Kleines Amt mit riesiger Aufgabe

Gunzenhausen - Dass im Ansbacher Schloss Hunderte Beamte ihren Arbeitsplatz haben, weiß man. Viel weniger bekannt dürfte sein, dass dort eine geradezu winzige Landesbehörde ihren Sitz hat: das Bayerische Landesamt für Datenschutz.

Es hat nur 16 Mitarbeiter und wird von Thomas Kranig geleitet. Er darf sich Präsident nennen und war nun zu Gast in Gunzenhausen, wo er in der Stadt- und Schulbücherei sein Amt und seine Aufgaben vorstellte.

Das BayLDA, so die Kurzform, ist zuständig für die Einhaltung des Datenschutzrechts im nichtöffentlichen Bereich im Freistaat, das heißt in den privaten Wirtschaftsunternehmen, bei den freiberuflich Tätigen, in Vereinen und Verbänden sowie im Internet. Beim Datenschutz handelt es sich um ein allgemeines Persönlichkeitsrecht, abgeleitet aus dem Grundgesetz, er hat einen hohen Stellenwert. Kranig präsentierte folgende Definition des Datenschutzes: Schutz des Einzelnen vor einer Beeinträchtigung des Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten. Um dies zu gewährleisten, gibt es ein Bundesdatenschutzgesetz (und Landesgesetze). Es zielt auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ab – aber eben nicht im rein privaten, familiären Raum. Wer also seine Urlaubsfotos im Computer speichert und an andere Familienangehörige sendet und nur an die, der handelt rein privat und braucht sich wegen des Datenschutzes keine Gedanken zu machen.

Was sind nun personenbezogene Daten? Auch dafür hatte der Behördenleiter eine griffige Formel parat. Es sind Einzelangaben über persönliche oder sachliche Verhältnisse eines Menschen. Angaben zur Person fallen natürlich in diese Kategorie (Wohnort, Alter). Auch die E-Mail-Adresse gehört dazu. Ebenso wird die IP-Adresse des Computers dazugezählt, was aber umstritten ist. Dagegen wird die IMEI-Nummer des Handys ganz klar zu den personenbezogenen Daten gerechnet. Unstrittig sind auch die Steuernummer, die Daten des Autos (Kennzeichen, Fahrgestellnummer) und Bilder der eigenen Person. Was aber ist, wenn das Foto einen Balken über den Augen aufweist? Hier spricht Thomas Kranig immer noch von einem personenbezogenen Datum. Wenn der Balken sehr, sehr breit ist, sodass keine Identifizierung möglich erscheint, kann man anders urteilen.

Es gilt die generelle Aussage, dass es verboten ist, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Wie bei den Juristen üblich, besteht aber eine große Ausnahme. Der gerade beschriebene Umgang mit Daten ist dann zulässig, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Im Juristendeutsch heißt das „Verbot mit Erlaubnisvorbehalt“. Deshalb: Das Finanzamt darf viele personenbezogene Daten der Bürger einfordern, sammeln und damit arbeiten, weil dafür die entsprechenden Gesetze vorliegen. Der Verkäufer einer Waschmaschine darf ebenfalls gewisse Daten des Käufers erfragen – die braucht er ja für den Kaufvertrag (das kann etwa auch die Bankverbindung sein). Der Käufer leistet seinerseits eine Unterschrift, er ist einverstanden – ein ganz normaler zivilrechtlicher Vorgang.

Darf nun der Elektroladen die Daten seiner Kunden weiterverkaufen? Im Grunde ja. Wie der Referent schilderte, ist der Adresshandel in Deutschland durchaus üblich. Name und Anschrift des Kunden darf eine Firma an eine andere verkaufen. Diese darf sich dann an den Bürger wenden, aber nur postalisch, nicht per Telefon, E-Mail oder Fax! Wer dem Bürger Werbung per E-Mail zusenden oder ihn anrufen will, der braucht vorab dessen Erlaubnis, so die Theorie. Ein ganz großer Verkäufer von Daten ist die Deutsche Post AG. Wie Kranig darlegt, sieht die Praxis meist so aus, dass der Elek­troladen gar nicht besonders scharf ist, seine Kundendaten an Dritte abzugeben. Einen gut gepflegten Kundenstamm behält man lieber für sich. Ausnahmen bestätigen diese Regel.

Das BayLDA kann von sich aus bei Firmen und Dienstleistern vorstellig werden, sozusagen unangemeldet Stichproben machen. Den Beamten muss dann zu den normalen Arbeitszeiten der Firma Zugang gewährt werden. Das Amt ist auch zur Stelle, wenn bei ihm Beschwerden eingehen. Ein Beispiel: Ein Beschäftigter eines Unternehmens kam mit der Arbeit nicht mehr hinterher. Er versuchte, die Kunden und Geschäftspartner zu vertrösten, und zwar mit einer Rundmail. Sie bestand aus zehn Seiten, davon waren auf neuneinhalb Seiten alle verwendeten E-Mail-Adressen aufgelistet. Es gab genau deshalb Beschwerden. Das Landesamt entschied, dass dieses Vorgehen unzulässig war.

Ganz aktuell hat sich das BayLDA bei 75 Firmen dafür interessiert, wie diese mit den teils sensiblen Daten von Stellenbewerbern umgehen. Werden diese Daten zuverlässig gelöscht? Kranig kündigte an: „Bei drei Unternehmen werden wir persönlich vorstellig werden und deren Vorgehensweise vor Ort überprüfen.“
Immer wieder stellt der Präsident fest, dass bei manchen Firmen das Thema Datensicherheit keinen hohen Stellenwert hat. Sie gehen davon aus, dass schon nichts passieren wird und niemand etwas von ihnen will. Dabei verfügen sie über Daten, die für Kriminelle hoch attraktiv sind (Industriespionage). Man könnte sogar von „Kronjuwelen“ sprechen, die schlecht geschützt sind.

Erkennt das BayLDA einen Verstoß gegen Vorschriften, kann es diesen beanstanden, untersagen und die Beseitigung des Verstoßes anordnen. Auch Bußgelder und sogar Strafanzeigen sind möglich, aber eher selten. 2014 wurden 70 Ordnungswidrigkeitsverfahren eingeleitet und in 20 Fällen ein Bußgeld verhängt. Das Amt versteht sich als Berater, nicht als Bestrafer. Wenn die Beamten zum ersten Mal kommen, dann geht in manchen Firmen die Angst um – als ob die Steuerfahndung da wäre. Am Ende herrscht meist ein partnerschaftliches Verhältnis, viele Firmen sind froh, dass sie von kompetenter Stelle erfahren haben, was sie verbessern sollen und müssen.

Auch Privatleute können sich an das Landesamt wenden und erhalten Auskunft. Typisch ist die Überwachungskamera, die der Nachbar in­stalliert hat. Wie weit darf der diese Überwachung treiben? Darf er Aufnahmen von anderen Grundstücken machen und speichern? Darf er natürlich nicht, aber die Beweisführung ist schwierig. Und die Mitarbeiter des BayLDA haben kein Zugangsrecht zu Privathaushalten – man kann sie abweisen.

Die muntere Diskussion in der Stadt- und Schulbücherei dreht sich schon bald um internetfähige Fernseher und um Smartphones. Wer sein Smart-TV einschaltet, der weiß nicht, dass das Gerät gerade bis zu 60 Stellen mitgeteilt hat, dass es jetzt in Betrieb gegangen ist! Welche Daten der Fernseher versendet, ist absolut unbekannt, der Kunde ist ahnungslos und überfordert. „Es sind jedenfalls viele Daten“, betonte der Behördenleiter. Er versteht seine Aufgabe nicht nur in diesen Fällen darin, für mehr Transparenz zu sorgen.

Vernunft wird ausgeschaltet

Und die Smartphones? Wer eine App herunterlädt, der will diese haben und gibt in der Regel sein Einverständnis zu allem, was vor dem Herunterladen gefragt wird. Kaum jemand liest sich durch, was das alles bedeutet. Aber rein theoretisch hat der Kunde eben zu allem Möglichen sein Einverständnis gegeben. Kranig: „Die Leute willigen zu allem ein, da schaltet sich irgendwie der Verstand aus. Wenn man sie persönlich fragen würde, ob sie sensible Daten übermitteln wollen, würden sie nein sagen. So aber stimmen sie am Handy allen Nutzungsbedingungen zu.“

Warum die App, mit der man sein Handy als Taschenlampe nutzen kann, damit verbunden ist, dass man seine Kontaktadressen, seine Bilder und seinen Standort preisgibt, ist jedenfalls nicht zu verstehen. Hier sieht das BayLDA Handlungsbedarf,  genau wissend, dass das Internet ein so weites Feld ist, dass eine 16-köpfige Behörde vor einer Sisyphusarbeit steht, denn: „Es ist unmöglich, alles in den Griff zu kriegen.“ Und neue technische Entwicklungen werden kommen, etwa das Connected Car. Dass auf diese Weise genaue Bewegungsprofile von Bürgern möglich werden, ist keine Zukunftsmusik mehr.
Der Referent hatte zum Schluss noch einige Tipps parat, wie man seinen eigenen Datenschutz wenigstens etwas verstärken kann.