Was macht ein Datenschutzbeauftragter?

Digitale Souveränität bedeutet, selbstbestimmt und bewusst mit digitalen Technologien umzugehen. Ein Thema, das uns alle betrifft. Doch wie gelingt das in einer Zeit, in der Daten allgegenwärtig sind und Datenschutz oft als Hürde statt als Schutz empfunden wird? Wir haben mit dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Tino Melzer, gesprochen. Im Interview erklärt er, welche Aufgaben sein Amt erfüllt, warum Datenschutz mehr ist als Pflicht und wie jede und jeder von uns digitale Selbstbestimmung im Alltag leben kann.

Im Bereich des Datenschutzes ist der TLfDI die Aufsichtsbehörde für öffentliche und nicht-öffentliche Stellen in Thüringen. Dabei ist zwischen dem Anwendungsbereich der Justiz-Richtlinie und demjenigen der Datenschutz-Grundverordnung (DS-GVO) zu unterscheiden. Im Bereich der Justiz-Richtlinie, der beispielsweise die Staatsanwaltschaften und die Polizei sowie die Justizvollzugsanstalten unterfallen, hat er lediglich ein Beanstandungsrecht. Die Anwendung der DS-GVO kann er in Thüringen hingegen mit einer Reihe von Untersuchungs- und Abhilfebefugnissen durchsetzen. Zu seinen Aufgaben gehören auch Maßnahmen wie die Sensibilisierung der Öffentlichkeit für die Risiken und Vorschriften in Zusammenhang mit der Verarbeitung von personenbezogenen Daten, die Bearbeitung von Beschwerden betroffener Personen, die Beratung der Verantwortlichen öffentlicher und nichtöffentlicher Stellen zu deren Pflichten, die sich aus der DS-GVO ergeben, die Beratung zur Datenschutz-Folgenabschätzung sowie vieles mehr.

Durch die Arbeit des TLfDI werden die Menschen aufgeklärt. Er ist auf Messen und Veranstaltungen unterwegs, kommt mit den Menschen ins Gespräch. Er steht den Schulen zur Seite und erarbeitet als Vorsitzender des Arbeitskreises „Schulen und Bildungseinrichtungen“ der Datenschutzkonferenz des Bundes und der Länder (DSK) praktische Hilfen und Schulungen im Freistaat. Der TLfDI hat auch schon zahlreiche Großveranstaltungen organisiert und themenbezogen die Menschen mit dem Datenschutz in Verbindung gebracht.

Wie können Thüringer im Alltag mehr Kontrolle über ihre digitalen Daten erlangen, etwa beim Online-Banking, in sozialen Medien oder bei der Nutzung öffentlicher digitaler Dienste?

Der erste Schritt, Kontrolle über etwas zu erlangen, ist immer, zu verstehen, was dort überhaupt passiert. Nur dann kann man entscheiden, welche Maßnahmen wirksam sind und welche nicht. Auch wenn das schwerfällt und anstrengend ist, aber an erster Stelle sollte man die Datenschutzerklärung lesen. Dort ist zu finden, was überhaupt mit den Daten geschieht, die man zum Beispiel beim Online-Banking oder in den sozialen Medien über sich preisgibt. Denn die Verarbeitungszwecke müssen in einer Datenschutzerklärung auf jeden Fall benannt werden. Dort steht dann auch, wie lange die Daten gespeichert werden und wer die Daten noch bekommt. Hier sollte sich dann jeder fragen, ob er das wirklich so will. Häufig kann man an den Verarbeitungszwecken nichts ändern, so dass dann als erste Entscheidung steht, ob man einen Online-Dienst nutzen will, oder lieber nicht. Hier ist schon viel Kontrolle gewonnen, da man dann nicht mehr „blind“ jedem Online-Trend hinterherläuft, sondern bewusst und informiert an einem Dienst teilnimmt.

Der zweite Punkt ist, dass man sich mit den Konfigurationsmöglichkeiten des Dienstes beschäftigen

sollte. Gerade bei sozialen Medien kann die Sichtbarkeit eigener Beiträge gesteuert werden, welche anderen Nutzer welche persönliche Information sehen sollten. Die Standardeinstellungen sind meist nicht die Einstellungen, die den größten Schutz bieten, sondern die Einstellungen, welche die größte Reichweite, das heißt Sichtbarkeit, bieten. Und drittens erlangt man Kontrolle, indem man weiß, dass man durch die DS-GVO Rechte zugesprochen bekommt und diese auch nutzen kann. Dies wäre beispielsweise das Recht auf Auskunft, welche Daten über einen überhaupt gespeichert sind, das Recht auf Löschung oder das Recht auf Berichtigung. Auch die Nutzung dieser Rechte geben einer Person Kontrolle über digitale Dienste. Hier kann ich unsere Handreichung zur digitalen Selbstverteidigung empfehlen, nachzulesen.

Viele Menschen empfinden Datenschutz oft als kompliziert oder bürokratisch. Wie vermitteln Sie das Thema verständlich und positiv?

In der vorherigen Frage klang es ja schon an: Datenschutz gibt Kontrolle über die Daten, die über einen selbst verarbeitet werden. Und ja, im Detail ist Datenschutz häufig komplex, aber die grundlegenden Ideen sind wirklich einfach. Da gibt es den „Betroffenen“, dessen Daten irgendwie verarbeitet werden sollen und den „Verantwortlichen“, der diese Daten verarbeitet oder verarbeiten lässt. Und der Verantwortliche hat ein paar Grundsätze einzuhalten: nämlich, verständlich zu erklären und zu dokumentieren, was er genau mit den Daten einer Person tut, warum das sicher ist und warum er das überhaupt darf. Mehr ist es im Kern nicht. Alles Weitere orientiert sich an diesen Grundideen. Und diese Ideen sind in sich eine Schutzfunktion für die Betroffenen und damit im Kern schon positiv. Es macht natürlich Arbeit für die Verantwortlichen, die die Daten der Betroffenen verarbeiten, die Datenschutzgrundsätze einzuhalten. Und diese Arbeit wird häufig als „überbordende Bürokratie“ abgestempelt, da dann eben keine unkontrollierte Verarbeitung mehr möglich ist, wie sie seit Entstehung des Internets zur Gewohnheit geworden war. Das wird natürlich als störend und unangenehm empfunden.

Welche aktuellen Entwicklungen oder viel diskutierten Themen rund um Datenschutz und digitale Souveränität sehen Sie gerade als besonders relevant für Thüringen, etwa KI, Cyberangriffe oder neue EU-Vorgaben?

Durch die politischen Veränderungen, welche gerade eine neue globale Weltordnung erschaffen, ist insbesondere das Thema digitale Souveränität grundlegend wichtig für Europa und damit auch für Thüringen. Hier müssen Abhängigkeiten kritisch hinterfragt und auch die richtigen Schlüsse daraus gezogen werden. Es ist für Thüringen im Vergleich zum Thema Künstliche Intelligenz (KI) sogar das strategisch wichtigere Thema. Wie eben schon angedeutet, ist aber auch das Thema KI durchaus relevant. Die Hoffnung bei diesem Thema besteht darin, dass Arbeitsprozesse in Wirtschaft und Verwaltung durch ihren Einsatz erleichtert und verbessert werden: von der Bildung über Büroarbeit, Gesundheit, Produktion von Gütern, die Erstellung von Software bis hin zu Dienstleistungen, die bisher durch Menschen durchgeführt werden. Die Versprechungen sind groß, aber die tatsächliche Nützlichkeit muss noch bewiesen werden. Auch die Auswirkungen auf die Gesellschaft in Thüringen durch diese Technologie lassen sich derzeit noch nicht klar erkennen.

Wie steht Thüringen im Vergleich zu anderen Bundesländern da?

Es kommt darauf an, welche Parameter verglichen werden. Thüringen hat eine schlagkräftige Aufsichtsbehörde. Angesichts der Vielfalt der übertragenen Aufgaben und der Vielzahl an Verantwortlichen sind die Beschäftigten aber an ihrer Belastungsgrenze. In der Regel sind daher nur Kontrollen aufgrund eines Hinweises oder einer Beschwerde möglich, anlassunabhängige Kontrollen sind nicht, und Beratung ist nur in Grenzen möglich.

Welche Rolle spielt der Datenschutz in der digitalen Verwaltung des Freistaats und wo sehen Sie aktuell noch Nachholbedarf?

Diese Antwort ist einfach: Nachholbedarf besteht in vielen Bereichen. Seit ungefähr fünf Jahren können Bürger erste digitale Interaktionen mit Behörden führen. Vorher gab es natürlich schon die digitale Aktenführung. Diese ist aber nur eine Nachahmung der analogen Aktenführung und man beginnt momentan erst nach und nach zu erforschen, welche weiteren Möglichkeiten digitale Akten haben – aber auch, welche neuen Probleme dadurch entstehen. Dies ist auch der Grund, warum die Digitalisierung nicht so schnell wie gewünscht voranschreitet. Die Probleme werden eben erst mit der Nutzung digitaler Anwendungen sichtbar. Die Kombination verschiedener Systeme bringt einige Bruchstellen ans Licht. Die Rolle des Datenschutzes besteht hier auf der einen Seite in Beratung, aber auf der anderen Seite auch in der Kontrolle der zunehmenden Digitalisierung der Verwaltung im Hinblick auf die Rechte und Freiheiten der betroffenen Personen.

Wenn Sie ganz privat auf Ihr digitales Leben schauen: Gibt es eine App oder digitale Gewohnheit, die Sie selbst kritisch hinterfragen oder bewusst vermeiden?

Ich meide – soweit möglich – alle digitalen Anwendungen, die die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten, zum Gegenstand haben. Auch sozialen Medien stehe ich persönlich sehr kritisch gegenüber.