"Bußgelder müssen abschreckend sein": Berlins Datenschutzbeauftragte warnt vor Gefahren der Digitalisierung

Berlins Datenschutzbeauftragte hat kürzlich das höchste Bußgeld wegen Datenschutzverstößen verhängt, das es jemals gab: gegen die Deutsche Wohnen. Sie bekam viel Lob dafür. Doch es stehen schon neue Herausforderungen für Maja Smoltczyk an: Es gibt Ärger mit den Betreibern des Stadtportals Berlin.de. Sie sollen Daten an Dritte weiterleiten und gegen Standards verstoßen. Außerdem spricht Smoltczyk, die seit 2016 im Amt ist, über die enorm gestiegenen Anforderungen an ihre Behörde durch Digitalisierung und fehlendes Personal.

Frau Smoltczyk, mit Blick auf das offizielle Hauptstadtportal Berlin.de haben Sie zuletzt die Zusammenarbeit des Landes mit dem Unternehmen BerlinOnline scharf kritisiert. Worum geht es dabei?
Bisher haben wir als praktisch wichtigsten Kritikpunkt festgestellt, dass eine große Zahl von Drittanbietern eingebunden wird. Diese erhalten detaillierte Informationen, wofür sich die Besucherin bzw. der Besucher der Website interessiert. Es sollte z. B. niemanden etwas angehen, wenn ein Besucher der Webseite sich für einen Aidstest interessiert – und erst recht nicht Unternehmen, die aus solchen Informationen Persönlichkeitsprofile erstellen. Offenbar gehört auch Berlin.de zu den Websites, die bei der Einbindung von Tracking-Software und Drittinhalten nicht sauber arbeiten.

Heißt das, wer einen Termin fürs Bürgeramt online bucht, wird durchleuchtet?
Der öffentliche Teil von Berlin.de bindet sehr viel weniger Drittinhalte ein und scheint auch jedenfalls sehr viel weniger zu tracken. Inwieweit hier Rechtsverstöße vorliegen, ist allerdings noch zu prüfen. Sollte auch der von der Berliner Verwaltung betriebene Teil des Angebots von Datenschutzverstößen betroffen sein, würde dem durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Rahmen der uns zur Verfügung stehenden Mittel selbstverständlich ebenfalls nachgegangen.

Droht BerlinOnline ein Bußgeld aus Ihrem Hause?
Wir haben die Möglichkeit, bestimmte Datenverarbeitungen zu untersagen und bei andauernden Verstößen können auch Bußgelder verhängt werden.

Der Vertrag zwischen beiden Seiten ist gekündigt und läuft Ende 2021 aus. Sollte die Zusammenarbeit vorher beendet werden?
Im Interesse der Besucherinnen und Besucher der Website hoffen wir vor allem darauf, dass Berlin.de so schnell wie möglich rechtskonform gestaltet wird. Wir gehen hier angesichts der Beteiligung des Landes auch von einer Kooperation der Betreiber aus. Davon hängt auch ab, ob wir gegebenenfalls eine Empfehlung zur Beendigung der Zusammenarbeit aussprechen.

Berlin.de ist das Modell einer öffentlich-privaten Partnerschaft. Sind diese aus Ihrer Sicht grundsätzlich problematisch?
Tatsächlich brennt uns dieses Modell bei der Beratung des öffentlichen Bereichs unter den Nägeln. Wir haben in diesen Fällen leider datenschutzrechtlich nur begrenzte Möglichkeiten, aktiv zu werden. Das betrifft viele Bereiche, etwa Krankenhäuser in staatlicher Trägerschaft oder die BVG.
Für Aufsehen sorgte zuletzt auch das gegen die Deutsche Wohnen verhängte Bußgeld in Höhe von 14,5 Millionen Euro. Müssen Unternehmen vor Ihnen Angst haben?
Wer sich an die geltenden Datenschutzgesetze hält, hat nichts zu befürchten. Ich gehe aber davon aus, dass sich viel zu wenige Unternehmen und datenverarbeitende Stellen klarmachen, dass Daten regelmäßig gelöscht werden müssen. Es gilt nach wie vor der Grundsatz der Datenminimierung, das muss klar sein.

In Zeiten digitaler Kommunikation sind Daten das Gold des 21. Jahrhunderts. Sind sie gefährdeter als vor 50 Jahren?
Daten haben heute eine ganz andere Sprengkraft und sind ganz anders gefährdet, als es früher der Fall war. Die Möglichkeiten, illegal zuzugreifen, wachsen. Deshalb ist es immer wichtiger, dass Unternehmen vorbereitet sind, klare Löschkonzepte haben und sich fragen: Was haben wir für Daten, was brauchen wir für Daten? Es ist nicht zulässig, Daten zu sammeln, die für den eigenen Zweck nicht erforderlich sind.
So wie die Deutsche Wohnen?

Ganz genau. Nachdem unsere Prüfung 2017 durch eine Beschwerde ausgelöst worden war, haben wir entsprechende Hinweise gegeben, die aber nicht umgesetzt wurden. Weil sich daran bis ins Frühjahr 2019 nichts geändert hat, ist das jetzt der erste Fall dieser Art, in dem die große Bandbreite an möglichen Bußgeldern zur Anwendung gebracht worden ist.

Die Deutsche Wohnen hat Einspruch erhoben, bis zum Jahresende muss dieser begründet werden. Rechnen Sie mit einem langen Rechtsstreit?
Das Unternehmen hat sich entschieden, seinen Einspruch erst im gerichtlichen Verfahren zu begründen, was der Deutschen Wohnen auch zusteht. Wir prüfen derzeit die Abgabe an das zuständige Gericht und werden diese voraussichtlich im Laufe des Januars vornehmen. Das Problem ist, dass es bislang keine Rechtsprechung zu Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gibt. Erst nach und nach wird es rechtskräftige Entscheidungen geben, die dann auch als Richtschnur dienen werden. Klar ist aber: Verhängte Bußgelder müssen abschreckend sein. Unternehmen soll bewusst sein, dass es besser ist, ihr Handeln datenschutzrechtlich anzupassen.

© Paul Zinken/dpa

Das hohe Bußgeld gegen die Deutsche Wohnen bleibt also kein Einzelfall?
Unternehmen müssen in der Lage sein, auf Knopfdruck Auskunft über gespeicherte Daten zu geben. Das ist bei vielen nicht der Fall. Es werden andere Fälle kommen, einige haben wir auch schon in der Pipeline. Klar ist aber auch: Die DSGVO ist ein Jahrhundertprojekt. Seit ihrem Inkrafttreten im Mai 2018 wurden sämtliche Sanktionsdrohungen konkret. Es handelt sich um ein unmittelbar geltendes Gesetz, das anzuwenden ist. Wir sind die Stelle, die in der täglichen Arbeit die gesetzlichen Regelungen anwendbar macht, nicht Abgeordnete oder Verwaltungen. Der DSGVO in Zusammenarbeit mit den anderen Aufsichtsbehörden Geltung zu verschaffen, ist eine ausgesprochen anspruchsvolle Tätigkeit.

Ist Ihre Behörde dafür ausreichend ausgestattet?
Durch den extremen Arbeitsanstieg durch die DSGVO waren wir geradezu verzweifelt unterausgestattet. Demzufolge konnten wir nicht mehr alles machen und schon gar nicht in dem Umfang, wie es eigentlich erforderlich gewesen wäre.

Im Doppelhaushalt 2020/2021 stehen 21 neue Stellen für Ihre Behörde.
Das ist eine sehr wichtige Stärkung unserer Kapazitäten. Ob dies ausreichen wird, müssen wir sehen. Denn festzustellen ist, dass sich die Zahl der Eingaben in den vergangenen Jahren mehr als verdreifacht, die Zahl der Meldungen von Datenpannen sich sogar versechzehnfacht hat – Letztere mit steigender Tendenz. Hinweise aus der Presse oder von Verwaltungen sind da noch nicht einmal mitgezählt. Zudem spielt Berlin auch beim Datenschutz eine Sonderrolle.

Inwiefern?
Wegen der Hauptstadtfunktion sind wir in einer Vielzahl grenzüberschreitender Fälle zumindest mitberatend tätig, was äußerst arbeitsintensiv ist. Im Vergleich zu anderen Ländern hat Berlin mit großem Abstand auch die meisten Federführungen bei der Koordinierung mit den anderen europäischen Aufsichtsbehörden. 2018 waren es allein 22 Federführungen, das nächstbelastete Bundesland hatte acht Federführungen.

Ein weiterer datenschutzrelevanter Vorfall ist der Virusbefall am Berliner Kammergericht. Waren Sie überrascht?
Über Vorkommnisse wie jene beim Kammergericht kann man sich nur wundern. Dass Updates gemacht werden müssen, weil sonst Sicherheitslücken entstehen, wurde immer wieder gesagt. Wenn das einfach in den Wind geschlagen wird, ist es fast ein Segen, wenn so was mal passiert. Solche Fälle machen klar, welche Gefahren die Digitalisierung birgt, wenn Standards nicht beachtet werden.

Genau mit dieser hinkt Berlin hinterher, wie die Probleme bei der Umstellung auf Windows 10 zeigen ...
Berlin soll Digitalhauptstadt werden. Das beinhaltet die Chance, von Anfang an Systeme zu entwickeln, die aufeinander abgestimmt sind. Die aktuelle Zersplitterung von Systemen und Regeln in den verschiedenen Verwaltungsteilen ist ein Problem. Da gibt es viele Bruchstellen, die immer Einfallstore für Missbrauch sind.

So wie bei der Berliner Polizei. Dort gingen Daten verloren, weil einzelne Mitarbeiter gegen übliche Standards verstießen. Ein Fall für Ihre Behörde?
Bei der Berliner Polizei haben wir im vergangenen Jahr umfangreiche Überprüfungen durchgeführt, nachdem es in mehreren Fällen unberechtigte Abfragen aus polizeilichen Datenbanken gegeben hatte. Daher wurde auch das Abfragesystem der Polizei insgesamt untersucht und eine Beanstandung hinsichtlich der Missstände innerhalb des Systems ausgesprochen, was im öffentlichen Bereich leider das schärfste Schwert ist, das der Berliner Gesetzgeber meiner Behörde an die Hand gegeben hat. Hinsichtlich des genannten Falles erwarten wir eine Stellungnahme der Polizei im Januar.

Egal ob BerlinOnline, Deutsche Wohnen oder zuletzt die Kritik an Plänen für eine elektronische Kennzeichenerfassung: Wer viel kritisiert, macht sich unbeliebt. Wie kommen Sie damit zurecht?
Wir sind keine Verhinderer, im Gegenteil. Ich sehe uns als Ermöglicher. Aber noch mal: Viele Ursachen für Fehler von heute sind in der Vergangenheit zu suchen. Zu oft wird an Symptomen herumgedoktert, statt das Problem an der Wurzel zu packen und den Datenschutz von vornherein mitzudenken und uns einzubeziehen. Dass sich das ändert, dafür arbeiten wir.