- Es gilt das gesprochene Wort!
Sehr geehrte Frau Präsidentin, Sehr geehrte Kolleginnen und Kollegen, Sehr geehrte Frau Hartge.
In diesem Jahr hat die DSGVO ihren fünften Geburtstag gefeiert. Für ein umfangreiches Zwischenfazit ist hier nicht der Raum, aber insgesamt kann man glaube ich sagen, dass die DSGVO an vielen Stellen Verbesserungen oder zumindest eine stärkere Sensibilisierung von Verantwortlichen und Betroffenen von Datenverarbeitungen bewirkt hat. Zugleich hat sich gezeigt, dass einige Sorgen, z.B. vor ausufernden Abmahnwellen, zum Glück ausblieben bzw. unterbunden wurden.
Allerdings zeigt uns der hier vorliegende Bericht auch einmal mehr, dass das Gesetz nicht automatisch gelebte Praxis ist, und wie viel noch zu tun ist, um das Grundrecht auf informationelle Selbstbestimmung auch wirklich in allen Bereichen zu schützen.
Gerade dort, wo Menschen staatlichem Handeln ausgesetzt sind, und nicht wie im Wirtschaftsverkehr die Möglichkeit haben, AGB abzulehnen, muss besonders hingeschaut werden, sei es bei der Gemeinschaftsunterkunft mit ausufernder Videoüberwachung privater Lebensbereiche oder seien es Behördenvertreter, die mit Privathandys Ausweisdokumente abfotografieren wollen.
Solche Fälle zeigen immer wieder, wie wichtig es ist, dass es eine starke, unabhängige Stelle gibt, die die Einhaltung der rechtlichen Rahmenbedingungen überwacht und unterstützt.
Blickt man nun in den Bericht 2022, so hat man zunächst ein kleines Deja Vu: Teil A, Römisch Eins (Schwerpunkte), 1 Betrieb von Facebook-Fanpages durch öffentliche Stellen
Das kommt einem irgendwie bekannt vor, wenn man die letzten Jahresberichte und Debatten dazu verfolgt hat. Denn die Landesdatenschutzbeauftragte weist uns seit Jahren wiederholt auf das Thema der Facebook-Fanpages hin. Die Rechtslage ist spätestens durch zwei EuGH Entscheidungen eigentlich klar. Und das ist auch nicht nur die isolierte Meinung der Brandenburgischen Datenschutzbeauftragten, sondern wird einhellig von den Beauftragten des Bundes und der Länder vertreten: der Betrieb einer Facebook-Fanpage insbesondere durch öffentliche Stellen ist nicht mit EU-Recht zu vereinbaren.
Da verwundert es doch ein wenig, dass die Stellungnahme der Landesregierung komplett auf eine Aussage zu den Ausführungen im Bericht verzichtet und auch in der Ausschussberatung durch das MIK eine Stellungnahme zu dieser Thematik abgelehnt wurde.
Es ist die Aufgabe der Aufsichtsbehörden hier dem Recht zur Durchsetzung zu verhelfen. Und ehrlichgesagt fällt es mir schwer, einer Unternehmerin zu erklären, warum sie bei Verstößen gegen die DSGVO mit teils erheblichen Geldbußen rechnen muss, wenn gleichzeitig Behörden über Jahre hinweg eine so eindeutige Rechtslage ignorieren. Der Staat hat auch in dem diesem Bereich eine Vorbildfunktion zu erfüllen. Es ist zu begrüßen, dass die LDA ihren Auftrag ernst nimmt, auch wenn es wie hier im Bereich der Öffentlichkeitsarbeit unbequem ist. Von daher ist angesichts der langen verstrichenen Zeit sehr nachvollziehbar, dass nun, wie Frau Hartge im Ausschuss ausführte, ein gerichtliches Musterverfahren geprüft wird.
Ähnlich schwierig ist die Lage bei einem zweiten Schwerpunktthema des Berichts, nämlich dem Einsatz von Microsoft-Produkten und anderer Software, die entgegen europäischer Gesetze detaillierte Informationen über ihren Gebrauch an die Hersteller übermittelt. Trotz aller Bemühungen der Aufsichtsbehörden, Verbesserungen zu erreichen, bleibt es dabei, dass die Praxis der Datenanalyse in Microsoft-Produkten nicht gesetzeskonform ist.
Auch hier ist der Staat in der Pflicht, einen solchen Zustand nicht dauerhaft zu akzeptieren. Ja, es bestehen Abhängigkeiten, und es ist selbstverständlich nicht mal eben so möglich, in allen staatlichen Stellen auf Microsoft-Produkte zu verzichten. Doch gleichzeitig haben deutsche Behörden als Großkunde eine nicht unerhebliche Verhandlungsmacht. Diese auch zu nutzen ist nicht ein frommer Wunsch, sondern eine rechtliche Pflicht, und das muss sich auch z.B. in Richtlinien für die Beschaffung von Software widerspiegeln.
Unabhängig von der Datenschutzproblematik und vom konkreten Fall Microsoft muss die Reduzierung von Abhängigkeit von einzelnen Unternehmen bei kritischer Infrastruktur eine Priorität sein. Das gilt zum Beispiel auch bei diversen Fachverfahren, die essentiell für die Aufgabenerfüllung einer Behörde sind. Das Ziel der digitalen Souveränität, das wir uns im Koalitionsvertrag gegeben haben, ist durch die Entwicklungen in der Welt seitdem nur noch dringlicher geworden.
Von der Digitalen Souveränität komme ich zu dem Thema, das seit Jahren alle Datenschutzberichte begleitet und ein zunehmend großer Teil des Datenschutzes ist, nämlich die Sicherstellung der Sicherheit unserer essenziellen IT-Infrastrukturen. Sie alle wissen um den schwierigen Zustand der Welt und die Gefahr, die von staatlichem oder staatlich unterstütztem Hacking ausgeht. Die Schäden, die dabei entstehen können sind schon lange nicht mehr nur theoretisch. Neben den beeindruckenden finanziellen Schäden dürfen wir nicht vergessen, welcher Vertrauensverlust der Staat bei Datenverlusten oder Ausfällen von Infrastruktur erleidet – siehe Potsdamer Rathaus.
Und zugleich muss ich darauf hinweisen, dass die Millionenschäden, die wir bisher in Deutschland durch Hackerangriffe gesehen haben, in aller Regel „nur“ die Folge von „ganz normaler“ Kriminalität sind und noch sehr weit von den leider durchaus realistischen worst-case-Szenarien entfernt sind, was noch passieren könnte, wenn wir nicht sehr schnell einen radikalen Kurswechsel hinbekommen um den sicheren Betrieb unserer digitalen Infrastrukturen wirklich zu priorisieren.
Wir brauchen dringend einheitliche Mindeststandards für den IT-Betrieb in Kommunen und gleichzeitig die Unterstützung von Bund und Ländern, damit diese auch realistisch umgesetzt werden können. Und zwar nicht irgendwann, sondern sehr, sehr schnell. Und da appelliere ich hier noch einmal an Innenminister Stübgen, die Augen nicht vor den Zuständen zu verschließen und bei der Umsetzung der Europäischen NIS-2-Richtline die Kommunen sowie sensible Bildungseinrichtungen nicht außen vor zu lassen.
Wenn Frau Hartge im Ausschuss berichtet, dass teilweise staatliche Stellen Datenschutz und Informationssicherheit zugunsten einer schnellen, und scheinbar weniger aufwändigen Lösung zur Seite schieben, dann macht mir das sehr große Sorgen um die Sicherheit des Standortes Deutschland und das Vertrauen der Bürger*innen in unseren Staat. Daher danke ich der LDA gerade hier für Ihr Engagement, und auch die Ankündigung, zukünftig neben der Beratung von Behörden, dort wo nötig gegebenenfalls auch stärker mit Verwarnungen und anderen Instrumenten zu arbeiten.
Meine Damen und Herren, ich würde gerne noch auf viele andere Themen des Berichts eingehen, aber die Redezeit ist endlich und vieles haben wir auch schon gehört. Meine Fraktion und ich danken Ihnen, Frau Hartge und ihrem ganzen Team, dass sie ganz genau hinsehen, prüfen, unterstützen, aber auch den Finger in die Wunde legen. Vielen Dank für die tägliche Arbeit, die hinter diesem Bericht steht!