Es gibt keinen rechtsfreien Raum, in dem die Technik dem Recht davoneilt.

Ende 2020 hat der Hessische Landtag Prof. Dr. Alexander Roßnagel einstimmig in das Amt des Hessischen Beauftragten für Datenschutz und Informationsfreiheit gewählt. Er hat dieses Amt am 1. März 2021 angetreten. Zuvor war er Seniorprofessor für Öffentliches Recht an der Universität Kassel und hat viele Jahre zu Fragen der rechtsverträglichen Technikgestaltung geforscht. INFORM sprach mit dem Juristen über die Bedeutung von Datenschutz in Zeiten von verstärkter Cyberkriminalität und Datenmissbrauch und wie Nutzung und Schutz von Daten sinnvoll zusammengebracht werden können. 

INFORM: Herr Prof. Dr. Roßnagel, Datenschutz geht jeden etwas an – sowohl im beruflichen als auch im privaten Kontext. Stehen die strengen Datenschutzbestimmungen in der EU nicht in Widerspruch zu der hohen Bereitschaft von Privatpersonen, im Netz und auf diversen digitalen Kanälen freizügig ihre Daten und privaten Informationen zu teilen?

Alexander Roßnagel: Hier ist es zunächst wichtig, begrifflich zu trennen. Anders als es der Begriff Datenschutz vermuten lässt, geht es nicht darum, die Daten zu schützen, sondern die informationelle Selbstbestimmung. Seine eigenen Daten bewusst preiszugeben, ist Teil dieser informationellen Selbstbestimmung und löst daher keinen Widerspruch aus. Selbstbestimmung ist ein Grundrecht, das Minderheiten schützen und dafür sorgen soll, dass die Freiheit von Minderheiten auch gewährleistet wird. Jede Person soll selbst darüber entscheiden können, welche Daten sie preisgibt, wem gegenüber, zu welchem Zweck und was mit den Daten geschehen soll. Zum Problem wird es erst dann, wenn die Person, welche die Daten zur Verfügung stellt, vorher nicht ausreichend informiert worden ist oder dies nicht freiwillig tut. Hier sehe ich die rechtlichen Bestimmungen zu Datenschutz als Garantie dafür, sich jederzeit auf sein Grundrecht berufen zu können und eine Weitergabe der Daten gegen den eigenen Willen zu unterbinden.

INFORM: Die Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO, ist vor mehr als fünf Jahren in Kraft getreten. Was hat sich seit ihrer Einführung verändert?

Alexander Roßnagel: Der Datenschutz hat durch die DSGVO definitiv an Bedeutung gewonnen, und es gibt eine höhere Sensibilität für dieses wichtige Thema. Das ist aber weniger darauf zurückzuführen, dass die DSGVO so viel Neues hervorgebracht hat. Die meisten Datenschutzregeln galten auch schon vorher. Vielmehr sind sie durch die DSGVO bekannter geworden. Allen Beteiligten ist nun klarer, dass sie entsprechende Pflichten haben. Außerdem haben Aufsichtsbehörden wie wir mehr Befugnisse bekommen und die Möglichkeit, Anordnungen zu treffen und Sanktionen durchzusetzen, statt uns nur mit frommen Sprüchen zu schmücken. Die Tatsache, dass seither EU-weit mehrfach Sanktionen von weit über einer Milliarde Euro gegenüber einzelnen Unternehmen verhängt worden sind, zeigt die Notwendigkeit und den Handlungsbedarf sehr deutlich.

INFORM: Welche Voraussetzungen müssen für informationelle Selbstbestimmung geschaffen werden?

Alexander Roßnagel: Eine datenschutzrechtliche Einwilligung setzt volle Information voraus. Dies wurde mit der DSVGO deutlich verstärkt. Denn sie enthält wichtige Regelungen über Auskunftsrechte und Informationspflichten, beispielsweise dazu, dass man sich bei Unternehmen über die Verarbeitung der eigenen Daten informieren kann und dass sie Betroffene informieren müssen, bevor sie deren Daten verarbeiten. Fehlen relevante Informationen, ist auch eine Einwilligung unwirksam.

INFORM: In Deutschland ist der Datenschutz Ländersache, das heißt jedes Bundesland hat eine eigene Aufsichtsbehörde mit einem zuständigen Landesdatenschutzbeauftragten. Bedeutet das zugleich 16 unterschiedliche Rechtslagen in Deutschland?

Alexander Roßnagel: Im Datenschutzrecht haben wir es mit vielen abstrakten Regeln zu tun, die auf konkrete Sachverhalte angewendet werden müssen. Die Auslegung dieser Regeln bringt per se Unterschiede mit sich. Das kann man in etwa mit Gerichten vergleichen: Wenn ein neues Gesetz kommt, werden in der ersten und zweiten Instanz erst einmal ganz unterschiedliche Entscheidungen getroffen. Erst wenn sich auch höhere Instanzen damit auseinandersetzen, wird es einheitlicher. Das bedeutet, dass wir in Hessen bei einer völlig neuen Frage womöglich anfangs zu anderen Ergebnissen kommen als beispielsweise Datenschutzaufsichten in Nordrhein- Westfalen oder Baden-Württemberg. Das ist aber im Rechtsumfeld ganz normal und keine Besonderheit des Datenschutzrechts.

Trotz ihrer Unabhängigkeit sind die Aufsichtsbehörden aber nach der Datenschutzgrundverordnung auch dazu verpflichtet, den Vollzug des Datenschutzrechts weiter zu vereinheitlichen. Das nehmen wir sehr ernst. Dafür gibt es die DSK, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Sie trifft sich fünfmal im Jahr, um sich über Datenschutzfragen auszutauschen und zu einheitlichen Anwendungen des Datenschutzrechts zu kommen. Dafür wurden extra Mehrheitsentscheidungen bei der DSK eingeführt, um letztendlich auch dem Vorurteil entgegenzuwirken, jede Aufsichtsbehörde würde ihr eigenes Süppchen kochen.

INFORM: Für welche Themen engagieren Sie sich persönlich in der DSK?

Alexander Roßnagel: In der DSK gibt es rund 30 Arbeitskreise und für bestimmte Fragen zusätzlich noch Taskforces. Da ich Hochschullehrer gewesen bin und viele Jahre lang Forschungsprojekte durchgeführt habe, liegt mir das Thema Forschung besonders am Herzen. Ich habe selbst erlebt, wie wichtig und hilfreich Forschungsdaten sein können. Daher leite ich zusammen mit dem Bundesdatenschutzbeauftragten in der DSK die Taskforce Forschungsdaten. Hier haben wir kürzlich eine Stellungnahme zur Überarbeitung des Entwurfs eines Gesundheitsdatennutzungsgesetzes der Bundesregierung verfasst. Wir haben das Gesetz grundsätzlich begrüßt, denn diese bundeseinheitliche Regelung ist nun an unsere jetzige Situation angepasst. Wir alle wünschen uns eine bessere medizinische Versorgung, eine bessere medizinische Forschung. Dafür braucht man allerdings Daten. Entscheidend war hier also die Frage, wie man die Datennutzung so regeln kann, dass es der informationellen Selbstbestimmung entspricht. Wir haben dafür eine Reihe von Vorschlägen gemacht, um beide Ziele harmonisch zusammenzubringen.

INFORM: Wo steht Hessen in Sachen Datenschutz im Vergleich zu den anderen Bundesländern?

Alexander Roßnagel: Hessen ist momentan relativ weit vorn beim Thema MS 365, wo es darum geht, Microsoft- Produkte aus der Cloud heraus zu nutzen. Aber auch beim Thema Videokonferenzen haben wir in Hessen zusammen mit dem HKM, den Schulen und Hochschulen gute datenschutzkonforme Lösungen gefunden, die auch andere Bundesländer überzeugen und nun als Vorbild innerhalb der DSK dienen. Nicht nur in Bezug auf dieses Thema, sondern auch generell verfolgen wir als Aufsichtsbehörde hier einen konstruktiven und beratenden Ansatz, um gemeinsam mit den Verantwortlichen datenschutzgerechte Lösungen zu erarbeiten, statt allzu ordnungsrechtlich aufzutreten oder nur Sanktionen zu verhängen.

INFORM: In Krisenzeiten kann der Datenschutz auch ein Hemmschuh sein, denn es muss oft schnell gehandelt werden, ohne dass die notwendigen Datenschutzprüfungen abschließend vorliegen. Gleichzeitig stehen z.B. sensible Daten im Fokus von Angreifenden. Wie findet man hier die richtige Balance?

Alexander Roßnagel: Zunächst ist es wichtig zu verstehen, dass Datenschutz und Datensicherheit zusammengehören und nicht gegeneinander ausgespielt werden sollten. An der Bekämpfung von Cyberkriminalität haben auch wir als Aufsichtsbehörde ein großes Interesse. Die DSGVO enthält zudem klare Regelungen zur Datensicherheit und darüber, dass gespeicherte Daten sicher aufbewahrt, verarbeitet und kommuniziert werden müssen. Das ist integraler Bestandteil des Datenschutzes. Zeitdruck schließt dieses Hand-in- Hand-Arbeiten nicht aus. Im Ausnahmefall müssen gewisse Risikobetrachtungen dann eben auf einen späteren Zeitpunkt verschoben werden, sofern es eine gewisse Dringlichkeit gibt. Viel wichtiger ist es, in Zeiten des Friedens und ohne bestehende Krisensituationen die Abwehrsysteme so zu gestalten, dass sie den Datenschutz erfüllen und einsatzbereit sind.

INFORM: Ähnlich ist es mit der Digitalisierung, die immer schneller voranschreitet. Kommt die Gesetzgebung hier in ausreichendem Maß hinterher?

Alexander Roßnagel: Man muss viel eher sagen: Das Recht ist immer schon da gewesen. Auch wenn es abstrakte Regeln sind, die gegebenenfalls nicht risikoadäquat oder vollständig passend sind. Es gibt demnach keinen rechtsfreien Raum, in dem die Technik dem Recht davoneilt. Wenn man beispielsweise KI einsetzt, gelten die Regeln grundsätzlich erst einmal weiter. Die Frage ist also vielmehr: Haben wir eigentlich passende Gesetze? Um Rechtssicherheit zu erlangen und gleichzeitig die Technikanwendung zu fördern und den Datenschutz zu beachten, müssen wir Erfahrungen mit der jeweiligen Technik sammeln. Das hilft uns ungemein und ist Voraussetzung dafür, dass wir die allgemeinen Regeln dann so konkretisieren können, dass sie für die Anwendung der Technik passen.

INFORM: Welchen Auftrag haben Sie für die HZD als zentralen IT-Dienstleister des Landes, der in zahlreichen Anwendungen und Fachverfahren die Daten seiner Kunden verarbeitet?

Alexander Roßnagel: Ich sehe die HZD an einer wichtigen Schlüsselposition, denn sie vereint die Aufgaben als IT-Dienstleister der Ressorts und als technischer Spezialist. Als Datenverarbeiter der hessischen Landesverwaltung hat die HZD insbesondere für uns als Aufsichtsbehörde eine zentrale Funktion, weshalb uns der Austausch sehr wichtig ist. Das beinhaltet beispielsweise, rechtzeitig in Projekte mit einbezogen zu werden, sodass wir unsere Hinweise in Sachen Datenschutz frühzeitig geben und Systeme oder Projekte gesetzeskonform aufgesetzt werden können. Dann ist die Berücksichtigung des Datenschutzes im Regelfall nämlich auch nicht schwer und nicht teuer, und zudem vermeidet man Verzögerungen. Hier haben wir gute Erfahrungen gemacht. Diese führen wir fort, um die Techniksysteme so zu gestalten, dass auch der Datenschutz zufrieden ist.

INFORM: Wir danken Ihnen für das Gespräch.