Es ist ein Paradoxon: Mit fortschreitender Digitalisierung, Künstlicher Intelligenz und Cyberwar wären Datenschutz und Datensicherheit eigentlich immer wichtiger. Doch ausgerechnet jene, die sich von Amts wegen darum kümmern müssen, werden immer leiser.

Wann haben Sie zuletzt von den Datenschutzbeauftragten gehört? Heise-Meldungen gelten dafür nicht, aber auch unter diesen finden sich inzwischen zahlreiche eigentümliche Exemplare. Etwa die, dass der europäische Datenschutzbeauftragte Wojciech Wiewiórowski keine rechtlichen Einwände mehr gegen die Nutzung von Office 365 durch die Europäische Kommission vorbringt. Ein Thema, bei dem die deutschen Datenschutzaufsichtsbehörden seit fünf Jahren keine Lösung herbeigeführt haben — genau so wenig wie Anbieter Microsoft.

In der Debatte um die elektronische Patientenakte spielt das CCC-Umfeld eine ungleich wichtigere Rolle, beim Thema Digitale Identitäten ist das BSI weitgehend alleine unterwegs. Wie kann es sein, dass im Zeitalter angewandter künstlicher Intelligenz und damit der Auswertung und Verknüpfung großer Datenbestände ausgerechnet die Datenschutzbeauftragten auffallend leise sind? Müssten sie nicht derzeit mehr zu tun haben und präsenter sein, denn je zuvor?

Datenschutz wäre eigentlich immer relevanter

Der Datenschutz ist von einer theoretischen Diskussion über Machtpotenziale wie im Volkszählungsurteil längst zu einem ganz praktischen Thema geworden, das überall eine Rolle spielt. Es gibt mehr vernetzte Geräte als je zuvor. Und es gibt mehr Sensorik, die darin steckt, jede Menge Software, die irgendwelche Daten abgreift. Für Unternehmen und Organisationen gibt es kaum einen Grund, sie nicht einzusetzen.

Moderne Autos etwa stecken voller Sensorik, unter anderem Kameras. Und wohin diese Daten gehen, wie sie verarbeitet werden, durch wen und was mit diesen geschieht? Ein überaus alltagsrelevantes Thema. Und auch in Deutschland sitzt eine Vielzahl an Autoherstellern — oder europäische Firmenzentralen derselben, sodass deutsche Aufsichtsbehörden zuständig sind.

Doch von kritischer Draufsicht ist dort regelmäßig nichts zu sehen. Selbst wenn in anderen Ländern rund um den Globus die Thematik wie die der potenziellen Schnüffelautos aufgegriffen wird, die Erna und Dieter im Garten, am Zebrastreifen und beim Wildpinkeln filmen, deren Sensorik für Polizei eine Fundgrube wäre, von deutschen Aufsichtsbehörden hört man dazu: so gut wie nichts.

Da gibt Niedersachsens Beauftragte mal bekannt, sich in enger Abstimmung mit Volkswagen und anderen Aufsichtsbehörden zu befinden. Aber tatsächliches handeln? Nur in den seltensten Fällen passiert etwas.

Sprechen ist wie Aufsicht, nur billiger

Das liegt auch an den Datenschutzaufsichtsbehörden. Die haben über die Jahre zwar mehr Personal bekommen. Aber dass sie tatsächlich ihr Gebiss poliert und kräftig zugebissen hätten, kann nicht seriös berichtet werden. Wer sollte es Unternehmen oder Behörden also verdenken, dass sie im Wissen darum, dass die Aufsichtsbehörden zwar maulen, am Ende aber doch vor einer härteren Gangart meist zurückschrecken, auf nichts Substanzielles verzichten würden?

Talk is cheap, heißt es in der Politik. Und aufsichtsbehördliches Handeln ist teuer: das wäre mit Papierkrieg, Zeitaufwand und möglicherweise auch zu verlierenden Gerichtsprozessen verbunden.

Natürlich lässt sich hervorragend darüber streiten, inwieweit Deutschlands Datenschutzdiskussionen teils etwas artifiziell geraten sind. Immerhin gibt es kein Land auf diesem Planeten mit mehr juristischen Fachzeitschriften, in denen selbst die absonderlichsten und interessengeleiteten Interpretationen des Datenschutzrechts breit ausgewalzt werden, um dann im Diskurs als veröffentlichte und somit absolut seriöse Argumente vorgetragen zu werden. Wer mit Anwälten spricht, die vom Fach sind, bekommt schnell ein Gefühl dafür, wie viele der Debatten primär dazu da sind, Verfahren jeder Art in die Länge ziehen zu können und Rechtsklarheit zu vermeiden.

Doch es gehört zu den wundersamen deutschen Eigenschaften, daran zu glauben, dass Deutschland im digitalen Raum von besonders scharf durchgreifenden und die Beteiligten verunsichernden Aufsichtsbehörden stranguliert würde. Irgendwie scheint dieses Narrativ immer noch zu verfangen.

Dabei gibt es wirklich erstaunliche Fälle: Der Hessische Datenschutzbeauftragte etwa wurde verklagt, weil er meinte, dass er Bürgerbeschwerden nicht scharf nachgehen müsse. Und bekam vor dem EuGH Recht: das sei durchaus die Rechtslage.

Ein absurder Fall: Bürger verlangen von Aufsichtsbehörden, Verstöße schärfer zu ahnden – und die wollen das auf keinen Fall müssen. Auch in anderen Fällen werden inzwischen Datenschutzaufsichtsbehörden verklagt, weil sie zu wenig tun.

Schuld trägt vor allem die Politik

Diese Situation ist nur zum Teil das Verschulden der oftmals eher spröden und nicht gerade als Karrieresprungbrett für Beamte bekannten Behörden. Der Großteil der Misere ist politisch gewollt — und längst bis in weite Teile der Grünen hinein hat sich die Überzeugung durchgesetzt, dass Datenschutz der Digitalisierung im Weg stehen würde.

Ein Grund, warum etwa die grün-schwarze Landesregierung in Hessen weder etwas gegen die IP-Vorratsdatenspeicherung noch gegen Palantirs Analysesoftware bei der Landespolizei einzuwenden hat. Und die FDP? Die hatte damit in Teilen auch schon lange ihre Probleme. Mit ihrem bundespolitischen Ausscheiden allerdings ist ihre Bedeutung derzeit vernachlässigbar. Doch auch sie frönte zuletzt einem Narrativ, das von CSU bis Grünen gepflegt wird: Es braucht einen ganz anderen Ansatz, um Digitalisierung und Datenschutz zusammenzubekommen.

Statt knallharter behördlicher Aufsicht, die Verfehlungen ahndet, soll ein Wischi-Waschi-Beratungsauftrag erfüllt werden. Und nur bei den ganz, ganz unbelehrbaren soll wirklich einmal durchgegriffen werden. Vielleicht aber besser auch nur dann, wenn das nicht der Wirtschaft schadet. Denn es ist ja auch alles schrecklich kompliziert, vom Datenschutz über die KI-Verordnung und den Data und Data Governance Act bis hin zum Digital Services Act greifen Regelungen ineinander und teilweise aneinander vorbei, regeln ähnliche Sachverhalte und erlauben und verbieten ganz unterschiedliche Dinge.

Und wenn die Politik so komplizierte Geflechte in die Welt setzt, was läge da näher, als, man ahnt es bereits, deren Anwendung im Nachhinein abzuschwächen? Indem aus einer Aufsicht mit Kontrollfunktion eher eine Pausenaufsicht wird, die pädagogisch wertvoll den Kindern bei der Einhaltung der Regeln unter die Arme greift und nur im Ausnahmefall Sanktionen ergreift?

Unabhängig, aber bitte nicht zu kritisch

Die Politik erklärt Unternehmen, Behörden und Organisationen seit Jahren in gewisser Weise für zu blöd, Regeln zu verstehen und einzuhalten, nachdem diese über Jahre die ach so große Komplexität beklagt haben. Kein Phänomen des Datenschutzes alleine, aber hier ist es besonders auffällig: seitdem Datenschutz politisch stärker unter Druck steht und zum Sündenbock für die sowohl von Politik, Behörden und Unternehmen an vielen Stellen schlicht nicht oder falsch angegangene Digitalisierung erklärt wurde, agieren diese immer vorsichtiger.

Auch deshalb, weil Vertreter einer härteren Linie unter den Datenschutzbeauftragten von der Politik zuletzt mehrfach abgesägt wurden oder die Stellen schlicht über Monate und Jahre gar nicht mehr besetzt wurden, sind die heutigen Datenschutzaufsichtsbehörden in weiten Teilen als Verwaltungsaufsichten besetzt – die formelle Unabhängigkeit, die die Datenschutzgrundverordnung vorschreibt, endet schnell.

Eine Möglichkeit: die Zuständigkeiten zu verschieben. Das droht etwa bei der Datenschutzaufsicht über die Nachrichtendienste schon seit einer ganzen Weile: Egal wie freundlich die Datenschützer mit den Diensten umgehen, egal, wie wenig sie real kontrollieren oder einwenden, die Kontrollkompetenz wollte schon der ehemalige Kanzleramtsminister Wolfgang Schmidt (SPD) lieber an eine andere Stelle auslagern, den Unabhängigen Kontrollrat, der die Nachrichtendienstarbeit auch sonst kontrolliert.

Dass spätestens da, wo Bundesnachrichtendienst, Bundesamt für Verfassungsschutz und der Militärische Abschirmdienst mit dem Bundesamt für Migration und Flüchtlinge, mit Landesämtern für Verfassungsschutz oder dem Bundeskriminalamt interagieren dann doch wieder die jeweiligen Datenschutzaufsichtsbehörden ins Spiel kommen: in der politischen Debatte lässlich. Denn es ginge ja darum, den Datenschutz „zurechtzustutzen“.

Ein ähnliches politisches Signal: bei staatlichen Vorhaben wird in Gesetzen vom sogenannten „Einvernehmen“ auf ein „Benehmen“ reduziert. Sprich: Statt dass die Datenschutzaufsicht grünes Licht geben müsste, reicht es, dass sie ihre Bedenken zu Protokoll gegeben hat. Datenschützer nerven und damit sollen sie aufhören, egal ob Vorratsdatenspeicherung, Gesundheitsdaten oder KI-Einsatz bei Videoüberwachung durch Polizei oder in anderen Kontexten.

Nicht nur Datenschutzaufsicht unter Beschuss

Damit sind die Datenschützer am Ende nicht allein. Exakt das gleiche Schicksal droht derzeit in anderen Bereichen: Weil die KI-Verordnung kompliziert ist, soll die zuständige Behörde viel weniger sanktionieren als vielmehr protegieren. Und weil das auch für die Cybersicherheit gilt, soll natürlich auch bei der NIS2-Richtlinie das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor jedem Eingreifen doch bitte möglichst die Hand reichen, um darbende deutsche Unternehmen bei der Regeleinhaltung zu unterstützen. Der Präsident der Bundesnetzagentur hat viele Male öffentlich betont, wie wichtig die Beratungsfunktion bei der deutschen Umsetzung der KI-Verordnung ist. Als ob Aufsichtsbehörden Consultingfirmen wären.

Digitalpolitik ist Machtpolitik heißt es im Koalitionsvertrag zwischen CDU, CSU und SPD. Und genau das ist es, worum es derzeit an vielen Stellen geht: Statt einem behördlichen Aufsichtsregime soll eine Art Digitalisierungsförderung stehen. Gegen letzteres spricht eigentlich auch wenig – aber es ist eine völlig andere Aufgabe, die in Aufsichtsbehörden wenig verloren hat. Niemand käme auf die Idee, etwa die Wirtschaftsförderung eines Bundeslandes mit der Bau-, Lebensmittelaufsicht oder den finanzbehördlichen Aufgaben zu betrauen. Aber vielleicht ist das auch nur noch eine Frage der Zeit, bis die Steuerfahndung als Steuerberater für darbende deutsche Unternehmen tätig werden soll?

So ist es fast schon als Glücksfall zu betrachten, dass sich zumindest beim Datenschutz ein anderer Zweig der Rechtsdurchsetzung inzwischen alternativ herausgebildet hat: Immer häufiger müssen sich Unternehmen Massenverfahren beim immateriellen Schadenersatz stellen. Die jeweils eingeklagten Summen pro Fall sind in der Regel marginal – doch je mehr Betroffene diese Rechte geltend machen, umso höher sind die Risiken, die mit Schlamperei beim Datenschutz verbunden sind.

Zumindest solange, bis die Politik auch hier ein Risiko für die Wirtschaft sieht und die rechtlichen Regeln dafür wieder abändert. Die Datenschutzaufsichtsbehörden können sich über die Entlastung freuen. Und weiter in Arbeitskreisen Positionspapiere schreiben, warum es auf den Einzelfall ankommt, ob die datenschutzrechtliche Bewertung des Einsatzes dieser oder jener Software zu kritisieren wäre.

Vielleicht ist es also einfach an der Zeit, einzusehen, dass Digitalisierung nur dann Regeln folgt, wenn die Bürger in allen Feldern die Möglichkeit bekommen, böswillige oder schlampende Akteure in Grund und Boden zu klagen – dann können die staatlichen Aufsichtsbehörden sich auf die politisch derzeit gewünschte Beratungsleistung konzentrieren.

(nen)