Berlin. Der Bundesdatenschutzbeauftragte Ulrich Kelber über den Hacker-Angriff auf Politiker und die Gefahren automatischer Gesichtserkennung.

Einen lebhafteren Start ­hätte sich Ulrich Kelber nicht ausdenken können. Zwei Tage vor seinem Amts­antritt wurde ein

Auch interessant

ARCHIV - 02.11.2017, Baden-Württemberg, Rottweil: ILLUSTRATION - Ein Mann tippt auf einer beleuchteten Tastatur eines Laptops. Auf dem Monitor ist ein Hacker-Programm geöffnet. (zu dpa «Sondersitzung zum Datenklau: Kritische Fragen an Seehofer» vom 10.01.2019) Foto: Silas Stein/dpa +++ dpa-Bildfunk +++
Datenleak: Verdächtiger war Behörden wohl länger bekannt

bekannt, der grundlegende ­Fragen der Abwehrfähigkeit berührt. In seinem ersten großen Interview fordert der Bundesdatenschutzbeauftragte, der Andrea Voßhoff nachfolgt, Konsequenzen.

Grünen-Chef ­Robert Habeck hatTwitter und Facebook verlassen. Ein Vorbild für den Datenschutz?

Ulrich Kelber: Robert Habeck hat persönliche Daten verloren und er beklagt einen negativen Einfluss von Twitter auf die politische Kommunikation. Als Datenschützer habe ich vor allem Pro­bleme mit dem Geschäftsmodell von Facebook, dem Umgang des Konzerns mit Daten. Es wird eine unglaubliche Datenmenge produziert, die Rückschlüsse auf die Nutzer zulässt. Dabei ist es völlig unklar, wie mit diesen Informationen umgegangen wird.

Wie schützen Sie sich?

Kelber: Ich versuche, meine eigenen Sicherheitsanforderungen relativ hochzuhalten. So verwende ich immer starke Passwörter, die sich für jeden Dienst unterscheiden. In Clouds lege ich nur Daten ab, die notfalls auch von Dritten gesehen werden können. Zusätzlich werden die Daten noch verschlüsselt. Und gegen Angriffe schütze ich mich nicht nur technisch, sondern auch nach dem GMV-Prinzip – ich nutze also den gesunden Menschenverstand, bevor ich den Anhang einer Nachricht öffne.

Hat Sie der Hacker-Angriff eines 20-Jährigen auf Hunderte Politiker, Journalisten und Künstler überrascht?

Kelber: Wir haben noch keine endgültige Aufklärung, welche Wege der Hacker genutzt hat. Es sollte jedenfalls eine Sensibilisierung geben, wie schnell unzureichender Eigenschutz zu einem echten Erdrutsch führen kann, der andere in Mitleidenschaft zieht. Wenn man eine bestimmte Funktion erreicht hat in einer Partei, dann verfügt man über hochsensible Kontaktdaten dritter Personen. Aus diesem Grund würde ich übrigens auch nie Nachrichten-Apps wie WhatsApp benutzen, wo man für die volle Funktionalität seinen gesamten Kontaktordner anbieten muss. Aber das ist nicht die einzige Konsequenz, die ich für erforderlich halte.

Was verlangen Sie noch?

Kelber: Es gibt Hinweise, dass Internetunternehmen bei der Eindämmung des Falls nicht gut genug mitgearbeitet haben. Twitter war offenbar nicht schnell genug zu erreichen. Wichtig wäre gewesen, sofort die betroffenen Links abzuschalten. Dann wäre die Verbreitung der Daten extrem verlangsamt worden. Jetzt werden Familienfotos und andere private Dinge von Personen des öffentlichen Lebens immer wieder im Netz auftauchen. Das ist hochproblematisch. Außerdem müssen die Datenschutzbehörden bei Cyber-Angriffen in die Meldewege rein. Wenn die zuständigen Behörden aus den Medien von Schutzlücken erfahren, ist das eindeutig zu spät. Datenschutzbehörden haben Anordnungsrechte auch gegenüber Unternehmen. Da hätten 24 oder 26 Stunden viel gebracht.

Andere fordern einen digitalen Gegenschlag.

Kelber: Für den Datenschutz bringt ein Hack-back gar nichts. Ich empfehle drei Konsequenzen, die ich eben kurz umrissen habe: Erstens brauchen wir einen verbesserten Eigenschutz. Zweitens: Internetkonzerne müssen im Fall von Hacker-Angriffen klar zur Mithilfe verpflichtet werden. Außerdem sollten die Unternehmen ihre Systeme für Nutzer so sicher wie möglich gestalten – etwa durch starke Passwortvorgaben. Und drittens müssen die Datenschutz-Aufsichtsbehörden in die Prozesse der ­Sicherheitsbehörden bei der Bearbeitung entsprechender Vorfälle eingebunden werden.

Seehofer will nach Hackerattacke Europawahl gegen Manipulation absichern

weitere Videos

    Was können Schulen zu Datenschutz und Datensicherheit beitragen?

    Kelber: Ich werde jetzt kein eigenes Schulfach fordern. Aber man könnte das Thema bündeln in einem Fachbereich, der auch lebensnahe Fragen zu Wirtschaft oder Gesundheit behandelt. Datenschutz muss auf jeden Fall sinnvoll in die Lehrpläne eingebunden und selbstverständlicher Bestandteil des Schulunterrichts werden. Ebenso wichtig ist es, Lehrerinnen und Lehrer entsprechend fortzubilden und die Schulen mit geeignetem Lehrmaterial auszustatten. Die unabhängigen Datenschutzbeauftragten werden hierbei gerne unterstützend zur Verfügung stehen.

    Beeindruckt das Jugendliche, die nicht mehr Arzt oder Pilot werden wollen, sondern Influencer bei Youtube, also Werbeträger auf einem Videoportal?

    Kelber: Junge Menschen neigen dazu, Gefahren zu unterschätzen. Das ist seit Jahrtausenden so und keine Folge der Digitalisierung. Ich denke: Wenn man Kindern deutlich macht, was auf dem Spiel steht, entwickeln sie schon eine Sensibilität.

    Was sollten Eltern tun?

    Kelber: Ein Stück weit Schritt halten mit der Digitalisierung – sich mit den digitalen Themen der Kinder beschäftigen und sie zu einem verantwortungsvollen Umgang erziehen.

    Die Literatur hat in den vergangenen Jahrzehnten manches Horrorszenario zum Verlust der Privatsphäre entworfen – und ist von der Wirklichkeit ein ums andere Mal übertroffen worden. Welchen Autor der Gegenwart halten Sie für besonders weitsichtig?

    Kelber: Aktuell lese ich viel von Jaron Lanier, Entwickler des ersten Datenhandschuhs und einer der Väter der virtuellen Realität. Der empfiehlt zum Beispiel, dass man seine Accounts in den sozialen Netzwerken sperren sollte, weil deren Geschäftsmodell als solches dafür sorgt, dass man zum Instrument von Internetkonzernen wird. Robert Habeck würde seine Freude haben an Laniers Werk. (lacht)

    China ist dabei, den Überwachungsstaat zu perfektionieren. Ist der Westen gegen solche Entwicklungen immun?

    Kelber: Was wir inzwischen in China erleben, ist totale Überwachung, die jede Science-Fiction-Fantasie übersteigt. Ich möchte daher keinen Vergleich zwischen China und europäischen Rechtsstaaten ziehen.

    Videoüberwachung und automatische Gesichtserkennung werden auch hierzulande ausgebaut.

    Kelber: Richtig ist, dass Staaten wie Deutschland seit den Terroranschlägen von 2001 die Befugnisse der Sicherheitsbehörden ­extrem erweitert haben, aus Sicht von uns Datenschützern schon zu weit. Forderungen nach einer Ausweitung von ­Videoüberwachung und automatischer Gesichtserkennung halte ich für hochproblematisch – alleine schon wegen der Fehlerquote. Menschen geraten zu Unrecht unter Verdacht. Wir drohen die Balance zwischen Sicherheit und Freiheit zu verlieren.

    Wie denken Sie über die Vorratsdatenspeicherung?

    Kelber: Eine anlasslose Speicherung von Telefon- und Internetverbindungsdaten halte ich für grundrechtswidrig. Erst einmal alles über alle zu sammeln und dann zu schauen, ob man es irgendwie verwenden kann – das geht nicht. Die deutsche Regelung zur Vorratsdatenspeicherung sollte nicht nur ausgesetzt bleiben, sondern abgeschafft werden. Ich rate auch dringend davon ab, einen neuen europä­ischen Rahmen für eine anlasslose Speicherung zu schaffen.

    Sicherheitsbehörden werfen Ihnen vor, die Abwehr von Terroranschlägen und die Bekämpfung der organisierten Kriminalität zu erschweren.

    Kelber: Es gibt weder endgültige Hinweise darauf, dass die Vorratsdatenspeicherung völlig unwirksam ist, noch darauf, dass sie ein entscheidendes Instrument im Kampf gegen Terror und Kriminalität ist. Wenn aber eine Sicherheitsmaßnahme dermaßen weitgehend in die Grundrechte der Bürgerinnen und Bürgern eingreift, muss deren Erforderlichkeit eindeutig belegt sein.

    Ulrich Kelber, Bundesdatenschutzbeauftragter, in seiner Berliner Außenstelle.
    Ulrich Kelber, Bundesdatenschutzbeauftragter, in seiner Berliner Außenstelle. © Reto Klar | Reto Klar

    Die Staatsministerin für Digitalisierung, Dorothee Bär, will den Datenschutz „an der einen oder anderen Stelle abrüsten, einige Regeln streichen und andere lockern“. Ihre Begründung: Der Datenschutz blockiere ­viele Entwicklungen, gerade im Gesundheitswesen. Was entgegnen Sie?

    Kelber: Ich will mal hoffen, dass spätestens seit dem 5. Januar – dem Bekanntwerden des Hackerangriffs – nun alle staatlichen Stellen für Datenschutz werben. Mich ­ärgert, dass Frau Staatsministerin Bär einen so pauschalen Vorwurf erhebt. Es gibt überhaupt keinen Anlass, den Datenschutz abzubauen – ganz im Gegenteil. Und was das Gesundheitswesen angeht: Personenbezogene Gesundheitsdaten sollten nicht auf ungeschützten Infrastrukturen liegen. Die Verzögerungen bei der elektronischen Gesundheitskarte sind ganz bestimmt nicht durch den Datenschutz entstanden.

    Europa hat ein Regelwerk – die sogenannte Datenschutz-Grundverordnung – in Kraft gesetzt, das den Datenschutz in der EU ­vereinheitlichen und ins Internetzeitalter befördern soll. Gut gemeint, schlecht gemacht? Oder wie lautet Ihre erste Bilanz?

    Kelber: Die Datenschutz-Grundverordnung ist auf jeden Fall ein bedeutender Schritt für den Datenschutz, der in Teilen aber noch weitergegangen werden müsste. Der Bereich Profiling und Scoring – also das Anlegen von Persönlichkeitsprofilen und die Bewertung des Verhaltens von Privatpersonen durch staatliche Stellen oder private Unternehmen – muss dringend nachgeschärft werden. Wir brauchen klare Beschränkungen für das Erstellen eines Profils. Und bei Bewertungen – etwa der Kreditwürdigkeit einer Person – muss transparenter werden, nach welchen Kriterien sie zustande kommen. Diese Punkte müssen bei der Evaluierung des Gesetzes dringend in den Fokus genommen werden.

    Klingt auch nach mehr Bürokratie.

    Kelber: Wir sollten uns bei der ersten Überprüfung der Datenschutz-Grundverordnung auch anschauen, ob man bürokratischen Aufwand verringern kann. Einen Anlass, das Datenschutzniveau zu senken, gibt es aber sicherlich nicht.

    Was wollen Sie in Ihrer fünfjährigen Amtszeit erreichen? Woran lassen Sie sich am Ende messen?

    Kelber: Wir haben Datenschutzregeln euro­päisch vereinheitlicht. Jetzt geht es ­darum, sie in der Praxis durchsetzen. Dabei müssen die Datenschutzbeauftragten der EU-Staaten als ein mächtiger europäischer Block auftreten, der die Interessen von 450 Millionen Bürgern vertritt.