SPIEGEL ONLINE

SPIEGEL ONLINE

27. Oktober 2018, 18:20 Uhr

Hamburgs Datenschützer Caspar

Dieser Mann legt sich mit Google und Facebook an

Von

Datenschützer Johannes Caspar versucht seit Jahren hartnäckig, die Daten der Deutschen vor Facebook und Google zu schützen. Jetzt verkompliziert die neue Datenschutz-Grundverordnung alles. Was treibt ihn an?

"Die lasse ich so, auspacken lohnt sich eh nicht." Johannes Caspar sitzt in seinem Büro und zeigt auf zwei braune Umzugskisten an der Wand. Auf dem Schreibtisch liegt ein aufgeschlagener armdicker Gesetzestext, die Computerkabel rollen sich gen Steckdose. Caspar hat sich provisorisch eingerichtet, es reicht zum Arbeiten. Und das wiederum reicht Caspar. Man muss pragmatisch denken, vielleicht hat sein Job ihn das gelehrt.

Seit 2009 ist Jurist Caspar der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Er ist damit zuständig für Facebook und Google, denn beide haben in Hamburg ihren Deutschlandsitz. Der Datenschützer beschäftigt sich mit dem weltweiten Datenskandal um Cambridge Analytica und der umstrittenen Datenweitergabe von WhatsApp an den Mutterkonzern Facebook. Der Hamburger Verkehrsverbund HVV und Hamburger Unternehmen wie Xing fallen ebenfalls in seinen Zuständigkeitsbereich - genauso wie das werbefinanzierte SPIEGEL ONLINE.

Caspars zähes Ringen um Datenschutz zeigt, wie schwer es für den Staat ist, Schritt zu halten mit den digitalen, globalen Datendiensten. Die Datenschützer an der Elbe haben 21 Vollzeit-Stellen. Die Tech-Konzerne aus dem Silicon Valley haben Milliardenumsätze - und keine große Lust, sich von Hamburg aus das Geschäftsmodell vermiesen zu lassen.

"Als Datenschützer rollt einem die Stadt nicht unbedingt den roten Teppich aus"

Diesen Sommer kamen für Caspar die Platzprobleme hinzu. Bevor seine Behörde in neue Büros umziehen konnte, ging es übergangsweise für vier Monate ins schmucklose Gebäude des Bezirksamts Hamburg-Mitte, Abteilung Grundsicherung und Soziales. Vor der Eingangstür steht der Zigarettenrauch der Wartenden in der Luft, es riecht nach Urin.

"Als Datenschützer rollt einem die Stadt nicht unbedingt den roten Teppich aus", sagt Caspar. Das ist ein typischer Satz für ihn, aus drei Gründen:

"Wir fahren immer über Last"

Caspars Behörde ist nicht nur Kontrollinstanz für die Wirtschaft, sondern auch die Verwaltung der Stadt. Viele Freunde bringt das nicht. Aber viel Arbeit.

Caspar sagt: "Wir fahren immer über Last, das ist unser Grundproblem. Wer mal einen Tag nicht da war, kriegt einen Stapel Akten reingetragen." Er hält die Hand auf Kopfhöhe, um die Höhe des besagten Stapels anzuzeigen. "Das macht keinen Spaß."

In der Affäre um Cambridge Analytica musste Caspar sich jüngst geschlagen geben. Im April hatte er ein Verfahren wegen "Erhebung von Daten ohne Rechtsgrund" auf den Weg gebracht. Im August stellte er es ein. Die meisten Datenabrufe, um die es in dem Fall ging, waren schon verjährt.

Caspar wirft WhatsApp "Irreführung der Nutzer" vor

Im Streit um WhatsApp gelang es Caspar besser, den Konzern in Schach zu halten, zumindest bislang. 2014 übernahm Facebook WhatsApp für 22 Milliarden Dollar. Damals sicherte der Konzern zu, dass es keinen Datenaustausch geben solle. Später wollte Facebook dann aber doch an die Nutzerdaten seines teuren Zukaufs, zum Beispiel an die Handynummern der WhatsApp-Nutzer. In Deutschland sind das etwa 35 Millionen Menschen.

Caspars Antwort auf das Vorgehen: eine Verwaltungsanordnung. Sie untersagte es dem Konzern, Daten von deutschen WhatsApp-Nutzern zu speichern. Die Hamburger Behörde sah eine "Irreführung der Nutzer und der Öffentlichkeit", sowie einen "Verstoß gegen das nationale Datenschutzrecht".

Es gab einen vorläufigen, europaweiten Stopp der Datenweitergabe, das Verwaltungsgericht Hamburg bestätigte 2017 im Grundsatz Caspars Anliegen.

Facebook verweist auf Irland

Doch anstatt die Forderungen der Hamburger Datenschützer zu akzeptieren, arbeitete Facebook beharrlich daran, die unliebsamen Kontrolleure komplett loszuwerden: Der Konzern vertritt die Ansicht, dass Hamburg überhaupt nicht zuständig sei - und stattdessen das lockere irische Datenschutzrecht für Facebook gelte. Dort hat die Firma ihren EU-Sitz.

Ausgerechnet die neue Datenschutz-Grundverordnung (DSGVO), die Nutzer besser schützen soll, hat dem Konzern hier nun einen Erfolg beschert: Seit dem endgültigen Inkrafttreten der DSGVO ist Irland die federführende Facebook-Kontrollstelle für Europa. Caspars Anordnung ist nicht mehr gültig. Sein juristischer Sieg ist zu einem temporären Achtungserfolg zusammengeschmolzen.

"Da wird dann auch mal gestritten"

"Das ist ein Ärgernis", sagt Caspar. Er weiß, dass seine irischen Kollegen den Fall nicht so streng sehen wie er. Aufgeben wird er aber nicht, er will seine Anordnung nun auf EU-Ebene verteidigen. "Die Fronten verlagern sich. Jetzt geht es darum, zunächst im Europäischen Datenschutzausschuss das Vorgehen gegen die internationalen Internetkonzerne abzustimmen. Da wird dann auch mal gestritten", sagt er. Dann ergänzt er wieder einen für ihn typischen Satz: "Es geht dabei jedoch um die Sache, nicht darum, Kollegen an den Pranger zu stellen."

Caspar glaubt, dass es wichtig ist, sich auch mit den Großen anzulegen: Am Ende entscheidet sich hier, ob es gelingt, den Datenschutz auch gegenüber den Big Playern durchzusetzen. "Gelingt dies nicht, wird das Konzept der Datenschutzgrundverordnung scheitern."

DSGVO lässt Zahl der Eingaben explodieren

Die DSGVO bringt für Caspars Behörde nicht nur dieses Problem mit sich: Die Hamburger werden - wie auch viele Datenschutzbehörden der 15 anderen Bundesländer - von Anfragen und Beschwerden rund um die DSGVO überschwemmt. Caspar spricht für Hamburg von einer Steigerung von mehr als 100 Prozent.

Die DSGVO beschert den Hamburger Datenschützern nicht nur mehr Arbeit, sondern auch ein Imageproblem. Vereine, Schulen, Fotografen und Blogger waren verunsichert. Aus Angst vor DSGVO-Verstößen kam es zu drastischen Reaktionen, zum Beispiel geschwärzten Kinderfotos im Album einer Kita - oder einer Posse um Klingelschilder ohne Namen in Wien. Die DSGVO präsentiert Datenschutz als Bürokratiemonster aus Brüssel.

Ulrich Kühn ist Informatiker und arbeitet seit 27 Jahren in der Datenschutzbehörde. Als Caspars Stellvertreter und Leiter des Referats D6 beschäftigt er sich zum Beispiel mit der Software der zu prüfenden Angebote. Früher, sagt er, habe es die Vorstellung gegeben, dass man der ganzen Datenflut noch irgendwie Herr werden könne. Die hätten viele Betroffene mittlerweile nicht mehr. "Die DSGVO verkörpert für mich den Anspruch, die Kontrolle jetzt wieder zurückzubekommen", sagt Kühn. "Das halte ich zwar für kaum möglich. Aber es ist ganz wichtig, diesen Anspruch nicht aufzugeben."

Eine unmögliche Aufgabe tagein, tagaus zu verfolgen und sie trotz aller Mühen letztlich nie erfolgreich abschließen können: Das ist die Sisyphusarbeit eines modernen Datenschützers. Es kann nur Etappensiege geben.

Den Überblick nicht verlieren

"Wir gewöhnen uns an Dinge, die wir vor ein paar Jahren noch entsetzlich fanden", hat Kühn beobachtet. Sogar der Zeitgeist scheint gegen die Datenschützer zu arbeiten. Im Alltag erscheint ihr Anliegen vielen Deutschen oft als Hemmnis, als lästiger Wurmfortsatz der Digitalisierung. Sie finden es immer öfter in Ordnung, mit Daten für Dienste zu bezahlen, dass sie eigentlich kaum wissen, wohin diese Daten überall gelangen, dass AGB unlesbare Paragrafenwüsten sind, die kein Mensch versteht, und dass ihre Gesichter ständig gefilmt werden.

Während die meisten den Überblick schon lange verloren haben, fragt ein Datenschützer wie Caspar, wie das jetzt nochmal genau war und welche Daten wo wie lange erhoben, gespeichert und verarbeitet werden.

Wie kann er nicht das Gefühl haben, auf verlorenem Posten zu kämpfen?

Argumente statt Ideologie

Er erinnert sich an einen seiner ersten großen Fälle, den fast zehn Jahre zurückliegenden Streit um Googles Dienst Street View. Straßenteile wurden dabei von einem Kamera-Auto fürs Netz abfotografiert. "Das war der letzte große Kampf der analogen gegen die digitale Welt", sagt Caspar.

Heute ist Google Street View ein Beispiel für eine Neuerung, über die sich längst niemand mehr aufregt - längst plant der Staat nach Tests am Berliner Bahnhof Südkreuz biometrische Gesichtserkennung per Videoüberwachung. Das vermeintliche Super-Argument der Sicherheit lässt aus Sicht vieler Menschen Datenschutzbedenken oft merkwürdig kleinkariert wirken.

Caspar glaubt trotzdem nicht, dass die Aushöhlung des Datenschutzes zwangsläufig immer weitergehen muss: "Man kommt dagegen an, wenn man rational argumentiert und nicht ideologisch", sagt Caspar. In teils hitzig geführten Diskussionen, zum Beispiel um die umstrittene Verarbeitung von Gesichtsdaten anlässlich des G20-Gipfels in Hamburg, prüft Caspar stoisch: War das überhaupt gesetzlich zulässig?

Caspar sagt: "Man versucht eben, das Beste für den Datenschutz rauszuholen, was geht." Vielleicht schützt genau diese Haltung die Datenschützer davor, zu kapitulieren.

URL:

Verwandte Artikel:


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung