DA+

Bericht : Meine Zeit als Landesdatenschutzbeauftragte von Niedersachsen – Jahre des Umbruchs und der Neuausrichtung : aus der RDV 2/2024, Seite 123-125

Barbara ThielArchiv RDV
Lesezeit 10 Min.

Meine sehr geehrten Damen und Herren, liebe Kolleginnen und Kollegen,

ich darf mich zunächst ganz herzlich bei der Datakontext und der GDD für die Einladung zur DAFTA 2023 und für die Gelegenheit bedanken, heute Abend zu Ihnen zu sprechen. Es ehrt mich und es freut mich zugleich.

Ich stehe heute als Landesdatenschutzbeauftragte a.D. vor Ihnen, die Zeit als Landesdatenschutzbeauftragte von Niedersachsen ist vorbei. Am 30. Juni endete meine Amtszeit, und wenn ich die Jahre seit Beginn meiner Amtszeit am 1. Januar 2015 im Rückblick betrachte, dann hätte diese Zeit nicht spannender sein können. Das war zu Beginn des Jahres 2015 allerdings keineswegs erkennbar. Über die DS-GVO wurde jedenfalls in Niedersachsen noch nicht gesprochen, und aus der Behörde heraus hatte ich in meinen unterschiedlichen Tätigkeiten zuvor nicht allzu viel vernommen. Aus der Ferne hatte ich wahrgenommen, dass ein Nachfolger gesucht wurde, und diese Suche gestaltete sich offenbar schwierig. Jedenfalls musste damals auch mein Vorgänger im Amt in die sechsmonatige gesetzliche Verlängerung gehen. Von ihm bekam ich dann allerdings zu hören, dass ich nun den „besten Job“ hätte, viel zu tun gäbe es jedenfalls nicht.

Ein Grund für diese Einschätzung war vermutlich, dass die Behörde mit ihren damals 35 Mitarbeiterinnen und Mitarbeitern sich vorrangig auf den öffentlichen Bereich und auf die Technik konzentrierte. Und im öffentlichen Bereich, so wird ja gern argumentiert, passieren keine Verstöße. Für die Verwaltung gilt bekanntlich der Grundsatz der Gesetzmäßigkeit der Verwaltung, und der lässt nun mal Rechtsverstöße nicht zu. Unser aller Tätigkeitsberichte belegen zwar das Gegenteil, aber bis zu meiner Amtsübernahme hatte die Behörde jedenfalls nicht eine einzige Beanstandung ausgesprochen.

Der Wirtschaftsaufsicht fehlte nicht nur das Personal, sie führte in der Behörde auch eine Art Schattendasein. Ich konnte und kann nicht einschätzen, wie es zu dieser Haltung gekommen war. Ein Grund mag möglicherweise die Existenz des Düsseldorfer Kreises gewesen sein, der neben der Datenschutzkonferenz (DSK) ein Eigenleben führte und direkt mit der Wirtschaft kommunizierte. Hinzu kommt, dass die Wirtschaftsaufsicht nicht immer Teil der Behörde gewesen war. Bis 2011 war sie ein Organisationsbereich im Innenministerium, war also nicht unabhängig, sondern in die Landesregierung integriert.

Mein Blick auf die Wirtschaft war von Anfang an ein anderer. Ich hielt es für erforderlich, dem nichtöffentlichen Bereich mehr Aufmerksamkeit zu schenken und einhergehend damit die Behörde in der Wirtschaft sichtbarer zu machen und zugleich organisatorisch neu auszurichten Der Anfang war schwer: es fehlte das entsprechende Branchen Know how, niemand kannte die Interna und es fehlte natürlich auch das Personal – sowohl in der Öffentlichkeitsarbeit als auch in der Wirtschaftsaufsicht. Dementsprechend entwickelte sich der Zugang zur Wirtschaft anfangs eher schleppend. Dies änderte sich schlagartig mit dem Inkrafttreten der DS-GVO und mit der Übernahme des Vorsitzes in der DSK im Jahre 2017.

Allerdings gab es ein Ereignis, und die Erinnerung daran ist noch heute sehr lebendig, das mich sehr früh mit den Themen der Wirtschaft vertraut gemacht hat. Gleich im Januar 2015 bot die GDD ihren Winter-Workshop in Garmisch-Partenkirchen an. Ich entschied mich, daran teilzunehmen, und löste mit meiner Teilnahme großes Erstaunen aus. Noch Jahre später kommentierte Andreas Jaspers dies mit der Bemerkung, das habe er noch nie erlebt, dass die Leitung einer Aufsichtsbehörde an einem Seminar der GDD teilgenommen habe. Ich fand die zwei Tage sehr erfrischend, und das nicht nur wegen des Schnees in Garmisch-Partenkirchen. Die breite Palette der angebotenen Themen hat mir damals sehr deutlich vor Augen geführt, wie vielfältig Datenschutz ist

Meine Idee, auf der Ebene der DSK regelmäßige strategische Treffen mit der Wirtschaft auszurichten, musste ich zwar aufgeben. Es gab für diese Überlegungen zu wenig Unterstützung in der DSK. Gleichzeitig war aber im Bundesinnenministerium (BMI) erkennbar geworden, dass die DS-GVO und ihre Regelungen noch nicht hinreichend in der Wirtschaft angekommen waren, und so entstanden regelmäßige Treffen, in denen Aufsichtsbehörden mit dem BMI und Wirtschaftsverbänden an einem Tisch saßen, um sich gemeinsam auf die neuen europarechtlichen Regelungen vorzubereiten. Und in der DSK wurden die sog. Kurzpapiere entwickelt, die damals von vielen als sehr hilfreich empfunden wurden.

Für uns alle war diese Phase, so habe ich es jedenfalls empfunden, ein Aufbruch in eine neue Ära des Datenschutzes. In gewisser Weise war es Pionierarbeit, die wir leisteten, denn vieles war neu – ich nenne hier vor allem die europäische Zusammenarbeit oder die neuen Instrumente der Datenschutzfolgenabschätzung und der Zertifizierung oder die Prinzipen Privacy by Design und Privacy by Default. Immer wieder hieß es außerdem, die Aufsichtsbehörden hätten nun mit den neuen Bußgeldrahmen Zähne bekommen.

Ich persönlich fing an, verstärkt Vorträge zu halten. Auf diese Weise konnte ich nicht nur, wie ich es mir vorgenommen hatte, die niedersächsische Aufsichtsbehörde sichtbarer machen. Zugleich bot sich mir dadurch die Möglichkeit, auch mich persönlich bekannt zu machen, über die vielen Gespräche am Rande von Veranstaltungen Erwartungen an die Aufsichtsbehörden und Herausforderungen für die Wirtschaft kennenzulernen und mir sukzessive ein Netzwerk aufzubauen. Diese Präsenz und die Kommunikation mit den Akteuren in der Datenschutz-Community habe ich zunehmend als einen unschätzbaren Gewinn begriffen.

Vor allem mit der Anpassung an die Regelungen der DS-GVO boten sich hier auf einmal ganz vielfältige Möglichkeiten, sowohl in Niedersachsen als auch auf der nationalen oder auch auf der europäischen Ebene. In Niedersachsen ging es vor allem darum, deutlich zu machen, was die Aufsichtsbehörden von den Unternehmen künftig erwarten würden. Mit zunehmender zeitlicher Nähe zum 25.05.2018 wurde das Bedürfnis, von der Aufsichtsbehörde die neuen Rahmenbedingungen zu erfahren und Erläuterungen zu bekommen, immer stärker. In allen Veranstaltungen habe ich damals darauf hingewiesen, dass wir in 2018 prüfen würden, was in den Unternehmen in der zweijährigen Anpassungsphase tatsächlich passiert war.

Und diese Ankündigung habe ich im Juni 2018 mit einer groß angelegten Querschnittsprüfung dann realisiert. Auch hier in der GDD ist unser Fragebogen intensiv diskutiert worden. Wir hatten zuvor in 2017 eine Checkliste für die Unternehmen herausgegeben. Wer sich daran orientiert hatte, der musste bei der Prüfung nichts befürchten. Aber nicht jedes Unternehmen war entsprechend gut aufgestellt – sie hatten entweder zu spät begonnen oder aber einzelne Aspekte deutlich vernachlässigt.

Parallel dazu habe ich auch unser Engagement in den beiden Erfa-Kreisen in Hannover und Braunschweig qualitativ weiterentwickelt. Ich fand es zum einen wichtig, beide Gremien von denselben Personen begleiten zu lassen, mit einer Stimme zu sprechen, war die Devise nicht nur für die ErfaKreise. Und zum anderen sollte auch unser inhaltlicher Beitrag eine andere Prägung erhalten. Selbst Themen vorschlagen und sie proaktiv in die Runde der Datenschutzbeauftragten hineintragen, war das eine Anliegen, das wir umsetzen wollten und umgesetzt haben. Grundsätzlichere Fragestellungen wurden und werden darüber hinaus in der Behörde aufbereitet und anschließend im Kreise der Datenschutzbeauftragten erörtert.

Hier bin ich an einem Punkt, den ich, weil er mir wichtig ist, ausdrücklich ansprechen möchte. Ich begrüße es sehr, dass es seinerzeit gelungen ist, das deutsche Erfolgsmodell in der Datenschutzkontrolle auch unter der Geltung der DS-GVO fortzusetzen. Mit den Datenschutzbeauftragten vor Ort haben wir wichtige und unverzichtbare Partner an unserer Seite, die dafür sorgen, dass viele Fragen schon vor Ort geklärt werden können. Die Datenschutzbeauftragten sind sozusagen Brandmelder und Brandlöscher zugleich, und das entlastet die Aufsichtsbehörde ganz maßgeblich.

Auch meinen Gedanken, einen strategischen Austausch mit den verschiedenen Branchen zu pflegen, habe ich weiterverfolgt – nicht mehr im Rahmen der DSK, sondern ausschließlich in Niedersachsen. Die Gespräche fokussierten sich einerseits auf VW und es gab darüber hinaus Treffen mit dem Management der Versicherungswirtschaft (kurze Anmerkung: Hannover ist der drittgrößte Versicherungsstandort in Deutschland) und der Energieversorgungsunternehmen. Leider hat Corona diese Aktivitäten unterbrochen, und in der kurzen Phase danach ist es nicht mehr gelungen, dieses Dialogformat fortzusetzen.

Wo wir heute stehen, ist inzwischen in vielen Beiträgen, Zeitungsartikeln, Podcasts und Interviews hinreichend gewürdigt worden. Fünf Jahre nach Geltung der DS-GVO befinden wir uns jedenfalls erneut in einer Situation, die herausfordernder nicht sein könnte. Die Künstliche Intelligenz ist in aller Munde, auf der europäischen Ebene entsteht neues Datenrecht und neues Datenwirtschaftsrecht, es gibt einen neuen Angemessenheitsbeschluss für die USA, von dem jetzt alle hoffen, dass er hält und nicht Schrems III zum Opfer fällt, und hier in Deutschland soll es nicht nur eine Novelle zum Bundesdatenschutzgesetz geben, sondern nun endlich auch ein Beschäftigtendatenschutzgesetz.

Ich muss gestehen, dass ich auch diese Phase gern begleitet hätte. Das niedersächsische Parlament hat anders entschieden, und wie der eine oder die andere unter Ihnen sicher weiß, habe ich das Verfahren, das Niedersachsen praktiziert hat, angefochten. Leider bin ich auch in der zweiten Instanz unterlegen, weil, wie beide Gerichte betont haben, mir das Rechtsschutzbedürfnis fehlte. Das finde ich äußerst bedauerlich, nicht vorrangig wegen meines Wunsches, weiterzumachen, sondern weil damit eine Chance vertan wurde, im Jahr 6 der DS-GVO eine Klärung über die Anforderungen herbeizuführen, die in Art. 53 normiert sind. Was ist unter einem transparenten Auswahlverfahren zu verstehen, und welche Anforderungen werden an die Qualifikation eines Landesoder Bundesdatenschutzbeauftragten heute gestellt?

Thilo Weichert hatte sich schon 2022 zur Ernennungspraxis in Deutschland in der ZD geäußert und eine an der Ernennung des Europäischen Datenschutzbeauftragten orientierte Praxis gefordert, eine Praxis wie sie übrigens auch in Italien, Litauen und Luxemburg üblich ist. Bereits der Eindruck, dass Personen in das Amt gewählt würden, von denen mangels persönlicher Kompetenz wenig Widerstand gegen die Regierungspolitik erwartet würde, sei für das Amt desaströs. In jüngster Zeit gibt es zu diesem Thema ein Interview mit Thomas Kranig und Dr. Stefan Brink in der August-Ausgabe der ZD und in der OktoberAusgabe der ZD äußert sich dazu auch Prof. Dr. Johannes Caspar, der im Sinne der Transparenz ein öffentliches Ausschreibungsverfahren für unabdingbar hält. Zugleich entwickelt er eine Idee, über die man zumindest nachdenken sollte: Warum nicht das Amt der oder des Landesdatenschutzbeauftragten als ein Wahlamt in seiner klarsten Ausprägung behandeln und wie auf der kommunalen Ebene die Bürgerinnen und Bürger entscheiden lassen, welche Person sich künftig u.a. mit ihren Beschwerden befassen soll.

Zugegeben, auch ich hatte mich vor meiner Wahl nicht ausschließlich mit Datenschutz beschäftigt, sondern allenfalls als Personaldezernentin (was das Verwaltungsgericht Hannover als deutliches Indiz für die erforderliche Sachkunde im Datenschutz gewertet hat) oder im Zusammenhang mit all den Fragen, die ich in meiner langjährigen Zuständigkeit für die IT zu klären hatte. Aber, und das halte ich an dieser Stelle für wichtig, damals galten andere Vorschriften, die Anforderungen waren anders formuliert, als dies heute die DS-GVO tut. Nach § 21 des damaligen Niedersächsischen Datenschutzgesetzes beispielsweise sollte die oder der Landesbeauftragte lediglich über die Befähigung zum Richteramt verfügen, und das war bei mir unzweifelhaft der Fall. Und hinsichtlich des Auswahlverfahrens gab es überhaupt keine Regelung.

Es wäre also äußerst wünschenswert, wenn das Verfahren, das nach wie vor viele Länder praktizieren, überprüft und ggf. auf neue Füße gestellt würde. Es sollte noch nicht einmal der Eindruck entstehen, jemanden für seine bisherigen Aktivitäten „belohnen“ zu wollen oder „Beinfreiheit“ zu bekommen für die Besetzung wichtiger Positionen im Ministerium. Die Aufgabe ist zu wichtig, als dass sie zum politischen Spielball degradiert werden sollte. Es bleibt abzuwarten, wann es tatsächlich dazu kommen wird, dass diese Fragen dem EuGH zur Entscheidung vorgelegt werden.

Im Laufe der vergangenen Jahre habe ich eine große Leidenschaft für den Datenschutz entwickelt. Sie wird mich sicher noch eine Weile begleiten, und ich freue mich auf ein Wiedersehen an welchem Ort und aus welchem Anlass auch immer. Bleiben Sie aufmerksam, legen Sie den Finger in die Wunde, wenn es nötig wird, und tragen Sie mit dazu bei, dass der Datenschutz die Wahrnehmung und Wertschätzung erfährt, die ihm in einer digitalen Welt zusteht.

Vielen Dank für Ihre Aufmerksamkeit!

Barbara Thiel