Sächsischer Datenschutzbeauftragter: Von der Aufsichts- zur Regulierungsbehörde

[IITR – 23.1.17] „Gesellschaft gestalten kann ich nur mit den anderen“, sagt der sächsische Datenschutzbeauftragte Andreas Schurig. „Am Ende der DDR waren wir grundsätzlich damit beschäftigt zu überlegen, welches Gesellschaftsmodell wir haben wollen“, erzählt er. „Für mich war klar, dass unser Modell ‚Checks and Balances‘ kennen muss, womit die Mitte zwischen Staat und Gesellschaft sowie den Grundrechten des Einzelnen gewahrt werden kann. Ich bin also nicht gegen eine staatliche Datenverarbeitung, aber wenn der Staat Daten verarbeitet, muss dies kontrolliert und begrenzt werden.“

In seiner Antrittsrede im Jahr 2004 sagte Schurig mit Blick auf seinen streitbaren Vorgänger, aber auch auf sein eigenes Selbstverständnis: „Kontrollinstitutionen haben in einer Demokratie die gleiche Funktion. Sie helfen einen Zustand wiederherzustellen, der aus dem Gleichgewicht geraten ist.“ Ende 2015 wurde er vom Landtag zum dritten Mal sechs Jahre ins Amt gewählt. Sein Vorgänger Thomas Giesen war nach zahlreichen harten Auseinandersetzungen mit der Verwaltung und der Landesregierung nicht wiedergewählt worden. Als Schurig sein Amt antrat, gab es daher zwischen der sächsischen Verwaltung und der Datenschutz-Aufsicht „eine große Distanz“, die er abbauen wollte. „Ich wollte mit der Verwaltung zusammenarbeiten und versuchen zu dem Zeitpunkt in Gesetze einzugreifen, an dem sie am Entstehen sind“, sagt Schurig. „Hinterher Kritik zu üben bringt wenig. Ich denke, dieses Ziel habe ich erreicht.“

Die „vermessene Sucht“ nach Berechenbarkeit

Drei Gesichtspunkte sind für Schurigs Verständnis von Datenschutz wesentlich: Erstens die Annahme, dass jeder Mensch private Rückzugsräume braucht. Zweitens das Recht auf Wandlungsfähigkeit, was sich unter anderem im Recht auf Vergessen niederschlägt. Drittens die Tatsache, dass das digitale Abbild immer entscheidender, aber kaum kritisch hinterfragt wird. Schurig erkennt darin „eine Sucht, Berechenbarkeit herzustellen“, was letztlich ein „vermessenes“ Verlangen sei.

Andreas Schurig ist Mathematiker und Theologe. Im Wendejahr 1989 gründete er die SDP mit, die 1990 in SPD umbenannt wurde. Damals saß er auch am Runden Tisch in Leipzig. „Ich habe mich engagiert, um die Gesellschaft in eine menschengerechte Gesellschaft umzuwandeln“, erzählt Schurig. Bis 1993 war er im Leipziger Rathaus tätig und begleitete den Verwaltungsaufbau der ostdeutschen Kommunen. Als 1993 eine Referatsleiterstelle beim Sächsischen Datenschutzbeauftragten mit Schwerpunkt Technik ausgeschrieben wurde, bewarb er sich bei der Behörde. Seine beiden Ausbildungswege sah er an dieser Stelle „ideal ergänzt“: „Die Affinität zur Technik auf der einen Seite, aber auch das Wissen um die notwendigen Grenzen.“ Bis zu seiner Wahl 2004 zum Leiter der Aufsichtsbehörde war er Referatsleiter Technik und Informatik, später Neue Medien, und gleichzeitig stellvertretender Leiter.

Von der Aufsichts- zur Regulierungsbehörde

Für 2017 sieht Andreas Schurig den Schwerpunkt seiner Arbeit in der Umstellung auf die Europäische Datenschutz-Grundverordnung. Zum einen müsse die Verwaltung entsprechend angeglichen und aufgestellt werden, was auch gesetzliche Änderungen nach sich ziehen wird. Zum anderen steigt der Beratungsbedarf bei den Unternehmen, die wissen wollen, wie sie sich künftig richtig verhalten sollen. Den dritten Schwerpunkt sieht Schurig in der Aufstellung der Datenschutzkonferenz, die sich bezüglich der Grundverordnung eine neue Geschäftsordnung geben wird.

Schurig sagt an die Adresse der 18 Datenschutz-Aufsichtsbehörden in Deutschland: „Wir müssen uns an die europäischen Anforderungen ausrichten: Die Datenschutzgrundverordnung setzt uns Fristen, die uns auf die Füße fallen, wenn wir uns nicht ordentlich aufstellen.“ Die Datenschutzkonferenz könne künftig nicht mehr nur halbjährliche Treffen ausrichten, auf denen alle Entscheidungen getroffen werden. Man müsse auch zwischendurch zu schnellen Entscheidungen kommen. Auch müsse man sich untereinander rascher abstimmen, um überhaupt Entscheidungen im Europäischen Datenschutzausschuss in Brüssel treffen zu können. Dafür seien Videokonferenzen sowie eine Plattform für eine kollaborative Dokumentbearbeitung notwendig, deren Technik und Organisation natürlich auch den eigenen Prüfansprüchen genügen müssten.

Schurig ist auch einer der wenigen Aufsichtsleiter, die klar formulieren, was die Grundverordnung für die Behörden selbst bedeutet: „Mit der Grundverordnung wandeln wir uns von der Aufsichts- zur Regulierungsbehörde“, sagt er. Und spätestens dann brauche man auch operable Prüfmodelle wie das Standard-Datenschutzmodell. „Das bedeutet, dass wir nach außen in den Wirtschaftsbereich hineingehen, aber nach innen auch unsere eigene Arbeit auf den Prüfstand stellen. Das wird auch vor der Datenschutzkonferenz nicht Halt machen.“

Erste Vorüberlegungen zur Operationalisierung von Schutzzielen

Schurig ist ein überzeugter Verfechter des Standard-Datenschutzmodells (SDM). Er hofft, dass es den deutschen Aufsichtsbehörden jetzt rasch gelingt, das SDM auf die europäische Ebene zu heben. Das ist wenig verwunderlich, wenn man weiß, dass Schurig einen Höhepunkt in seiner Laufbahn als Datenschützer in seiner Mitwirkung an der Entwicklung der Datenschutz-Schutzziele sieht: Ende 1998 mussten sich die Datenschutzbeauftragten wegen der Novellierung durch die EG-Richtlinie überlegen, welche technisch-organisatorischen Maßnahmen zu fordern waren. Das technische Umfeld änderte sich in dieser Zeit massiv: Das Internet kam, ebenso die mobilen Speicher.

Schurig: „Das alte Instrumentarium in der Anlage zu § 9 Satz 1 BDSG passte nicht mehr.“ Als Vorlage für die in der Anlage beschriebenen Maßnahmen soll der mündlichen Überlieferung nach ein IBM-Maßnahmenkatalog für Großrechnerzentren aus dem 1978 gedient haben. Insofern lässt sich leicht nachvollziehen, dass die Unzufriedenheit unter den Datenschützern Ende der 90er Jahre hoch war. Überdies hatte jedes Bundesland seine eigenen Maßnahmenschwerpunkte entwickelt „und alles driftete auseinander“, erzählt Schurig. „Mir war klar, dass wir eine Lösung dafür finden mussten, aber ich war gegenüber zu vielen neuen Regelungen auch skeptisch.“

In mehreren Treffen entwickelten die Mitglieder des Arbeitskreises Technik damals einen Lösungsansatz: „Wir fingen mit den drei Sicherheitszielen des Bundesamts für Sicherheit in der Informationstechnik an und überlegten uns, was diese für den Datenschutz bedeuten würden.“ Schnell war klar, dass sie nicht ausreichten, da es im Datenschutz um die Grundrechte von Personen ging. So kamen die Ziele Authentizität, Transparenz und Revisionsfähigkeit dazu. „Als wir das hatten, sahen wir, dass das funktionieren könnte. Wir formulierten das sukzessive in zwei Arbeitspapieren aus und veröffentlichten einen Auszug 1999 im Tätigkeitsbericht“ (S. 143 f.).

In Folge wurden die Schutzziele in mehreren Landesgesetzen aufgenommen und Alexander Roßnagel und Andreas Pfitzmann griffen die Diskussion in ihrem Modernisierungsgutachten für das Bundesinnenministerium 2001 auf. Zu seinen großen Versäumnissen zählt Schurig es übrigens, dass er Andreas Pfitzmann erst 2010 kurz vor Tod in der Uni besucht und mit ihm ein erstes Gespräch zu einer direkten Zusammenarbeit geführt hat. Dabei nannte Pfitzmann Identitätsmanagement als herausragendes Datenschutzthema. Schurig: „Trost ist, dass er ja intensiv mit dem ULD zusammengearbeitet hat und damit die Datenschutzszene bereichert hat.“

Prävention und Konfrontation

Prävention durch Bildung ist in Sachsen auch ein Thema – nicht nur auf Schulen bezogen, sondern auch auf die Justiz: Hier bietet seine Behörde seit (2009)mehreren Jahren in Absprache mit dem Oberlandesgericht einmal im Jahr eine fakultative ganztägige Fortbildung im Datenschutz für Referendare an. Schurig freut sich, dass danach einige Referendare ihre Verwaltungsstation in seiner Behörde abgeleistet haben.

Die von ihm geleitete Arbeitsgruppe “digitale Medien” des Landespräventionsrates stellte erst kürzlich einen Bericht zum Thema “Digitale Medienbildung im Freistaat Sachsen” (LINK?) fertig. Dabei achtete er auf die Vernetzung aller Protagonisten – vom Landesschülerrat über Polizei, freie Träger, Forschung, kommunale Verbände bis zu Bildungsinstitutionen. Mit dem Kultusministerium versucht Schurig Themen des Datenschutzes in Lehrplänen sowie der Lehreraus- und -fortbildung zu verankern.

In seiner Zeit als Stellvertreter gelang es Andreas Schurig während der Flutkatastrophe im Jahr 2002 binnen sechs Wochen gemeinsam mit der Staatskanzlei und dem DRK ein Spendenverteilungsprogramm zu erstellen, das sehr viele Betroffen erfasst und ihnen geholfen hat. Schurig zählt das zu seinen wesentlichen Erfolgen während dieser Zeit. Als Behördenleiter wurde er bundesweit mit den Auseinandersetzungen um den „Sachsensumpf“ und den „Handygate“-Skandal bekannt.

Speziell zum NSU führte Andreas Schurig drei Monate lang eine „Tiefenkontrolle“ beim Verfassungsschutz durch, deren Ergebnisse er veröffentlichte. Eine parlamentarische Untersuchungskommission nahm Schurigs Forderungen größtenteils auf, der Verfassungsschutz änderte seine Praxis. Auch wurde die gesetzliche Definition, was Aktenteile sind, im Verfassungsschutzgesetz geändert. Die Staatsanwaltschaft entwickelte überdies besondere Zugriffskonzepte.

Inzwischen gibt es dank der Einführung der elektronischen Aktenführung in Bund und Ländern neue Problemstellungen: Wie genau müssen Löschungen protokolliert werden ohne den Zweck der Löschung, nämlich den Grundrechtsschutz, zu gefährden? „Es ist immer eine Gratwanderung über zwei sich entgegenstehende Kriterien, den Grundrechtsschutz und den Aufklärungswunsch“, sagt Schurig.

Bundesweite Aufmerksamkeit löste auch Schurigs Fingerzeig auf polizeiliche Praxis aus, wonach bei Demonstrationen in Dresden standardmäßig eine Funkzellenabfrage angeordnet und durchgeführt wurde. Inzwischen wird diese nur noch im Einzelfall durchgeführt, was Schurig auch nachkontrollierte.

Hinsichtlich „Safe Harbor“ scheute Schurig nicht vor einer Prüfung zurück, allerdings blieb sie ohne Folgen: Wie Rheinland-Pfalz schrieb er rund 130 große Unternehmen an. Den Antworten nach führt die Hälfte Datenübermittlungen in die USA durch. „Einige bezogen in ihren Antworten auch Office 365 mit ein, andere haben solche Datenübermittlungen wahrscheinlich gar nicht reflektiert“, sagt Schurig. Weil recht rasch das Nachfolgeübereinkommen „Privacy Shield“ kam, „haben wir das im Raum stehen lassen“, gesteht er.

Ressourcenfragen

„Ich schaffe es höchsten zwei Verfahren gleichzeitig zu führen“, beschreibt Schurig seine Handlungsmöglichkeiten. „Wenn sich das Unternehmen wehrt, muss man mit einer langen inhaltlichen Auseinandersetzung bis zum Oberverwaltungsgericht rechnen. Das muss man schon ordentlich vorbereiten, sonst fällt man auf die Nase.“ Schurig würde gern mehr anlasslose Kontrollen in der Privatwirtschaft in den Bereichen machen, „wo wir sonst nicht hinkommen. Derzeit schauen wir bei Beschwerden nach rechts und links und erfassen damit schon die Bereiche, wo Betroffene wie Kunden, Arbeitnehmer oder Videobeobachtete etwas bemerken. Aber eben nur diese. Andere Bereiche wie zum Beispiel Privatdetekteien werden so von uns nicht erfasst. Dieser notwendige Blick über die von den Beschwerden erfassten Bereiche hinaus ist aber ein Ressourcenproblem.“

Offensichtlich hat der sächsische Landtag wenig Interesse an einer schlagkräftigen Aufsicht, denn Schurigs Antrag auf 30 neue Stellen für das Jahr 2017 wurde abgeschmettert. Dabei hatte Schurig nicht nur mit Blick auf die die Europäische Datenschutz-Grundverordnung, sondern auch für den behördlichen Bereich vorgerechnet, wie viele Stellen mindesten notwendig wären. Obwohl sich die Datenschutzaufsicht mit der Datenschutzgrundverordnung zur Regulierungsbehörde wandeln wird, wird sie absehbar für die anstehenden Aufgaben nicht angemessen ausgestattet sein. 2018 könnte es geringfügig besser aussehen für neue Stellen. Denn abgesehen von der Grundverordnung soll die Behörde 2018 wie die Hamburgische Aufsicht unabhängig werden. Jetzt ist sie noch beim Landtag angegliedert, künftig soll sie vollkommen eigenständig sein.

Autorin:
Christiane Schulzki-Haddouti

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.