 Herzlich willkommen zur Keynote von den diesjährigen Datenspuren. Frederik Richter wird uns etwas berichten über die Datensouveränität und ich bitte euch ihn herzlich zu begrüßen und dann viel Spaß hier im Vortrag. Danke. Ja vielen Dank. Danke fürs Interesse. Wenn man auf anderen Konferenzen, was über Datenschutz erzählt, ist das meistens der unbeliebteste Tagesordnungspunkt, weil die Leute denken, da wird wieder gesagt, was alles nicht geht, was der Datenschutz wieder alles verhindert. Und hier hat man das Gefühl, hier ist der Datenschutz willkommen in diesem Publikum. Das ist das Schöne. Deswegen freue ich mich auch hier beim CCC in Dresden etwas vortragen zu dürfen bei den Datenspuren, die wir alle hinterlassen. Jetzt geht es um Datenschutz und Datensouveränität und ich freue mich hier sein zu dürfen. Die Stiftung Datenschutz sitzt ja nicht in Dresden, sitzt in Leipzig, aber das ist ja auch nicht so weit und letztlich ist es auch egal, wo sie sitzt, weil Daten ja doch sehr, sehr fluide sind. Was machen wir denn eigentlich so als Stiftung Datenschutz? Es gibt uns schon ein paar Jahre, wir sind aber noch sehr klein. Wir sind eine Art Start-up, immer noch aus öffentlichen Mitteln. Wir wollen die verschiedenen Akteure zusammenbinden, um mehr Verständnis im Datenschutz zu erzeugen. Sowohl bei denen, die Datenschutz umsetzen müssen, als auch bei denen, den Datenschutz zugutekommt. Also einerseits die Organisationen, die Unternehmen, andererseits die Bürgerinnen und Bürger, die ja vom Datenschutz konkret etwas haben sollen. Und die Frage ist, wie haben die möglichst konkret etwas vom Datenschutz? Wie haben sie auch das Gefühl vom Datenschutz konkret etwas zu haben? Oder ist Datenschutz nur Compliance? Oder ist es doch mehr als Compliance? Also darum soll es heute ein wenig gehen. Wir machen auch selber Veranstaltungen, bringen da die Leute zusammen. Wir machen jetzt weniger so eine Art Volksaufklärung. Das machen eher die Verbraucherzentralen, die ja auch im digitalen Bereich sehr viele Aufklärungsangebote haben. Wir sind dazu noch etwas zu klein. Wir hoffen natürlich zu wachsen, aber bieten durchaus auch Informationen für Bürger an, aber auch Informationen für kleine Unternehmen, vor allem die keine Datenschutzbeauftragten haben, die keine interne Datenschutzkompetenz haben. Die wollen wir etwas helfen. Wir haben Broschüren, verschiedene Art, ganz simple Sachen wie Datenschutz im Betrieb. Was müssen die Beschäftigten wissen, wenn es um die Rechte derer geht, mit deren Daten man da täglich etwas macht, mit den Kundinnen des Unternehmens, mit den Interessenten. Das sind so ganz konkrete Hilfestellungen. Zu digitaler Ethik hatten wir auch schon mal etwas gemacht, zur Einwilligung im Datenschutz. Verschiedene Sachen. Auch dickere Bretter versuchen wir zu bohren. Wir geben eine wissenschaftliche Buchreihe heraus. Datenspuren, so ähnlich heißen die Datendebatten. Da kommen dann unterschiedliche Experten und Experten verschiedener Disziplinen zusammen und diskutieren, wie man bestimmten Sachen umgeht. Zum Beispiel elektronische Gesundheitsdatenverarbeitung hatten wir da beim Wickel jetzt, bald kommt was zum berühmten Connected Car, Anfang des kommenden Jahres. Und zum beliebten polarisierenden Thema Dateneigentum hatten wir im vergangenen Jahr ein Buch herausgegeben. Ja, jetzt geht es um Datensouveränität. Jeder hat da entweder gar keine Vorstellung davon, was das sein soll oder eine bestimmte Vorstellung, aber es gibt noch keine allgemeine Vorstellung, glaube ich, von diesem Begriff. Die einen sagen, das sollte doch der Endzustand sein, indem wir alle sind. Wir sind souverän in Bezug auf unsere Daten. Das klingt erstmal absolut komfortabel und toll, ein bisschen abstrakt, aber irgendwie erstrebenswert. Andere sagen, das ist so ein Lobby-Sprech aus der Industrie, die gegen Datenschutz sind, die wollen, dass wir Datenschutz überkommen in Richtung einer neueren, pragmatischeren Rechtsausgestaltung. Also man kann da sehr viel Verschiedenes drunter verstehen. Ich denke schon, es ist ein guter Begriff, den man sich nicht verderben lassen sollte durch manche, denn wenn wir in Deutschland von informationaler Selbstbestimmung sprechen, dann steckt da bei Datenzouveränität ja ziemlich viel drin. Denn Zuberinität heißt ja auch Selbstbestimmung, Autonomie, Daten sind die Träger von Informationen, also letztlich ist das gar nicht so weit voneinander entfernt, glaube ich. Die Frage ist bloß, wie man dahin kommt, wie man das herstellt. Und dazu, bevor man sich fragt, was ist da eigentlich Datenzouveränität, sollte man noch mal früher anfangen und sich fragen, was ist denn eigentlich Datenschutz? Denn der Begriff hat ja so doch seine Schwierigkeiten. Die einen sehen darin nur eine nervige Bürokratie für ihren kleinen Verein, für ihre kleine Bäckerei oder für was auch immer und da hat Datenschutz dann so einen ziemlich großen Nervfaktor für die Leute leider erhalten. Jetzt auch gerade im Bezug auf die europäische Reform des ganzen. Der Begriff ist eigentlich ja auch falsch, weil er schützt nicht die Daten als solche, er schützt die Personen hinter den Daten, also dieses Individuum, auf das sich die Daten beziehen. Eigentlich müsste er Personenschutz heißen oder Persönlichkeitsschutz oder so ähnlich. Datenschutz gibt dem ganzen so ganz technischen Anstrich. Denn eine wichtige Teilmenge von Datenschutz, aber eben nicht das Gleiche ist die Datensicherheit, die IT-Sicherheit, die ist auch vom Datenschutz recht umfasst. Die berühmten technisch-organisatorischen Maßnahmen müssen eingehalten werden. Das ist dann einfach der ganz technische Aspekt. Und da sind die Unternehmen auch viel schneller dabei dort zu investieren. Da ist auch die Bundesregierung zum Beispiel eher dabei, da rein zu investieren, in Aufklärungen auch zur IT-Sicherheit. Denn die IT-Sicherheit umfasst alle Daten, nicht nur die personenbezogenen, nicht nur die, die Risiken für die Rechte der Bürger darstellen können, sondern einfach alle Daten. Auch anonyme Daten sind meist im Interesse der Unternehmen gesichert. Und deswegen ist Datenschutz mehr als nur für die IT-Sicherheit, als Leute unter ähnlichem Beleidigung mehr als nur IT-Sicherheit. Und das führt dann, wenn man jetzt Datenschutz alleine betrachtet zu der Frage, was ist denn Datenschutz eigentlich für ein Recht? Wir sagen immer, das ist Teil der Bürgerrechte. Das ist das Bürgerrecht. Und gut, nun bin ich von Haus aus Jurist. Man kann ja immer nicht ganz aus seiner juristischen Schere im Kopf raus und man sich mal anguckt, wie es im Recht so bezeichnet wird. Dann sieht man Datenschutz ist gar kein Bürgerrecht in der Rechtsthemenologie, sondern sogar mehr, nämlich ein Menschenrecht. Das Grundgesetz unterscheidet zwischen Bürgerrechten und Menschenrechten im Bereich der Grundrechte. Das mag jetzt ein bisschen spitzfindig klingen, aber es wird halt unterschieden, ob nur deutsche Staatsangehörige ein Recht haben. Da steht dann da jeder Deutsche hat das Recht oder ob alle Menschen das Recht haben. Das steht dann jeder, jeder oder jeder hat das Recht. Und als Menschenrecht ist es auch eben im Menschenrechtskonvention geregelt, allgemein als Grundrecht in der europäischen Grundrechte-Karte. Also das zu vermischen in Begrifflichkeiten ist nicht so schwer, das gebe ich zu. Bloß wenn wir ganz selbstverständlich sagen Datenschutz ist ein Bürgerrecht, kann man sich merken, eigentlich ist es ein Menschenrecht. Man hat zur Veranschaulichung, was das Grundgesetz da alles hergibt. Und das hier sind die Menschenrechte und das da sind die Bürgerrechte. Da steht dann jeder Deutsche hat das Recht sich frei zu versammeln oder sich zu vereinigen, sein Beruf frei zu wählen und bei den Menschenrechten, da suchen sie jetzt vielleicht den Datenschutz und der steht da gar nicht, weil der steht nämlich nicht im Grundgesetz, nur die Rechte aus denen er abgeleitet wird stehen, da nämlich die Menschenwürde und die allgemeine Handlungsfreiheit, die freie Entfaltung der Persönlichkeit. Denn der Datenschutz ist ja entwickelt worden von Bundesverfassungsgerecht, schon vor über 30 Jahren. Gibt auch Forderungen, die ins Grundgesetz zu schreiben, aber es gibt ja ständig Forderungen, irgendwas ins Grundgesetz zu schreiben, was eigentlich schon mit gemeint ist oder eigentlich schon entweder schon drin steht, wie die Kinderrechte, weil Kinder sind auch Menschen, die sind immer mit gemeint. Gut beim Datenschutz könnte man sagen, jetzt gibt es da dieses Volkszählungsurteil, dieses Berühmte, was diese informationale Selbstbestimmung für uns Deutsche mal kreiert hat, hat auch Gültigkeit wie ein Recht, was im Grundgesetz stehen würde, aber steht eben nicht drin, ist vielleicht so eine juristische Diskussion, die uns heute nicht weiter befassen muss, aber ist ein interessanter Punkt. Und die nächste Frage ist, wenn wir über Datensoberinität sprechen, was schützt denn eigentlich der Datenschutz? Die Daten schon mal nicht, das haben wir schon mal geklärt, sondern die Menschen auf die Daten beziehen, bloß in welcher Weise, welche Rechte der Menschen schützt er? Und da gibt es so ein bisschen ganz grob gesagt zwei Sichtweisen. Die einen sagen, es ist die Privatsphäre. Datenschutz ist Privatsphärenschutz. Was ich nicht nur bei mir zu Hause mache, sondern auch ich als Person im öffentlichen Raum, aber privat mit meinem Taschencomputer oder wie auch immer, das soll Datenschutz vor allem schützen. Das passt ein bisschen zu diesem amerikanischen Gedanken, das Recht, allein gelassenes Recht in Ruhe gelassen zu werden. Lieber Staat, halte ich hier raus aus meiner Privatsphäre, mal home ist mal Kassel, auch wenn ich unterwegs bin, also sprich ich möchte allein gelassen werden. Das ist eher so ein Abwehrverständnis. Und das passt ja auch zu der Entstehungsgeschichte des Datenschutzes in Deutschland als Abwehr gegen staatliche Maßnahmen. Damals als das erste Bundesdatenschutzgesetz kreiert wurde, das war 20 Jahre vor Googles Geburt, da sah man die Bedrohung noch vor allem beim Staat und nicht beim kalifornischen Gewerberbetrieben sozusagen. Und die anderen sagen, es geht um viel mehr als nur Privatsphäre. Da gibt es da manche sagen Privatsphäre, das ist so ein bisschen fast schon Gedöns sagen, die abfällig. Das ist viel zu wenig, viel zu klein. Es geht um viel mehr. Es geht um das Funktionieren der freien demokratischen Gesellschaft, weil wir eben, wenn wir vermachtet sind, wenn wir in Machtasimetrien gefangen sind, weil wir nicht mehr die Macht über unsere Daten haben, nicht mehr genug Kontrolle um unsere Daten, dass wir dann unsere Grundrechte eben auch nicht so ausüben, wie wir es eigentlich können sollten. Das ist im Volkszeitungsurteil auch so beschrieben, wo eben Klins klar gesagt wird, jemand, der nicht weiß, was, wann, wer über ihn weiß, der agiert anders, der nimmt sich selber zurück in der Wahrnehmung seiner Freiheitsrechte. Und das wollen wir abwehren. Und diese zweite Schule, die sieht auch das Thema der Einwilligung ganz kritisch. Sie können ja in alles einwilligen im Bereich des Datenumgangs, sie können anderen und sei es auch einer noch so mächtigen wirtschaftlichen Organisation alles erlauben, was die mit ihren Daten dann machen darf. Sie darf sie auf den Marktplatz legen, sie darf sich verhökern an jeden, wenn sie eingewilligt haben. Natürlich informiert und freiwillig und unter den Bedingungen des Gesetzes eingewilligt, aber sie können da alles machen. Sie können sich vogelfrei machen, sie können sich exibitionieren. Und die strengen Verfechter dieser Lehre, die eher so die Gesellschaft als Schutzgut ansieht, die sagt, dass die müssten eigentlich Grenzen eingezogen werden, denn wenn sie einwilligen, willigen sie meist auch darin ein, auch wenn das rechtlich nicht sauber ist, dass andere mit reingezogen werden in diesen Datenumgang, dass ihre Beziehungen in Netzwerken, in sozialen, digitalen Geflechten mit hineingezogen werden in die Macht der anderen Organisationen. Und das betrifft eben nicht nur sie, sie können gar nicht so ganz alleine entscheiden, sagen die. Sondern sie müssen immer auch an die Gesellschaft als solche Dingen. Da prallen also so ein bisschen die Sichtweisen aufeinander. Das wurde auch in den Gesetzen immer unterschiedlich abgebildet. Also während seiner Menschenrechtskonvention nach dem Krieg noch hieß Privatleben, also eher die klassische Sicht, Privatsphäre, Abwehr des Eindringens, wurde es dann im Jahr 2000 aufgespalten in der europäischen Grundrechte. Da gibt es dann im Artikel sieben, diese berühmte Privatsphäre, diese Privacy-Gedanke. Und im Artikel acht steht der Datenschutz. Und jetzt streiten sich die Gelehrten, wie es so schön heißt, was denn diese Aufspaltung soll. Ist jetzt die Privatsphäre da nicht mehr mit drin? Dann müsste man sich fragen, was schützt denn dann der Datenschutz? Wenn da nicht die Datenschutz und nicht die Privatsphäre, was schützt denn dann? Weil Datenschutz, um das Datenschutz, das wäre ein Selbstzweck, das wäre nicht, das wäre nicht logisch. Andere sagen, der Artikel acht, der Grundrechte Kater, das ist zum Funktionalisieren, um das zu operationalisieren, den Artikel sieben, um das umzusetzen. Und andere sagen, naja, das sind so Teilmengen, aber letztlich geht es um mehr im Artikel acht. Kann man sich also wunderbar, wunderbar zu streiten, was denn nun genau Schutzgut ist. Und im Bundesdatenschutzgesetz in den 70er Jahren, das war noch vor dem Volkszählungsurteil, vor der Volkszählung, ja, da geht es dann um alles Mögliche, letztlich Schutzwürdige, Belange der Betroffenen und es kann alles sein. Und später hieß es dann Persönlichkeitsrecht, 90er Jahre, 2000er Jahre im deutschen Recht. Und das aktuell europäische Recht, das ist wieder mehr zu dem Ursprung zurückgekommen. Das sagt nämlich alle Grundrechte und Grundfreiheiten natürliche Personen. Und da wird nochmal gesagt, insbesondere das Datenschutzrecht. Also das Datenschutzrecht schützt das Datenschutzrecht, ist ein bisschen komisch. Aber der erste, der erste Teil des Satzes, es geht um alles. Es geht um die ganzen Freiheiten und die ganzen Rechte. Damit ist natürlich der Anwendungsbereich des Datenschutz rechts sehr groß. Manche sagen sogar uferlos und das Recht überhebt sich mit diesem Anspruch. Kommt drauf an, was dann draus gemacht wird. Und draus gemacht wurde dann etwas, was den Leuten dann sehr viel Unsicherheit brachte. Weniger als mehr den Adressaten des Rechts, die das eben umsetzen müssen. DSGVO, das Datenschutzrundverordnung, das klangen dann für viele ganz, ganz, ganz kompliziert und komplex. Aber man muss sagen, das war gar nicht die Revolution. Das war nur die Evolution des Datenschutzes, weil es das, was wir hier seit Jahrzehnten kennen, an Grundsätzen des Schutzes von personenbezogenen Daten, einfach auf die Europäische Union hochgesubend hat. Mit ein paar Modifikationen, aber letztlich für Deutsche alles alt bekannt. Also die Linie kann man sehen vom ersten Datenschutz der Gesetz der Welt, 1970 in Hessen, dann über das Bundesdatenschutzgesetz und die Richtlinie in der EU, die dann die Harmonisierung natürlich bewirken wollte, aber nicht richtig konnte. Deswegen hat man jetzt diese Verordnung genommen, wo das europäische Recht jetzt hier einfach direkt gilt, ohne dass Deutschland irgendwas umsetzen muss. Gibt noch ein Anpassungsgesetz, also ein Rest, BDSG gibt es noch, aber letztlich ist das europäische Recht das Maßgebliche. Und das, was da drin steht, ist das, was wir halt schon kennen, dieses berühmte Verbotsprinzip. Sie ist es nicht so wie in anderen Teilen der Welt, mit Daten darf man erst mal alles Mögliche machen, außer da kommt einer und verbietet was. Wir sagen, seit Jahrzehnten in Deutschland mit Daten darf man erst mal nichts machen, außer einer erlaubt das, entweder der Gesetzgeber oder der die betroffene Person. Und man darf auch nicht Daten erst mal anholfen, man darf nicht so eine Art private Vorratsdatenspeicherung betreiben. Ich hab die Daten jetzt erst mal hier ganz freiwillig bekommen und dann kann ich die für irgendwas verwenden, was mir dann so später einfällt, wer weiß, wozu es nochmal gut ist. Und ach, jetzt hab ich hier so Daten, die verwende ich jetzt mal für was ganz anderes. Dem soll eben dieser Zweckbindungsgrundsatz und dieser Datensparsamkeitsgrundsatz entgegenwirken, den wir auch schon, auch schon alles lange kämen. Das heißt jetzt in europäischen Recht Daten Minimierung, nur so viel Daten wie erforderlich sollen sie einsammeln für den hoffentlich legitimen Zweck, den sie verfolgen. Ja, alles gerichtet gegen die berühmten Daten, Kraken, die mit ihren ganzen Tag erst mal alles einsaugen und dann gucken, wofür sie es nochmal benutzen können. Und deswegen sagen Kritiker des Rechts auch zu Big Data, passt das ja alles nicht, weil Big Data meint ja, große Datenmengen anzuhäufen, die auch unstrukturiert sind aus allen möglichen Quellen und dann zu durchsuchen mit Data Mining Technik und dann mal zu gucken, was für Korrelation, was für Zusammenhänge man da herauslesen kann, von dem man vorher noch gar nicht wusste, die auch alle möglichen Vorteile bringen können. Was, was ich, Erkennung von Krankheitsentstehungsmustern oder so. Sie sind auch sehr gute Big Data Anwendungen bekannt. Bloß zu diesen Rechtsgrundsätzen, passt das natürlich erst mal nicht. Denn wenn ich im Vorhinein sagen muss, für welchen Zweck ich Daten erhebe und bei Big Data überhaupt nicht weiß, wonach ich suche und was ich finde, weil ich einfach die Daten in meine Maschine schmeißen und die Maschine sucht mir etwas aber heraus, was natürlich auch Einblick in das Leben von konkreten Personen geben kann, dann passt da vieles nicht zusammen. Der Konflikt ist nur nie aufgelöst. Die einen sagen, die, die EU-Datenschutz-Grundverordnung, das ist, die macht das Datenschutzrecht zukunftsfest und die anderen sagen, nee, das macht sie gerade nicht, weil die wurde in, in den Grundzügen in 2012 geschrieben, ab 2018 wird sie angewendet und allein in den Jahren, die technologische Entwicklung ist natürlich immens und nicht stehen geblieben. Deswegen sagen vieles, das Recht ist jetzt schon veraltet. Und die Gegenmeinung sagt, das ist so ab wie veraltet, das ist neutral, das ist Technologie neutral, das ist Technologie offen und es legt einfach die Grundsätze fest, unter die sich jede technologische Neuerung begeben muss, nach dem Motto Innovation nur mit Datenschutz oder gar Innovation durch Datenschutz, aber nicht Innovation statt Datenschutz. Das ist eben der große Knackpunkt, auch im rechtspolitischen Streit, wollen wir mehr oder weniger Datenschutz und ist der Datenschutz der große Verhinderer. Ich glaube nicht, aber es muss ihm klug umgesetzt werden. Ein bisschen was Neues gab es dann doch jetzt mit der EU-Datenschutzreform, nämlich das Grundsätze von den Datenschützern und Datenschützer schon immer überzeugt, waren jetzt auch im Gesetz stehen. Manchmal ist das Privacy by default und Privacy by design und jetzt steht es eben auch im Gesetz. Im europäischen Thermologie allerdings als Data Protection by Design, Privacy ist also das transatlantische Modell und Data Protection ist unser Modell und da wird man auch gucken, wie das funktioniert. Bei der Voreinstellung kann man kein großes Problem. Der Schalter muss erst mal auf Off sein, der Schalter muss auf Rot sein und die User können ihn dann auf Grün schieben. Ja, ihr dürft mit meinen Daten dies und jenes machen, aber erst mal muss das alles draußen sein. Das heißt, der User muss dieses berühmte Opt inmachen und nicht Opt out. Das ist relativ einfach. Das mit der Gestaltung ist ein bisschen abstrakter. Nach dem Motto jeder, der einen Prozess neu aufsetzt, der ein Geschäftsmodell neu entwickelt, der muss den Datenschutz von Anfang an mitdenken. Datenschutz eingebaut, so nach dem Motto. Und da sagt das Gesetz halt gar nichts weiter zu, was das konkret heißt. Da stehen alle so ein bisschen da, die die Datenschutzaffine an die Sache rangehen. Die haben dann schon so Gefühl, was man macht, was man besser nicht macht. Und alle anderen sagen, ich warte erst mal auf Entscheidungen von Gerichten, wie das denn zu interpretieren ist. Also da kann auch einiges in Konkretisierung kommen. Und da haben wir mehr Informationspflichten, frühere Informationspflichten, wenn sie was mit den Daten machen müssen und den Leuten ziemlich konkret und ziemlich früh sagen, was das sein soll. Nämlich in dem Moment, wo die Datenverarbeitung beginnt. Meist die IT-Gestützte. Das heißt, wenn berühmte Fall Visitenkarten, war immer so ein Thema, wie läuft denn das? Also man gibt jemand eine Visitenkarte und er nimmt die und liest das. Aha, ja, ich ruf sie mal an. Und manche sind dann so ein bisschen überallfrisch dazu übergegangen, dann die Informationspflichten und die Datenschutzerklärung gleich im Wechsel zu übergeben. Also man gibt auf der Messe eine Karte ab und kriegt gleich so ein Ganzseiter, wo dann alles drauf steht. Plus in dem Moment hat die Datenverarbeitung noch nicht begonnen, weil das Rezipieren der Informationen durchdurch den Mensch ist noch kein Problem, was der Datenschutzregeln will. Und wenn sie die Karte dann in ihre Schreibtischublade schmeißen, ist auch noch nichts passiert. Wenn sie natürlich dann einscan mit irgendeiner Visitenkarten-App und dann wird dann mit der Schrifterkennung das alles zugeordnet und sie haben das dann in einer Tabelle, dann sind sie voll im Anwendungsbereich des Datenschutzrechts. Da müssen sie zu dem Zeitpunkt, wo sie diese Verarbeitung beginnen, informieren. Das ist natürlich ein bisschen schwierig. Also wir müssen dann gleich zumindest dann, wenn es ins System geht, eine Mail schicken und darüber informieren, wo der Datenschutzbeauftragte ihres Unternehmens erreichbar ist, was sie vorhaben, auf welcher Rechtsgrundlage mit diesen Daten zu machen. Da müssen sie einiges damit teilen. Der Grundgedanke ist, wenn die Leute nicht wissen, was mit ihren Daten gemacht wird, können sie auch ihre betroffenen Rechte nicht ausüben. Also muss man sie vorher informieren. Eigentlich völlig logisch. Ist natürlich eine bürokratische Überlastung, aber anders geht es natürlich nicht. Denn wenn die Leute nicht wissen, was für Rechte sie haben, dann werden sie sicherlich auch nicht ausüben. Und sie müssen das alles dokumentieren. Das ist natürlich auch bürokrativ. Klar, aber die Aufsichtsbürden sagen, wenn wir nicht wissen, was da läuft in seinem Unternehmen mit Daten, dann können wir uns auch nicht kontrollieren. Also brauchen wir irgendwelche Orientierungspunkte. Da muss was aufgeschrieben werden. Das sind Pflichten, die sind einfach wichtig. Und dann gibt es mal was wirklich Neues in der Datenschutzgrundverordnung, das Recht auf Datenportabilität. Ein neues betroffenen Recht. Auskunftsrecht, Löschungsrecht, Berichtigungsrecht kennen wir alle seit Jahrzehnten. Das ist jetzt mal was ganz Neues. So eine Art erweiterte Auskunftsanspruch. Also Sie konnten schon immer zu Unternehmen gehen und sagen, sagt mir mal, was ihr habt von mir. Gib mir mal alle meine Daten. Und mit diesem Recht kann man jetzt sagen, gib mir mal die Daten, die ich dir gegeben habe, in einem Format, dass man das auch verwenden kann. Also nicht jetzt irgendwie ausgedruckte Seiten, sondern eben XML oder sowas Maschinenlesbar strukturiert. Wir haben uns dann an einem Projekt mal mit befasst und haben geguckt, was es können eigentlich für Probleme in diesem Recht auch liegen. Es betrifft alles, was ich auf einer, wenn ich einen Vertrag mit einem Unternehmen habe, dann gebe ich auf Basis dessen Daten oder wenn ich eingewilligt habe, dann gehe ich auf Basis dessen Daten und dann sind da einige vorhanden. Und die kann ich dann an mich heraus verlangen oder ich kann sagen, liebes Unternehmen A, nimm diesen Datenschatz, Datenschatz, guter Versprecher, Datenschatz und Datensatz von mir und gebe ihn zu Unternehmen B. Weil ich möchte jetzt zu Unternehmen B wechseln. Oder ich möchte, dass Unternehmen B die Daten auch hat. Da gibt es ganz praktische Beispiele, Playlists, bei Streamingdiensten oder sowas. Und, tja, wir haben mit vielen Unternehmen gesprochen in dem Projekt in 2017, also noch bevor das Recht in Anwendung kam, haben wir gefragt, bereitet ihr euch darauf vor? Alle haben gesagt, ne, wir warten erst mal, ob Leute kommen, die das Recht nachfragen. So, da haben wir mal auf der Straße so eine nicht repräsentative Umfrage gemacht. Wer kennt denn dieses Recht? Niemand. Noch nie von gehört Recht auf Datenpotabilität. Weiß ich nicht. Also, jetzt haben wir hier ein interessiertes Publikum an dem Thema. Da mag das vielleicht schon mal aufgeklungen sein, aber wer jetzt so bei den Mann auf der Straße, wenn sie den fragen, haben sie schon mal von Artikel 20, GDPR gehört, Recht auf Datenübertragbarkeit, der werden die meisten sagen. Was ist das denn? So, und solange das keiner davon gehört hat, wird auch keiner zu Unternehmen gehen und sagen, gib mir mal die Daten. Und solange warten die Unternehmen auch, bis zu einer kommt. Die haben eine sehr, sehr abwartende Haltung. Und wir haben dann festgestellt, interessanterweise die einzigen, die konkret was machen bei Datenpotabilität, das sind die, die manche wohl als die üblichen Verdächtigen bezeichnen würden. Die Kalifornien haben ziemlich schnell von dem MECA-Modus, in dem viele deutsche Unternehmen noch sind, was das neue Datenschutzrecht betrifft, in einen Compliance-Erreichungsmodus umgeschaltet. Das ist jetzt das Gesetz ist da, wie es ist. Uns gehölt das nicht, aber wir können es aber nicht mehr ändern. Jetzt gehen wir mal an die Lösung. Und haben sich im sogenannten Data Transfer Project zusammengeschlossen, um den Datenaustausch auf Basis dieses neuen EU-Rechts zwischen diesen Plattformen voranzutreiben. Das ist noch nicht fertig. Wir sind mal gespannt, was dabei rauskommt. Es gibt keine Pflicht zur Kompatibilität. Also, man muss seinen Dienst nicht mit dem anderen kompatibel machen. Und wenn jetzt einer sagt, ich möchte mein Datensatz von Twitter zu eBay mitnehmen oder so, dann ist die Frage, was er damit anfangen kann. Weil es gibt keine Pflicht für eBay mit diesem Twitter-Satz, irgendwas zu machen. Da steht nicht im Gesetz. Das kann auch so sein, dass nicht viel rauskommt aus diesem Recht. Das war natürlich so gedacht, um Monopole anzugreifen. Weil viele sagen ja, was Facebook so mit meinen Daten macht, das gefällt mir auch nicht. Da habe ich auch Bedenken. Aber was soll ich denn machen? Wo soll ich denn hingehen? Es gibt ja kein zweites Facebook. Und dann dacht sich der EU-Gesetzgeber, dann versuchen wir da mal irgendwie was zu machen. Wir schaffen einen Recht, wo es leichter ist, die Daten mitzunehmen. Und dann geht es irgendwo anders hin. Bloß viele User sagen immer noch, ja, wohin denn? Wie soll es denn gehen? Soziale Netzwerke, gleichartige Aufstellung von Facebook gibt es glaube ich kaum. Ich habe nur von Diaspora mal gehört oder so was. Gut, ich bin jetzt eigentlich Facebook. Ich weiß es nicht, wüsste ich, wo ich meine Daten hintun sollte. Aber es haben wohl bislang wenige Leute wirklich genutzt dieses Recht. Aber es betrifft natürlich alle. Also theoretisch könnten sie zur Bäckerei-Kette gehen und sagen, ich bin hier in der Kundenkartei. Ich kriege hier irgendwie den Newsletter oder wenn es sowas gibt, Werbung. Ich würde gerne, dass diese Daten jetzt mitnehmen in einem gängigen strukturierten Format. Wenn die Leute sie auch angucken wahrscheinlich. Gut, wenn sie es nachlesen wollen, wir haben dazu eine Studie und auch eine Broschüre, was Datenportabilität heißen kann. Und auch ein Erklärfilm, habe ich dazu mal gemacht. Auch Datenportabilität war natürlich gedacht, um die Daten souveränität zu befördern. Und das kann sicherlich nur ein Puzzleteil sein. Natürlich können sie mit Datenportabilität mehr Kontrolle über ihre Daten ausüben, weil sie ja selbstbestimmt sagen können, die tue ich jetzt dahin, die Daten. Aber natürlich ist das immer auch so eine Frage von Data Literacy. Wie viel wissen die Leute über Datenumgang? Zum Beispiel steht nicht im Gesetz drin, dass, wenn sie diese Portabilität anweisen, dass die Daten dann beim Unternehmen A bleiben. Also sie müssen die da schon löschen lassen, wenn sie wollen, dass die Daten wirklich von A nach B kommen und nicht am Ende bei A und B sind. Und natürlich können sie nur löschen lassen, wenn sie auch keinen Vertrag mehr haben mit Unternehmen A, der die Rechtsgrundlage liefert, die Daten weiter zu verwenden. Also da ist ziemlich viel noch nicht klar. Bei Facebook gab es ja diesen Fall mit Cambridge Analytica, wo eine Fremd-App Datenzugriff hatte oder Daten abgegriffen hat von Nutzern aufgrund unklarer Berechtigungen, aufgrund nicht bekannter Absichten. Da sagt Facebook jetzt, wir gehen da ganz aktiv ran, machen da das Tor zu für solche Apps, die irgendwie unlautere Absichten haben oder unklarer Absichten haben. Das ist gut, ja. Das sollen wir bitte strenger machen. Aber da bietet natürlich diese Datenportabilität auch so ein kleines Einfallstor an, denn wenn dann der Herr Cambridge Analytica die Leute auf der Straße anspricht und sagt, hier, ich gebe dir fünf Euro oder irgendein Anreiz, dass du deinen Facebook-Datensatz mehr mal gibst. Kann der Nutzer zu Facebook gehen und sagen, hier, Datenportabilität, gib mir das mal in einem strukturierten Format. Ich trage das jetzt zu Herrn Cambridge. Dann kann Facebook nicht sagen, nee, das machen wir nicht, das ist irgendwie nicht ganz gut einzuschätzen. Es gibt keinen Recht, das zu verweigern. Das heißt, der Nutzer kann dann als Einfallstor für schlechten Datenumgang instrumentalisiert werden, indem man ihn anreizt durch monetäre Aspekte durch andere Sachen. Und dann sagt, nimm dieses Recht mal und hol uns deine Daten. Dann kann man den Nutzer also instrumentalisieren. Das ist sicherlich eine Gefahr sein könnte, weil wir wissen, alles, was Geld bringt, schafft Anreiz. Die Leute sind diese kostenlos Kultur sehr gewöhnt. Wenn sie mal versucht haben, in der Kindergartenelterngruppe die Leute davon zu überzeugen, dass die Chatgruppe, wenn man sowas haben muss, nicht bei WhatsApp, sondern bei Threema oder Signal oder woanders sein soll, dann haben sie erstmal die Kosten-Diskussion. Ich sage jetzt für die gleiche Funktionalität drei Euro einmalig zahlen. Ich bin doch nicht blöd. Das Geilthema ist ein großes Problem für den Datenschutz. Ich sage mal, die zwei größten Feinde für Datenschutz sind Trägheit und Gier. Klingt jetzt ein bisschen nach Beschimpfung der Leute, aber man merkt es ja bei sich selber. Ich habe es ja auch schon gemerkt. Alles, was unbequem ist. Alles, was kostet. Da sagt man erst mal, vielleicht kann ich es auch anders erreichen. Und vieles ist halt noch unbequem bei Datenschutz als mir der Moderator eine Mail schickte letztens, um noch letzte Punkte zum Vortrag abzuklären. Da war die dann mit Pretty Good Privacy verschlüsselt und mir hatte seit Jahren niemand mehr eine solche verschlüsselte Nachricht geschickt. Und dann war ich auch wieder zu bequem, den Installationsvorgang neu zu machen und mich da in die Sache einzulesen. Datenschutz und Datensicherheit muss bequemer werden, damit die Leute es auch nutzen. Man sagte, meine Leute müssen sich damit befassen. Das gibt es alles nicht umsonst. Das gibt es alles noch nicht bequem. Nur dann kriegen wir die Leute nicht. Die Leute sind halt die Einglicklösung gewöhnt und nicht erstmal irgendwelche Manuals lesen und komplizierte Sachen sich zu merken. Es ist schwierig. Ich sagte anfangs schon, wie ist denn das mit Compliance? Also rechtskonformes Handeln der Wirtschaft. Das ist ja eher so die Pflicht. Das ist ja nichts Besonderes. Das Recht muss eingehalten werden. Das Gesetz ist zu befolgen durch alle, die es adressiert. Und da gibt es dann die Einsagen, also wir sind schon am Ziel, wenn alle das Recht befolgen. Also wenn alle Unternehmen das Datenschutzrecht sich hinlegen und genau ihre Prozesse darauf abstimmen, dann ist alles in Butter. Ich weiß es nicht, ich weiß es nicht. Denn Stichwort Einwilligung. Solange die Leute in alles einwilligen können und alles erlauben können und man sie dazu lockt, auch Einwilligungen zu geben und auch dazu lockt, Einwilligungen uninformiert zu geben, haben wir auch bei der totaler Compliance ein Einfallstour für fehlende Souveränität. Denn die Datenschutz-Grundverordnung verpflichtet die Wirtschaft harklein und verständlich, wie das spricht sie fast schon, aufzuschreiben, was man mit den Daten machen will und auf welcher Grundlage und überhaupt. Also das heißt, komplexe, rechtliche, technische Absicht und Vorgänge müssen in einfachen Worten beschrieben werden. Das heißt, aus den fünf Seiten Juristendeutsch werden dann 15 Seiten klar Deutsch, vielleicht, wenn man es versucht zu umschreiben, möglichst einfache Worte. Es wird also noch länger und diese Lesemüdigkeit erläutert. Man liest es ja nicht. Man scrollt den Texte auf der Glasplatte schnell weg, um auf ich stimme zu und download das App. Ja, sofort natürlich dahin zu kommen. Und diese Lesemüdigkeit kann man natürlich ausnutzen, indem man das zwar alles ganz klar da reinschreibt und nicht verhüllt und nicht irgendwie, aber man weiß ja, die Leute lesen es nicht. Das heißt, diese vermeintlich informierte Einwilligung, die ist ein großes Problem. Komm ich gleich noch mal zu. So, das heißt, also einfach Einhaltung des Rechts ist, glaube ich, noch nicht der endgültige Schritt zur Datensouveränität. Vor allem ist es immer eine Ressourcenfrage. Wir haben pro Bundesland mehrere 100.000 Unternehmen, die alle potenzielle Datenschutzverstöße natürlich begehen können. Und wir haben pro Bundesland dann so zwischen 20 und 60 Leuten, die das beaufsichtigen, in den Datenschutzaufsichtsbehörden. Das kann natürlich nicht klappen. Es gibt auch keine anlasslosen Kontrollen, die laufen auch nicht rum und gucken, okay, was machen Sie hier mit den Daten? Die können nur reaktiv handeln. Die können nur, wenn Bürgerinnen und Bürger sich beschweren, losgehen und sagen, jetzt gucken wir mal, was hier mit der Datenverarbeitung los ist. Das ist natürlich viel zu wenig, um das in der Fläche einhalten zu können. Deswegen hat der europäische Gesetzgeber ja gesagt, er hat das Problem gesehen, dass man niemals so viele Aufsichtsbehörden Mitarbeiterinnen kriegt, um das Recht einhalten zu können. Deswegen hat er gesagt, wir schieben jetzt mal den Bußgeldrahmen ganz hoch, die Höchstgrenze. Oh, ich muss mich hier bei allem, meine Uhr hakt hier wahrscheinlich etwas. Wir setzen auf Abschreckung. Wir setzen auf die Holzhammer Methode. Jetzt Bußgeld bis zu 20 Millionen Euro. Und das hat natürlich vieler aufgeschreckt. Gut, ein Vorschlag aus der letzten Zeit oder ein Vorschlag, der immer wieder hoch kommt, für Souveränität, wie wäre es denn, wenn die Bürger noch mehr Rechte an Daten hätten? Und da geht es dann darum, wie wäre es denn, wenn man Daten eigentum schafft? Das wäre doch toll. Und dann habe ich dieses schöne Bild gefunden von einem engagierten Wahlkämpfer aus dem Europawahlkampf. Und wir haben uns gefragt, ist das jetzt technisch gemeint oder ist das jetzt im übertragenden Sinne gemeint? Das ist ja so eine schöne Forderung für die Straße. Meine Daten gehören mir. Tun Sie aber nicht nach dem jetzigen Recht. Und nach der Meinung aller Experten oder der meisten, mit denen wir gesprochen haben, sollten Sie das auch nicht. Aber der Claim ist natürlich eingängig und vielleicht ist er auf so einem kleinen Wahlplakat auch mal erlaubt, weil man es schwerlich komplex erklären kann. Aber es ist auch so ein allgemeines Sprachgebrauch. Hier mal die klassische Zeitung FATS. Bürger als Eigentum der Daten. Wird da ganz selbstverständlich gesagt. Ist nicht so, gibt es sich, gibt kein Dateneigentum, aber steht hier so ganz normal drin in der Qualitätspresse. Und das wird natürlich dann von den Lesern auch so wahrgenommen. Das muss ja gut recherchiert sein, was in der FATS steht. Also haben wir wahrscheinlich Eigentum an Daten. Haben wir nicht. Gut, wenn man dann den aktuellen noch gültigen Koalitionsvertrag liest, da steht es auch so drin. Da steht, Daten sind Eigentum der Patientin. Das steht da im Gesundheitsbereich. Sie sind diese Dokumente immer ein bisschen hektisch geschrieben. Wenn man dann weiter bettet, steht man, wir müssen das erst mal gucken, ob das wirklich so ist. Müssen wir zügig prüfen, steht dann da. Und hat die Bundesregierung jetzt die sogenannte Datenethik-Kommission eingesetzt. Die soll das dann auch nochmal wieder prüfen. Wird jetzt im Oktober dazu was veröffentlichen. Wird mich aber wundern, wenn die fordern, ja, wir brauchen jetzt ganz schnell Dateneigentum. Denn so einfach ist das eben nicht. Das würde vielleicht manches klarer machen. Eigentum hat ja wahnsinnig viele Rechte in einem Gegenstand. Sie können fast alles damit machen. Bloß, Sie können es eben mal verkaufen. Dann ist es weg. Dann können Sie gar nichts mehr machen. Und abgesehen davon, wie man das praktisch alles umsetzen könnte. Sie können ja schlecht Ihren Geburtstag verkaufen. Und da haben wir auch mehrere Rechte dran. Ihre Eltern vielleicht auch, also Mit-Eigentuben. Und das ist alles ganz kompliziert. Bloß, man würde eben auch dann, ja, sich so ein bisschen selbst entrechten, würde ich mal sagen, weil Sie eben das nicht zurückholen können. Im Datenschutzrecht, da können Sie eine Einwilligung immer und unbegrenzt widerrufen. Machen zwar ganz viele nicht, aber könnten Sie. Es ist auch kompliziert, wenn auf Brasis Dessen ein Vertrag besteht. Wie wird das noch alles zurückgefordert? Wenn Sie zum Beispiel einen Film anschauen dürfen oder irgendwas gestreamt ist, haben dafür die Datennutzung erlaubt, ein Werbepartner und so weiter, dann widerrufen Sie die Einwilligung. Sie haben den Film ja aber schon konsumiert. Also da muss man damit Wertersatz und so arbeiten. Alles kompliziert, aber irgendwie möglich. Und im Dateneigentuben wäre das zwar eine klare Sache. Die Daten sind weg. Aber es wäre auch nicht im Sinne der Beteiligten, glaube ich, der Personen zumindest. Gibt es da noch Vorschläge, dass man es am Urheberrecht orientieren könnte? Da hat ja auch der Schöpfer eines Werks so bestimmte Rechte, die kann er niemals abgeben. Er kann immer verlangen, dass er als Komponist genannt wird oder so. Er kann aber alle möglichen Rechte einräumen, das er für Daten schon vorstellt. Weil man behält die Daten letztlich in der Hand, aber kann Rechte da, kann Lizenzen einräumen. Sie sind da Lizenzgeber. Wer vielleicht denkbar. Aber eigentlich gibt es auch gar keine Schutzlücken aus dem Datenschutzrecht, wenn man es erstmal reinrechtlich betrachtet. Die können ja alles Mögliche verbieten. Selbst wenn Daten auf Basisberechtigte Interessen verwendet werden, dann können sie widersprechen. Oder sie widerrufen eben ihre Einwilligung. Also sie sind gar nicht so schutzlos nach dem Datenschutzrecht, wie das oftmals die Befürworter von Daten aus den Rechten suggerieren. Also mein Punkt dazu, Datensouveränität durch Dateneigentum, wohl eher nicht. Das Problem bleibt natürlich, dass sie eben letztlich mit Daten ja schon handeln im Wege der Einwilligung. Sie erlauben was, dafür kriegen sie ein Service. Also sie tauschen Daten gegen Dienst oder aus Sicht des Unternehmens. Das Unternehmen gibt Dienst gegen Daten. Also die Daten sind schon so eine Art Tauschmittel. Sie sind kein Geld, sie sind kein Öl, diese ganzen Metaphern sind etwas unpassend, aber sie sind ein Tauschmittel, ganz klar. Datenherrschaft durch Datenschutzrecht meint das echte Datenkontrolle. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben? Wahrscheinlich weiß das niemand so richtig, weil sich keiner eine Liste macht. Da habe ich eingewilligt, da habe ich eingewilligt. Da bin ich informiert worden, dass Daten auf anderer Rechtsgrundlage verarbeitet werden. So richtig die Kontrolle im digitalen Umfeld hat man sicherlich nicht mehr. Vielleicht hatte man sie noch nie. Früher gab es viele Dienste nicht, die heute sehr viel mit Daten machen. Das Problem wächst natürlich mit der Datafizierung der Welt. Das mit den Einwilligungserklärungen hatte ich schon erwähnt, dass die nicht gelesen werden, dass letztlich das die Ausgangslage ist. Ich stimme zu. Das ist das, was die Leute gewohnt sind. Das ist das, was die Leute gelernt haben, über die letzten Jahre. Und das wegzukriegen, ist ganz schwierig. Eine Idee wäre, dass man sagt, wir schaffen so eine Art ... Es gibt diese ganzen Apps, die Daten absaugen wollen. Wir stellen da was gegen. Eine Art Privacy-App. Eine Art Einwilligungsassistent, der mir hilft, die Kontrolle wiederzuerlangen. Nach dem Buchstaben des Rechts habe ich sie. Aber tatsächlich habe ich sie eben verloren. Und wenn man sagt, Technik und Technologie wirken bedrohlich auf Leute, die besorgten ihre Daten, weil sie beherrschen das Ganze nur oberflächlich. Wieso kann man nicht sagen, die Technik hilft den Leuten, dann auch die Kontrolle wiederzuerlangen? Es gibt dazu einzelne Vorschläge, wie sowas aussehen könnte, dass ich eben eine Art Medium zwischen die Person und das Facebook stellt und den Datenfluss kontrolliert und steuert. Und dann eben sagt, Achtung, hier passiert mehr als deine Grundpräferenz, die du mir mal mitgeteilt hast. Mir deinem Privacy-Assistent, mehr als dir lieb ist. Bevor wir soweit sind Einwilligungsassistenten und Ähnliches, könnte man natürlich auch erstmal sagen, diese Erklärung, die keiner liest, weil sie lang sind, weil sie unstrukturiert sind, weil jeder sie anders schreibt, da könnte der Gesetzgeber auch sagen, die müssen so und so aufgebaut sein. Da müssen die fünf wichtigsten Punkte vorne in Rot stehen und der ganze andere Kram dahinter, der für die Juristen der Gegenseite geschrieben ist. Die sind ja letztlich, so wie sie klingen, für wen auch immer, aber nicht für die Nutzer. Allein schon wegen der schieren Länge. Das heißt, wenn man so eine Art Schichtmodell macht, ganz unten ist die große ausführliche Datenschutzaktion, wo alles juristisch sauber und klein drinsteht, dann macht man so eine Art Zusammenfassung auf einer Seite, wo das Wichtigste drinsteht und dann für die, die gar keine Lust haben, sich damit zu befassen, aber denen ihre Daten natürlich auch irgendwie lieb sind, so eine Art Pictogramme und Symbole, wie wir das von Creative Commons kennen. Die sind zwar nicht immer so eingängig, also mit so einem CC-Lizenz, was dann die Buchstabenkombination darunter bedeuten, da muss ich immer wieder nachlesen und so. Das ist noch nicht so, wie im Ideal zustande, dass wir aus meiner Sicht so was wie die Kleidungsstücke, die wir anhaben. Da sind Symbole drin. Da ist ein Bügeleisen mit einem Punkt, nicht so heiß, mit drei Punkten heiß, mit durchgestrichen heiß, nicht enttrockner oder so. Wenn man es hinkriegt, so simpel auch zu Datenumgangs informieren, würde man die Informationen vielleicht mehr zu den Leuten kriegen. Man muss es zumindest versuchen, glaube ich, der europäische Gesetzgeber ist gescheitert. Der wollte Symbole in die Grundverordnung aufnehmen, hat nicht geklappt. Ja, da ist noch viel zu tun. In Sachen Einwilligungsassistenten gab es schon mal natürlich Ideen, wie man technisch das löst, indem man zum Beispiel dieses Präferenzmanagement einführt, dass man auch im Browser, do not track ist so die bekannte Initiative, einstellt, da wird vom Nutzer eine Präferenz eingeimpft und dann halten sich da alle dran. Aber weil es eben freiwillig war, hielt sich dann am Ende niemand mehr dran. Am Ende sind alle großen ausgestiegen und die Sache war tot. Und das versucht der europäische Gesetzgeber mit der E-Private-Reform, die ansteht, zu beheben so ein bisschen das Problem, indem man sagt, was ich dann dem Browser sage, das gilt dann eben auch. Das ist dann eben auch wirklich wehrhaft. Gut, wenn man dann wieder Ausnahmen zulässt, wenn das so ist wie bei den Adblockern, nach dem Motto dann fragt ihr es, ach du willst das hier lesen, wir merken gerade, ein Adblocker ist an, vielleicht möchtest du ja eine Ausnahme zulassen oder eine gute Ausnahme. Wenn wir das hier auch haben, dann ist das Ganze natürlich wieder völlig durchlöchert. Es bleibt also viel zu tun und jetzt kommen wir zu Fragen. Vielen Dank. Vielen Dank für den sehr interessanten Vortrag. Wir Techniker, wir kennen ja schon ein bisschen das Recht, aber wir kennen die Diskussion dahinter nicht und die Dimensionen. Von daher ist es wirklich mal gut gewesen, das zu hören. Ich muss auch ehrlich sagen, von der Stiftung Datenschutz habe ich erst mitbekommen, als ich hier die Datenspuren mit vorbereitet habe und habe dann mal auf die Seite geguckt und das sind wirklich sehr viele interessante Materialien. Ich weiß nicht, warum ich das nicht irgendwie früher erfahren habe, aber ich würde es jedem empfehlen, mal auf die Seite zu schauen und diese Leitfelden und Zusammenfassung sich anzugucken lohnt sich. Das liegt natürlich auch an uns, dass es nicht früher bekannt war. Wir sind halt noch relativ schlecht ausgestattet. Wir kämpfen jetzt gerade darum, beim Haushaltsgesetzgeber auf Bundesebene, dass er uns eben anständig ausstattet. Wenn er das nicht tut, ist sogar der Bestand der Einrichtung in Gefahr. Aber im Bereich der großen Koalition für Datenschutzmittel zu kriegen, viel Spaß. Ich kann es nur so sagen. Wer jetzt noch Fragen hat, gerne. Hier ist das Mikro im Gang. Bitte einfach dort am Mikro anstellen. So, ich habe zwei Fragen. Herr Richter, erst mal sehr schön, dass Sie hier sind. Im letzten Jahr wurde bereits geugnt, dass das Ende der Stiftungsdatenschutz eingeleitet wurde. Im Haushaltsplan waren 0,000 Euro dafür vorgesehen. Deswegen meine Frage, wie lange würde es Sie noch geben? Und die zweite Frage, die ich habe, dass mittlerweile die Europäische Datenschutz-Grundverordnung verabschiedet als Gesetz, die gilt seit letztem Jahr, hat sich aufgrund dessen Ihr Auftrag eventuell erfüllt. Ist er geändert worden für die Zukunft und wenn ja, in welche Richtung? Also, die Lage ist nicht einfach. Wir haben in Deutschland die Situation, dass für das Datenschutzrecht das Bundesinnenministerium zuständig ist. Das ist ja auch für andere Politikbereiche zuständig. Das ist ja auch für andere Politikbereiche zuständig. Auf europäischer Ebene haben wir das anders. Da ist es zwischen innen und recht aufgeteilt. Überwachung und schutzvolle Überwachung. Das müsste meine Koalitionsverhandlung mal ändern, solche Zuteilungen. Da das Datenschutzrecht im Innenbereich ist, hängen wir auch am Innenbereich dran. Das Bundesinnenministerium hat in seinem Entwurf zum Bundeshaushalt 2020 nichts eingestellt für uns. Wir haben die Stiftungsvermögen aus Bundesmitteln. Das dürfen wir zu einem ganz kleinen Teil verbrauchen. Aber diese Möglichkeit endet, endet dieses Jahr aus. So dass, wenn jetzt nicht in den Haushaltsberatung im Parlament dieser Regierungsentwurf noch geändert wird, dann wird es also eng. Denn private Spenden erhalten wir nicht. Die gehen sicherlich eher an gemeinnützige Einrichtungen, die noch weniger Geld haben. Das ist wahrscheinlich auch eher ein Netzpolitikspenden als an die Bundesstiftung für den Datenschutz, die als Stifterin die Bundesrepublik hat. Das sind natürlich ganz andere Dimensionen, aber eben auch nur potenzielle Dimensionen. Und Geld aus der Wirtschaft nehmen wir keines an. Es gibt keine Spenden aus der Wirtschaft. Das wäre auch gefährlich, weil dann wäre unsere Neutralität sicherlich zu hinterfragen. Deswegen schaltet die Möglichkeit auch aus. Das kann ich nicht schreiben, aber das bringt auch nichts. Aufgaben für uns bietet allein die Datenschutzgrundverordnung einige. Denn allein, was jetzt medial so läuft, wenn Sie in die Lokalzeitung gucken, finden Sie jede Woche eine Schlagzeile. Datenschutz verhindert jetzt wieder das. Spielstandmitteilungen von Handballvereinen, Fotos bei Einschulungen usw. Da ist ganz viel Halbwissen, Unwissen, und dazu würden wir gerne aufklären. Allein das mit den Einschulungen. Da hat die Landesschulverwaltung den Schulleitungen gesagt, es ist alles ganz schwierig. Und da hat die Schulleitung gesagt, dann verbieten wir jetzt einfach alle Fotos auf Basis von Hausrecht bei dieser Einschulung. Das darf die Schule auch, ist bloß Datenschutzrechtlich nicht sehr sinnvoll. Die Eltern dürfen diese Einschulungen fotografieren für ihren privaten Gebrauch, für ihr privates Album. Da dürfen sie auch Fotos von fremden Kindern machen. Sie dürfen die bloß nicht verbreiten und in anderer Weise verarbeiten als rein privat. Es gibt die sogenannte Haushaltsausnahme im Datenschutz. Da können Sie machen mit den Daten, was Sie wollen, sie sind gar nicht im Anwendungsbereich des Rechts drin. Sobald Sie drin sind, müssen Sie alles mögliche beachten. Sie dürfen das dann nicht auf Facebook stellen oder so. Aber man war zu bequem den Leuten diesen Unterschied zu erklären. Und das verstehen doch Eltern, würde ich mal denken. Aber so hat man gesagt, alles verboten. Und was passiert? Die Eltern sind natürlich sauer auf die DSGVO. So ein Mist aus Brüssel, das verhindert hier alles und unsere ganzen Lebensgebräuche werden eingeschränkt. Da muss man was gegentun, da muss man gegen aufklären und gegen angehen, glaube ich. Diese Pflicht bleibt. Dann kann ich nur zustimmen, dass ich habe auch schon mitbekommen, dass Lehrer bzw. Schuldirektoren da überreagieren und dann heißt eben, jetzt müssen die Zensuren einzeln irgendwie nur vorgelesen werden. Man kann nicht mehr vor der Klasse das sagen. Bilder verboten, genau. Wegen Datenschutz. Aus Unternehmen kennen Sie das, geht nicht wegen Datenschutz. Da wird der Datenschutz instrumentalisiert und irgendwas zu verhindern, wo man keine Lust drauf hat. Und dann heißt man, geht nicht wegen Datenschutz. Ja, ja, kenne ich. Gegen Datenschutz geht ja sowieso nichts. Da ist, glaube ich, noch eine Frage. In der DSGVO hat man sehr viel über den rechtfamig definierten Rechtsbegriff berechtigtes Interesse zur Verwertung von Daten diskutiert. Und ich wollte einfach mal fragen, wie das aus der Sicht der Stiftung Datenschutz ablief. Funktioniert das? Beschränken sich die Unternehmen auf das, was sie wirklich wollen oder wird da viel rumexperimentiert und geschaut, was noch geht oder funktioniert eben das Damokleschwert mit den 20 Millistrafen? Im Ernst Fall. Es gab, es gab die Einwilligung schon immer und es gab auch in Deutschland schon lange dieses berechtigte Interesse als Rechtsgrundlage. Das heißt, ganz kurze Erklärung Sie, Ihr Unternehmen hat ein Interesse, Daten zu verarbeiten, zum Beispiel Werbung, Umsatzsteigerung. Und dann müssen Sie als Unternehmen das Interesse, was dagegen stehen könnte bei der betroffenen Person. Er will keine Werbung oder er will unbehelligt bleiben. Das steht dagegen, das müssen Sie abwägen und wenn Sie zu dem Entschluss kommen, nein, meinen Sie überwiegt, dann dürfen Sie auf der Basis die Daten verarbeiten, auch ohne Einwilligung. Sie müssen aber jetzt nach dem europäischen Recht die Leute informieren. Hey, wir verarbeiten deine Daten auf dieser Basis, berechtigtes Interesse, du kannst widersprechen und wenn dann widersprochen wird, dann ist das Ganze auch eben tot. Das heißt, die Leute kriegen auch davon was mit und dann war die große Frage, stürzen sich jetzt alle auf dieses berechtigte Interesse oder stürzen sich alle auf die Einwilligung? Aber beides hat eigentlich strenge Voraussetzungen im Recht und Sie müssen die Leute immer informieren. Diese Bußgälder, die es jetzt gab in letzter Zeit, es werden ja jetzt allmählich mehr. Die sind meist wegen falscher Information der Leute ergangen oder wegen Datensicherheitsverstößen. Da liegen jetzt irgendwelche Passwörter im Klartext, im Netz oder Patientendaten. Röntgenbilder war jetzt gerade, lag irgendwie offen auf irgendwelchen Servern. Das war meist das Einfallstufe für die Bußgälder. Dieses Thema berechtigtes Interesse oder Einwilligung war gar nicht so jetzt das große Problem. Also die meisten klagen auch weniger, nicht darüber, dass es jetzt keine Rechtsgrundlagen mehr für Datenverarbeitung gäbe, sondern eher, dass sie diese ganze Informationspflichten haben. Und ja, der Bußgarand, die 20 Millionen, das ist halt so der Abschrecker. In den Medienberichten des letzten Jahres hieß es dann immer 20 Millionen, das ist schon so im Tiese. Und dann dachten allega, für jede E-Mail mit offenem Verteiler jetzt 20 Millionen, das heißt natürlich immer bis, vor dem Mai 2018 waren es 300.000 Euro pro Datenschutzversturz, pro einzelne Handlung. Und die wurden fast nie verhängt als Bußgäld. Also auch diese 20 Millionen, das wird selten sein. Danke schön. So, wir hätten noch Zeit für ein, zwei Fragen. Alle Fragen erschlagen. Alle Fragen erschlagen. Herzlichen Dank und einen kleinen Applaus.