 Hat den Titel Weichenstellung, in welcher digitalen Welt werden wir leben? Der Herr Kelber wird darin aufzeigen, welche Folgen die aktuellen politischen Entscheidungen oder deren Ausbleiben auf unsere Zukunft als Gesellschaft haben, insbesondere bei den Themen digitaler Überwachung durch private und öffentliche Stellen. Ulrich Kelber ist seit Januar diesen Jahres der Bundesdatenschutzbeauftragte, ist Studierter Diplominformatiker, hat 20 Jahre im Bundestag als Bundestagsabgeordneter gearbeitet und war Vorher Staatssekretär im Justizministerium. Bitte begrüßt ihn mit einem kräftigen Applaus. Ja, schönen guten Tag auch von meiner Seite. Hab mich sehr über die Einladung gefreut. Ich bin natürlich etwas beschämt, dass ich das erste Mal dabei bin, nämlich in den 20 Jahren, wo ich tatsächlich Abgeordneter war, hat meine Familie gestreikt, neben den Wochenenden, die immer dazugehören, zu arbeiten, mir dann auch noch die Tage über Weihnachten für digitale Themen freizugeben. Aber nachdem ich ja im Januar einen Job wechseln konnte, wo ich noch schöner in einen Thema tief arbeiten kann, aber die Wochenenden jetzt freier zur Verfügung habe, durfte ich mir zumindest mal einen Tag dafür nehmen und ich hoffe im nächsten Jahr vielleicht auch mal mit Übernachtung ein bisschen mehr reinschnuppern auch, in das was andere zu sagen und zu zeigen haben. Ich habe in der Tat jetzt knapp ein Jahr in der neuen Funktion zubringen können, versuchen das Thema in der Breite aufzunehmen, Schwerpunkte zu setzen, insbesondere bei den Aufgaben, die wir ja in den letzten Jahren auch hinzubekommen haben, die Durchsetzung der europäischen Datenschutzgrundverordnung, die Durchsetzung der ja erst noch ein nationales Recht umzusetzenden Joint Implementation Richtlinie, die Regulierung von Scoring und Profiling, bereichspezifische Gesetzgebung, die nicht fast im Wochenrhythmus erfolgt, insbesondere im Sicherheitsbereich und natürlich jetzt auch dreieinhalb Jahre nach Inkraft treten, anderthalb Jahre nach der vollen Wirksamkeit auch die Überlegungen zur Weiterentwicklung europäischen Datenschutzrechts. Und da ist vor dem Hintergrund einer Entwicklung, wo im Augenblick Weichenstellungen in der Frage von Regulierung, Nichtregulierung, technische Entwicklung, Einführung von IT-Systemen gesetzt werden, die massive Auswirkungen auch auf unsere Gesellschaftsordnung haben. Mich interessieren die Debatten um digitale Überwachung, sei es durch private oder staatliche Stellen und insbesondere natürlich auch der regelrechte hysterische Wettlauf um immer neue Eingriffsbefugnisse von Sicherheitsbehörden. Ich bin überzeugt, dass wir schon die Weichenstellungen so vornehmen können, dass auch die digitale Gesellschaft eine freiheitliche, liberale und diverse Gesellschaft bleibt, aber ausgemacht ist das noch keineswegs. Wir sehen immer wieder, dass die technischen und ökonomischen Aspekte dieser Debatte in den Vordergrund gestellt werden und dass es schwierig ist, durchzudringen mit gesellschaftspolitischen und datenschutzrechtlichen Fragestellungen. Und wenn es eine Debatte gibt über diese Weichenstellung in einer digitalpolitischen europäischen Debatte, dann werden eben vor allem diese technischen und ökonomischen Aspekte herangezogen. Es wird verwiesen auf den Stand von durchaus weiterentwickelten Digitalökonomien in den USA und China, deren Vorsprung im Bereich von dem, was immer unscharf als künstliche Intelligenz bezeichnet wird, dass dieser Vorsprung uneinholbar geworden sei und wohlstandsgefährdend ist. Das wird durchaus als Druckmittel verwendet, um dann bei einzelnen Debatten eben festzulegen, in welcher Form darf es zu Datenverwertung, mittels künstlichen Intelligenz, algorithmischer Systeme oder auch der Nutzung von Datenbanken an der Stelle kommen. Und wenn man etwas genauer hinschaut, dann ist es in der Tat natürlich so, dass in den USA und China in manchen Sektoren bereits eine andere Phase der technologischen Entwicklung eingetreten ist. Dort wird über deutlich höhere private und staatliche Mittel in den Bereich investiert. Aber man merkt auch, dass beide Wirtschaftssysteme einen bestimmten Weg eingeschlagen haben für die Nutzung von IT-Systemen. In China entsteht ein Überwachungssystem, das im Polizeistart erst zur vollen Blüte bringen kann. Wer sich jetzt in den letzten Monaten ist das mal zum Thema geworden, mit dem, was im Westen des Landes bei den Uiguren passiert, aber ein System, wo das Verhalten aller Bürger digital überprüft wird und was manche ja außerhalb dieser Halle natürlich nicht verstehen, es wie analoges und digitales Leben heute so verschränkt sind, dass sie einander beeinflussen, dass deswegen eben auch auf das Verhalten außerhalb der unmittelbaren digitalen Welt einen Verhaltensdruck ausgeübt wird. Wer sich im Sinne des Systems verhält, dem Winken Prämien, Belohnungen Vorteile, wer das nicht tut, riskiert für sich und Angehörige Lebensmöglichkeiten vom Bildungssystem bis hin zur Mobilität. Und es ist spannend, wer diese Standards setzt. Es ist spannend, wie diese Standards sich ändern. Und vor allem, dass ein Gefühl entsteht, dass ich gar nicht mehr abschätzen kann, wann werde ich eigentlich beobachtet, mein Verhalten interpretiert, gespeichert, bewertet von anderen. Und dieses Gefühl, dass es keine Bereiche mehr der Möglichkeit gibt, sich ins Private zurückzuziehen, etwas zu tun, was vielleicht noch nicht von allen anderen so vorgelebt wurde, verändert auch das eigene Verhalten. Das ist eine Entwicklung, die sicherlich in Europa nur eine absolute Minderheit will, auch unter all denen, die politische Positionen haben oder in der Wirtschaft an entscheidenden Stellen kommt. Es gibt allerdings interessanterweise Studien, die unter jüngeren Menschen schon eine größere Zustimmung zu einem solchen System zum Ausdruck bringt, wo bestimmte Verhaltensweisen, die als durchaus, man fängt ja an, mit welchen die tatsächlich vielleicht gesellschaftspolitisch von der großen Mehrheit nicht gewünscht sind, sanktionieren kann. Aber wie gesagt, die große Mehrheit will das nicht, und zwar weder vom Staat noch vom privaten Konzern, also weder das chinesische Modell noch das US-amerikanische Modell, die sich ja durchaus auch beide teilweise mit Aspekten des anderen, die USA im Sicherheitsbereich, die chinesische Seite mit dem Zusammenwirken zwischen Staat und privaten Konzernen beginnt. Und auch wenn das keiner in Europa will, glaube ich, dass dieses Überwachungskifft durchaus in unser System treufelt, von Tag zu Tag. Und zwar, dass man Überwachung durchführen will, weil man sie durchführen kann, dass man Datensammlungen betreibt, weil man diese Daten sammeln kann, weil Sensoren, Speicher- und Verarbeitungsmöglichkeiten immer kleiner, schneller, besser und billiger werden. Und das Dinge, die man vorher nicht gemacht hat, weil einfach der Aufwand zu groß war, jetzt praktisch im Vorbeigehen mitlaufen lässt. Und wo kann man dieses Gift schon spüren? Das spürt man, wenn die Geschäftsmodelle von Verlagen in den politischen Debatten Vorrang bekommen sollen, vor der Unverletzlichkeit der Privatsphäre von Bürgerinnen und Bürger. Wenn die Komfort gegen Daten getauscht wird, auch im Individualverhalten. Und wenn Sicherheit vor Freiheit gesetzt wird bei der Debatte, was kann ich mit einem zusätzlichen Durchgriffsrecht, Eingriffsrecht von Sicherheitsbehörden erreichen? Dann erleben wir, dass die Bewertung von Verhalten und das Bewerten von Gesinnung, wenn Sie in die Auswertung mancher Daten schauen und auch in die ein oder anderen Gesetzentwurf, wo jetzt auf einmal wieder aufgebracht wird, wer etwas unterstützt oder befürwortet, dass das ebenfalls Einfluss nimmt, damit Normmodelle setzt, die dann in der Verarbeitung von Daten überprüft werden durch Staat und durch private Stellen, auch in der Europäischen Union, um wie wir das ausgestalten, wie wir zum Beispiel über eine Privacy-Verordnung in der Frage von Tracking sprechen, das ist eine dieser Weichenstellungen, die ich meinte mit dem Titel des Vortrags. Im Zentrum dieser Debatten steht tatsächlich das, was immer mit dem großen Schlagwort Künstlich-Intelligenz genommen wird, sind genügend im Saal, mit dem man sich zwei Stunden darüber unterhalten könnte, was dieses Schlagwort wirklich meint und wo es nicht meint, aber das lasse ich mal außen vor. Ich spreche über KI- und algorithmische Systeme mal als Bandbreite. Wir Datenschutzbeauftragten haben für uns erkannt, dass es unsere Arbeit verändert, dass es aber eben auch eine große Auswirkung auf die Frage von Regulierungen haben. Deswegen haben in diesem Jahr im Frühjahr und dann ausgearbeitet noch ein bisschen den Herbst bei der Tagung in Trier, im Frühjahr die Hambacher Erklärung herausgegeben auf Schloss Hambach. Wir haben dieses Symbol tatsächlich gewählt, also das Hambacher Freiheitsfest von 1832, wo die Grundrechte, die Bürgerrechte auch in den Vordergrund gestellt wurden, übrigens ein internationales Fest, weil es immer manche Deutsch-Tümler ja versuchen für sich zu gewinnen. Es waren Franzosen und Polen und andere Delegierte dort und haben versucht Grundprinzipien bei diesem Einsatz zu definieren. Menschen nicht zum bloßen Objekt einer solchen Datenverarbeitung zu machen, das Zweckbindungsgebot nicht fallen zu lassen, nicht so einfach auch in der Entwicklung solcher Systeme, die Transparenz, die Nachvollziehbarkeit und die Erklärbarkeit von KI-Systemen, die Verhinderung von Diskriminierung und den Grundsatz der Datenminimierung. Die letzten drei sind übrigens sehr interessant in der gesamten Debatte mit Techies, weil mir das selbst bei Leuten absolut liberal in ihren Grundsätzen sind, immer wieder auffällt, dass sie ablehnen, diese Verantwortung in der Entwicklung von Systemen mit zu übernehmen. Uns wird dann entgegensteuert, das wäre ein Generalverdacht, wir würden zusätzlichen Aufwand berücksichtigen, aber ich glaube, wer solche Macht ausübt mit solchen Systemen in der Öffentlichkeit, der muss zumindest selber überlegen, kann der Bereich, in dem ich gerade arbeite, Auswirkungen auf Menschen und ihre Rechte haben und was muss ich dann berücksichtigen in der Entwicklung dieser Technologie. Wir haben natürlich auch über Verantwortlichkeit gesprochen, also jedes System muss auch jemand haben, den ich ansprechen kann, auf Fehlverhalten, auf Diskriminierungspotenziale und Ähnliches. Das kann ich verwischen in einem komplexen Netzwerk unterschiedlicher Systeme. Und wenn man dann wirtschaftspolitisch an das Ganze herangeht, ist es regelrecht absurd, dass hier in Deutschland und in Europa, wo wir eigentlich Erfahrung mit Datenschutz und ich hoffe auch mit IT-Sicherheit haben, wo wir Gesetze haben, die uns dazu verpflichten, in diesem Bereich höhere Qualität anzubieten als in anderen Weltregionen, dass in dieser Weltregion die Wirtschaftsverbände und die Unternehmen unterwegs sind, über diese Regulierung jammern und in anderen Weltregionen mehr oder minder glaubhaft, wie zum Beispiel in den USA, die ersten Unternehmen unterwegs sind, sagen, wir wollen darüber werben für unsere Produkte, für unsere Dienstleistungen, dass wir über die gesetzlichen Vorgaben hinausgehen, dass wir das von Anfang an mit reinnehmen. Hätten wir das auch bei Autos, Maschinen und anderen Produkten gemacht, wäre Deutschland ein armseeliger Standort. Ich verstehe nicht, warum wir in der Digital-Ekonomie auf den niedrigsten Standard ein Wettlauf nach unten machen wollen, nach Meinung der Wirtschaftsverbände, Anteil mit Qualität und Unique Selling Points auch weltweit zu punkten. Das wäre im Datenschutz in der IT-Security wirklich möglich. Wir begegten natürlich immer einen logischen Wunsch. Das ist wirklich bei Wirtschaft, Techies und großen Teilen der Politik gleich. Wir brauchen für die Optimierung von Prozesssteuerung, so die Argumentation, die deutliche Erhöhung der Menge an nutzbaren, qualitativ hochwertigen Daten. Ich will mich dem übrigens keineswegs verschließen, weil ich durchaus der Meinung bin, selber eine ganze Reihe von Prozessen zu sehen, wo ich mit dem richtigen Zugriff auf verantwortlich zu verfügungenstellbare Daten deutliche Verbesserungsoptimierungs- und Fortschrittspotenziale sehe. Aber es geht doch darum, den Prozess so zu organisieren, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte eben nicht eingeschränkt werden, nicht verletzt werden, sondern dass wir die neuen technischen Möglichkeiten sogar nutzen, um informationelle Selbstbestimmung an Stellen zu schaffen, wo ich sie in der Vergangenheit gar nicht hatte. Weil sie mir nicht zur Verfügung gestanden hat. Und diese Debatte zu führen und anders auf dem Markt zu treten, das ist der Vorschlag, den die deutschen Datenschutzbehörden mit der Hambacher Erklärung und anderen Beschlüssen gefasst haben. Und auch der Europäische Datenschutzausschuss ist uns dort vor Kurzem gefolgt. Ich glaube, dass die Regulierung von Künstliche Intelligenz, von algorithmischen Systemen da eintreten muss, wo Gefahr für diese Rechtsgüter besteht. Das Einzelnen oder der Allgemeinheit. Sie haben vielleicht zum Teil mitverfolgt, dass es manche gibt, der Datenschutz übernäme sich, sagen die, wenn er nicht nur den Schutz des Einzelnen, sondern einen gesellschaftspolitischen Zweck verfolgt. Aber natürlich habe ich viele Stellen, wo die Frage des Schutz des Einzelnen ohne eine Beantwortung der Rechte in der Gemeinschaft gar nicht zu leisten ist. Vom simpelsten Beispiel an, wenn ich zulasse, dass bestimmte Daten erhoben werden können, freiwillig, dann ist derjenige, der nicht bereit ist, freiwillig sie zur Verfügung gestellt. Natürlich am Ende der oder die gekniffene, wenn die anderen diese Daten zur Verfügung gestellt haben. Deswegen ist es richtig an einem solchen Beispiel, wo es um besonders sensible Daten geht, natürlich ein Erhebungs- und Verwertungsverbot allgemein auszusprechen und es nicht mehr auf die Freiwilligkeit zurückfallen zu lassen. Und diese Idee, auch technologische Entwicklungen und deren Einsatz regulieren zu wollen, ist doch auch gar nichts Neues. Das haben wir doch immer so gemacht in den letzten zwei, 300 Jahren, seit wir eine einigermaßen entwickelte Zivilgesellschaft und politische Debatte haben. Wir haben es bei Dampfkesseln gemacht, wir haben es bei medizinischen Geräten, Autos und Handys gemacht. Was sollte uns davon abhalten, diese Debatte zielgerichtet und praktikabel auch im Bereich von Software und von Hybridsystemen einzuführen. Und ein Beispiel dafür, das war ja etwas, was die Datenethik-Kommission genannt hatte, als sie gesagt hatte, es muss auch die Möglichkeit des Verbots, um jetzt mal dem weiteresgehende Möglichkeit zu benennen, von Algorithmen mit unvertretbaren Schädigungspotenzial geben. Schon diese eigentlich selbstverständliche Forderung, unvertretbares Schädigungspotenzial, hat zu Widerspruch bei einigen Wirtschaftsverbänden geführt. Also was das für ein Verständnis der Rolle von Staat als Zusammenschluss der Gesellschaft gibt, dass sie sagt, es gibt bestimmte Dinge, die ich nicht zulassen, bestimmte medizinische Geräte sind nicht zugelassen. Der Verkauf von Organen ist nicht zugelassen. Kinderarbeit ist nicht zugelassen. Und warum soll ich nicht Erlaubnis haben, bestimmte Softwareeinsätze zu regulieren, bis hin zu einem Verbot. Wir unterhalten uns ja über eine kleine Spitze in einem unglaublich innovativen Markt, wo 99,99% aller algorithmischen Systeme, die in den Umlauf kommen, nie mit einer Aufsicht oder einer Kontrolle zu tun haben werden. Aber um diese Spitze müssen wir uns kümmern. Ich will jetzt nicht das ohnehin gestresste Beispiel von automatischen Waffensystemen oder Hochfrequenzhandel heranbringen, aber schon im Bereich der Bildung von persönlichen Profilen und der Frage, wem sie zur Verfügung gestellt werden dürfen oder nicht, kann es solche unvertretbaren Schädigungspotenziale geben und damit die Möglichkeit auch des Verbots in der Regulierung. Und in der Tat kämpfen wir darum, dass das Prinzip der Datenminimierung, so heißt es jetzt in der deutschen Version des Europäischen Datenschutz-Grundverordnung, früher hieß es mal Datensparsamkeit, dass dieses Prinzip nicht über den Haufen geworfen wird. Es wird angegriffen von allen Ecken aus den technischen Umfeld, aus den Wirtschaftsverbänden, aus der Politik, bis hoch zu den Reden von Wirtschaftsministern und Bundeskanzlerin. Ich glaube teilweise auch aus dem Unverständnis heraus, dass der Begriff eigentlich bedeutet. Er heißt ja nicht, schmeiße alle Daten weg, die du hast, also Datenarmut, sondern er sagt ja, du hast nicht das Recht, Daten zu erheben, die du nicht benötigst für die Erbringung der Dienstleistung oder des Produkts, weil diese Daten dich nicht angehen von einer Bürgerin oder einem Bürger und an bestimmter Stelle darfst du Daten auch nur weiter verwenden und bitte jetzt keinen aufholen, weil ich jetzt auch hier einen holzschnittartigen Produkt mache, wenn du Anonymisierung oder Pseudonymisierung verwendet hast. Ich weiß auch, dass es keine absolute Anonymisierung gibt. In einen Schub mache ich mal kurz, aber es gibt natürlich situationsgerechte Anonymisierung, die für einen Bruchteil der Sekunde, für eine Steuerung Datenbrauche, dann ist es natürlich eine andere Form des Aufwands, um in dem Augenblick an Daten zu kommen, wenn sie danach gelöscht werden, als wenn ich zum Beispiel biologische Daten für 30 Jahre ablege und überhaupt nicht weiß, mit welchen Technologien oder anderen Datenbanken, die in Zukunft begegnet werden können zu einer Repersonalisierung. Wir glauben aber auch, dass technologische Entwicklung wie dezentrales Lernen oder datenschutzkonforme Dataspaces die Möglichkeit geben, mit vielen Daten im Bereich der künstlichen Intelligenz die Prozesssteuerung zu optimieren. Aber wir wollen eben auch eine solche herangehensweise haben und nicht die Idee große Data Lakes zu bilden, mit denen ich dann später mal reinschaue, was ist möglich und dann allerhöchstens, wenn es schon einen Missbrauch von Daten gegeben hat, zu gucken, entdecke ich diesen Missbrauch, kann ich ihn ahnten und finde ich dann als Aufsichtsbehörde auch noch ein Gericht, das am Ende, wenn ich gesagt habe, das will ich bestrafen, mir dann auch noch recht gibt. Denn ich muss ja jedes Mal, wenn ich eine Entscheidung treffe, eine Behörde oder ein Unternehmen mit einer Sanktion zu belegen, beim Unternehmen das Bußgeld durchaus, bei einer Behörde vielleicht die Untersagung, damit rechnen, dass sich vor Gericht so etwas auch verlieren kann. Dementsprechend kann es länger dauern und es wird ja nicht nur in meiner Hand, wie am Ende die Praxis aussehen wird. Deswegen brauchen wir eine ganz klare Regelung zu diesem Bereich. Das ist eben kein Bremsschuh für Innovationen, wenn man es von Anfang an mitdenkt. Und wenn ich bei Wirtschaftsverbänden spreche, stelle ich einfach immer frech die Frage, glauben Sie denn, dass Sie als Silicon Valley 2 oder als China 2 wirtschaftlichen Erfolg haben werden oder sind Sie dann der billige Abklatsch? Wäre es nicht besser, unsere eigenen Werte in einer IT, einem KI-Verständnis mit europäischen Werten abzubilden und dafür im Wettbewerb nach Unterstützung zu suchen, und zwar in Europa, aber auch bei den Menschen in der Welt, die gerne andere Werte in ihren Sicherheitssystemen, in ihrem privaten Datennutzung verankert hätten, als sie das in ihren Ländern haben. Das war die Idee hinter der Datenschutzgrundverordnung, ohne Rücksicht auf den Standort eines Unternehmens Europäerinnen und Europäer zu schützen und auch die Idee dieses Recht zu exportieren. Und im Augenblick sehen wir die ersten Erfolge, dass andere Länder Datenschutzrechte auf Grundlage der Datenschutzgrundverordnung entwickeln. Wir sind also hier an einer Stelle in einen Wettbewerb eingetreten mit amerikanischen Recht, mit den Überlegungen in China. Und ich glaube, Europa sollte selbstbewusst sein, diesen Wettbewerb anzunehmen. Wir erleben das nach wie vor die großen Internetkonzerne und ich bedauere jeden Tag, dass wir zu keinem der großen Entscheidungen schon der großen offensichtlichen Datenschutzverstöße durch große Internetkonzerne schon eine Entscheidung auf europäischer Ebene getroffen haben. Und ich dringe bei jedem Treffen des Europäischen Datenschutzausschusses darauf, dass von den vor allem federführenden Behörden in Irland und Luxemburg diese Entscheidungen jetzt vorgelegt werden. Sie werden übrigens nachher mit Mehrheit im Europäischen Datenschutzausschuss beschlossen. Also man kann sich nicht hinter einer nationalen Behörde verstecken, weil nach wie vor unter den Standard-Einstellungen der großen Anbieter, sei es die aus den USA, aber auch die zunehmend in dem Markt dringenden, vor allem auch aus China und aus Russland, andere werden kommen, dass schon unter den Standard-Einstellungen weiterhin ungehemmt persönliche Daten abgegriffen werden. Man ist formal datenschutzkonform, aber sammelt diese Daten ein. Und es bräuchte in der Tat technische Kenntnisse, die fast hier im Saal vorhanden sein werden, aber nicht im ganzen Land vorhanden sind, nie vorhanden sein werden und auch nicht vorhanden sein müssen, weil man auch durchs Leben sicher gehen muss, ohne Expertinnen oder Experte zu sein. Wenn man diese Kerneinstellungen nicht kennt, verliert man bei diesen Anwendungen, bei diesen Systemen Daten. Und selbst die, die versuchen, diese Daten-Sammler zu meiden, gehen ihnen dort auf den Lime, verlieren dort ihre Daten, wenn über Tracking Tools, über Plugins und Source Code Development Kits diese Daten auch bei Dritten gesammelt werden. Und auch in diesen Fragen ist bisher leider außer einem Versuch des Bundeskatellamts, das nicht an die gleichen Regeln gebunden ist, wie ich als Bundesdatenschutzbeauftragter, kein Versuch unternommen worden, das zu stoppen. Und ich habe bis heute die Entscheidung des Düsseldorfer Gerichts, so viel darf ich ja, wo ich jetzt kein Staatssekretär im Justizministerium bin, ja mal sagen, nicht nachvollziehen können. Ich glaube, da war etwas zu wenig Berücksichtigung von Datenschutzgrundverordnung und veränderten Wettbewerbsrecht seit 2016 in der Betrachtung enthalten. Also, wir brauchen die Durchsetzung des bestehenden Rechts. Wir brauchen Zertifizierung und Labeling, damit man bestimmte Produkte nehmen kann, sicher weiß, das Produkt für sich hält die Regeln ein. Jetzt kann ich darauf meine nächste Dienstleistung optimieren. Und natürlich brauchen wir auch Digital Literacy in der Bevölkerung bis zu einem bestimmten Grad. Ich muss wenigstens ungefähr verstehen, auf was ich mich in einer digitalen Gesellschaft einlasse. Ich persönlich würde mir auch wünschen, dass wir die Möglichkeiten des Schutz der Privatsphäre durch Technik stärker ausarbeiten. Also PIMS und PMTs, wenn nicht wichtig, sie in einer Form einzuführen, auf die man sich verlassen kann. Weil eins gilt, wenn große Konzerne, Standards, die mal eingeführt wurden, um sich zu schützen wie den Do-Not-Track-Standard, einfach ignorieren, dann ist das nichts anderes als ein Betteln um staatliche Regulierung. Wer sich nicht an Standards hält, der möchte Regulierung vom Staat bekommen. Und aus meiner Sicht sollten Sie sie mit der E-Privacy-Verordnung auch bekommen. Normalerweise müsste ich als Leiter einer Datenschutzbehörde aufschreiben bei Ideen wie Interoperabilität. Weil Interoperabilität Datenaustausch auch bedeutet. Aber ich sehe heute einen Markt, der sich oligopolisiert. Und wenn ich die Markt eintrittsbarrieren für neue Anbieter und Anbieter senken will, dann muss ich eine datenschutzfreundliche Interoperabilität für die Anwendungen, die so wichtig geworden sind auf dem Markt, dass sie andere Dienste ersetzen, in denen die Interoperabilität seit Jahren und Jahrzehnten gilt, auch vorschreiben. Ich meine zum Beispiel im Bereich von Social Media und von Messenger-Systemen. Dort könnte man mit solchen Schritten durchaus auch europäische Alternativen am besten natürlich auf Open-Source-Basis vorstellen. Ich würde mich freuen, wenn es die deutsche Verwaltung mit den französischen Nachtun würde, vielleicht sogar mit den Franzosen gemeinsam ein System entwickeln, das dann schon mal 10 Millionen Grundnutzerinnen und Grundnutzer in Zentraleuropa hätte. Das wäre ein Anfang, mit dem man mit ganz anderer Schlagkraft eine solche Open-Source-Messenger-Plattform in Europa etablieren könnte. Wir wollen für alle Formen von Daten Verwertung die gleichen Regeln haben. Das gilt auch für die Sicherheitsbehörden. Seit 2001, seit dem 11. September, sind in einer Geschwindigkeit neue Sicherheitsgesetze in Deutschland dazugekommen, die es schwierig machen, noch nachzuvollziehen, was tatsächlich der Stand des Datensammelns ist. Es hat nie eine Evaluierung der Gesetze gegeben, ob sie erfolgreich waren oder nicht. Wir erleben, dass teilweise neue Datenschutzbefugnisse gar nicht in der Breite verwendet werden. Die Daten werden gesammelt, aber nicht ausgewertet, weil sie nicht in der Personal fehlt. Wir haben problematische Datensammlungen, die selbst von den Praktikerinnen und Praktikern in den Sicherheitsbehörden als überflüssig eingestuft werden. Gleichzeitig gibt es aber natürlich auch immer wieder unbefugte Zugriffe auf solche Daten, wenn sie den Tagen zum Beispiel nochmal von der Berliner Polizei das gelesen haben, wo die Löschmoratorien dazu führen, dass seit 2013 keine Daten mehr aus den polizeilichen Informationssystemen genommen werden, seit wenn sie nur Opfer oder Zeuge an der Straftat waren. Und die Daten aber nicht etwa dann eine Zugriffsbefugnis zum Beispiel für einen Untersuchungsausschuss bekommen, Anis Amri oder NSU, sondern weiterhin für alle Polizistinnen und Polizisten zugreifbar bleiben. Zwar eine Protokollierung stattfindet, man aber nicht mal begründen muss, warum man darauf zugegriffen hat. Und man sich dann wundert, dass auf die Daten bestimmter Prominenter besonders häufig zugegriffen wird, auf die Daten von Kolleginnen und Kollegen, oder auch auf Nachbarn von Menschen, die Zugriffsbefugnisse haben. Und solange das der Stand ist, wäre das natürlich nicht wichtig, Löschmoratorien zu haben, sondern ein Sicherheitsgesetzmoratorium in diesem Land einzulegen und erstmal zu prüfen, wo sind wir eigentlich übers Ziel hinausgeschossen, wo gibt es andere Mängel zu beseitigen, Bürgerrechte einzuschränken, mit der Sammlung zusätzlicher Daten über die Bürgerinnen und Bürgern. Das täte Bürgerrechten und Sicherheit besser als das nächste Gesetz. Stattdessen sollten wir beim Datenschutz nachschärfen. Die Datenschutz-Grundverordnung ist ein großer Wurf. Sie hat auch international Strahlkraft, aber sie hat natürlich auch ihre Grenzen, wo wir heute schon merken, dass die technologischen Entwicklungen nicht ausreichend gefolgt ist, wo es damals keinen Kompromiss gab und sie immer noch auf dem Stand von 1995 ist. Wer 1995 noch gar nicht geboren war, würde wahrscheinlich einige Finger hochgehen. Sie können sich aber überlegen, was das für ein Steinzeitalter aus technologischer Sicht ist. Wir müssen es auch deswegen machen, weil wir auch Vertrauen in Digitalisierung gewinnen müssen. Ich glaube nämlich nicht, dass Daten der Rohstoff des 21. Jahrhunderts ist, sondern Vertrauen. In einer so komplexen Welt, wo ich gar nicht mehr weiß, wo werden Daten erhoben, wer verwendet sie und ähnliches mehr, kann ich nicht mehr jedes einzelne Produkt, einzelne Verbindungen überprüfen, sondern ich muss ein System haben, indem ich der Anbieterin oder Anbieter, sei es staatlich oder privat, ein Grundvertrauen entgegenbringen kann, weil sie bewiesen haben, dass sie bestimmte Standards jedes Mal einhalten, wenn sie hereingehen, weil sie unabhängig überprüft werden können und weil sie schwer bestraft werden, wenn sie sich an diese Standards dann bei einem Produkt nicht gehalten haben. Wenn wir dies nicht machen, wenn wir dies nicht machen, hat es zwei Folgen. Es wird sich gewährt werden gegen Digitalisierung, da wo es möglich ist. Andere werden gar nicht hineingehen, aber wir wollen weder einen Futterlismus oder ein Motto, da kannst du nichts machen, ich stimme allen zu und auch keine digitale Aschise haben. Wir möchten, dass Digitalisierung gesellschaftliche Innovationen und nicht nur technologische Innovationen ist. Und deswegen sind wir unterwegs und möchten in den Bereichen von Scoring und Profiling. Das sind ja die Schwestern des Trackings. Ich komme aus dem Bereich der Datenschutz-Niveau. Wir wollen, wenn man ein Stück Zeit darauf betrifft, dass es eine Art der Datenschutz-Niveau gibt, um solche Leute einzurordnen, zu kategorisieren, statistisch in Gruppen einzuteilen. Da brauchen wir klare Nachschärfungen. Wir wollen den kleinen Unternehmen und Start-ups und den Einzelentwicklerinnen und Entwickler in den Bereich der Informations- und Dokumentations- Pflichten verschaffen. höher wertet. Wir versuchen zu helfen über Guidelines und Auslegungspapiere, die wir heranziehen und wir würden aber gerne eins machen. Derzeit ist immer Verantwortliche im Sinne des Datenschutzrechts, die Person, die ein System gegenüber Bürgerinnen und Bürgern, Kundinnen und Kunden zum Einsatz bringt. Ich glaube, dass wir die Herstellerinnen und Hersteller von Systeme stärker in die Verantwortung nehmen müssen und nicht nur wegen Debatten, die sie hier auf ihrem Kongress selber in den letzten Tagen ja geführt haben und interessanten investigativen Dokumenten, die sie veröffentlicht haben, sondern nur dann ist das möglich. Ich habe hier nur kurz gestanden und bin wieder auf die üblichen Probleme angesprochen worden. Wie ist es mit dem Einsatz von Windows 10 in meiner Rechtsanwaltskanzlei, in meiner Behörde, im ähnlichen Meer und dann immer nur zu sagen, derjenige, der es einsetzt, ist der Verantwortliche im Sinne des Datenschutzrechts, ist glaube ich bei immer komplexer werdenden Systemen, bei der Verabschiedung von der On-Premise-World einfach zu kurz gesprungen und muss sich technisch an der Stelle durchaus weiter bewegen. Es gibt also eine ganze Menge zu tun. Der Deutsche Bundestag hat uns freundlicherweise eine deutliche Aufstockung an Stellen gegeben. Vielen Dank an die Anlesenden Bundestags Abgeordneten, damit wir ein Stück noch mehr machen können, sehr viel werden wir in der Tat in den Sicherheitsbereich investieren. Wir stellen übrigens auch ein und deswegen an alle, die im Saal sind. Wir brauchen sie als Unterstützerinnen und Unterstützer in der Sache. Wir brauchen sie als konstruktive Kritikerinnen und Kritiker. Wir brauchen sie als Beispielgeber und Beispielgeberinnen für datenschutzfreundliche innovative Technologien und wir würden auch gerne viele von ihnen als Mitarbeiterinnen und Mitarbeiter gewinnen. Es ist schön auf der hellen Seite der Macht. Kommen Sie zum BFDI. Vielen Dank für das Interesse bis zu dem Zeitpunkt. Ich freue mich noch auf die Diskussion. So, wenn ihr Fragen habt, dann tut mir gefallen und stellt euch bitte an die Mikrofone hier im Saal und versucht euch Fragen kurz zu formulieren. Frage Nummer eins geht an den Signal Angel. Ja und zwar eine Frage von Mastodon. Nach dir hält auch Anne Senstrod von frag den Staat seinen Talk. Du bist ja auch Informationsfreiheitsbeauftragter. Hast du eine Erklärung, warum Ministerien und Behörden, die selber immer mehr Befugnisse fordern, so unwillig sind, selber diese Daten, also öffentliche Daten auch preiszugeben? Nein. Und selbst dann, wenn sie gute Beispiele haben, also als wir damals im Justizministerium 2013 als neue Mannschaft angefangen hatten, haben wir uns nach ein paar Wochen entschieden, dass wir alle Stellungnahmen, die im Rahmen zu Gesetzentwürfen an das Ministerium geschickt werden. Das ist ja immer Teil der Gesetzgebung, dass man dann sagt, jetzt hätten wir gerne Kommentierungen von Verbänden, Organisationen und anderen, dass sie alle öffentlich gemacht werden. Es ist keine einzige Weniger reingekommen, aber jeder kann nachprüfen, von wem sind welche Anregungen zwischen Gesetzentwurf und endgültigen Gesetz eingeflossen oder nicht. Das ist das, was ich als Vertrauensbildung meine. Es haben dann teilweise einige übernommen, nach dem sie vor Gericht dazu gezwungen wurden und haben sie es wieder eingestellt. Jetzt machen sie es wieder. In der Tat kann Informationsfreiheit für eine Behördenleitung auch extrem ätzend sein. Und zwar nicht, weil irgendwas Unangenehmes nachher veröffentlicht wird, da muss man halt aufpassen, dass man auf, dass man in der Kommentat, die man auf was drauf schreibt, in der Wortwahl gemäßigt bleibt. Also schreibe ich halt nicht drauf, der Idiot oder so, sondern schreibe ich, ich bin nicht dieser Meinung. Aber es kann natürlich unglaublich viel Arbeit sein und ich sage Ihnen, ich ärgere mich auch, wenn ich bekomme irgendeine Beschwerde ins Haus. Und nach zwei Wochen stellt einen Informationsfreiheitsantrag, alle E-Mails, die zu der Beschwerde in unserem Haus geflossen sind, zu sehen. Dann schreiben wir ihn als Zwischengeschichte, auch noch zusätzlich zurück. Jetzt haben wir die Stelle um Stellungnahme gebeten. Dann kriegen wir sofort einen Informationsfreiheitsantrag, den gesamten E-Mail-Verkehr mit der Stelle zu bekommen. Und am Ende, anstatt zehn Beschwerden bearbeiten zu können, sind wir mit einer Person beschäftigt, das ärgert ein. Wir sind jetzt natürlich die Guten und da werden die Informationsfreiheit machen, was natürlich gerne mit Freude. Aber wenn ich zu einer Ministerin oder Minister gehe, die kennen alle nur, wie viele Leute werden abgezogen, um auch seltsame Informationsfreiheitsgeschichten zu machen, ich stoße dort auf wenige Fans. Also zu glauben, dass wir in absehbarer Zukunft auf Bundesebene eine deutliche Verbesserung des Informationsfreiheitsgesetzes sehen, bezweifle ich, da ist noch viel Überzeugungsarbeit zu leisten. Igo von Nummer 4, deine Frage bitte. Herr Kälber, es ist Ihre Aufgabe, die Geheimdienste und Sicherheitsbehörden zu kontrollieren und ihren Datenschutz auch dort. Sind Sie der Meinung, dass Sie das effektiv tun können und ausreichend Befähigkeiten und Zugnisse haben und wenn nein, was fehlt? Also die Kontrolle im Bereich der Erhebung und Verarbeitung von Daten, nicht in dem gesamten restlichen Bereich. Ich glaube mit den zusätzlichen Stellen, wenn wir sie besetzt haben, haben wir durchaus erst mal Ressourcen, um auch die Kontrolldichte hochzuhalten. Wir werden selber arbeiten müssen bei der Überlegung, wie technologische Veränderungen, auch Veränderungen in den Informationssystemen der Dienste unsere Kontrolltätigkeit gegenüber früher verändern, weil das natürlich ganz was anderes ist. Zugriffe auf eine sequenzielle Datenbank jetzt mit einem Gotham-System von Palantir, wenn es zum Einsatz käme, was mal in der Kontrolle in dem Unterschied ist. In der Zusammenarbeit der Dienste untereinander und mit dem Ausland, da gibt es aus meiner Sicht durchaus Kontrolllücken. Da versuchen wir auch mit den anderen Aufsichtsgremien wie dem G10-Kommission oder der unabhängigen Gruppe im Kontakt zu sein und ich hätte gerne natürlich, also in der Joint Implementation Richtlinie, die ich vorhin erwähnt hatte, ja für den Staatsbereich gilt, die ist ja in Deutschland auch nach drei Jahren noch nicht vollständig umgesetzt. Im Bereich der BKA, das BKA haben wir Untersagungsrechte, die müssten wir im Bereich der Bundespolizei auch haben, die hat man noch nicht eingerichtet als Gesetzgeber. Das ist ein Verstoß gegen Europarecht in Deutschland. Wo es nicht vorgeschrieben wird durch Europarecht, aber sinnvoll wäre, wäre diese Untersagungsrechte auch für die Dienste zu haben. Also es wird dann nicht nach dem Motto, ich sage dann, aber die waren jetzt ganz gemein, haben sich nicht ans Recht gehalten, sondern ich könnte dann in einem besonderen Fall in Zukunft untersagen, die Nutzung von Daten oder die Löschung anweisen und der Dienst müsste vor Gericht gehen und müsste vor Gericht meine Anweisung widerrufen lassen. Ich glaube, das wäre der bessere Weg für die Aufsicht und würde auch mehr Verständnis für die Arbeit der Dienste wecken, aber auch dafür gibt es noch keine Mehrheit beim Gesetzgeber. Mikrofon Nummer zwei, deine Frage bitte. Ja moin, wir haben gesagt, dass wir ein gewisses Maß an Digital Literacy brauchen, um der Probleme herwerden zu können. Ich sehe gerade das Problem, dass wir politisch eher in die entgegensetzte Richtung steuern, primär, weil kommunale, zum Beispiel Meldedatenverkauf werden und die Bundesregierung auch eher rhetorisch so eine öronomisch orientierte Linie fährt. Wie werden wir dieser Sache her? Also ich meine ja mit dem Begriff Digital Literacy, dass die Leute ein Grundverständnis für digitale Vorgänge haben. Was passiert mit Daten? Wie funktionieren IT-Systeme, algorithmische Systeme? Das wird übrigens der Teil, ist sicherlich einmal auch eine Aufgabe von Schulen und Bildungsinstitutionen, da aber ja 80 Prozent der Bevölkerung die Schulzeit hinter sich haben und mehr werden sie auch über andere Wege erreichen müssen. Dazu gehören übrigens auch in den Informationspflichten in der Datenverarbeitung. Ich mache eine super lange Information, sondern ich muss an einer Stelle, wo etwas passiert, eine leichte Erläuterung des Vorgangs haben und die Menschen tatsächlich mit dem Vorgang, den sie machen, ein Verständnis entwickeln können. Was Sie meinen, ist ja die Frage, wie ist eigentlich die Souveränität, wie kann ich wenigstens wissen, was passiert, was darf der Staat machen, schaffen die gesetzliche Grundlage für die Weitergabe von Daten einfach nur, weil sie davon ausgehen, dass sie nicht genügend freiwillige Einverständnisse bekommen. Da muss sich der Gesetzgeber eins zurückhalten. Er sollte die bei den gesetzlichen Grundlagen trotzdem in Verhältnismäßigkeit bewahren. Das ist übrigens auch was, was wir natürlich in unseren Stellungnahmen immer mit prüfen und was auch vor Gericht ja angegriffen wird von Nicht-Regierungsorganisationen. Und das Zweite ist, das war das, was ich vorhin meinte, technische Maßnahmen, die den Bürger auf einen höheren Stand nehmen. Also wenn wir jetzt wirklich mal an eine Registermodernisierung in Deutschland herantreten, bitte, bitte nicht, weil es aus meiner Sicht verfassungswidrig ist mit einem einheitlichen Identifier, kann man auch anders machen, aber dann wäre wirklich mal ein Datencockpit, wo Bürgerinnen und Bürger sehen, zumindest mal vielleicht außerhalb der unmittelbaren Sicherheitsdienste, schon mal sehen können, wer hat welche Daten, wer hat sie abgerufen, wer hat sie mit wem geteilt, von allen staatlichen Registerstellen, das kann man heute technisch herstellen und das wäre dann auch ein Gebot, dass der Bürgerinnen und Bürger etwas davon haben in der Staat, seine IT-Systeme modernisiert. Mikrofon Nummer acht, deine Frage bitte. Sie haben ja vorhin gesagt, dass ein möglicher Weg zu sicheren oder datenschutzfreundlicheren IT-Produkten die Standardisierung und Zertifizierung sein könnte. Was konkret ist denn da schon in der Entwicklung oder auf was können wir uns einrichten? Es gibt ja die ISO 27001, aber da ist ja Datenschutz eher ein optionales Randthema und genau, also was kommt jetzt konkret? Also bei der Standardisierung sind wir, glaube ich, noch nicht sehr weit, aber wir werden für die Entwicklungsmodelle gerade im Bereich algorithmischer System und KI-Systeme, denke ich, noch mal erweiterte Standardisierung brauchen, mit der ich wenigstens Modelle habe, wie ich in der Entwicklung bestimmte Dinge berücksichtige Wand mache, welche Folgen, Abschätzungen, wie steht die zur Verfügung stellen von Daten aus, wie sieht die Kontrolle von Datenqualität aus und, und, und. Bei der Zertifizierung sind wir ein Stückchen weiter, ich spreche jetzt bewusst nicht von Siegeln wie in dieser Debatte über das IT-Siegel, dass er dann logischerweise, wenn es ein Siegel sein soll, auch weit über gesetzliche Vorgaben hinausgehen müsste, sondern, dass wir ermöglichen, dass man, wenn man ein Produkt hat, sich durch eine Zertifizierung stelle, die Berlin ist zertifizieren lassen kann, dass man damit die Anforderung des Gesetzes eingehalten hat. Das heißt, der Nächste, der es einsetzt, bekommt das Siegel, wenn ich das wie vorgeschrieben einsetze, dann ist dieser Bestandteil DSGVO-konform und ich muss mir bei dem, was ich add-on mache, bin ich dann der Verantwortliche. Da sind wir jetzt soweit, dass der Europäische Datenschutzausschuss seine Guideline verabschiedet hat. Danach haben Sie erlaubt, dass die Nationalstaaten ihrer einbringen. Das haben wir im nächsten Monat gemacht. Ich hoffe, dass wir spätestens im Februar die Genehmigung durch den Europäischen Datenschutzausschuss für die deutsche Variante bekommen. Dann dürften in diesem Jahr noch die ersten Akkreditierungs, also ersten Zertifizierer durch die deutsche Akkreditierungsstelle zugelassen werden. Ich erwarte, dass zum Beispiel im Bereich der Cloud-Dienste ein solcher Zertifizierer an den Start geht. Mikrofon Nummer eins, dann noch eine Frage bitte. Ja, vielen Dank für den Vortrag, auch hier, dass Sie auf dem Kongress sind. Ja, ich bin seit einiger Zeit auch verantwortlich in IT-Management-Positionen. Bitte die Frage. Und auch da implementiere ich natürlich sehr viele Datenschutzmaßnahmen. Sie haben es kurz angesprochen. Mich würde interessieren, wann wir auch mal Ergebnisse sehen im Bereich der großen Internetkonzerne, Google, Facebook, Amazon und so weiter, ob dann auch mal vielleicht Bußgelder etc. auch an diese großen Unternehmen zugeteilt werden. Also der Druck natürlich auf die, ich habe ja vor allem zwei nationale Datenschutzbehörden genannt, die die Zuständigkeit haben für besonders viele der großen Internetkonzerne. Ganz kurzer Exkurs Europäisches Datenschutzrecht, so genannt der One-Stop-Shop, die nationale Behörde, in der der Hauptsitz innerhalb der Europäischen Union ist, ist zuständig. Das heißt, bei den großen wie jetzt Google und Facebook und Microsoft und Apple ist das zum Beispiel Irland. Bei Amazon ist es Luxemburg als ein Beispiel. Und das sind natürlich erstens relativ kleine Datenschutzbehörden. Sie haben ein besonders wirtschaftsfreundliches Verwaltungsrecht. Das heißt, es ist besonders, ja, es sind besonders hohe Vorgaben dran, was man alles tun muss, bevor man überhaupt ein Bescheid herausgeben darf. Wenn meine irische Kollegin so über ein Fälle sprechen würde, wie ich das in Deutschland mache, würde sie sofort vor Gericht scheitern. Weil dann würde der Richter sagen, sie waren voreingenommen in der gesamten Betrachtung, völlig egal, ob sie selber die Untersuchung gemacht hat oder jemand anderes. Trotzdem haben wir gesagt, es sind jetzt über 600 Tage und wir wollen zu sehr offensichtlichen Datenschutzverstößen und jetzt den Vorschlag der Iran und der Luxemburger auf den Tisch kriegen. Und dann schauen wir anderen uns an, ob wir der gleichen Meinung sind. Und wenn wir nicht der gleichen Meinung sind, dann wird mit Mehrheit im europäischen Datenschutz Ausschuss darüber abgestimmt, wie die Sicht der europäischen Datenschutzbehörden sind. Und das ist dann das der Erlassene Bescheid. Das heißt, die Gefahr, dass wie in Deutschland das Kraftfahrzeugbundesamt einfach alleine entscheidet, entsteht am Ende im Datenschutz nicht. Da können dann die anderen Kraftfahrzeugbehörden, das Kraftfahrzeugbundesamt bei Dieselgeld überstimmen. Das wäre doch schön, wenn es da auch gegeben hätte. Aber es dauert halt, ich habe jetzt in Ihren Angeboten, dass Sie uns mal einen Fall abtreten dürfen. Wir haben auch Fälle vorgeschlagen. Bisher ist es noch nicht beantwortet worden. Die der irische Staat hat nur einen minimalen Aufwuchs in diesem Jahr wiedergegeben, der Datenschutzbehörde, die schon gewachsen in den letzten Jahren, nur ein Viertel von dem, was die Kollegin beantragt hatte. Und das ist ein Staat, also ging um fünf Millionen Euro im Jahr. Das ist der gleiche Staat, der im Augenblick vor Gerichten versucht zu verhindern, dass Apple ihm 14 Milliarden Euro Steuern bezahlen muss. Da merken Sie, was der Gedanke dahinter ist. Und ich habe bewusst Dieselgeld verwendet, um deutlich zu machen, das ist ja auch den Nationalstaaten in der Europäischen Union nicht fremd, sich schützend vor einen Wirtschaftsweig zu stellen. Aber das dürfen wir eben einfach nicht durchgehen lassen. Aber wann soweit ist, kann ich Ihnen noch nicht sagen. Single Angel Denise, frage aus mit Internet, bitte. Woran scheidet es, dass Datensparsamkeit auf so wenig Gehör in der Politik stößt und wie können wir Hacker dabei helfen, abseits davon für Sie zu arbeiten? Ja, also ich glaube, erst mal hat es eine erfolgreiche Lobbyheit darin gegeben, Menschen an führenden Stellen in der Politik zu verstehen, zu geben. Datensparsamkeit sei Datenarmut. Man müsste wichtige Daten wegschmeißen. Damit würden wir mit USA und China nie mehr gleichziehen können. Diese einfache Dreisatz ist denen in die Köpfe implementiert worden. Deswegen habe ich tatsächlich auf dem Digitalgipfel erlebt, wie einen Monat, bevor europäisches Recht, das mit den Stimmen Deutschlands beschlossen wurde, endgültig wirksam wurde, Datenschutzgrundverordnung, die Bundeskanzlerin sich hinstellt und sagt, wir müssen das Prinzip der Datensparsamkeit aufgeben. Aber ein Monat später Bindness Europäisches Recht wurde. Vorher Bindness Deutsches Recht war. Das ist schon etwas, was man selten erlebt an dem Punkt. Da werden wir ein ganzes Stück für werben müssen, dass das einfach auch nicht wahr ist. Da werden wir aber auch einfache Narrative gemeinsam entwickeln müssen, die ähnlich aufzuführen ist. Ich finde ja so eine Narrative, wie, dich gehen Daten nichts an, die nichts mit deiner Dienstleistung zu tun haben, ist so eine einfach. Weil das ist eine werte Entscheidung, die ich treffe. Und solche Werteentscheidungen haben wir oft getroffen. Also klar wäre es für Deutschland wirtschaftlich attraktiver, Kohlekraftwerke mit Kindern zu betreiben, weil dann könnte man die Stollen kleiner machen. Dann könnten wir vielleicht wieder mit Preisen aus Kolumbien mithalten. Haben wir uns aber aus Wertegründen entschieden, es nicht zu tun. Dasselbe sollten wir auch mit Daten machen, die unsere Grundrechte beantworten. Mikrofon Nummer vier, deine Frage bitte. Ja, Herr Kälber, Sie haben ja selber gesagt, dass Gesetze oftmals noch nicht reichen. Und mir persönlich geht es auch so, dass ich das Gefühl habe, zum Beispiel Datenschutzgrundverordnung ist manchmal ein bisschen zahnlos. Und meine Frage an Sie ist, welche Handlungsalternativen sehen Sie da, ja? Also wie sieht es aus, zum Beispiel mit der Bereitstellung von alternativen Infrastruktur geradezu? Cloud, großen Cloud-Anbietern zum Beispiel. Wie sieht es aus mit Förderungen für Open Source Software, für Projekte, die zum Beispiel auch irgendwie grün unterwegs sind, Datenschützen wie auch immer. Was gibt es dafür Möglichkeiten der Politik? Also ich glaube, man sollte nicht das eine lassen. Und das andere unterschätzen und das Dritte dann nicht machen. Also ich bin für die Förderung, vor allem dort, wo ich glaube, mit der Förderung ist ja mein Job, Verbesserungen für die Datenschutzsituation herbeizuführen. Das war das Beispiel, das ist mit dem Messenger-System. Und die Messenger-Systeme natürlich, welche sind wo ganz besonders viele relevante, sensible Daten abgegriffen werden. So, da bin ich in eine Monopol-Situation reingekommen, die ich nur noch mit Kraft aufbrechen kann. Das eine wäre diese Frage der Interoperabilität zu erzwingen. Wenn allein ein Drittel der Sprachnachrichten heutzutage über Messenger-Systeme und nicht mehr über Handys oder Festnetz geht, da müssen sich auch die gleichen Pflichten erfüllen wie die anderen. Das ist zum Beispiel Interoperabilität. Ich glaube aber und deswegen werbe ich dafür und der Chef des Bundesamtes für die Sicherheit und Informations-Technik hat ja ähnliches schon mal verlaut bahnen lassen. Ich glaube tatsächlich, wir sollten ein Messenger-System als deutsche Verwaltung, am besten die gesamte, aber ansonsten muss der Bund eben anfangen, anbieten für Bürgerinnen und Bürger, aber eins, das datenschutzfreundlich ist. Und da glaube ich, geht das tatsächlich nur auf einer Open-Source-Software-Basis. Und wenn unser großer Nachbarstaat es auf einer solchen Basis macht, Metrics, sich dann anzuschauen, sind das die gleichen Bedingungen, die die Franzosen haben und dann noch mehr Schlagkraft reinzubringen. Ich verstehe das ja manchmal im privaten Umfeld nicht, dass Menschen, die 15 verschiedene Leiffahrräder und Elektroskuteanwendungen auf ihrem Gerät haben, nicht in der Lage sein wollen, einen zweiten Messenger zu installieren, mit dem sie mir ohne Datenabgreifen mit mir kommunizieren können. Das ist irgendeine Denkblockade. Mikrofon Nummer 2, bitte. Wie sensibilisiert man den durchschnittlichen Nicht-IT-Affinen-Bürger und Politiker für sein eigenes Interesse an Datenschutz? Ansprechend, die wollen auch angesprochen werden. Den Bürgern und Bürgern muss man es wahrscheinlich, also Politikerinnen und Politiker wollen angesprochen werden, auch die Nicht-Netz-Politiker, nicht die Digitalpolitikerinnen und Digitalpolitiker. Bei Bürgern und Bürgern wird man vielleicht auch neben dem jährlichen Skandal, nachdem es immer ein kurzes Interesse gibt, das nicht immer sich auch im Handeln ausprägt, wird man es auch in einer Art und Weise machen müssen, dass sie Bilder erkennen, dass sie es in einfachen Systemen machen. Was meistens funktioniert, wenn ich in Gruppen rede, die jetzt keine Vorbildung haben, ist, ihnen zu verdeutlichen, was das, was im digitalen Bereich gerade passiert, in ihrer gewohnten Analogenwelt bedeuten würde. Also, wenn ich denen dann erzähle mit Tracking, stellen wir mal vor, du gehst in die Bonner Fußgängerzone und in dem Augenblick, wenn ihr sie betrittst, beginnt einer hinter dir herzulaufen. Und der schreibt auf, an welchen Geschäften du stehenbleibt, wie wir ihm nicht unterhältst, dann bietet ihr irgendwann einen Kaffee an, kostenlos, wenn ihr den nach dem Becher greift sagt, aber ich will jetzt erst mal gucken, wenn man in den letzten fünf Leuten, die sie getroffen haben, wenn es verboten würde, Briefumschläge zu verwenden, alles nur noch auf Postkarten geschrieben werden dürfte. Also, wenn sie so übertragen in die Welt, die die kennen, dann wird der ein oder andere auch wach. Als ich noch Parteipolitiker war, hatte ich mir immer mal vorgenommen, einen Kaffee standen beim Tag der offenen Tür, vor dem Innenministerium zu machen, umsonst Kaffee. Aber den kriegen die Leute dann einem tatsächlich, nur wenn ich einmal kurz ihr Handy dann durchgucken darf. Aber das kann ich jetzt nicht mehr machen, das traue ich mich nicht mehr. Mikrofon Nummer acht, bitte. Vielen Dank noch mal für den Talk. Man sieht hier ja auch im Kongress, selbst da, wo man denkt, man hat viel Gutes an Sicherheit gemacht, da gibt es immer noch Schlupflöcher. In den meisten Fällen hat man nicht so viel Gutes gemacht. Daher von mir die kurze Frage, wie ist bei Ihnen das Verhältnis Datenminimierung zu dem Thema Datensicherheit, also sprich in Form von Sicherheitsmaßnahmen zu sehen, wo ist die Minimierung wichtiger und wo ist die Sicherheit akzeptabel? Also, ich glaube übrigens, dass man erst mal durch Datensicherheit eine ganze Reihe von Datensicherheitsproblemen ausschließen kann. Aber was hier wahrscheinlich ansprechen ist, dass manchen Stellen eventuell Daten sammeln muss, um zum Beispiel Angriffsvektoren oder Ähnliches zu erkennen, war das das, was Sie meinten? Es ging tatsächlich darum, dass wir überall sehen, Belgakom, da greift sich einfach ein fremder Geheimnis, die Daten und Ähnliches. Dann ist Datenminimierung ein Teil eines Datensicherheitskonzeptes. Übrigens auch die Verteiltheiten von Daten und Ähnliches. Das ist ja eine Frage, die ich hier erwartet hatte, wie ist es im digitalen Gesundheitsschutz? Es gibt ja Daten, wo es durchaus unethisch sein könnte, sie nicht einzusetzen, aber was sind da die Sicherheitsmaßnahmen? Wie kann ich wenigstens das Sicherheitsniveau erreichen, dass ich vorher eine Analogenwelt hatte, wo es ja auch eine Menge Verstöße gab? Wo kriege ich eine Verbesserung hin und wo sind die Daten so sensibel, dass ich mit zusätzlichen Methoden dafür sorgen muss? Von daher auch vielen Dank an den Kongress für die Aufdeckung der Sicherheitsprobleme bei den Karten. Sie können sich sicher sein, dass das auch Thema meiner Referatleitungsrunde am 6. Januar sein wird. Mikrofon Nummer eins, bitte. Herr Kälber, schön, dass Sie hier sind. Sie haben sehr ambitionierte Ziele zu schadhaft Algorithmen geäußert und auch zu, dass wir Vertrauen schaffen müssen. Dann haben Sie eben gerade noch was erzählt von den Zertifizierungsmöglichkeiten. Da weiß ich mal darauf hin, dass die Dieselrotoren unserer Autohersteller auch alle zertifiziert sind. Um mal an Augusta Kerkow zu erinnern, eine Sicherheit eines Algorithmus kann nicht in der Geheimhaltung des Algorithmuses liegen, sondern der sollte möglichst vielen Experten offen stehen. Jetzt die Frage. Sehen Sie eine andere Möglichkeit als Open Source, um Ihre Ziele Algorithmen, also schadhafter Algorithmen zu verhindern oder Vertrauen zu schaffen, ist das mit proprietärer Software überhaupt machbar? Thema für einen eigenen Vortrag. Ich glaube, es wird Bereiche geben, wo ich Daten nur, indem ich den Algorithmus öffentlich mache, überhaupt nur Teil einer Kritikalitätsbetrachtung sein kann. Schauen Sie sich das auch mal in dem Zusammenfassung der Empfehlung der Datenethikommission mit der Pyramide zu algorithmischen Systemen an. Da ist die zweite oberste Stufe eine mit der völligen Offenlage. Für mich als Aufsichtsbehörde gilt aber natürlich trotzdem, dass wir an bestimmten Stellen hineingucken wollen. Insystem ist mir natürlich auch klar, dass sich die sehr schnell ändern. Also, dass ich nicht mal einen Punkt habe, wo ich da bin. Dem Nein dort von Unternehmen oder Behörden, das akzeptieren wir nicht. Also, wir als Aufsichtsbehörde dürfen alles sehen. Ansonsten bin ich auch bereit, Zwangsmaßnahmen einzuleiten. Der Punkt wird allerdings der sein, dass natürlich, wenn nicht zertifiziert werden kann, dass etwas, was eingesetzt ist, tatsächlich die Punkte erreicht, die man zertifiziert, dann darf auch kein Zertifikat erteilt werden. Das war eine der Erfahrungen aus dem Dieselgeld, deswegen habe ich in meiner alten Verwendung ja noch Koalitionsverhandlungen geführt 2018. Nach den Bundeswinkwochen gab es ja echte Koalitionsverhandlungen noch. Und da steht Einsatz drinnen. Es muss überhaupt mal etwas geschaffen werden, wo öffentliche Behörden die Kompetenz entwickeln können, in algorithmische Systeme reinzuschauen. Und das kann auch nicht sein, dass es jeder einstellt, weil ich kann nicht 20 Expertinnen und Experten einschalten. Es ist BSI 40, das Kraftfahrzeug Bundesamt 10, das Parfentzehen, das wird nicht klappen. So viele gibt es gar nicht auf dem Markt, die das können. Wir werden also eine Stelle mir beauftragen, kann die auch an einem Netzwerk mit Wissenschaft und Zivilgesellschaft steht, um die Entwicklung von so etwas anzuschauen. Und dann sind wir wieder etwas näher an dem, was Sie gesagt haben. Okay. Lieber Single Angel, die nächste Frage ist im Internet. Sollte man darauf achten, IFG-Anfragen verantwortungsvoll zu stellen und auf ein Minimum zu reduzieren, um die Akzeptanz beim Ministerien zu erhöhen? Ja, gut. Also wie bei jedem Instrument, sollte man etwas nur dann machen, wenn man es selber für richtig hält. Aber das ist der erste Maßstab natürlich. Aber das wird ja alleine nicht reichen, weil ich habe natürlich auch schon Informationsfreiheitsanfragen gesehen, die immer im Augenblick selber gesagt haben, die ist nicht sinnvoll. Nachher kam man was raus über einen kleinen Umweg, wo man gesagt hat, es war gut, dass da einer nachgefasst hat. Umgekehrt habe ich bei Sicherheitsbehörden auch schon IFG-Anträge gesehen, wo man nichts anderes versucht hat, als den Ermittlungsstand der Sicherheitsbehörden gegen hochkriminelle Banden herauszubekommen. Die Bandbreite ist so groß, die Entscheidungen treffen sie selbst. Das Gesetz sagt, was sie dürfen, was sie nicht dürfen, was beantwortet werden muss, was nicht beantwortet werden muss. Und bei allem, was das IFG angeht, sind wir noch in der Ombudsmannfunktion. Das heißt, wenn eine Auskunft verweigert wird, können sich an uns wenden. Und wir beurteilen aus unserer Sicht noch einmal die Situation. Mikrofon Nr. 4, deine Frage? Hallo, Gregor Bransky von Freiburg Aachen. Zunächst vielen Dank, dass Sie hier sind. Vielen Dank für den Vortrag. Und auch herzlichen Dank, dass Sie die Problematik mit WiFi für EU auf den europäischen Datenschutz-Tisch gebracht haben. Zu meiner Frage, Sie hatten gerade das Beispiel angesprochen mit der Notwendigkeit von Datenschutz im öffentlichen Raum, am Beispiel des Laufens durch die Fußgängerzone und den Beispielsweise Bonn. Sehen Sie, dass momentan Arbeit im Wettbewerbsrecht besteht, um entsprechend, ich sag mal, datensammelwütige Geschäftsmodelle für Kommunen auch handhabbar zu machen. Wir haben in Aachen gerade das Problem, dass im Rahmen von der Stadtmobilia-Ausschreibung man, ich sag mal, die Wertschöpfung von Daten aus dem öffentlichen Raum in der Ausschreibung nicht berücksichtigt hat, so dass die Stadt jetzt in der Problematik ist, dass für eine Stadtmobilia-Ausschreibung den Anbieter der Daten abschnorchelt, ein nach Wettbewerbsrechtszuwählendes, weil günstigeres Angebot vorgelegt hat, als ein Anbieter, der nicht Daten abschnorchelt. Konkret geht es um ICI-RM-Tracker an Bushaltestellen. Ist mir im Augenblick nichts bekannt, müsste ich tatsächlich nachhaken, ob auf meiner Fachebene da schon Debatte gegeben hat. Aber vielen Dank für die Anregung. Ist ja eine der Gründe, wo ich hierhergekommen bin, Anregungen mitzunehmen. Vielen Dank. Nein, kann ich Ihnen leider gar nichts zu sagen. Ich weiß jetzt natürlich im Augenblick die nächste GWB-Novelle dran ist, aber was dort in den Entwürfen steht und ob wir schon beteiligt wurden im Vorfeld, manche Behörden, Ministerien beteiligen uns ja im Vorfeld und dann geben wir unsere Beratungen nicht öffentlich. Weiß ich nicht, aber ist zumindest nicht von meinem Fachebene für so relevant gehalten worden, dass ich darüber mal informiert wurde. Also wenn, ist es nur auf kleiner Ebene. Vielen Dank, Herr Kälber, für das geduldige Antwort an alle Fragen und vielen Dank für Ihren Vortrag. Ich könne leider nicht mehr alle Fragen rankommen.