Michael Will: Die DSGVO ist ein Geschenk

Michael Will, seit gut drei Wochen neuer Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, gehörte zu den Teilnehmern der BIHK-Veranstaltung „Zwei Jahre DSGVO – eine Zwischenbilanz“ am 18. Februar in der IHK München. Nach der Podiumsdiskussion beantwortete Will die Fragen von IHK-Redakteur Martin Armbruster.

Herr Will, wie lebt es sich mit dem Image, Partner der Firmen zu sein?

Das ist der Ruf unserer Behörde. Auf diesem Kurs werden wir bleiben. Es wäre ja auch der schlechteste Weg, mit kurzfristigen Maßnahmen das Vertrauen zu zerstören, das wir in Jahren aufgebaut haben.

Wie hat Ihr Amt dieses Vertrauen aufgebaut?

Wir setzen auf den Dialog mit den Verantwortlichen in den Unternehmen. Das kann sehr anstrengend und mühsam sein. Ich habe schon aber jetzt nach wenigen Tagen gelernt, dass sich das extrem lohnt für beide Seiten. Diesen Modus werden wir fortführen.

Es bleibt beim bayerischen Weg, wie es Innenminister Herrmann formuliert hat?

Ja, dabei bleibt es. Es bleibt bei dem spezifischen Stil der Ansbacher Behörde.

Zwei Jahre DSGVO. Wo stehen wir in Bayerns Wirtschaft heute?

Wir haben ein gemischtes Bild. Wir haben große Unternehmen, die beim Thema Datenschutz heute gut organisiert sind. Die sind schon fast wieder zum Tagesgeschäft übergegangen. Dann haben wir kleine Firmen und Vereine. Das Bisschen, das die zu tun hatten, haben die schon abgehakt.

Wo klemmt es denn dann noch?

Bei Mittelständlern, die etwas komplexere Geschäftsfelder und gewachsene Strukturen haben. Es kann sein, dass es da noch Aufräumarbeiten gibt. Wir erleben das immer wieder. Die haben gut angefangen, stoßen dann auf Probleme, für die sie keine schnelle Lösung haben. Die gehen jetzt in die zweite Runde.

Ertrinkt ihre Behörde immer noch in Anrufen und Anfragen?

Unsere Statistik ist selbst im bundesweiten und europäischen Vergleich beeindruckend. Wir haben 5.000 Beschwerden im Jahr. Wir haben in etwa so viele Meldungen über Datenschutz-Pannen. Diesen Berg müssen sie erst einmal abarbeiten. Bei Beschwerden haben wir leider einen Rückstand von einem halben Jahr. In dem Punkt müssen wir wieder besser werden.

Haben Sie für Ihre Aufgaben mehr Personal bekommen?

Ja. Das verdanken wir dem haushaltspolitischen Geschick unseres Innenministers Joachim Herrmann. Wir haben zehn neue Stellen bekommen. Acht davon haben wir schon besetzt. Das Landesamt ist um 50 Prozent gewachsen.

Klingt beeindruckend.

Man muss aber sehen: Gleichzeitig hat sich aber die Bearbeitungslast pro Stelle verdreifacht. Wir sind natürlich auch effizienter geworden und sehr digital unterwegs. Da sind die Reserven schon ziemlich ausgereizt. Was bleibt, ist der Mensch. Wenn die neuen Kollegen eingearbeitet sind, können wir die Bearbeitungszeiten sicher wieder verkürzen.

Sehen Sie Bayern im Datenschutz auf dem richtigen Weg?

Also um unsere Behörde mache ich mir keine Sorgen. Und auch nach allen Fällen, mit denen ich mich in den ersten drei Wochen befasst habe, habe ich nicht den Eindruck, dass Bayern im Datenschutz schlecht aufgestellt wäre. Ich behaupte eher das Gegenteil.

Die Unternehmer klagen über Unsicherheit. Dazu gehört auch das endlose Warten auf die E-Privacy-Verordnung.

Ein Wort zur E-Privacy-Verordnung. Wenn es sie nicht gäbe, gelten alle Regeln der Datenschutz-Grundverordnung. Bei E-Privacy geht es um personenbezogene Daten. Kommt diese Verordnung nicht, greift die DSGVO. Deshalb machen sich die Leute Sorgen. Sie befürchten eine Verschärfung der Anforderungen.

Ein Grund für die Unsicherheit ist dann wohl …

Ein Missverständnis. Und dann sind wir mitten in einem Gewöhnungsprozess. Im Datenschutz gilt heute europäisches Recht. Und das erst seit zwei Jahren. Das schafft Unsicherheit, aber das lässt sich aushalten. Dazu kommen neue Begriffe wie Datenschutz-Folgenabschätzung. Die klingen bedrohlich, weil wir noch wenig Erfahrung damit haben.

Wie vertragen sich Google und Facebook mit der DSGVO? Da wünschen sich Unternehmen von Ihnen Antworten. Haben Sie die schon?

Da stoßen wir auf viele Fragen. Da ist erstens die gesellschaftliche Bedeutung. Facebook, YouTube oder WhatsApp – das ist für viele heute wichtiger als Zeitung und Fernsehen. Diese Kanäle sind auch ein wichtiges Arbeitsinstrument. Es gibt viele Betriebe, die für ihren Webshop eine Facebook-Fanseite nutzen. Schon deshalb müssen wir uns anschauen, was da genau passiert.

Die Neigung der US-Konzerne zur Offenheit scheint begrenzt.

Ja, das wurde auch vorhin in der Diskussion deutlich. Ich finde es frustrierend und ärgerlich, dass wir mit den Plattformen, die unser Leben bestimmen, so viele Rechtsstreitigkeiten und Konflikte haben. Unsere Aufgabe ist, für Unternehmen und Verbraucher hier für mehr Klarheit zu sorgen.

Die Datenschutz-Verordnung erschwert das doch, eben weil sie vieles unklar lässt.

Gegen diese Sichtweise wehre ich mich. Die DSGVO ist kein Defizit, sie ist ein Geschenk – auch für uns in der Beratung. Wir können mit ihren 40 Artikeln, das ist das gesamte materielle Recht, uns erlauben, alle Fragen zu beantworten. Unsicherheiten klären wir im Vollzug. Jeder kann zu uns kommen und uns fragen: „Wie seht Ihr das?“ oder „Mache ich das so richtig?“

Das kostet aber Zeit, das bedeutet Aufwand.

Wenn der Verantwortliche im Unternehmen meint „Ich weiß das selbst, ich habe gute Berater“, kann er sehr gerne anfangen, seine Datenverarbeitung zu betreiben. Das ist doch genau das, was uns für eine dynamische, digitale Entwicklung hilfreich sein kann.

Es gibt kaum Fälle, in denen Behörden ein Bußgeld verhängt haben. Trotzdem spielt in der Diskussion das Bußgeld eine zentrale Rolle. Wie erklären Sie sich das?

Das sehe ich genauso. Das ist ein Missverhältnis. Das führt zu einer angstgetriebenen Verhaltensweise. Das halte ich nicht für die richtige Motivation. Die Angst, den Führerschein zu verlieren, ist doch nicht der Grund, dass ich mit dem Auto vor einer roten Ampel stehen bleibe. Ich weiß, dass das für meine Sicherheit und die Sicherheit vieler anderer Menschen gut ist.

Immerhin geht es bei der DSGVO um Bußgelder in Millionenhöhe.

Ja, das ist die Neuerung. Diese Diskussion hatten wir zur Anfangszeit. Aber Strafen können nicht die Erklärung der Grund-Verordnung sein. Das müssen wir ändern. Mittlerweile sehen doch alle: Es hagelt nicht serienweise hohe Bußgelder.

Was halten Sie von dem Vorwurf, nur die Deutschen vollziehen die DSGVO?

Das ist natürlich Unsinn, aber da hilft uns die Evaluation. Wir können dann vergleichen: Wie machen das die anderen Mitgliedsstaaten? Es kann sein, dass wir dann nachjustieren müssen, um auf ein einheitliches Niveau zu kommen. Das ist das Schicksal einer Startphase.

Sind Chinas Handelsplattformen die nächste Aufgabe, die sich Europa stellen muss?

Diese Aufgabe ist schon da. China ist heute einer unserer wichtigsten Handelspartner. Das bedeutet einen wachsenden Datenverkehr. Das findet auf der Grundlage statt, die gerade vor dem EuGH verhandelt wird: Standard-Vertragsklauseln. Genau wie bei der DSGVO werbe ich auch hier um das Vertrauen, dass wir auch diese neuen Probleme unter Kontrolle bekommen.

Ihr Fazit nach zwei Jahren: Ist die DSGVO ein Erfolg?

Ja, definitiv. Die DSGVO ist vor allem ein Versprechen. Wir haben zu viel über ihre Schattenseiten diskutiert. Jetzt müssen wir uns anschauen, wie sich das für uns im Wettbewerb auswirkt, wie sich der europäische Vollzug entwickelt.