Thomas Fuchs wurde zum neuen „Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit“ (HmbBfDI) gewählt und löste damit Prof. Johannes Caspar als Leiter der obersten Landesbehörde ab. Wir wollten von Herrn Fuchs wissen, welche neuen Impulse er setzen möchte, wie er zu Google, Facebook und Drittlandtransfers steht und was wir in Zukunft von der Hamburger Aufsichtsbehörde in Sachen Beratung und Bußgeldern erwarten können.
Interview
Herr Fuchs, nach gut 13 Jahren als Direktor der Medienanstalt Hamburg/Schleswig-Holstein leiten Sie nun seit dem 1. November 2021 die Hamburger Datenschutzbehörde. Welche wesentlichen Unterschiede sehen Sie zu Beginn Ihrer neuen Aufgabe?
Thomas Fuchs: Zunächst gibt es viele Ähnlichkeiten: die föderale Struktur, die Prägung durch Europarecht, die staatsferne unabhängige Stellung und die Verantwortung für die in Hamburg ansässigen amerikanischen Unternehmen der Digitalwirtschaft wie Google oder Facebook. Ein wesentlicher Unterschied hingegen sind die sehr viel weitergehenden Möglichkeiten der Datenschutzbehörde, etwa bei der Bußgeldhöhe oder bei der Anordnungsbefugnis gegenüber öffentlichen Stellen. Und: Datenschutz betrifft uns alle, die gesamte Wirtschaft und alle Behörden, während es sich bei den privaten Medien um einen zwar wichtigen, aber vergleichsweise kleinen Markt handelt.
Kernaufgabe der Medienanstalt ist die Aufsicht über Inhalte in Funk und Fernsehen, aber auch auf Websites und Social-Media-Plattformen. Welche Erfahrungen aus der Medienaufsicht können Sie für die Hamburger Datenschutzaufsicht einbringen?
Die MA HSH hat im letzten Jahr z.B. ein medienrechtliches Verfahren gegen Google Search wegen der Diskriminierung journalistischer Inhalte geführt oder ist gegen pornographische Inhalte auf Twitter vorgegangen. Diese Erfahrungen im Umgang mit großen internationalen Plattformen sind auch für die neue Tätigkeit relevant.
Im nationalen Bereich haben wir viel stärker beraten als sanktioniert, also z.B. bestimmte Werbeformen oder Jugendschutztechniken vorab geprüft und bewertet, das sollte auch in der Datenschutzaufsicht eine immer größere Rolle spielen, gerade im Umgang mit öffentlichen Stellen.
Prof. Caspar wurde vor allem als „Jäger“ von Google und Facebook wahrgenommen. Sehen Sie in der Beaufsichtigung von „Big Tech“ eine Hauptaufgabe?
Eindeutig ja, wenn auch nicht als einzige. Dass die größten Datenaggregatoren auch die meisten Probleme beim Datenschutz aufweisen, ist fast schon logisch. Und anhaltend hochproblematisch, insbesondere durch die Verknüpfung der Profil-Daten bei verschiedenen Diensten innerhalb eines Konzerns, wie etwa bei Facebook und WhatsApp.
Aber hinzu kommen jetzt die Herausforderungen der Digitalisierung der Verwaltung bzw. des öffentlichen Sektors. Der Blick auf den Koalitionsvertrag der neuen „Ampel“-Regierung, in dem über 30 daten(schutz)rechtliche Vorhaben aufgeführt sind, bestätigt das nachdrücklich. In den nächsten Jahren entsteht die digitale Infrastruktur unseres gesellschaftlichen Zusammenlebens – das erfordert eine neue Datenschutzkultur, die die Aspekte der individuellen Datensouveränität von Anfang an mitdenkt.
Ein grundlegendes Problem im Datenschutz war schon immer die mangelnde Rechtsdurchsetzung: Vielfach bestehen ausreichende Regelungen, sie werden aber nicht (umfänglich) beachtet. Als aktuelle Beispiele seien nur diverse US-Datentransfers ohne Absicherung oder Tracking auf Websites ohne ausreichende Consent-Banner genannt. Sind die DSGVO-Anforderungen zu überbordend oder die Behörden zu schwach ausgestattet?
Der Anwendungsbereich des Datenschutzrechts umfasst quasi jegliche menschliche Interaktion im Geschäftsleben. Verglichen mit dieser Mammutaufgabe sind die Größe und Ausstattung der Datenschutzbehörden in der Tat sehr überschaubar. Eine hundertprozentige Rechtsdurchsetzung bei allen Akteuren kann so nicht erreicht werden. Umso wichtiger ist es, durch beratende Aufklärungsarbeit die teils komplexen Anforderungen zu erklären, um Verstößen zuvorzukommen. Beim aufsichtsbehördlichen Vollzug sind dann außerdem kluge Schwerpunkte zu setzen.
Können einzelne, sehr hohe Bußgelder als „Leuchttürme“ ein probates Mittel sein, um für eine bessere Einhaltung der DSGVO zu sorgen?
Geldbußen müssen tat- und schuldangemessen sein. Insofern ist das Ziel nicht, möglichst hohe Summen zu verhängen, sondern eine für das Unternehmen und dessen Fehlverhalten angemessene Reaktion zu finden. Bei großen Konzernen und schweren Verfehlungen darf es dann aber auch keine Scheu vor hohen Beträgen geben.
Ein solch konsequenter Vollzug wird auch in den Compliance-Abteilungen anderer verantwortlicher Stellen zur Kenntnis genommen. Wer als Unternehmen hohe Anstrengungen im Datenschutz unternommen hat, fühlt sich dadurch bestätigt, dass sich der Aufwand gelohnt hat. So werden prominente Sanktionsfälle oftmals auch dafür genutzt, die Geschäftsleitung unternehmensintern vom Handlungsbedarf zu überzeugen.
Der aktuell größte Beratungsbedarf bei Unternehmen betrifft den Einsatz von US-Dienstleistern: Die Unternehmen sehen sich vielfach in der Lage, nicht gänzlich auf Dienste wie Microsoft 365 oder Salesforce verzichten zu können und gleichzeitig keine vollständig rechtssichere Lösung zu finden. Wie sehen Sie hier die Rolle der Datenschutzaufsicht: Ist sie nur ausführendes Organ für die Durchsetzung der Anforderungen aus dem „Schrems II“-Urteil oder sollte sie auch die Bedürfnisse der Unternehmen anerkennen, dass Patentlösungen aktuell nicht bereitstehen und Anpassungen oft viel Zeit und Aufwand benötigen?
Der Europäische Gerichtshof hat den Aufsichtsbehörden einen klaren Handlungsauftrag mitgegeben. Datentransfers in Drittstaaten, die nicht den datenschutzrechtlichen Anforderungen entsprechen, sind auszusetzen oder zu verbieten. Dass bei komplexen Systemen nicht von heute auf morgen ein Wechsel möglich ist, versteht sich von selbst. Es ist Aufgabe der Unternehmen, einen konkreten Umsetzungsfahrplan zu entwickeln und zu implementieren. Wenn damit ein realistischer Umstieg aufgezeigt wird, lässt sich die Aufsicht darauf gerne ein.
Zum Abschluss: Wenn Prof. Caspar als „Jäger“ von Google und Facebook wahrgenommen wurde – was möchten Sie persönlich am Ende Ihrer Amtszeit gewesen sein?
Der „Jäger“ läuft mir zu sehr hinterher. Wir müssen als Datenschützer mit gestalten, gerade jetzt an dem schon erwähnten Ausbau der digitalen Infrastruktur unserer Gesellschaft von Anfang an mitwirken.
Insofern lieber: Architekt der digitalen Gesellschaft, oder zumindest ihr Statiker.
