Erfolglos versuchte Johannes Caspar, der Polizei nach dem G20-Gip\u00adfel die Speicherung zehntausender Gesichtsbilder zu verbieten. Matthias Monroy sprach mit ihm \u00fcber die Rolle des Datenschutzes bei der Automatisierung von Informationssystemen, \u00fcber Polizei in Sozialen Medien, Verschl\u00fcsselung und die EU-Zusammenarbeit.<\/strong><\/p>\n Herr Caspar, was ist der Datenschutz noch wert, wenn die Polizei mir nichts, dir nichts Gesichter speichern und abgleichen darf?<\/em><\/strong><\/p>\n Die biometrische Gesichtserkennung gibt es in zwei unterschiedlichen Varianten. Die Polizei kann den Fahndungsbestand in Echtzeit abgleichen und nach Personen im \u00f6ffentlichen Raum suchen. Gibt es keinen Treffer, werden die Bilder gel\u00f6scht. Anders beim retrograden Einsatz der Gesichtserkennung: Hier geht es um die Ermittlung begangener Straftaten. Im Anschluss an den G20-Gipfel in Hamburg wurde eine Datenbank mit tausenden von Gesichtsprofilen erstellt, aus jedem im Video-bzw. Bildmaterial durch die Software identifiziertem Gesicht ein mathematisches Modell erzeugt. Dieser Datenbestand wurde gespeichert, um dann bis heute dar\u00fcber immer wieder neue Suchl\u00e4ufe durchzuf\u00fchren. Von diesen beiden Systemen wird meist die Echtzeiterkennung, wie sie am Berliner Bahnhof S\u00fcdkreuz getestet wurde, kritisiert. Nicht weniger eingriffsintensiv ist aber mitunter das Modell wie bei uns in Hamburg, wo man \u00fcber Jahre hinweg Daten von Personen, die friedlich demonstrierten oder einfach nur auf dem Weg zu ihrer Arbeit waren, vorh\u00e4lt und f\u00fcr Datenabgleiche nutzt.<\/p>\n Sie haben sich nach dem G20-Gipfel mit der Polizei angelegt und verloren. Das Verwaltungsgericht urteilte, dass Sie Ihre Anordnungsbefugnis zur L\u00f6schung einer Datei mit Gesichtsbildern nicht h\u00e4tten nutzen d\u00fcrfen.<\/em><\/strong><\/p>\n Das Gericht verengt meine Befugnisse auf eine reine technisch-orga\u00adni\u00adsa\u00adto\u00ad\u00adrische Pr\u00fcfung. Ich darf gegebenenfalls Auflagen erteilen; f\u00fcr die \u00dcber\u00adpr\u00fcfung, ob sich f\u00fcr eine polizeiliche Ma\u00dfnahme \u00fcberhaupt eine Erlaubnis im Gesetz findet, bleibt nach Ansicht des Gerichts dann kein Raum. Vom Datenschutz bleibt dann nur eine leere H\u00fclle. Eine \u00dcberpr\u00fc\u00ad\u00adfung polizeilicher Ma\u00dfnahmen darauf, ob sie von hinreichenden Rechts\u00ad\u00adgrundlagen gedeckt ist, k\u00f6nnte unter Zugrundelegung dieser An\u00adsicht wohl nur dann erfolgen, wenn der B\u00fcrger aktiv gegen die jeweilige Ma\u00df\u00adnahme klagt. Dies ist jedoch im Falle verdeckter Ma\u00dfnahmen, wohl aber auch im Falle von \u201eVidemo\u201c problematisch. Wissen Sie, ob Sie m\u00f6g\u00adlicherweise in der von der Polizei angelegten Datenbank sind? Wenn das so stehen bleibt, k\u00f6nnen wir den Laden hier eigentlich dicht machen, jedenfalls was die Kontrolle von Strafverfolgungsbeh\u00f6rden anbelangt.<\/p>\n Das Verwaltungsgericht ist in seinem Urteil zu dem f\u00fcr mich unverst\u00e4ndlichen Schluss gekommen, dass dieser Entscheidung keine grunds\u00e4tzliche Bedeutung zukommt. Dies f\u00fchrt dazu, dass uns nicht automatisch die M\u00f6glichkeit der Berufung gegen das Urteil zusteht. Wir haben daher zun\u00e4chst einen Antrag auf Zulassung der Berufung gestellt.<\/p>\n Der Senat hat auch das Hamburger Polizeigesetz entsprechend ge\u00e4ndert\u2026<\/em><\/strong><\/p>\n In diesem Bereich besteht keine Anordnungsbefugnis mehr, sondern lediglich eine Feststellungsbefugnis. Das bedeutet, dass wir im Falle von Verst\u00f6\u00dfen nach erfolgter Beanstandung selbst ein feststellendes Urteil vor Gericht erstreiten m\u00fcssen. Die H\u00fcrden sind insoweit h\u00f6her, als wir uns dann in der Kl\u00e4gersituation befinden.<\/p>\n Auch die Feststellungsbefugnis h\u00e4tten Sie beinahe verloren\u2026<\/em><\/strong><\/p>\n Ja, das w\u00e4re fatal gewesen. Denn eine rechtlich verbindliche Abhilfebefugnis ist in der einschl\u00e4gigen europ\u00e4ischen Richtlinie f\u00fcr den Bereich von Justiz und Inneres, der sogenannten JI-Richtlinie, vorgesehen. Die nach dieser Richtlinie zu erlassenden nationalen Regelungen d\u00fcrfen dabei nicht unter das Niveau des EU-Rechts sinken. Nach Einsch\u00e4tzung der angeh\u00f6rten Sachverst\u00e4ndigen im Gesetzgebungsverfahren reicht die Feststellungsklage f\u00fcr eine unionsrechtskonforme Umsetzung der europ\u00e4ischen Vorgaben nicht aus.<\/p>\n Wie wollen Sie in der Berufung argumentieren?<\/em><\/strong><\/p>\n Wir werden deutlich machen, dass das Urteil wesentlichen rechtsdogmatischen Grunds\u00e4tzen und verfassungs- und unionsrechtrechtlichen Prinzipien des Datenschutzrechts widerspricht. Dar\u00fcber hinaus ist derzeit \u00fcberaus fraglich, ob die beim Landeskriminalamt genutzte Software \u201eVidemo\u201c \u00fcberhaupt erm\u00f6glicht, Zugriffe automatisiert zu protokollieren, und damit den Anforderungen f\u00fcr eine revisionssichere Datenhaltung gerecht wird.<\/p>\n In welchen Bundesl\u00e4ndern gibt es eigentlich eine Anordnungsbefugnis und wo lediglich eine Feststellungsbefugnis? Gibt es Landesdatenschutzbeauftragte, deren sch\u00e4rfstes Schwert die Beanstandung ist?<\/em><\/strong><\/p>\n Die in den L\u00e4ndern bestehenden Regelungen sind zu differenziert, um einen umfassenden \u00dcberblick \u00fcber die bestehende Rechtslage geben zu k\u00f6nnen. Die europ\u00e4ischen Vorgaben wurden in den L\u00e4ndern teilweise noch nicht umgesetzt. Dort besteht folglich keine Anordnungsbefugnis und existieren auch keine vergleichbaren Regelungen. Andere Landesgesetze normieren ein zweistufiges Verfahren, nach dem jedenfalls nach erfolgter Beanstandung eine Anordnung erlassen werden kann. Teilweise k\u00f6nnen die Landesdatenschutzbeauftragten lediglich spezielle Untersagungen aussprechen oder sind auf eine Zustimmung des zust\u00e4ndigen Ministeriums angewiesen.<\/p>\n Der Bundesinnenminister hatte angek\u00fcndigt, die biometrische \u00dcberwachung im Bundespolizeigesetz eindeutig zu regeln. In \u00a7 27 sind \u201eselbstt\u00e4tige Bildaufnahme- und Bildaufzeichnungsger\u00e4te\u201c aber bereits erlaubt …<\/em><\/strong><\/p>\n Dass der Staat nach besonderen gesetzlichen Vorgaben Video\u00fcberwachung betreiben darf, hei\u00dft noch lange nicht, dass er die biometrischen Merkmale von Gesichtern berechnen darf. Daf\u00fcr fehlt eine Rechtsgrundlage. Das wird wohl auch vom Bundesinnenminister so gesehen, der trotz der vorgenannten Regelung offenbar weitergehende Regelungen f\u00fcr erforderlich h\u00e4lt.<\/p>\n Wie stehen Sie zu Forderungen, die automatisierte Gesichtserkennung bei Video\u00fcberwachungsanlagen generell zu verbieten?<\/em><\/strong><\/p>\n Ich bin Realist. Ich denke, dass wir den Einsatz der Technologie nicht verhindern k\u00f6nnen. Ein Verbot dieser Technologie, wie sie die Europ\u00e4ische Union zun\u00e4chst erwogen, dann aber im j\u00fcngst ver\u00f6ffentlichten Wei\u00dfbuch zur K\u00fcnstlichen Intelligenz nicht mehr weiter verfolgt hat, d\u00fcrfte politisch nicht durchsetzbar sein. Erst recht, wenn immer wieder neue terroristische Anschl\u00e4ge das Gemeinwesen ersch\u00fcttern. Ein Moratorium w\u00fcrde dem Schutz der Privatsph\u00e4re helfen, ist daher aber sehr unwahrscheinlich, dass es dazu kommt.<\/p>\n Die Macher von \u201eClearView\u201c haben offenbar drei Milliarden Gesichtsbilder aus Sozialen Medien kopiert und mit einer Software durchsuchbar gemacht. Ein Alptraum f\u00fcr Datensch\u00fctzer?<\/em><\/strong><\/p>\n Das haben wir erwartet, es war doch nur eine Frage der Zeit, bis ein Unternehmen massenhaft Daten auf den verschiedenen Plattformen zusammensucht. Die Erfahrung zeigt: Alles, was m\u00f6glich ist, wird auch gemacht. Das k\u00f6nnte man damit abtun, dass es immer ein schwarzes Schaf gibt, das es mit den rechtlichen Vorgaben nicht so genau nimmt. So einfach ist die Sache aber nicht. Der Clearview-Fall zeigt, dass die Datensicherheit bei dem Unternehmen klein geschrieben wurde und die Liste von insgesamt ca. 600 Kund*innen offenbar gestohlen wurde. Wir stehen vor einer massiven Erosion der Privatsph\u00e4re. Dieser Prozess ist schleichend und erfolgt nicht in einem eruptiven GAU, sondern in kleinen unmerklichen einzelnen Schritten. Begleitet wird er von einem Gew\u00f6hnungseffekt und der vorgeblichen kriminalpolitischen Notwendigkeit von neuen Eingriffsbefugnissen der Sicherheitsbeh\u00f6rden. Die EU hat mit der DSGVO zwar eine beispiellose Regelung zur Sicherung der Rechte und Freiheiten im digitalen Zeitalter beschlossen, nur kommt sie nicht bei den marktbeherrschenden Unternehmen an, die mit den Daten ihre Gesch\u00e4fte im globalen Ma\u00dfstab machen, weil der Rechtsvollzug nicht funktioniert. Datenschutz ist im permanenten R\u00fcckw\u00e4rtsgang.<\/p>\n D\u00fcrfte die Hamburger Polizei diese Gesichtsbilder nutzen?<\/em><\/strong><\/p>\n Wenn die Daten bei einem privaten Unternehmen liegen und dieses eigenst\u00e4ndig das Datenmaterial nutzen w\u00fcrde, w\u00e4re dies problematisch. Wenn aber die Polizei selbst Zugriff darauf nehmen wollte, um massive Straftaten zu verfolgen oder Anschl\u00e4ge zu verhindern, stellt sich dies anders dar. Der Schritt hin zu einer Massendatenbank, wie sie ClearView mit Milliarden von Gesichtern erstellt hat, ist vor diesem Hintergrund so unvorstellbar nicht. Im \u00dcbrigen darf nicht vergessen werden: Der Staat setzt datenschutzwidrig erlangtes Material auch in anderen Bereichen ein. Erinnert sei nur an die sogenannten Steuer-CDs. Hier z\u00e4hlt am Ende nur das Ergebnis, nicht die rechtm\u00e4\u00dfige Herkunft der Daten.<\/p>\n Das erinnert an Horst Herold, der als Chef des Bundeskriminalamtes in den 70er Jahren die Rasterfahndung erfand. Was bedeutete \u201eAutomatisierung\u201c damals und was bedeutet sie heute?<\/em><\/strong><\/p>\n Im Prinzip sind die Ans\u00e4tze \u00e4hnlich, wobei die automatisierte Massendatenanalyse heute technisch auf einem ganz anderen Stand ist. Das Instrument der Rasterfahndung ist sowohl im pr\u00e4ventiven als auch im Bereich der Strafverfolgung detailliert geregelt. Das kann man von den aktuellen automatisierten Verfahren so nicht sagen. Insbesondere bei der biometrischen Videographie fehlen eingrenzende Vorgaben und Verfahrensausgestaltungen, obwohl das Instrument sehr eingriffsintensiv ist. Derzeit geht es leider weniger um die Frage, ob und inwieweit bestimmt technische Verfahren rechtsstaatlich nutzbar sind, sondern um eine Aufr\u00fcstung der Sicherheitsbeh\u00f6rden mit digitaler Technik und um die Leistungsf\u00e4higkeit von Kontrollinstrumenten.<\/p>\n Die hessische Polizei macht das ja mit \u201eGotham\u201c bzw. \u201eHessenData\u201c der Firma Palantir, auch Nordrhein-Westfalen beschafft die US-Software zur Gefahrenabwehr. Gibt es solche Pl\u00e4ne auch in Hamburg?<\/em><\/strong><\/p>\n Es gab zumindest \u00dcberlegungen im Bereich Predictive Policing. Letztlich wurden diese wohl nicht weiter umgesetzt. Der Druck auf die Landespolizeien steigt jedoch. Grunds\u00e4tzlich gilt: soweit es erfolgreiche Systeme gibt, werden diese auch angeschafft. Eine Vorschrift zur automatisierten Datenanalyse im neuen Hamburger Polizeigesetz, die der hessischen Regelung nachempfunden war, k\u00f6nnte so ein T\u00fcr\u00f6ffner f\u00fcr sogenannte Big-Data-Vorhaben sein.<\/p>\n Aber das Verfassungsgericht hat doch mit Rasterfahndung damals etwas ganz anderes gemeint als heute Palantir? Wo ist der Unterschied?<\/em><\/strong><\/p>\n F\u00fcr die Rasterfahndung, die pr\u00e4ventiv erfolgt, muss auch eine konkrete Gefahr vorliegen. Im Bereich der Strafverfolgung m\u00fcssen zureichende tats\u00e4chliche Anhaltspunkte f\u00fcr die Begehung einer besonderen Straftat vorliegen. Das hat das Bundesverfassungsgericht gefordert. Die M\u00f6glichkeiten, mit Hilfe der K\u00fcnstlichen Intelligenz Muster von deviantem Verhalten zu erkennen und Geschehensabl\u00e4ufe zu prognostizieren, lange bevor sie begonnen haben, ist eine kriminalpolitische Verhei\u00dfung, die es lohnend erscheinen l\u00e4sst, alle erdenklichen Gef\u00e4hrdungsszenarien weit im Vorfeld von Gefahren anhand von Big Data zu analysieren. Das steht jedoch im Gegensatz zur Unschuldsvermutung des Einzelnen und widerspricht rechtsstaatlichen Grunds\u00e4tzen, wenn damit personenbezogene Daten verarbeitet werden.<\/p>\n Horst Herold nannte die Rasterfahndung 1983 im Interview mit CILIP[1]<\/a> die \u201eeinzig m\u00f6gliche Form einer polizeilichen Fahndung, die Unschuldige und Nichtbetroffene dem Fahndungsvorgang fernh\u00e4lt\u201c. Am Ende blieben nur die wirklich Verd\u00e4chtigen \u00fcbrig. So argumentiert heute auch das Bundesinnenministerium zur Analyse von Fluggastdaten \u2013 das sei diskriminierungsfreier als der Blick der Grenzbeamt*innen. Wobei dort in die Zukunft geschaut, die Software also zur Gefahrenabwehr genutzt wird.<\/em><\/strong><\/p>\n Man durchleuchtet alle, damit man diejenigen, die unschuldig sind, nicht weiter zu verfolgen braucht. Man muss sehr vorsichtig sein, um mit dieser Argumentation nicht in totalit\u00e4ren Bez\u00fcgen zu enden. Der Rechtsstaat gibt gerade subjektive Rechte vor, nicht beliebig anlasslos \u00fcberwacht zu werden. In der Konsequenz der hier zitierten Aussage sind streng genommen zun\u00e4chst einmal alle verd\u00e4chtig. Menschen, gegen die kein Verdacht besteht, m\u00fcssen dann eigentlich dankbar sein, dass massenhaft Kontrollen erfolgen. Wahrscheinlich haben sie in dieser Logik sogar ein Recht auf massenhafte Datenabgleiche. Das erinnert an 1984 von George Orwell und ist dann am Ende eine Argumentation, die zum Rechtsstaat in diametraler Antithese steht.<\/p>\n Sind die neuen, algorithmenbasierten Instrumente diskriminierend?<\/em><\/strong><\/p>\n Es ist bekannt, dass der Einsatz von KI ein hohes Diskriminierungspotential hat. Es ist jedoch nicht m\u00f6glich, ohne ein umfassendes Monitoring Diskriminierungen in der Praxisanwendung zu dokumentieren. KI ist erst einmal eine Black Box. Der Einsatz von algorithmenbasierten Eingriffsinstrumenten ist im Output nicht abzusch\u00e4tzen. In Hamburg haben wir uns mit der Gesichtserkennung bei G20 besch\u00e4ftigt. Da sitzen allerdings immer Beamt*innen davor, die \u00fcber die weiteren Schritte entscheiden. Anhaltspunkte, dass die Software diskriminiert und die Verfolgung unschuldiger Personen nahelegt, sind uns nicht bekannt. Eine automatisierte Protokollierung von Pr\u00fcfl\u00e4ufen w\u00e4re hier zur Kl\u00e4rung erforderlich. Diese hat es jedoch nicht gegeben.<\/p>\n Wenn allerdings diese Beamt*innen ausf\u00fchren, was die Software vorschlug, kann es doch zu Diskriminierungen kommen. Ein Bericht der Tagesschau hatte vor ein paar Jahren dokumentiert, wie zwei Beamte dann loszogen in San Francisco und Menschen in zerlumpter Kleidung, mit Kapuzenpullovern oder dunkler Hautfarbe kontrollierten …<\/em><\/strong><\/p>\n Selbst wenn es beim Einsatz der Software lediglich um Entscheidungsvorschl\u00e4ge geht, nicht um unmittelbare automatisierte Entscheidungen, ist das individuelle Vorverst\u00e4ndnis der Auswerter eine weitere verzerrende Fehlerquelle. Ein weiteres Problem ist die Beweislastverteilung bei KI-gest\u00fctzten Verfahren \u2013 im Gegensatz zum rechtsstaatlichen Grundsatz \u201ein dubio pro reo\u201c nenne ich sie \u201ein dubio pro machina\u201c. Dem Verfahren der Datenverarbeitung ist eine Maschinenlogik immanent. Sie erzeugt eine prima-facie-Evidenz der Richtigkeit, die dazu f\u00fchrt, dass der Entscheider ohne die \u00dcbernahme eigener Verantwortung und Argumentationslasten nur schwer von der maschinellen Entscheidung abweichen kann. In der Folge braucht der Entscheider eine Antwort auf Frage: \u201eWieso bist du nicht eingeschritten, obwohl die Software dir die Gefahr angezeigt hat?\u201c Bei Personen mit Entscheidungsdruck w\u00e4chst dann naturgem\u00e4\u00df die Bereitschaft, Dinge zu exekutieren, die die Software vorgibt, w\u00e4hrend umgekehrt ein \u201eOverruling\u201c, also ein \u00dcbergehen der Maschinenentscheidung, als individuelles Risiko wahrgenommen wird.<\/p>\n Auch das Projekt \u201ePolizei 2020\u201c verfolgt eine Automatisierung. Der eingeschlagene Weg schafft nicht unbedingt neue Datenbanken, sondern legt die bestehenden \u201eDaten-Silos\u201c zusammen.<\/em><\/strong><\/p>\n Diese Vernetzung und damit verbesserte Auswertung von Datenbanken sehen wir auch im EU-Projekt der \u201eInteroperabilit\u00e4t\u201c. Derartige zentralisierte \u00fcbergreifende Informationssysteme stehen mit den Grunds\u00e4tzen des Datenschutzes, insbesondere dem Grundsatz der Zweckbindung, im Spannungsverh\u00e4ltnis. Hier gilt es, technische Sicherungen zur St\u00e4rkung des Datenschutzes einzubauen, die eine exzessive und missbr\u00e4uchliche Nutzung, sei es f\u00fcr dienstliche, sei es f\u00fcr rein pers\u00f6nliche Zwecke des Beamten, verhindern. Wichtig sind deshalb Sicherungsmechanismen, wie Vollprotokollierung und das Bestehen von starken Zugriffsberechtigungssystemen.<\/p>\n Wie ist das in Hamburg geregelt, wird jede Abfrage einer Datenbank protokolliert?<\/em><\/strong><\/p>\n Das ist hier grunds\u00e4tzlich der Fall. Es stellt sich jedoch die Frage, wie das im Einzelnen umgesetzt wird. Wir haben im Rahmen unserer Pr\u00fc\u00adfun\u00ad\u00adgen feststellen m\u00fcssen, dass weder die Referenzdatenbank zu G20 Zu\u00adgriffe automatisiert protokolliert, noch eine Datenbank mit h\u00f6chst sen\u00adsiblen Daten, die f\u00fcr eine bestimmten Zeit offen zug\u00e4nglich war.<\/p>\n Hamburgs Polizei ist sehr aktiv auf Twitter, sehen Sie da ein Problem?<\/em><\/strong><\/p>\n Wir haben deutlich gemacht, dass entscheidend ist, dass keine personenbezogenen Daten ver\u00f6ffentlicht werden. Das l\u00e4sst sich nicht immer hundertprozentig umsetzen, das haben Beispiele in anderen Bundesl\u00e4ndern gezeigt. Etwa wenn getwittert wird, es habe Auseinandersetzungen in einem Hundefriseursalon in einem Stadtteil gegeben, wo es nur einen solchen Salon gibt. Die Nutzung sozialer Medien und Tracking Tools in der \u00f6ffentlichen Verwaltung ist insgesamt kritisch zu hinterfragen. Das betrifft das Betreiben von Fanpages bei Facebook, den Einsatz von Google Analytics oder eben das Betreiben eines Twitter-Accounts. Stets werden hier Daten von B\u00fcrgerinnen und B\u00fcrgern dritten Unternehmen \u00fcbermittelt, die diese zu eigenen kommerziellen Zwecken verwenden und zu Profilen verarbeiten. Wozu das f\u00fchrt, hat der Cambrigde Analytica\/Facebook-Skandal gezeigt. L\u00e4ngst geht es nicht mehr nur um Werbung f\u00fcr das Duftwasser oder den Sportschuh, sondern um die Manipulation von demokratischen Wahlen. Es ist aus meiner Sicht rechtsstaatlich h\u00f6chst problematisch, wenn die Beh\u00f6rden bzw. \u00f6ffentliche Stellen, die nach der Rechtsprechung des EuGH eine gemeinsame Verantwortung mit den Plattform-Anbietern haben, da mit reingehen.<\/p>\n Haben Sie das der Hamburger Polizei mal kommuniziert?<\/em><\/strong><\/p>\n Wir haben unsere Kritik den \u00f6ffentlichen Stellen ganz allgemein immer wieder vorgetragen. Aber das Ziel der Reichweitenerh\u00f6hung l\u00e4sst hier wenig Raum f\u00fcr Selbstkritik. Immerhin haben wir bei der Hamburger Polizei keine konkreten Datenverst\u00f6\u00dfe festgestellt. Nach der neuen EuGH-Rechtsprechung besteht jedoch weitergehender Handlungsbedarf.<\/p>\n Aber Sie k\u00f6nnen das doch nicht guthei\u00dfen, wenn die Polizei auf Facebook ist. Unter den nationalen Datenschutzbeauftragten haben Sie die Zust\u00e4ndigkeit f\u00fcr Facebook erhalten. Sie streiten mit der Firma \u2026<\/em><\/strong><\/p>\n Wir haben zahlreiche Beh\u00f6rden, die auf Facebook sind. Rundfunkanstalten, Ministerien und Parlamente, um nur einige zu nennen. Die Polizei ist hier keine Ausnahme. Wir m\u00fcssen irgendwo anfangen, wir haben derzeit ein Anordnungsverfahren gegen\u00fcber hamburg.de eingeleitet, ein stadteigenes Unternehmen, das zahlreiche Tracker ohne Einwilligung Betroffener einsetzt. Klar, w\u00e4re es am Ende sinnvoller und effektiver, direkt gegen Facebook vorzugehen. Aber f\u00fcr die europaweiten Aktivit\u00e4ten dieses Unternehmens ist die Datenschutzbeh\u00f6rde in Irland zust\u00e4ndig. Der Vollzug des Datenschutzes im europ\u00e4ischen Kontext liegt am Boden. Ich habe derzeit nicht den Eindruck, dass sich dort viel bewegt.<\/p>\n Nutzen Sie Facebook oder Twitter?<\/em><\/strong><\/p>\n Nein, h\u00f6chstens als Test-Account, anonym und ohne eigene Meldungen zu verbreiten.<\/p>\n Sind Sie da der Exot unter den Datenschutzbeauftragten?<\/em><\/strong><\/p>\n Nein, \u00fcberhaupt nicht. In Deutschland ist die Nichtnutzung die vorherrschende Praxis. Wir f\u00fchren derzeit eine Diskussion, die der Landesbeauftragte f\u00fcr den Datenschutz und die Informationsfreiheit in Baden-W\u00fcrttemberg ausl\u00f6ste, der seinen Twitter-Account nun abschalten will. Wir haben das Thema mittlerweile auch im EU-Datenschutz\u00adaus\u00adschuss. Es f\u00e4llt schwer, etwas zu verbieten, wenn wir selbst in der Daten\u00adschutzcommunity der EU unterschiedliche Standards haben und solche Dienste mitunter von einzelnen Aufsichtsbeh\u00f6rden genutzt werden.<\/p>\n Der Bundesbeauftragte f\u00fcr den Datenschutz fordert Ende-zu-Ende-Verschl\u00fcsselungen per Design in neuen Telekommunikationstechnologien. Wie sehen Sie das?<\/em><\/strong><\/p>\n Genauso, es gibt ja inzwischen einige Dienste wie Messenger, wo wir zumindest davon ausgehen, dass dort eine Ende-zu-Ende-Verschl\u00fcsse\u00adlung erfolgt. Man k\u00f6nnte nun argumentieren, dass dies dann ein Freibrief ist, v\u00f6llig unbehelligt von Sicherheitsbeh\u00f6rden Straftaten vorzubereiten. Gleichzeitig bestehen jedoch auch Eingriffsbefugnisse von Sicherheitsbeh\u00f6rden, hier t\u00e4tig zu werden, etwa durch Keylogger die Nachrichten abzufangen. In der Diskussion um Hate-Speech wird vertreten, dass sogar Passw\u00f6rter weitergegeben werden sollen.<\/p>\n Habe ich Sie richtig verstanden; gegen Verschl\u00fcsselung ist nichts einzuwenden, weil die Polizei ja Trojaner einsetzen kann?<\/em><\/strong><\/p>\n Die Polizei argumentiert, man k\u00f6nne gegen die Verschl\u00fcsselung nichts unternehmen …<\/p>\n \u2026 und die Politik senkt deshalb die Anforderungen f\u00fcr eine Quellen-Telekommunikations\u00fcberwachung \u2026<\/em><\/strong><\/p>\n So ist es. Als Antwort werden die Quellen-TK\u00dc und die Onlinedurchsuchung vorangetrieben oder sogar ein Generalschl\u00fcssel f\u00fcr Sicherheitsbeh\u00f6rden gefordert. Im gleichen Moment wird beklagt, dass Dienste wie WhatsApp \u00fcberhaupt verschl\u00fcsseln. Die Telekommunikation f\u00fcr Sicherheitsbeh\u00f6rden freizugeben, halte ich f\u00fcr absolut unverh\u00e4ltnism\u00e4\u00dfig. Auch insofern ist die Forderung nach einer Verschl\u00fcsselung im Rahmen von Privacy by Design v\u00f6llig legitim und kann nicht mit sicherheitspolitischen Erw\u00e4gungen weggewischt werden.<\/p>\n Wie soll das dann durchgesetzt werden, wenn Sie sagen, wir sind f\u00fcr Ende-zu-Ende-Verschl\u00fcsselung, und die Ministerien sind dagegen?<\/em><\/strong><\/p>\n Wir sind nicht in der Position, gesetzliche Regelungen zu verhandeln. Datenschutzbeh\u00f6rden haben nat\u00fcrlich eine Meinung, die sie artikulieren. Das hei\u00dft nicht, dass wir mit am Tisch sitzen und die Rechtsregeln f\u00fcr die Sicherheitsbeh\u00f6rden mit festlegen. Man beteiligt uns am Gesetzgebungsprozess, aber am Ende wird gew\u00f6hnlich umgesetzt, was die Sicherheitsbeh\u00f6rden f\u00fcr erforderlich halten. Insoweit k\u00f6nnen wir dann nur die Einhaltung dieser Regelungen \u00fcberwachen. Soweit Kritik gegen Sicherheitsgesetze artikuliert wird, die folgenlos bleibt, k\u00f6nnen wir am Ende nur hoffen, dass sich mal ein Verfassungsgericht damit besch\u00e4ftigt.<\/p>\n Das Gemeinsame \u00dcberwachungszentrum Nord sollte 2020 an den Start gehen, wann kommt es? Das m\u00fcssten Sie ja dann mit den Kolleg*innen aus Niedersachsen, Mecklenburg-Vorpommern, Bremen und Schleswig-Holstein kontrollieren. Wie bereiten Sie sich darauf vor? Ist bereits klar, welche TK\u00dc-Ma\u00dfnahmen dort erledigt werden? Auch Stille SMS und der Einsatz von Trojanern?<\/em><\/strong><\/p>\n Das Landeskriminalamt Niedersachsen ert\u00fcchtigt aktuell das Rechenzentrum in Hamburg-Alsterdorf (mit Twin-Data-Center Niendorf), um dort die TK\u00dc der Nordl\u00e4nder implementieren zu k\u00f6nnen. Die Ausschreibungen wurden abgeschlossen und die ben\u00f6tigte Technik wird aktuell beschafft, dennoch geht das Landeskriminalamt nicht von einer Inbetriebnahme 2020 aus, eher gegen Mitte\/Ende 2021. Bez\u00fcglich des Rechendienstleistungszentrums gibt es seit Projektbeginn eine Zusammenarbeit des Landeskriminalamts Niedersachsen mit den Landesdatenschutzbeauftragten der betroffenen L\u00e4nder, das letzte Treffen fand Anfang Februar statt. Welche \u00dcberwachungsma\u00dfnahmen im \u201eGemeinsamen Kompetenz- und Dienstleistungszentrum\u201c (GKDZ) konkret f\u00fcr das Land Hamburg durchgef\u00fchrt werden sollen, entzieht sich noch unserer Kenntnis. Eine Auflistung der geplanten \u00dcberwachungsma\u00dfnahmen soll seitens des Landeskriminalamts Hamburg in den kommenden Wochen an uns versandt werden.<\/p>\n Datenschutz funktioniert nur mit Kontrolle und Aufsicht. Wir haben das Beispiel der Presseakkreditierungen beim G20-Gipfel in Hamburg. Da konnte die damalige Datenschutzbeauftragte des Bundes gucken, welche Datens\u00e4tze sind vorhanden. Aber die Erforderlichkeit der Speicherung konnte sie nicht pr\u00fcfen, weil der R\u00fcckgriff auf die Akten der Landespolizeien den Landesdatenschutzbeauftragten vorbehalten ist.<\/em><\/strong><\/p>\n Es ist tats\u00e4chlich so, dass die Verbunddateien eine gewisse Zusammenarbeit erfordern, das funktioniert in der Praxis jedoch. Die Aufsichtsbeh\u00f6rden m\u00fcssen hier ihre Erkenntnisse miteinander teilen, wo dies m\u00f6glich ist, und in ihrem Zust\u00e4ndigkeitsbereich eigenst\u00e4ndig Kontrollen durchf\u00fchren. Ich sehe nicht, dass die Kontrolle \u00fcber die jeweils f\u00fcr bestimmte Bereiche der Datenverarbeitung zust\u00e4ndigen Polizeibeh\u00f6rden nicht m\u00f6glich w\u00e4re. Kontrolle und Aufsicht werden immer auch von der zust\u00e4ndigen Aufsichtsbeh\u00f6rde bestimmt.<\/p>\n Viele Gesetzesinitiativen, mit denen sich der deutsche Datenschutz befassen muss, werden auf EU-Ebene gemacht. Wie funktioniert die europ\u00e4ische Zusammenarbeit, was haben die Landesdatenschutzbeauftragten dort zu sagen und wie landen die Vorschl\u00e4ge dann bei der EU-Kommission?<\/em><\/strong><\/p>\n Im nationalen Bereich legt die Datenschutzkonferenz der unabh\u00e4ngigen Aufsichtsbeh\u00f6rden von Bund und L\u00e4ndern die Richtlinien f\u00fcr die europ\u00e4ischen Angelegenheiten fest. Im europ\u00e4ischen Datenschutzausschuss sitzen der Bundesbeauftragte und ein L\u00e4ndervertreter und vertreten dort die nationale Ebene mit Blick auf anstehende Entscheidungen, Stellungnahmen oder Leitlinien. Die L\u00e4nder sind auch an der Kontrolle der Agenturen beteiligt, z. B. f\u00fcr Europol.<\/p>\n Medien h\u00f6ren doch eigentlich gern auf Datenschutzbeauftragte, einige von Ihnen sind ja recht bekannt, Thilo Weichert zum Beispiel, und Sie selbst wurden j\u00fcngst von Politico zu einem der 28 einflussreichsten Europ\u00e4er*innen erkl\u00e4rt. <\/em><\/strong><\/p>\n Unser Gewicht im Bereich der sicherheitspolitischen Debatten ist eher mahnend. Insofern ist politische Beratung ein zentraler Aspekt, das will ich nicht wegreden. Hier kann die Kritik dazu f\u00fchren, dass Gesetzgebung anders, datenschutzfreundlicher umgesetzt wird. Aber tats\u00e4chlich etwas zu ver\u00e4ndern ist schwierig. Selbst dort, wo wir der Meinung sind, dass gegen Gesetze versto\u00dfen wurde und eine aufsichtsbeh\u00f6rdliche Kompetenz besteht. Ich erinnere wieder an das Beispiel der G20-Ge\u00adsichtsfahndung in Hamburg. Hier stellt das Verwaltungsgericht selbst eine klare Anordnungsbefugnis der Datenschutzaufsichtsbeh\u00f6rde in Frage. Das wird zu \u00fcberpr\u00fcfen sein. Dar\u00fcber hinaus gibt es derzeit insgesamt viel Gegenwind: Es besteht ein Trend in der \u00f6ffentlichen Meinung, den Datenschutz in die N\u00e4he des T\u00e4terschutzes zu r\u00fccken. Dabei befinden wir uns in einer wichtigen Phase, in der es darum geht, die Koordinaten zu bestimmen, wie weit wir gehen d\u00fcrfen: Technologien, die wir aus China kennen, klopfen bereits heute an unsere T\u00fcr. Es wird darauf ankommen, hier wachsam und hartn\u00e4ckig zu sein. Am Ende entscheidet diese Debatte \u00fcber die Zukunft des Rechtsstaats.<\/p>\n Vielen Dank f\u00fcr das Interview!<\/em><\/strong><\/p>\n Interview mit dem Hamburgischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit Erfolglos versuchte Johannes Caspar, der Polizei<\/p>\n","protected":false},"author":3,"featured_media":17529,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[152,125],"tags":[416,648,687,736,1110,1435],"class_list":["post-17510","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-cilip-121","tag-datenschutz","tag-g20-gipfel","tag-gesichtserkennung","tag-hamburg","tag-polizeigesetz","tag-tkue"],"_links":{"self":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/posts\/17510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17510"}],"version-history":[{"count":0,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/posts\/17510\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=\/wp\/v2\/media\/17529"}],"wp:attachment":[{"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17510"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-dev.daten.cool\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}[1]<\/a> \u00a0\u00a0 B\u00fcrgerrechte & Polizei\/CILIP 16 (3\/1983)<\/a>, S. 63-71 und 18 (2\/1984)<\/a>, S. 30-46<\/h6>\n
Beitragsbild: Johannes Caspar, Bildrechte: HmbBfDI<\/a><\/h3>\n","protected":false},"excerpt":{"rendered":"