Es wird Zeit, dass wir mit einer guten neuen LBO und vor al lem mit genügend neuen Flächen Lust aufs Bauen machen.
Meine Damen und Herren! Es liegen jetzt keine weiteren Wortmeldungen vor. Die Ausspra che ist damit beendet.
Ich schlage vor, den Gesetzentwurf Drucksache 16/6293 zur weiteren Beratung an den Ausschuss für Wirtschaft, Arbeit und Wohnungsbau zu überweisen. – Es erhebt sich kein Wi derspruch. Dann ist es so beschlossen.
Beschlussempfehlung und Bericht des Ständigen Aus schusses zu der Mitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Würt temberg vom 16. Januar 2019 – 34. Datenschutz-Tätig keitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg für das Jahr 2018 – Drucksachen 16/5000, 16/6353
Meine Damen und Herren, das Präsidium hat für die Ausspra che eine Redezeit von fünf Minuten je Fraktion festgelegt.
Das Wort erteile ich zunächst dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württem berg, Herrn Dr. Stefan Brink. – Sie haben das Wort.
Landesbeauftragter für den Datenschutz und die Infor mationsfreiheit Dr. Stefan Brink: Vielen Dank, Frau Präsi dentin. – Meine sehr geehrten Damen und Herren Abgeord nete! Ich freue mich, Ihnen an dieser Stelle eine Mitteilung über den Stand des Datenschutzes in Baden-Württemberg ge ben zu können und die wesentlichen Erkenntnisse meines Tä tigkeitsberichts kurz zusammenfassen zu dürfen.
Wer im Jahr 2019 von Datenschutz redet, redet von der Da tenschutz-Grundverordnung, die uns seit Mai 2018 intensiv beschäftigt. Die erste Grundaussage, die wichtig ist, lautet: Sie wirkt. Die Datenschutz-Grundverordnung ist eine Rege lung, die tatsächlich wirkt. Sie wirkt in vielen Bereichen auch positiv, und sie wirkt auch einheitlich in Europa.
Was meine ich, wenn ich sage: „Sie wirkt“? Sie wirkt dadurch, dass sehr, sehr viele Unternehmen – gerade auch in Deutsch land, wo wir schon lange, seit den Siebzigerjahren, einen gu ten Datenschutzstandard haben – mit der Datenschutz-Grund verordnung den Entschluss gefasst haben, tatsächlich erkenn bare Bemühungen zum Datenschutz zu unternehmen.
Das Datenschutzniveau in Deutschland war auch früher, vor Mai 2018, hoch. Und ein hohes Niveau heißt unter dem Strich, dass sich bei etwa einem Drittel der Unternehmen, wenn wir sie geprüft haben, wenn wir sie uns angeschaut haben, her ausgestellt hat, dass sie sich tatsächlich und erkennbar im Vor feld mit Datenschutz beschäftigt haben. Das mag Ihnen we nig vorkommen. Ich finde, es war ein relativ guter Standard.
Ein Drittel der Unternehmen hatte sich vor Mai 2018 mit Da tenschutz befasst, nicht perfekt – perfekt ist im Datenschutz bereich niemand; das ist auch kein Ziel, das wir anstreben –, aber doch so, dass wir erkennen konnten: Es gibt so etwas wie einen Datenschutzbeauftragten, es gibt Konzepte zum Daten schutz, es gibt die Bereitschaft des Unternehmens, Auskunft
Mit der seit Mai 2018 verpflichtend anzuwendenden Daten schutz-Grundverordnung hat sich die Zahl dieser Unterneh men verdoppelt. Das ist großartig. Zwei Drittel der Unterneh men, die wir uns heute anschauen, haben sich erkennbar mit dem Datenschutz befasst, und das ist ein sehr gutes Ergebnis.
Auch das heißt natürlich nicht, dass alle diese Unternehmen perfekt aufgestellt wären. Das ist unter der Datenschutz-Grund verordnung extrem schwer, und das ist für viele verantwort liche Stellen – ich gehe gleich noch einmal näher z. B. auf kleine und mittlere Unternehmen ein, ich gehe noch einmal näher auf Vereine ein – an der Grenze des Machbaren; das sa ge ich einmal vorsichtig. Aber wir sehen, dass die Daten schutz-Grundverordnung ihre Wirkung entfaltet hat.
Wir sehen auf der anderen Seite, dass vieles, was mit der Da tenschutz-Grundverordnung verbunden ist, keineswegs per fekt ist. Da fange ich erst einmal bei uns als Aufsichtsbehör den an.
Die Koordination, die wir jetzt in Europa vornehmen müssen – Datenschutz ist ein Europathema, und es kommt in erster Linie nicht mehr auf die nationalen Aufsichtsbehörden an –, funktioniert noch nicht, noch nicht mal ansatzweise. Wir ha ben auf europäischer Ebene bis heute nicht ein einziges Ver fahren angestoßen, bei dem die Aufsichtsbehörden über ein Sachthema strittig, aber im Ergebnis einig verhandelt hätten, bei dem sie sich auf eine bestimmte Position geeinigt hätten. Das ist ein schwieriges Zeichen. Es ist aus meiner Sicht gera dezu ein alarmierendes Zeichen, dass wir es in Europa nicht schaffen, in den Konflikt zu gehen und die unterschiedlichen Auffassungen anzugleichen.
Ich nenne Ihnen ganz bewusst z. B. Aufsichtsbehörden in Ir land oder in Luxemburg, die eine deutlich andere Verwal tungskultur – so nenne ich es einmal vorsichtig –, eine deut lich andere Aufsichtskultur haben als wir in Deutschland, die in unseren Augen große Defizite haben, was den Vollzug der Datenschutz-Grundverordnung angeht. Damit ist der Kern der Datenschutz-Grundverordnung, nämlich dass wir in Europa ein einheitliches Datenschutzniveau hinbekommen, infrage gestellt. Wenn das durch den Verwaltungsvollzug infrage ge stellt wird, dann wird die Datenschutz-Grundverordnung nicht funktionieren.
Das ist einer der Gründe, warum wir es für ganz wichtig hal ten, dass wir uns jetzt, nach einem Jahr Datenschutz-Grund verordnung, diese Regelung noch einmal ganz genau anschau en und uns überlegen, was man daran besser machen kann. Es gibt eine Aufforderung vonseiten der EU-Kommission, dass sich die Aufsichtsbehörden in Europa zusammenfinden und diese Kritik üben.
Wir haben hier in Baden-Württemberg einen etwas anderen Weg gewählt und gesagt: Es kommt nicht nur darauf an, was die Aufsichtsbehörden von der DS-GVO halten. Wir wollen auch die betroffenen und die verantwortlichen Stellen in die se Evaluation einbeziehen.
Das ist genau das, was wir morgen in einer sehr schönen Ko operation mit der IHK Region Stuttgart machen. Wir haben
morgen eine Veranstaltung mit über 250 Teilnehmern, die sich mit uns einen ganzen Tag lang über die Frage unterhalten: Was kann man an der Datenschutz-Grundverordnung besser ma chen? Die Ergebnisse dieser Evaluierung werden wir dann auf europäischer Seite einbringen.
Man muss auch da Realist bleiben. Ich glaube nicht, dass die Datenschutz-Grundverordnung kurzfristig wesentlich verän dert werden kann. Aber wir müssen klarmachen, wo es hapert, wo es besser geht und was man an ihr verbessern kann.
2018 war das Jahr der Beratung. 2018 war ein Jahr, in dem wir versucht haben, möglichst alle mitzunehmen und insbe sondere auch die verantwortlichen Stellen darüber zu infor mieren, welche Herausforderungen mit der Datenschutz-Grund verordnung auf sie zukommen. Das haben wir höchst inten siv gemacht. 2018 war kein Jahr der Kontrollen. Wenn Sie in unseren Tätigkeitsbericht hineinschauen, werden Sie feststel len, dass wir im gesamten Jahr 2018 sage und schreibe 13 Stellen in Baden-Württemberg kontrolliert haben. Das ist ge radezu lächerlich. Wir haben in Baden-Württemberg nahezu 600 000 verantwortliche Stellen, über 500 000 Unternehmen, weit mehr als 50 000 Vereine und mehrere Tausend Behörden, die wir kontrollieren. Wir haben von all diesen im Jahr 2018 genau 13 kontrolliert, also im Prinzip ein Ausfall der Kontrol le, was ich unter dem Gesichtspunkt für vertretbar halte, dass die Grundverordnung bekannt gemacht und erklärt werden musste und wir klarmachen mussten, wie das funktioniert.
Wenn man aber die Grundverordnung ernst nimmt, dann muss man auch kontrollieren, dann kann es nicht sein, dass man nur berät, dann kann es nicht sein, dass man sich nur sozusagen als Ratschlaggeber verhält. Man muss auch kontrollieren, und man muss auch – dazu sage ich gleich noch mehr – sanktio nieren.
Wie machen wir das in diesem Jahr? 2019 ist tatsächlich das Jahr, in dem wir wieder in die Kontrollen einsteigen. Wir ha ben 250 Kontrollprojekte vorgesehen und auch ganz transpa rent vorgestellt, wo wir kontrollieren. Wir werden in diesem Jahr 10 000 Stellen kontrollieren – von 13 Stellen 2018 auf 10 000 in diesem Jahr. Wir haben schon damit angefangen. Der eine oder andere hat es vielleicht auch schon gesehen.
Wir haben z. B. sämtliche Kommunen – es gibt 1 101 Kom munen in Baden-Württemberg – angeschrieben und sie über den Stand der Umsetzung der Datenschutz-Grundverordnung befragt und bekommen – das wäre für mich, wenn es nicht so gut vorbereitet worden wäre, fast überraschend – positive Rückmeldungen. Niemand lässt sich gern kontrollieren. Nor malerweise hätte ich gesagt, dass, wenn wir alle Kommunen mit den Fragestellungen konfrontieren, die Chance groß ist, dass es viel Unmut gibt. Das Gegenteil ist der Fall. Wir erfah ren viel Unterstützung inklusive der kommunalen Landesver bände, die uns bei unserem Anliegen unterstützen und die Kommunen darüber informiert haben, zu welchen Zwecken wir diese Kontrollen machen und dass sie uns bitte schön un terstützen sollen. Das ist aus meiner Sicht ein sehr gutes Zei chen, das wir gern aufnehmen, und wir werden unsere Arbeit weiterführen.
Die Sanktionen, von denen unter der Datenschutz-Grundver ordnung sehr viel geredet wird, sind – das muss man ganz re alistisch sehen – der Treiber der gesamten Veranstaltung. Die Datenschutz-Grundverordnung hätte nicht diesen enormen
Impact – in Baden-Württemberg ein Anstieg von einem Drit tel der Unternehmen auf zwei Drittel der Unternehmen, die sich mit Datenschutz befassen –, wenn diese Sanktionsandro hungen nicht wären. Das ist nun nicht die feine englische Art. Es ist übrigens auch nicht die deutsche Art gewesen, mit Da tenschutz umzugehen. Wir hatten eher einen romantischen An satz und wollten das Schöne der informationellen Selbstbe stimmung nach vorn stellen. Nein, die Grundverordnung ist ganz brutal und sagt: Für Datenschutzvergehen gibt es im Ein zelfall bis zu 20 Millionen € Strafe. Das ist natürlich sozusa gen die Holzhammermethode, wie man ein Anliegen, nämlich den Datenschutz, durchsetzen kann. Man muss dazu leider sa gen, dass es wirkt. Das ist das, was funktioniert hat, das ist das, was zieht. Jetzt gilt es, mit diesem Rahmen sinnvoll um zugehen.
Wir haben in Baden-Württemberg mit die ersten und aktuell noch die höchsten Bußgelder in Deutschland verhängt. Das hört sich vielleicht dramatisch an; ich ordne es gleich ein biss chen näher ein. Wir haben 2018 im Wesentlichen drei größe re Bußgelder verhängt: zwei in Höhe von 80 000 €, eines in Höhe von 20 000 €. Das ist viel Geld; das wissen wir. Aber wenn Sie die Maßgabe verstehen, unter der wir das machen, werden Sie uns hoffentlich in unserem Anliegen zustimmen. Die Maßgabe, die ich an meine Bußgeldstelle gerichtet habe, lautete: Wir verhängen nur Bußgeld in Fällen, in denen jeder, auch derjenige, der dem Datenschutz distanziert gegenüber steht, wenn er sich den Fall ansieht, sagt: „Das verstehe ich, warum in dem Fall ein Bußgeld verhängt wurde.“ Wenn wir das so machen, wenn wir also Bußgelder verhängen, die prä sentabel sind und tatsächlich für Konsens sorgen, dann kön nen wir das auch in dieser Höhe machen.
Ich nenne Ihnen ein Beispiel für die Verhängung eines Buß gelds: Da hat ein Arzt durch massive Fahrlässigkeit Gesund heitsdaten von Patienten ins Netz gestellt. Die waren im Netz abrufbar, die sind übrigens auch heute noch im Netz abrufbar, weil wir sie dort nicht herausbekommen. Dass das Konse quenzen haben muss, muss, so glaube ich, jedenfalls dem Arzt klar sein.
Der zweite größere Fall betraf eine Bank, die Bankunterlagen von sehr vielen Kunden zwar ökologisch korrekt, aber in der Sache unrichtig im Altpapiercontainer entsorgt hat. Auch das ist ein Fall, bei dem ich glaube, dass wir auf große Zustim mung stoßen in der Einschätzung, dass das nicht sein darf und dass das auch sanktioniert werden muss.
Im Vergleich zu dem, was auf europäischer Ebene läuft, sind wir noch Chorknaben. Die Bußgelder sind wesentlich höher als die Bußgelder, die früher verhängt wurden. Da gab es für unzulässige Geburtstagslisten mal 150 € Strafe. So etwas ma chen wir nicht mehr.
Aber schauen Sie einmal nach Frankreich: Die französische Aufsichtsbehörde, CNIL, verhängt 50 Millionen € Bußgeld in Bezug auf Google. Schauen Sie einmal nach Portugal. Die dor tige Aufsichtsbehörde hat ein Bußgeld in Höhe von 400 000 € für ein mittelgroßes Krankenhaus verhängt, das ein schlech tes Berechtigungskonzept hatte, bei dem zu viele Mitarbeiter auf die Krankendaten zugreifen konnten. Das ist mit Sicher
heit ein gravierender Fall, aber die Verhängung eines Buß gelds von 400 000 € ist natürlich eine Ansage.
Wir werden sehen, dass im Laufe der Angleichung im euro päischen Kontext auch unsere Bußgelder höher werden müs sen; das gehört zum einheitlichen Vollzug des europäischen Rechts. Aber wir werden auch dafür sorgen müssen, dass das Ganze mit Augenmaß geschieht.
Der wichtigste Punkt bei unserer Tätigkeit war, ist und bleibt die Beratung. Sie wird hervorragend angenommen. Wir ha ben im Jahr 2018 über 4 500 Beratungsleistungen erbracht, in über 200 öffentlichen Veranstaltungen mit insgesamt über 20 000 Teilnehmern von der Datenschutz-Grundverordnung berichtet und Hilfestellungen gegeben, wie man damit um geht.
Ein ganz wichtiger Punkt sind für uns die Vereine. Die Verei ne brauchen die Unterstützung in diesem Bereich. Sie sind nicht in der Lage – jedenfalls in sehr weiten Bereichen, wenn der Verein nicht gerade ADAC heißt –, das Thema aus eige ner Kraft zu stemmen.
Dementsprechend unterstützen wir da, wo wir können. Der Beratungsbedarf ist nach wie vor sehr hoch. Unser Problem ist, dass wir die Beratungen in vielen Fällen nicht mehr zeit nah durchführen können, jedenfalls nicht, wenn wir alle un sere Aufgaben als Aufsichtsbehörde wahrnehmen wollen.
Deswegen habe ich ein Anliegen, das ich Ihnen nahebringen will, auch vor dem Hintergrund – das sollten Sie wissen –, dass ein Großteil der Datenschutzaufsichtsbehörden in Deutsch land inzwischen die Beratungstätigkeit eingestellt haben. In einem Großteil der deutschen Länder beraten die Aufsichts behörden nicht mehr mit der Begründung: „Dafür sind wir nicht personell ausgestattet. Das können wir nicht mehr. Wir konzentrieren uns auf die Kontroll- und Aufsichtstätigkeit.“ Beratungsleistungen werden dort sozusagen als fakultativ an gesehen und deswegen nicht mehr durchgeführt.
Ich halte das für einen Fehler. Ich glaube, dass die Aufgaben, die wir haben, gleichwertig sind, dass wir nicht nur Aufsichts behörde sind, sondern in gleichem Umfang auch Beratungs stelle. Deswegen will ich diesen Schwerpunkt beibehalten.
Daher will ich an diesem Punkt mein Anliegen vortragen, be vor ich gleich zum Ende meines Vortrags komme. Mein An liegen ist, dass diese Beratungsleistungen, die wir sowohl ge genüber Unternehmen als auch gegenüber Vereinen, als auch gegenüber Behörden – ganz stark übrigens; ein Großteil der Beratungen, die wir machen, findet gegenüber Behörden statt – erbringen, unser Schwerpunkt bleiben können und wir das in Zukunft so machen, dass wir den hohen Anteil von Be schwerden, den wir haben, von unserer Beratungsleistung ent koppeln.
Das wird gehen, wenn Sie uns die Möglichkeit geben, im Rah men eines Fortbildungszentrums beim LfDI tatsächlich diese Beratungsleistungen zukünftig konzentriert und auf hohem Niveau zu erbringen. Aus unserer Sicht brauchen wir dafür vier Stellen. Damit ließe sich viel bewirken. Schulungen für Unternehmen und Schulungen für Behörden von einer klei nen Gruppe mit zehn bis zwölf Leuten bis zu großen Grup penveranstaltungen mit 120 Teilnehmern könnten wir abbil
den. Die Räumlichkeiten dazu haben wir. Wir werden Ende des Jahres umziehen. Unsere Räumlichkeiten sind zu klein geworden – auch dank der freundlichen Unterstützung des Parlaments, was unsere personelle Entwicklung angeht. In dem Gebäude, in das wir umziehen, haben wir wesentlich bes sere Voraussetzungen, z. B. eben auch dafür, mehr Schulun gen, mehr Fortbildungsleistungen zu erbringen.
Wenn Sie uns die Chance geben, das zu machen, können wir ganz unabhängig davon, wie viele Beschwerden zukünftig bei uns ankommen, auch tatsächlich ein gleichmäßiges und ho hes Niveau an Beratung sicherstellen. Wir wollen das zentral in Stuttgart machen, aber behalten natürlich unsere Leistun gen vor Ort bei. Ich freue mich sehr, dass ich bei sehr vielen von Ihnen, sehr geehrte Damen und Herren Abgeordnete, schon im Wahlkreis zu Gast sein durfte. Letzten Montag wa ren wir in Rastatt bei Herrn Abg. Weber und haben uns dort, wie ich finde, sehr gut, sehr konstruktiv gerade auf Vereins ebene unterhalten, um in dem Thema Datenschutz voranzu kommen und klarzumachen, welche Hilfeleistungen wir ge ben.