Wer in einem Unternehmen oder einer Behörde für den Datenschutz zuständig ist, gilt schnell als Bremser und Blockierer. Anders ist das mit Denis Lehmkemper, der seit September Niedersachsens neuer Landesbeauftragter für den Datenschutz ist. Zumindest hat sich der verwaltungserfahrene Jurist vorgenommen, das Image seiner Behörde deutlich zu wandeln: vom Mahner zum Möglichmacher.
Einen jüngsten Beleg dafür hat er deshalb am Donnerstag, als er zuerst im Innenausschuss des Landtags und dann in der Landespressekonferenz seinen ersten Tätigkeitsbericht vorgelegt hat, weit an den Anfang gestellt: Dass die Landesbehörden jetzt das Programm „Microsoft-Teams“ nutzen dürfen, kann als sein Erfolg gewertet werden. Entscheidend für diesen Durchbruch sei ein neuer Ansatz gewesen, berichtete er. Statt darauf zu schauen, weshalb die Microsoft-Produkte nicht verwendet werden dürfen, haben sich seine Mitarbeiter gemeinsam mit der Landesregierung die Frage gestellt, wie es doch gelingen könnte.
So habe man sich die Datenschutzregelungen des US-Unternehmens vorgeknöpft und geschaut, was rechtlich geändert und technisch angepasst werden muss, damit die Verwaltung in Niedersachsen ohne Datenschutzbedenken die Programme nutzen kann. Anschließend ist man in Verhandlungen mit dem Konzern eingetreten und heraus kam etwas, das jetzt den Namen „Niedersachsen-Standard“ trägt und für alle deutschen Behörden gelten soll.
Diese neue Kultur schlägt sich auch im Jahresbericht nieder, der neuerdings konkrete Empfehlungen an Landtag, Landesregierung und Unternehmen enthält. Lehmkemper wünscht sich etwa von Parlament und Regierung, dass seine Behörde künftig von Beginn an einbezogen wird, wenn etwas Neues ausgetüftelt wird, das den Datenschutz tangieren könnte. Wenn etwas wegen des Datenschutzes nicht möglich sei, dann müssten das die Parlamente regeln. Viele Dinge funktionierten aber eben nur gemeinsam mit dem Datenschutz, ist er überzeugt. „Frühzeitiges Mitdenken schafft deshalb bessere Ergebnisse“, sagt er und wusste zu berichten, dass seitens der Landespolitik eine Bereitschaft dazu bereits wahrzunehmen sei. Für ihn ist das auch deshalb so wichtig, weil er in der Digitalisierung ein Schlüsselthema für die öffentliche Verwaltung sieht.
Darüber hinaus sollte der Gesetzgeber seine Möglichkeiten nutzen und gesetzlich regeln, was bislang noch ungeregelt blieb. Dazu zählt er beispielsweise eine Bestimmung zur Weitergabe von Daten Minderjähriger durch die Landesbehörden an Europol. Die Landesregierung müsse dem Landtag dazu einen Vorschlag unterbreiten. Auch der Einsatz von Künstlicher Intelligenz in der öffentlichen Verwaltung brauche eine Rechtsgrundlage, ist Lehmkemper überzeugt. Eine Generalregelung sei gut, aber auch Fachgesetze müssten beschlossen werden. In diesem Zusammenhang müsse die Frage diskutiert werden, ob Produkte des Konzerns „Palantir“ genutzt werden dürfen. Gleiches gelte für den Einsatz Künstlicher Intelligenz zur Auswertung von kinderpornografischem Material, was in Niedersachsen getestet wird. Lehmkemper meint, dass man auch dafür eine rechtliche Grundlage schaffen müsste – und sollte. Um die Expertise im Zukunftsthema der Künstlichen Intelligenz auszubauen, kündigte Lehmkemper zudem an, nach der Sommerpause einen „KI-Rat“ einberufen zu wollen, in dem Unternehmer und Wissenschaftler, kritische Begleiter und auch Vertreter der Kommunen mitarbeiten sollen.
Trotz des gewandelten Selbstverständnisses bleibt es doch auch die Aufgabe des Landesbeauftragten für den Datenschutz genau hinzuschauen und auf die Finger zu hauen, wenn etwas schiefläuft. „Es gelingt nicht immer, nicht der Verhinderer zu sein“, räumte Lehmkemper ein. Es sei ihm gleichwohl wichtig, dass seine Behörde eine Ansprechstelle für jene Bürger sein kann, die sich mit Datenschutz-Anliegen an ihn wenden wollten. „Der Datenschutz wird komplexer und er ist den Bürgern präsent und wird von ihnen eingefordert“, resümierte Lehmkemper.
So sei die Zahl der Beschwerden im vergangenen Jahr um sieben Prozent auf 2207 gestiegen, liegt damit aber noch unterhalb der Zahlen aus den Corona-Jahren 2020 und 2021. Die Zahl der gemeldeten Datenschutzverstöße ist 2023 um 153 Fälle oder 13 Prozent auf insgesamt 1302 gestiegen. Auch diese Zahl liegt unterhalb des Wertes aus dem Corona-Jahr 2021, in dem die Statistik den Höchststand seit Einführung der EU-Datenschutz-Grundverordnung fünf Jahre zuvor ausweist.
Bußgelder verhängte die Behörde im vergangenen Jahr in Höhe von 5,3 Millionen Euro, wovon allein 4,3 Millionen auf ein einziges Unternehmen entfielen. Berechnet werde die Höhe des Bußgeldes sowohl nach der Schwere des Verstoßes als auch nach dem Umsatz des Unternehmens. Anders als seine Vorgängerin hält sich Lehmkemper mit dem öffentlichen Anprangern der Angemahnten allerdings zurück – auch weil die meisten Fälle ohnehin erst noch vor Gericht landeten. Die Verstöße beschreibt er derweil etwas detaillierter, damit eine Vergleichbarkeit mit seinen Kollegen in anderen Ländern hergestellt werden kann. Besagtes Unternehmen jedenfalls habe mit einem externen Auditor zusammengearbeitet und Daten seiner Beschäftigten nicht korrekt übermittelt. In einem anderen Fall, bei dem ein Bußgeld in Höhe von 220.000 Euro festgesetzt wurde, habe ein Kreditinstitut zugekaufte mit eigenen Daten verschnitten, um zielgerichtete Werbung schalten zu können.
Zahlreiche Kontrollen hat die Datenschutzbehörde zudem in Fitnessstudios, in der Gastronomie und Veranstaltungswirtschaft, der Immobilienwirtschaft und bei Banken durchgeführt. Insbesondere den Fitnessstudios musste dabei ein schlechtes Zeugnis ausgestellt werden, was häufig auf den unzulässigen Einsatz von Kameraüberwachung zurückzuführen sei, teilweise aber auch einen zu lockeren Umgang mit Kundendaten als Grundlage hatte. In der Immobilienwirtschaft wurde Unternehmen angelastet, zu viele Kundendaten zu lange gespeichert zu haben. Ältere Bonitätsnachweise würden dazu führen, dass Wohnungssuchende ungerechtfertigterweise keine eigenen vier Wände fänden. Lehmkemper sieht da auch eine soziale Verantwortung seiner Behörde.
In den Schulen stellten die Datenschützer fest, dass es im analogen Bereich zwar keine Schwierigkeiten gebe, beim Digitalen sieht man aber noch Nachholbedarf. Lehmkemper appelliert an das Kultusministerium, den Schulen Hilfestellungen dabei zu geben – insbesondere beim Umgang mit Cloud-Diensten, bei Tablet-Klassen und beim Einsatz von Künstlicher Intelligenz in Lernsoftware. Wie bereits seine Vorgängerin bleibt auch Lehmkemper hart beim Kampf für die Rechte von Arbeitnehmern bei Amazon in Winsen. Nach einer Niederlage vorm Verwaltungsgericht ziehe seine Behörde jetzt weiter vors Oberverwaltungsgericht. Seine unnachgiebige Haltung begründete der langjährige Personaler auch so: „Wo das Geschäftsmodell an der Menschenwürde kratzt, kann nicht nur der Datenschutzbeauftragte nicht zustimmen.“
