[IITR – 18.4.17] Stefan Brink ist seit Anfang 2017 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Er sieht im Datenschutz den „freiheitlichen Aspekt, vom einzelnen Grundrecht gedacht.“ Brink: „Jeder Einzelne entscheidet selbst. Unsere Aufgabe ist es, dass er die Entscheidung angesichts der mit ihr verbundenen Folgen möglichst vernünftig trifft.“
Datenschutz als Bürgerrechtthema
Vorgeschlagen wurde der Jurist für die Nachfolge von Jörg Klingbeil von den Grünen im Landtag, die das Vorschlagsrecht besaßen. Die Grünen wollten das Amt nicht nach politischen Kriterien vergeben, sondern fachlich besetzen. Daher spielte es bei der Entscheidung wohl auch keine Rolle, dass Brink Mitglied der FDP ist.
Brink arbeitete nach seiner Promotion bei Prof. Dr. Hans Herbert von Arnim an der Deutschen Hochschule für Verwaltungswissenschaften in Speyer, wo er sich mit der Frage des Grundgesetzes als Werteordnung befasste, sowie mehrere Jahre beim Wissenschaftlichen Dienst des Landtags Rheinland-Pfalz. „Dort bestand eine besondere Nähe zu den Oppositionsparteien“, erzählt Brink. Der frühere rheinland-pfälzische Datenschutzbeauftragte Edgar Wagner war dort früher Abteilungsleiter und fragte ihn dann an.
Seit 2008 war der Jurist beim Landesdatenschutzbeauftragten in Rheinland-Pfalz. Dort war er seit 2009 zuständig für den privaten Bereich, seit 2012 auch zugleich stellvertretender Behördenleiter. Bei den Beratungen zum rheinland-pfälzischen Transparenzgesetz waren die Grünen für ihn „der natürliche Ansprechpartner, weil sie es als Bürgerrechtsthema verstehen.“
Den Entwurf für das Anpassungsgesetz zur Datenschutz-Grundverordnung bzw. zum neuen Bundesdatenschutzgesetz sieht Brink äußerst kritisch: „Wir haben damit ein Riesenproblem, da Deutschland damit die Grundverordnung zerschießt. Die Unternehmen sehen das auch so, machen das aber nicht deutlich genug. Denn das einheitliche Recht gerät völlig aus dem Blick.“
Aus politisch-kommunikativer Sicht spielt Brink gerne das Spiel über Bande: Ungewöhnlich war etwa die gemeinsame Stellungnahme in Interviewform, die er gemeinsam mit dem grünen Europaabgeordneten Jan Philipp Albrecht und Tim Wybitul von der Wirtschaftskanzlei Hogan Lovells zum BDSG-Entwurf herausgegeben hat. Auch ist er Mitglied der neu gegründeten Gesellschaft für Freiheitsrechte, die gegen mutmaßlich verfassungswidrige Gesetzesregelungen künftig regelmäßig nach Karlsruhe ziehen will.
Der Jurist Stefan Brink, Leiter der baden-württembergischen Datenschutz-Aufsicht, setzt auf die Einbindung durch die Unternehmen im Vorfeld eines Projekts.Beratung mit Druck
Im Umgang mit den Unternehmen verfolgte Stefan Brink in Rheinland-Pfalz eine zweigleisige Strategie, die er in Baden-Württemberg modifiziert fortführen will. Zum einen führte Brink in Rheinland-Pfalz mit Nachdruck Prüfungen und Bußgeldverfahren durch, um „Abweichler wieder auf den Pfad der Tugend zurückzuführen“, zum anderen entwickelte er ein starkes Beratungsangebot, das gut angenommen wurde. Brink: „Wir müssen auf der ganzen Bandbreite handlungsfähig sein, mitunter auch massiv sanktionieren. Aber das ist ein notwendiges Übel. Von der Gewichtung werde ich es so angehen, dass im Ausnahmefall Bußgelder verhängt werden, aber im Normalfall beraten wird.“
Zu seinen Erfolgen zählt das Bußgeldverfahren gegen den Versicherer Debeka im Jahr 2014, das mit einem Rekord-Bußgeld von 1,3 Mio. Euro einvernehmlich endete. Dabei ging es um den Vorwurf, dass Mitarbeiter des öffentlichen Dienstes an die Debeka Daten angehender Beamte gegen Entlohnung weitergaben. Ein Großteil des Bußgeldes wurde dafür verwendet, um an der Universität Mainz einen Lehrstuhl für Datenschutz einzurichten. Zum Deal gehörte es, dass sich die Datenschutzbehörde bei der Pressearbeit zu ihrem Erfolg merklich zurückhielt.
In Baden-Württemberg will Brink allerdings weniger in den repressiven Bereich, sondern kooperativ agieren. Der Beratungsbedarf im Bereich Beschäftigtendatenschutz beispielsweise war seitens der Arbeitgeberseite eher gering, dafür gab es viele Anfragen von Gewerkschaften und Betriebsräten für Schulungen. „Das möchte ich in Baden-Württemberg auf jeden Fall weiterverfolgen.“ Beispiel Videoüberwachung: „Viele sind gleichgültig gegenüber Videoüberwachung im öffentlichen Raum, aber nicht im Bereich des eigenen Arbeitsplatzes: Das interessiert jeden.“ Die Schulungen hätten die Awareness auf Arbeitnehmerseite deutlich gesteigert: „Da stiegen dann die Bürgereingaben.“
In den letzten drei Jahren nahm die Zahl der Eingaben, Beratungen und Kontrollen bei der baden-württembergischen Datenschutzaufsicht ab – im bundesweiten Vergleich eine ungewöhnliche Entwicklung.
In Rheinland-Pfalz konnte Brink mit einer Handvoll von Unternehmen Quartalsgespräch über Planungen und Entwicklungslinien führen. Dabei wurde der spezielle Beratungsbedarf erfragt. Brink: „Es ergaben sich immer Vertiefungsbereiche, in denen wir begleiten konnten. Das wurde seitens der Unternehmen sehr geschätzt.“ Brink ist sich darüber klar, dass er in Baden-Württemberg angesichts der größeren und zahlreicheren Unternehmen kein ähnliches Angebot liefern kann. Wichtig ist ihm aber, „dass wir frühzeitig eingebunden werden in Planungen, um bereits im Vorfeld Hinweise auf datenschutzfreundliche Lösungen geben können.“ „Dazu gehören natürlich versierte Techniker“, betont Brink.
Notwendige Haushaltsfragen
Im aktuellen Haushalt für 2017 erhält die baden-württembergische Datenschutz-Aufsicht erstmals nach längerer Durststrecke mit acht neuen Stellen eine deutliche Personalaufstockung. Diese entspricht zwar nicht den Berechnungen, die der Juraprofessor Alexander Rossnagel in einem Gutachten aufstellte, wonach zusätzliche 30 Stellen notwendig wären. Doch für die Jahre 2018/2019 hofft Brink, dass die Gutachtenergebnisse dann berücksichtigt werden.
Eine Stelle will Brink für einen Techniker im Bereich Zertifizierung einrichten. Eine Stelle ist für die Stabstelle für Europarecht und die Umsetzung der Datenschutz-Grundverordnung reserviert. Brink: „Wir müssen diskussionsfähig sein. Wir stellen fest, dass viele Großunternehmen bereits seit einem Jahr intensiv daran arbeiten und eine Fülle von Fragen an uns haben.“ Eine weitere Stelle ist für das Thema Informationsfreiheit reserviert, zwei Stellen für die eigene organisatorische Weiterentwicklung. Drei Stellen stehen noch zur Disposition.
Der Stellenzuwachs für 2017 ist ungewöhnlich hoch, wurde aber erst im Nachtragshaushalt beschlossen.
Inspiriert vom medienpädagogischen Konzept in Rheinland-Pfalz plant Brink außerdem eine Stelle für Schulungen einzurichten: ein abgeordneter Lehrer soll ein medien- und datenschutzpädagogisches Bildungskonzept inspiriert vom rheinland-pfälzischen Vorbild erarbeiten. So will Brink zusätzliche externe Angebote initiieren, um verstärkt Jugendliche zu erreichen. Zurzeit geht Brink auf verschiedene Ministerien zu, damit diese für das Projekt ähnlich wie in Rheinland-Pfalz externe Töpfe bereitstellen.
Auf dem Wunschzettel für die Zukunft hat Brink die Einrichtung eines IT-Labors notiert: „Wenn man mit der Datenschutz-Grundverordnung stärker in den Bußgeldbereich marschiert, muss man sich warm anziehen und auch in eigene Technik investieren. Sonst wird einem das Verfahren schnell aus der Hand geschossen.“ Gleichwohl hält Brink in diesem Punkt auch eine Aufgabenverteilung und Schwerpunktbildung unter den Datenschutzbeauftragten von Bund und Ländern für sinnvoll: „Es spricht nichts dagegen, dass Hessen ein IT-Labor aufbaut und dass sich viele andere daran beteiligen.“ Dies müsse sich aber auf alle Bereiche ausweiten, damit die Datenschutzbeauftragten im europäischen Datenschutzausschuss sprechfähig sind.
Neuaufstellung in Richtung Europa
„Es ist dringend, dass wir unsere Strukturen entsprechend anpassen“, sagt Brink. „Wir müssen für einzelne Sachbereiche federführende Behörden haben, die unabhängig von ihrer Zuständigkeit sprachfähig sind und kurzfristig eine mehrheitliche Position abschätzen können.“ Entsprechend müsse die bestehende Struktur der Arbeitskreise der Datenschutzkonferenz hin zu länderübergreifenden Abstimmungsgremien bzw. Kompetenzzentren fortentwickelt werden. Dazu gebe es aber trotz der Dringlichkeit noch keine fortgeschrittenen Pläne. Auch zur Konzeption der neuen Datenschutzfolgeabschätzung, die Unternehmen künftig für stark Risiko-behaftete Datenverarbeitungsvorgänge durchführen müssen, gibt es bislang keine Verständigung.
Selbst möchte Brink sich im Rahmen der Datenschutzkonferenz mit einem verstärkten Angebot zur Videoüberwachung einbringen. Diese passe insofern gut, weil es Überlegungen gebe, ein „Kompetenzzentrum der Länder“ zu schaffen, das sich mit Themen wie der intelligenten Videoüberwachung befassen könne. „Wir müssen die Anliegen der Sicherheitsbehörden aufgreifen und dafür sorgen, dass der Datenschutzansatz frühzeitig mitgedacht wird. Es darf nicht pauschal und anlasslos agiert werden.“ So sei es zwar sinnvoll einen allein stehenden Koffer zu erkennen, weniger sinnvoll sei es aber eine Person vor 20 Monitore zu setzen, womit keine Eingriffsbereitschaft möglich sei: „Einfach nur Blackboxen mit Material zu füllen, ist von vornherein rechtswidrig.“
Auf europäischer Ebene sind die Deutschen nach Brinks Beobachtung noch nicht angemessen aufgestellt: „Die französische Datenschutzaufsicht CNIL entwirft schon jetzt Positionspapiere in der Artikel-29-Gruppe. In der Vergangenheit konnte sie wie auch die britische ICO zu einem Zeitpunkt bereits eine Einschätzung zu den Folgen der Safe-Harbor-Entscheidung des Europäischen Gerichtshofs sowie zu den Privacy-Shield-Verhandlungen vorlegen, als die deutschen Aufsichtsbehörden noch lange brüteten.“ Von der Qualität her „könnten wir mithalten, aber das wird später nicht den Ausschlag geben. Man muss in Brüssel präsent sein.“ Schätzungen von Beteiligten zufolge kommen auf einen Vertreter deutscher Aufsichtsbehörden in den Arbeitsgruppen der Artikel-29-Gruppe immer etwa zwei bis drei Vertreter der französischen und britischen Aufsicht.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.