Veröffentlicht am Kategorien PortraitTags , , , , , , , , , ,

Datenschutzbeauftragter Rheinland-Pfalz: Wissenschaft mit Praxis verbinden

IITR Information[IITR – 13.7.16] Seit vergangenen Oktober leitet der Europa- und Polizeirechtler Dieter Kugelmann die rheinland-pfälzische Datenschutzaufsicht als Nachfolger von Edgar Wagner. Den „Datenschutz“ verbindet er persönlich mit dem Gefühl der Freiheit: „Es zählt für mich zur Freiheit Möglichkeiten zu haben, die nur ich ganz allein einschätzen und durchführen kann und sonst niemand. Darin besteht für mich der Freiheitskern. Ich bin ein soziales Wesen, unterhalte mich gerne bei allen möglichen Anlässen mit anderen. Aber wenn ich sage, an dem Tag nicht, soll das meine freie Entscheidung sein. Ich erkläre mich nicht gerne, wenn ich mich nicht erklären will.“

Kugelmann habilitierte über „Die informatorische Rechtsstellung des Bürgers“ und war seit 2008 Professor für Öffentliches Recht und Polizeirecht an der Deutschen Hochschule der Polizei in Münster. Unter anderem kommentierte er das BKA- und das Europol-Gesetz sowie das Informationsfreiheitsgesetz des Bundes.

Dieter Kugelmann (3. von rechts) im Kreis einiger seiner Mitarbeiter.
Dieter Kugelmann (3. von rechts) im Kreis einiger seiner Mitarbeiter.

Das wissenschaftliche Arbeiten will Kugelmann in seiner neuen Tätigkeit nicht aufgeben. Er ist davon überzeugt, dass „wissenschaftliche Ansätze in der Gestaltung der Umsetzung der Datenschutzgrundverordnung weiterhelfen würden“. Tatsächlich ist die Behörde bereits an mehreren Forschungsprojekten beratend beteiligt, so etwa an den „Digitalen Dörfern“ oder dem Projekt „Strukturwandel des Privaten“. Als Europarechtler will Kugelmann „auf der strategischen Ebene relativ viel machen“. Sein Ziel ist es, nach Urteilen des Europäischen Gerichtshofs an übergreifenden Lösungen mitzuwirken. Konkret bedeutet dies zunächst, dass er verstärkt Kontakt zu Aufsichtsbehörden in den anderen europäischen Mitgliedstaaten aufnehmen wird. Demnächst wird er beispielsweise an einer deutsch-französischen Veranstaltung über „Surveillance und Bodycams“ teilnehmen.

Vertrauen in der polizeilichen Zusammenarbeit durch mehr Datenschutz

Einen Schwerpunkt seiner künftigen Arbeit will Dieter Kugelmann auf die parallel zur Europäischen Datenschutzgrundverordnung verhandelte und verabschiedete EU-Richtlinie für den Datenschutz bei Polizei und Justiz legen. So steht etwa Verknüpfung der polizeilichen Datentöpfe auf EU-Ebene an, wie sie nach den Anschlägen von Brüssel und Paris von der Politik gefordert wurde: „Die Frage ist, wie man etwas machen kann und was nicht.“

Das zentrale Problem sieht er gegenwärtig weniger in fehlenden technischen Schnittstellen, denn im mangelnden Vertrauen der Sicherheitsbehörden untereinander. Dies zeige sich gegenwärtig bei der Fußballeuropameisterschaft in Frankreich. Kugelmann vermutet angesichts der erstaunlich vielen Ausschreitungen, dass „die französischen Behörden beispielsweise offenbar nicht so richtig mit den englischen und deutschen Behörden zusammengearbeitet haben, obwohl die Mechanismen unter anderem bei Europol da sind.“ Tatsächlich liefern derzeit nur etwa fünf Staaten intensiv Daten an die Europol-Datentöpfe. Mehr Vertrauen in die Kooperation könnte nach Einschätzung Kugelmanns damit erzeugt werden, dass Europol die Datenverarbeitung bzw. -verknüpfung verstärkt übernimmt, Rollenkonzepte entwickelt und entsprechende Anonymisierungsschritte einbaut. „Ein strenger Datenschutz wäre die Voraussetzung für Vertrauen.“

Wie werden Kontrollen effektiv?

Ein weiteres Interessensgebiet von Kugelmann ist die Strafprozessordnung und die Frage, wie der Bürger gestärkt werden und was Kontrolle effektiv machen kann: „Kann man durch Vor-Ort-Kontrollen die Zusammenführung von Daten im Sinne von Big Data verhindern? Wie kann man Kontrollmechanismen digitalisieren und anpassen?“ Diese Fragen rühren für Kugelmann an das Selbstverständnis der Datenschutzaufsicht: „Eine Antwort darauf habe ich nicht, aber ich würde hier gerne weiterdenken.“

Die Arbeitsweise seiner Behörde beschreibt er so: „Wir versuchten datenschutzfreundliche Modelle zu entwickeln, die beschreiben, wie es idealerweise laufen kann. Die Ergebnisse verbreiten wir über Multiplikatoren wie Unternehmensverbände und die Industrie- und Handelskammern.“ Kugelmann hat anhand der Safe-Harbor-Umfrage festgestellt, dass manche Unternehmen erst reagieren, wenn nachgefragt wird oder Bußgelder verhängt werden. Ausnahme sind regelmäßig die Unternehmen mit Compliance. Im öffentlichen Bereich ist die Wahrscheinlichkeit höher, dass sich die datenverarbeitenden Stellen an die Vorgaben halten. Die Personalressourcen ließen aber nur wenige Vor-Ort-Kontrollen zu, die über die vorgeschriebenen Kontrollen wie etwa jener der Anti-Terror-Datei hinausgehen. Gleichwohl will Kugelmann die weitere Entwicklung des polizeilichen Verbundsystems PIAV eng mit Gesprächen und Nachkontrollen begleiten.

Anlasslose Kontrollen plant Kugelmann in diesem Jahr deshalb nur für die Beihilfe-Verwaltung und das neu eingerichtete Telekommunikationsüberwachungs-Kompetenzzentrum der Polizei. Kugelmann: „Eine umfassende Prüfung wie diejenige des Kompetenzzentrums ist schon das Höchste der Gefühle. Für die Kür haben wir so gut wie keine Ressourcen.“ Eventuell wird es eine Überprüfung der Videoüberwachung in Bus und Bahn geben, da es Forderungen nach einer flächendeckenden Videoüberwachung auf dem Bahnsteig gibt. Auch will sich Kugelmann erkundigen, wie die Abrechnungsmodalitäten im Öffentlichen Nahverkehr geregelt sind, womit er die Berichterstattung über das Inkassoverfahren der Deutschen Bahn aufgreifen möchte. Das Gerücht, es sei eine Kontrolle bei BASF geplant, kann Kugelmann nicht bestätigen. Er sagt aber: „Wir haben genügend Bereiche, in denen wir etwas tun müssten. Doch bei den örtlichen Feststellungen müssen die Technikkollegen dabei sein, was angesichts der dünnen Personaldecke unsere Möglichkeiten erheblich einschränkt.“

Bei der Smart-TV-Prüfung des Bayerischen Landesamts für Datenschutzaufsicht hat Kugelmann mitgemacht. Er würde „gerne“ wieder eine koordinierte Prüfung mit mehreren Aufsichtsbehörden durchführen, da es schlicht „ressourcenmäßig sinnvoll“ ist. Bei der anstehenden „Wearables“-Prüfung wird er wohl aus Zuständigkeitsgründen nicht dabei sein, hat aber an der zu Grunde liegenden Entschließung wesentlich mitgewirkt. Überhaupt sieht er in den Themen „Gesundheit“ und „Vernetztes Fahrzeug“ die „Mega-Themen der nächsten Jahre“. In Rheinland-Pfalz sitzen Automobil-Zulieferer, mit denen er gemeinsam die Entwicklung beleuchten und den Verbraucherschutz in den Vordergrund rücken möchte.

Entwicklungsperspektiven

Die Möglichkeiten Kontrollen in der Wirtschaft durchzuführen sind für die rheinland-pfälzische Datenschutzaufsicht vergleichsweise beschränkt: „Wir haben für den privaten Bereich nur drei Leute.“ Aufgestockt wurde das Personal in den vergangenen Jahren nur in homöopathischen Dosen. Als die Aufsichtsbehörde auch für die Wirtschaft zuständig wurde, bekam sie dafür gerade einmal drei Stellen – für insgesamt 169.000 Unternehmen, davon 5.200 in der Informations- und Kommunikationsbranche. Insgesamt verfügt die Behörde über knapp 20 Stellen. Für den nächsten Doppelhaushalt beantragt Kugelmann mit Blick auf die Datenschutzgrundverordnung und die Digitalisierungsstrategie der Landesregierung gestuft letztlich 10 Stellen mehr. Die Datenschutz-Medienbildung, für die die Behörde bundesweit Vorreiter ist, soll auf der bisherigen Grundlage weiter betrieben werden.

Budgetentwicklung.
Budgetentwicklung.

Aussagekräftige Zahlen über eingegangene Beschwerden, durchgeführte Beratungen und Kontrollen sowie Bußgelder hat die rheinland-pfälzische Aufsichtsbehörde bislang nicht veröffentlicht: Die Bußgelder bewegen sich im „fünfstelligen“ Bereich, 100 Termine für anlasslose Kontrollen wurden durchgeführt, heißt es im aktuellen Tätigkeitsbericht, den Kugelmanns Vorgänger noch verantwortete. (Deshalb kann es an dieser Stelle auch leider keine Grafik geben.) Kugelmann sieht hier aber Verbesserungsbedarf und möchte bis nächstes Jahr die „Geschäftsstatistik“ über eine Umstellung auf papierlose Arbeit vereinheitlichen.

Mit Blick auf die Datenschutzgrundverordnung will sich Kugelmann stärker für die Themen „Zertifizierung“ und „Datenschutzfolgeabschätzung“ einsetzen: „Wir predigen, dass Datenschutz ein Wettbewerbsvorteil sein kann und dann helfen wir mit Anregungen.“ Die spannende Frage sei, ob es in Europa künftig einen einheitlichen Prüfstandard geben wird, oder ob es heißen wird: „Geprüft von X nach dem Modell von Y“. Derzeit konkurriert in der europäischen Debatte über die Prüfkriterien das Standarddatenschutzmodell (SDM) mit seinen sieben Schutzzielen mit dem Prüfmodell der französischen Datenschutzaufsichtsbehörde CNIL, das sich mit den klassischen drei IT-Sicherheitsschutzzielen begnügt. Kugelmann: „Da das Wettbewerbsmodell auf europäischer Ebene sehr präsent ist, muss man die Diskussion entsprechend führen und nachdrücklich für etwas Gehaltvolles werben“.

Autorin:
Christiane Schulzki-Haddouti

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.