nämlich bestimmte Informationen schon proaktiv auf ihrer Website veröffentlicht damals. Das war zum Beispiel die Fragestellung, dass alle Verbände – Lobbyisten sagt man ja oft dazu –, die Anmerkungen zu einem Gesetzentwurf hatten und diese Anmerkungen an das Justizministerium geschickt haben, dass das auch veröffentlicht wurde. Ich glaube, einen solchen Anspruch hat die Öffentlichkeit. Wir jetzt als Bundesbeauftragten-Behörde veröffentlichen sämtliche Stellungnahme, Kontrollberichte und andere Punkte proaktiv. Die muss man also gar nicht anfragen. Die kann man auf unserer Website abrufen. Und das wäre auch mein Wunsch an den Deutschen Bundestag, an die Regierung: Die Weiterentwicklung des Informationsfreiheitsgesetztes zu einem Transparenzgesetz, in dem mehr Daten offensiv zur Verfügung gestellt werden, in dem die Versagensgründe für Auskünfte reduziert werden, in dem die Fristen klar gesetzt werden. Und, ja, natürlich würde ich mir wünschen, nicht nur ein Ombudsmann zu sein, der da beanstanden darf und raten darf - sondern ich hätte gerne ähnliche Befugnisse wie im Datenschutz, um unkooperative Behörden auch dazu zu zwingen, diese Vorgaben einzuhalten. Das heißt nicht, dass die alle unkooperativ sind. Wir treffen auch auf Behörden, die wirklich toll den Rechtsanspruch auf Informationsfreiheit umsetzen für Bürgerinnen und Bürger.

Kuhn: Lassen Sie uns kurz über ein paar Gesetze aus der zu Ende gehenden Legislaturperiode sprechen. Sie haben es sogar schon angesprochen, das Thema Registermodernisierung. Das ist ja auf den ersten Blick oder beim ersten Hinhören klingt das sehr trocken, aber ist doch sehr brisant. Also, Register, das sind verschiedene Verzeichnisse in einer Verwaltung, zum Beispiel das Grundbuch im Grundbuchamt, die jetzt digitalisiert werden: Damit sowohl die Verwaltungsvorgänge rechtlich korrekt digital ablaufen können, aber auch wir Bürger eben unsere Amtsgeschäfte im Netz erledigen können und auch unsere Dokumente, die wir da hochladen müssen, nur einmal hochladen. Und es gibt ja sehr viele verschiedene Ämter. Das nur zur Erklärung an die Hörer, die jetzt nicht im Thema Registermodernisierung so drin sind. Es gibt ja verschiedene Ämter auf verschiedenen Ebenen. Und da ist die Frage: Wie sorge ich zum Beispiel dafür, dass ein Christian Meier aus Berlin nicht das Kindergeld von Christian Meier aus Schwerin kassiert? Also, ich brauche die Möglichkeit, den richtigen Christian Meier eindeutig zu identifizieren. Die Große Koalition hat jetzt gesagt: Wir nehmen die Steueridentifikationsnummer. Die ist einmalig, alle haben sie und es gibt sie schon. Sie halten das aber für keine kluge Lösung. Warum?

Kelber: Ich halte es für eine unglaublich kluge Lösung, Verwaltungsdienstleistungen zu digitalisieren. Ich habe aber ein Problem genau mit dieser Umsetzung. Das war so ein Beispiel für die Scheuklappendigitalisierung. Man wollte diese Register miteinander verknüpfen in den Bereichen, wo das notwendig ist. Es ist in Deutschland deswegen besonders notwendig, weil wir zum Beispiel natürlich nicht nur die föderale, sondern dann auch noch mal auf Kommunen aufgegliederte Register, wie zum Beispiel Melderegister haben. Und der Christian Meier möchte natürlich gerne, wenn er sein Kind nach der Geburt beim Melderegister anmeldet, eigentlich dann automatisch auch damit schon den Antrag auf Kindergeld oder auf andere Dinge zum Laufen bringen. Das geht nur, wenn die miteinander verknüpft sind. Dafür haben wir einen Vorschlag in den Beratungen gemacht. Wir sind frühzeitig eingebunden worden diesmal. Wie man das tun kann und trotzdem absichern, dass der Staat keinen Katalog über alle Lebensumstände eines Bürgers zentral anlegen kann, dass Verwaltungsmitarbeiter in alles reinschauen können, dass Dritte, wenn sie in ein System einbrechen, direkt alle Daten haben. Man hat sich gegen dieses Modell entschieden, weil man das gar nicht so weit analysiert hat, wie das, für das man sich von Anfang an entschieden hatte. Und jetzt droht übrigens nicht nur eine datenschutzrechtlich schlechtere Lösung. Sondern, wenn das Verfassungsgericht bei seiner alten Rechtsprechung bliebe, die es genau zu diesem Thema gemacht hätte, dann könnte auch nach zwei oder drei Jahren Arbeit an dieser Verknüpfung das Verfassungsgericht alles anhalten. Und dann hätten wir Jahre der Arbeit verloren und die Bürgerinnen und Bürger könnten die Dienstleistungen nicht nutzen. Und das wäre schade, vor allem, weil es eine richtig positive Geschichte in diesem Gesetz gibt, nämlich das Daten-Cockpit. Bürgerinnen und Bürger sollen in Zukunft sehen können, welche Behörden Daten über sie miteinander austauschen. Das halten wir für einen guten Teil des Gesetzentwurfs.

Kuhn: Sie haben ja erwähnt, man ist ja auf Ihre Kritik eingegangen in dem Sinne, dass ich sehen kann als Bürger künftig, welche Ämter da Zugriff bekommen, dass es eine Behörde gibt, die überwachen soll, dass es da keinen unbefugten Zugriff gibt. Und es werden ja auch nicht alle Verzeichnisse angeschlossen. Schuldnerverzeichnis, Insolvenzregister, Justizregister… also sozusagen Register, die besonders brisant wären. Und es soll auch keine Zweckentfremdung geben. Sind wir dann nicht an dem Punkt, wo der Datenschutz pragmatische Lösungen, nämlich es gibt diese Steuer-ID bereits, verhindert?

Kelber: Mit der Entscheidung für die Steuer-ID hat man natürlich erstens mal eine Zusage an die Bürgerinnen und Bürger gebrochen. Als nämlich die Steuer-ID eingeführt wurde, umstritten war, sogar vor Gericht verhandelt wurde und zugesagt wurde, diese Steuer wird nur für diesen Zweck eingesetzt. Sie geht nicht nach außen. Sie geht nicht an andere Behörden. Das wird gebrochen. Die Sicherheitsmaßnahmen, die man einbaut, sind noch dazu löchrig. Die Kommunen werden für viele Jahre von diesen Sicherheitsmaßnahmen ganz ausgenommen. Der gesamte Steuerbereich wird ausgenommen. Also, da, wo die Steuer-ID herkommt, der muss das gar nicht leisten. Und auch ansonsten werden große Bereiche geschaffen, wo untereinander diese Sicherheitsbarrieren nicht eingeführt werden. Und ich sage mal, ein Bereich wie Soziales, wo es anfängt von der Jugendhilfe bis zu Sozialhilfe, umfasst so viele Lebensbereiche. Auch dort müssten klare Trennungen bei nicht berechtigten Verknüpfungen existieren. Das hat man verpasst. Und dort droht eben tatsächlich, dass das Verfassungsgericht das Ganze stoppen wird. Denn die haben sich sehr eindeutig zu dem Thema einer einheitlichen Personenkennziffer in der Vergangenheit geäußert. Und diese Kritik ist ja bei der Zunahme von Daten, die gespeichert werden, nicht weniger wichtig geworden, sondern wichtiger als je zuvor.

Kuhn: Sie hören das Interview der Woche mit Ulrich Kelber, dem Bundesdatenschutzbeauftragten. Herr Kelber, lassen Sie uns kurz über die Sicherheitsgesetze sprechen. Sie fordern ja selbst ein Moratorium für neue Sicherheitsgesetze. Aber die Welt dreht sich natürlich trotzdem weiter. Ein kontroverser Punkt ist, wie Sicherheitsbehörden auf verschlüsselte Kommunikation zugreifen können. Denn selbst Messanger wie WhatsApp verschlüsseln inzwischen Chats und Telefonanrufe. Man kann da also nur drauf zugreifen, wenn man Zugriff auf das Gerät hat. Das darf der Verfassungsschutz künftig unter strengen Voraussetzungen mit der Quellen-Telekommunikationsüberwachung, also indem er sich Zugang zu dem Smartphone verschafft und dann diese Chats mitliest oder Gespräche mithört. Wieso soll das, was beim Telefon geht, nicht auch beim Messanger gehen?

Kelber: Also, ganz wichtig ist erst mal: Seit 2001, seit den Anschlägen damals in New York, sind Hunderte neue Sicherheitsgesetze in Deutschland geschaffen worden. Im Schnitt pro Woche in etwa eins, die jedes Mal eine Ausweitung der Eingriffsbefugnisse sehen. Teilweise schon, bevor überhaupt geprüft wurde, ob man je mit dem letzten Eingriff Daten, die man dadurch gewonnen hat, je für irgendetwas einsetzen konnte. Und die Realität ist, dass bei den Vorfällen, gerade im Terrorismusbereich, die Täter bekannt waren, dass die Daten vorhanden waren - dass man aber nicht miteinander kommuniziert hat zwischen verschiedenen Diensten oder sie falsch bewertet hat. Und deswegen wäre eine Evaluierung dieser Rechte - um dann wirklich zu klären, haben wir mangelhafte Daten, werten wir sie falsch aus, gibt es andere Versäumnisse - dringend notwendig.

Hinter dieser Idee, ich muss in irgendeiner Form auf die Geräte, ich muss die Verschlüsselung schwächen… das Zweite würde übrigens bedeuten, dass wir die Sicherheit unserer gesamten Gesellschaft in allen Bereichen aufs Spiel setzen, auch gegenüber dritten Staaten und gegenüber Kriminellen …der Hintergrund ist immer zu sagen: wir werden blind, weil das jetzt nicht mehr auf dem Telefon passiert, sondern auf dem Messenger. Das ist erst mal grundsätzlich schon eine falsche Argumentation. Denn wir werden nicht blind. Das Gegenteil ist der Fall. Durch die Zunahme digitaler Kommunikation gibt es viel mehr Spuren als vorher. Ich nehme eben nicht nur einen virtuellen Hörer in die Hand und telefoniere wie früher. Sondern die Art, wie ich installiere, mit wem ich kommuniziere, wo ich gerade bin, alle diese Daten hat es vorher nie gegeben. Und diese Meta-Informationen, die fallen natürlich selbst dann an, wenn ich nicht in die verschlüsselten Inhalte hineingehen kann. Das hatten die Dienste früher gar nicht zur Verfügung. Da haben sie heute mehr. Also, sie werden nicht blind, sondern ihr Spektrum ist an einer Stelle vielleicht schwarz. Aber es ist breiter als je zuvor, was wahrgenommen wird. Und wir haben ja durchaus in der Vergangenheit auch von Datenschutzseite akzeptiert, dass die Polizei unter bestimmten Bedingungen die Möglichkeit haben muss, solche Geräte zu durchsuchen, also die Online-Durchsuchung, oder die Möglichkeit haben muss, mitzuhören.

Was jetzt passiert ist, ist, dass aber sämtliche Nachrichtendienste, die völlig andere Dinge ja auch untersuchen, diese Möglichkeiten ebenfalls bekommen haben. Auch die Bundespolizei sollte so etwas bekommen. Das heißt, es sind immer mehr Sicherheitsbehörden, bei denen man sich wirklich fragen muss: Müssen 19 Geheimdienste diese Möglichkeit besitzen, die teilweise eben nicht nur bei dem Verdacht auf schwere Straftaten untersuchen, sondern auch bei anderen Dingen. Wäre es nicht richtig wie früher, dass sie dann auf die Polizei zugehen und sagen: "Wir brauchen jetzt folgende Erkenntnisse, Polizei. Nach den Regeln, die du hast. Bitte prüfe jetzt, ob das hier eingesetzt werden kann und muss und teile dann deine Ergebnisse mit uns."

Kuhn: Inwiefern ist eine datenschutzkonforme Quellen-Telekommunikationsüberwachung denn überhaupt möglich aus Ihrer Sicht? Denn, wenn ich ja auf einem Smartphone bin, dann habe ich ja theoretisch Zugang zu allem, nicht nur zu dem WhatsApp-Chat.

Kelber: Das ist genau eine der Fragestellungen, die in der klaren Abgrenzung zwischen Online-Durchsuchung und Quellen-Telekommunikationsüberwachung schon von vornherein ein Punkt ist, den wir natürlich auch versuchen zu prüfen, wenn wir uns die Instrumente anschauen. Es geht aber natürlich auch weiter, denn die Sicherheitsbehörden sagen ja: "Na ja, so eine Quellen-TKÜ ist ja nett. Online-Durchsuchung kriegen wir nur unter bestimmten Umständen. Wir brauchen eigentlich eine Quellen-TKÜ Plus: Denn wenn wir dort drinnen sind, dann sehen wir ja nicht, was der wirklich kommuniziert. Wir müssen also wenigstens auf die gespeicherten Inhalte von den Tagen zuvor noch mal Zugriff nehmen können." Das heißt, es wird noch so eine Mittelgeschichte geprägt. Allerdings zu der Barriere für die gerichtliche Genehmigung, die man bei dem weniger schwerwiegenden Eingriff hatte. Also, da geht vieles durcheinander. Und das prägt leider die Sicherheitsgesetzgebung.

Deswegen bräuchten wir nicht nur dieses Moratorium, das einfach mal Luft dafür geben soll, sich das alles anzuschauen, sondern wir brauchen dringend auch eine Überwachungsgesamtrechnung. Also zu schauen: Haben wir in Teilbereichen nicht schon die Situation erreicht, dass sich die Menschen von der Ausübung bestimmter Freiheitsrechte zurückhalten? Wenn ich damit rechnen muss, dass ich auf einer legalen Demonstration biometrisch erfasst werde. Wenn zunehmend Räume mit einer Videoüberwachung ausgestattet sind, wo nicht nur andere zuschauen, sondern wo eventuell Algorithmen meine Verhaltensformen analysieren. Was ist, wenn bestimmte Verhaltensweisen, die eigentlich völlig legal sind, aber übereinstimmen mit Verhaltensweisen von Terroristen in dem Training für ein KI-System, und deswegen Untersuchungen gegen eine unbescholtene Person ausgelöst werden? Das gehört dazu. Denn eine Demokratie kann auch langsam ausgehöhlt werden. Sie muss nicht nur mit einer Revolution verschwinden.

Kuhn: Herr Kelber, lassen Sie uns zum Schluss noch mal über die Corona-Pandemie sprechen. Der landläufige Eindruck ist ja, dass der Datenschutz während der Pandemie trotz diverser Maßnahmen recht intakt ist. Würden Sie das teilen?

Kelber: Ich kann Ihnen eine andere Antwort geben. Keine einzige konkrete Maßnahme zur Pandemiebekämpfung ist an dem Veto einer Datenschutzbehörde gescheitert. Wir haben vielleicht mal bei einer Sache gesagt: Oh, das machen wir ein bisschen anders. Aber es ist nichts vorgelegt worden. Also, bei der Frage: Könnten wir auch Berufsdaten bei positiv Getesteten abfragen? Ja, selbstverständlich, wenn man darlegt, dass es wichtig ist zum Erkennen, wo vielleicht Leute sich angesteckt haben. Als gesagt wurde, wir müssen festhalten, welche Menschen sich an einem Ort aufgehalten haben, haben wir gesagt: Ja, in der Abwägung ist das im Augenblick zwischen Gesundheitsschutz und Datenschutz akzeptabel, hier diese Einschränkung vorzunehmen. Aber jetzt zum Beispiel bei den Impfzertifikaten sind wir hingegangen und haben gesagt: Toll, dass die geschaffen werden. Ist digital sogar besser als analog, wo viele andere Sachen in dem Impfpass drinstehen. Aber warum soll denn der Prüfende, zum Beispiel am Einlass einer Konzerthalle, wissen, ob jemand geimpft oder genesen ist, wenn das von der rechtlichen Wirkung das Gleiche ist? Und dann setzen wir durch, dass in Zukunft auf der Anzeige für den Testenden nur steht: Ist ein korrektes Zertifikat. Und nicht: Der Herr Meier hatte schon vor vier Monaten Corona und leidet jetzt vielleicht unter Long Covid.

Kuhn: Lassen Sie uns am Ende kurz einen Blick voraus werfen. Welche drei bis fünf Datenschutzthemen sehen Sie in der nächsten Legislaturperiode als zentral an, wo Sie sagen: Wenn da die Bundesregierung oder auch auf europäischer Ebene keine Lösung kommt, dann rennen wir vielleicht in einer Technologie oder in eine Entwicklung hinein, wo wir die Büchse der Pandora geöffnet haben?

Kelber: Ich würde sagen, erstens: Regulierung von künstlicher Intelligenz bzw. algorithmischer Systeme. Eine innovationsfreundliche Umgebung schaffen, weil wir davon auch an vielen Stellen mehr brauchen. Aber dort, wo es ganz einfach ethisch nicht vertretbar ist, müssen wir klare Regelungen bekommen. Die datenschutzfreundliche Umsetzung kommender europäischer Rechtsvorhaben von ePrivacy über Data Governance Act, Digital Services Act, Digital Markets Act – vier große Bereiche, die unsere ganzen Wirtschafts- und Telekommunikationsregulierung umfassen. Wir brauchen ein Beschäftigten-Datenschutzgesetz, denn die Sensorik kann sonst sowohl Beschäftigte als Bewerberinnen und Bewerber zu gläsernen Beschäftigten machen. Wir brauchen die Überwachungsgesamtrechnung, die ich bereits erläutert hatte. Und wir müssen noch besser werden bei der Durchsetzung der Datenschutzgrundverordnung gegen die großen, internationalen Konzerne. Dafür brauchen wir vielleicht auch noch mal ein bisschen Stützung durch den Gesetzgeber.