Interview mit Thomas Kranig
Der "Klick-Kontrolleur"

Thomas Kranig (Bildmitte) ist seit 2011 Präsident des Bayerischen Landeamtes für Datenschutzaufsicht, das für den nicht-öffentlichen Bereich zuständig ist.

Thomas Reiner; HSS

HSS: Herr Kranig, seit 2011 sind Sie Präsident des Bayerischen Landesamtes für Datenschutzaufsicht – was macht Ihre Behörde eigentlich?

Thomas Kranig: "Das BayLDA ist die Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern. D.h. wir kontrollieren die Einhaltung der datenschutzrechtlichen Vorschriften bei Unternehmen, Vereinen und Verbänden, beraten sie und verhängen gelegentlich auch Anordnungen oder Bußgeldbescheide, wenn das Recht nicht eingehalten wird."

HSS: Erklären Sie uns bitte den Unterschied zwischen Ihrem Bayerischen Landesamt für Datenschutzaufsicht und dem Bayerischen Datenschutzbeauftragten.

Thomas Kranig: "Der Bayerische Landesbeauftragte für den Datenschutz ist für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften und Beratung im öffentlichen Bereich, das heißt für Ministerien, Regierungen, Landratsämter, Gemeinden usw. zuständig, wir für den gesamten nicht-öffentlichen Bereich, d.h. Wirtschaft, Vereine, freiberuflich Tätige usw. Vom Status her sind wir beide gleiche unabhängige Aufsichtsbehörden nach dem europäischen Datenschutzrecht."

HSS: Herr Kranig, der Datenschutz ist in aller Munde, insbesondere, weil am 25. Mai die neue Datenschutz Grundverordnung der EU in Kraft tritt. Was verändert sich dadurch?

Thomas Kranig: "Die Datenschutz-Grundverordnung (DS-GVO) schafft einen einheitlichen Rechtsrahmen für ganz Europa und gilt auch für nichteuropäische Unternehmen, die auf dem europäischen Markt agieren (Marktortprinzip). Unternehmen werden noch mehr als bisher verpflichtet, sich selbst Klarheit über den Umgang mit personenbezogenen Daten zu verschaffen, indem sie ein Verzeichnis ihrer Verarbeitungstätigkeiten erstellen müssen. Sie werden ferner verpflichtet, gegenüber den betroffenen Personen, d.h. den Menschen, mit deren personenbezogenen Daten sie umgehen, Transparenz zu wahren und sie zu informieren, welche Daten zu welchem Zweck sie wie lange verarbeiten wollen. Die Betroffenenrechte werden dadurch gestärkt."

HSS: Werden die Daten so besser geschützt? Das ist insbesondere nach dem Facebook-Cambridge-Analytica –Fall, bei dem 87 Millionen Nutzerdaten unrechtmäßig abgeschöpft wurden, ein brandaktuelles Thema.

Thomas Kranig: "Ich denke schon, dass die DS-GVO dazu beitragen wird, dass die Daten der betroffenen Personen besser geschützt werden. Es gibt klare Vorgaben auch für Fragen der Datensicherheit, wie mit den Daten umzugehen ist. Die Höhe der drohenden Sanktionen von bis zu 20.000.000 EUR oder vier Prozent des Weltjahresumsatzes sollten auch dazu beitragen, die Anforderungen ernst(er) zu nehmen."

HSS: Lässt sich derartiges überhaupt vermeiden?

Thomas Kranig: "Datenschutzverstöße und insbesondere auch kriminelles Handeln durch Missbrauch personenbezogener Daten lässt sich nie hundertprozentig ausschließen. Die DS-GVO verpflichtet aber die Unternehmen ein – der jeweiligen Größe des Unternehmens angepasstes – Datenschutz-Managementsystem zu implementieren, durch das Verstöße besser verhindert und schneller erkannt werden können. Wer sein Geschäftsmodell im Wesentlichen auf die Vermarktung personenbezogener Daten gründet, kommt sicherlich viel leichter in Versuchung, die Grenzen der Zulässigkeit auszutesten und Datenschutzverletzungen zu begehen als die Unternehmen, die mit den Daten ihrer Mitarbeiter und Kunden umgehen müssen, um ihr Geschäftsmodell als Handwerker, Verein oder freiberuflich Tätiger ausführen zu können."

HSS: Wie verträgt es sich, dass einerseits die Menschen einen wirksamen Schutz ihrer Daten verlangen, andererseits aber ganz freiwillig in den Sozialen Medien tiefe Einblick in ihr Leben für viele andere gewähren?

 Thomas Kranig: "Diese Frage dürfen Sie nicht mir stellen, sondern den Menschen, die sich so (medizinisch gesehen gespalten, d.h. schizophren) verhalten. Ich verstehe es nicht wirklich."

HSS: Nehmen wir an, Ihre Behörde kommt einem Verstoß gegen den Datenschutz auf die Spur. Welche Maßnahmen dürfen und können Sie ergreifen?

Thomas Kranig: "Wenn wir einen Verstoß feststellen, bietet uns die DS-GVO einen großen Strauß an Möglichkeiten, wie wir damit umgehen können. So können wir den Verantwortlichen (wie die DS-GVO Unternehmen, Vereine oder Verbände, die mit personenbezogenen Daten umgehen, nennt) über den festgestellten Verstoß informieren und uns darauf verlassen, dass er ihn abstellt und nicht wieder begeht. Wir können verwarnen oder ihn, den Verantwortlichen, durch eine Anordnung zu einem bestimmten Handeln oder Unterlassen zwingen. Alternativ oder parallel dazu haben wir die Möglichkeit, Verstöße durch Bußgelder in Höhe von bis zu 20.000.000 EUR oder vier Prozent des Weltjahresumsatzes zu sanktionieren."

HSS: Wie viele Beschwerden erhalten Sie im Laufe eines Jahres?

Thomas Kranig: "Im Jahr 2017 bekamen wir ca. 1.800 Beschwerden und in diesem Jahr schon etwa 1.000. Viel umfangreicher aber sind die Beratungsanfragen von Bürgern und insbesondere Unternehmen, die im letzten Jahr deutlich über 2.000 lagen und in diesem Jahr, d.h. bis Mitte Mai, schon die Zahl von 3.000 überstiegen haben."

HSS: Wie werden diese Beschwerden bearbeitet?

Thomas Kranig: "Wenn Beschwerden eingehen und der Sachverhalt plausibel dargestellt ist (wenn nicht, fragen wir beim Beschwerdeführer nach), teilen wir den Sachverhalt, (in aller Regel) ohne den Namen des Beschwerdeführers zu nennen, dem Verantwortlichen mit und bitten um eine Stellungnahme. Anschließend bewerten wir den Vorgang und teilen das Ergebnis dem Verantwortlichen mit. Dies kann bedeuten, dass wir festgestellt haben, dass kein Verstoß vorliegt oder wenn doch, kann das Ergebnis gegebenenfalls in Verbindung mit Maßnahmen der Verwarnung, Anordnung oder Bußgeld kommuniziert werden. Der Beschwerdeführer erhält eine Information die sich darauf beschränkt, ob ein Verstoß festgestellt wurde und wenn ja, dass die notwendigen Maßnahmen zur Abstellung des Verstoßes in die Wege geleitet bzw. vollzogen wurden."

HSS: Gab es einen besonders erwähnenswerten Fall?

Thomas Kranig: "Ja, aber ich bitte um Verständnis, dass ich aus Gründen des Datenschutzes diese Frage nicht beantworten kann."

HSS: Was reizt Sie persönlich an der Aufgabe?

Thomas Kranig: "Ich fand es im Jahr 2011 sehr spannend, ein neues unabhängiges Landesamt für Datenschutzaufsicht mit aufbauen und die Rahmenbedingungen der Datenschutzaufsicht für den nicht-öffentlichen Bereich in Bayern maßgeblich mitbestimmen zu dürfen. Die Umsetzung des neuen europäischen Datenschutzrechts in Abstimmung mit den anderen deutschen Aufsichtsbehörden und insbesondere den Aufsichtsbehörden in Europa, die nun alle dasselbe Datenschutzrecht zu vollziehen haben, ist eine sehr interessante Aufgabe, die es in kaum einem anderen Rechtsgebiet so geben kann wie im Datenschutz. Datenschutz wirkt in alle Rechts- und Lebensbereiche hinein und betrifft uns alle unmittelbar."

HSS: Was sind aus Ihrer Sicht die größten Herausforderungen für den Datenschutz in der Zukunft?

Thomas Kranig: "Die größten Herausforderungen sind einerseits, die Unternehmen, deren Geschäftsmodell ganz wesentlich der Umgang mit personenbezogenen Daten und die Vermarktung dieser Daten ist, effektiv zu kontrollieren und auf die Einhaltung der datenschutzrechtlichen Vorschriften zu verpflichten.

Mindestens genauso herausfordernd aber ist es, alle betroffenen Personen, das heißt, uns alle zu sensibilisieren, dass wir auf unsere eigenen Daten und die Daten unserer Mitmenschen noch mehr achten als bisher und uns bewusst machen, dass sich durch die zunehmende Digitalisierung und Vernetzung unserer Welt die Flüchtigkeit der Daten massiv erhöht und die Möglichkeit, sie tatsächlich noch kontrollieren zu können, permanent abnimmt. Ohne ein entsprechendes Datenschutzbewusstsein liefern wir uns Unternehmen aus, die dadurch eine Macht bekommen, die für unsere Gesellschaft sehr gefährlich werden kann (bzw. heute schon ist, siehe facebook und Cambridge Analytica)."