Peter Schaar: "Wir brauchen eine eigene Datenschutzkultur"
Peter Schaar im Gespräch mit Heidrun Wimmersberg und Matthias Thiel · 16.08.2008
Der Bundesdatenschutzbeauftragte Peter Schaar hat seine Forderung nach härteren Sanktionen bei Datenschutzvergehen bekräftigt und ein Umdenken der Verbraucher in Deutschland gefordert. Nicht nur geringfügige Bußgelder, sondern massive Strafen in Millionenhöhe seien nötig, um den Datenschutz wirksam durchzusetzen und Missbrauch zu bekämpfen.
Deutschlandradio Kultur: Der aufgeflogene Handel mit Kontodaten hat diese Woche für Aufregung und Verunsicherung gesorgt. Die Verbraucherzentrale in Schleswig-Holstein hatte eine CD mit Informationen über 17.000 Bundesbürger zugespielt bekommen. Herr Schaar, wie erledigen Sie eigentlich Ihre Bankgeschäfte? Online oder nach alter Väter Sitte am Schalter?
Peter Schaar: Ich nutze auch Online-Banking. Ich schaue mir allerdings auch meine Kontoauszüge genau an. Wenn mir da irgendwelche fragwürdigen Transaktionen auffallen, das kommt schon mal vor, dann versuche ich das auch zu klären - mit meiner Frau, mit der ich mir dieses Konto teile, und auch gegebenenfalls gegenüber der Bank. Das ist auch bei mir schon so gewesen, dass mal Geld zu Unrecht von Unternehmen abgebucht wurde, mit denen ich niemals etwas zu tun hatte.
Deutschlandradio Kultur: Wie oft kommt denn das vor bei Ihnen?
Schaar: Das ist zum Glück nur in einem ganz engen Zeitfenster passiert, aber da waren es ungefähr zehn Abbuchungen eigenartiger Provenienz. Da hat offensichtlich eine Firma, die meine Kontonummer, nicht mal meinen Namen verwendet hat, von meinem Konto Geld abgebucht. Das heißt, ich habe dann bei meiner Bank angerufen. Dann sagten die mir: Na ja, wir prüfen ja gar nicht, ob der Name, der da angegeben wird, zu der Kontonummer passt. Ich habe mich doch dementsprechend darüber entrüstet und finde, die Entrüstung ist ganz allgemein angemessen.
Ich weiß nicht, inwieweit die Banken aus diesem Fall Konsequenzen ziehen, der ja deutlich macht, dass doch ganz schön viele davon betroffen sind, dass Leute von Konten abbuchen aufgrund einer vermeintlichen oder angeblichen Einzugsermächtigung, die sich die Banken nicht mal zeigen lassen.
Deutschlandradio Kultur: Nach Ansicht der Verbraucherschützer in Schleswig-Holstein ist die CD mit den Kontodaten und anderen Informationen eigentlich nur die Spitze des Eisberges. Schätzen Sie die Lage ähnlich ein? Was befindet sich denn dann unter der Bergspitze?
Schaar: Ich sehe das ganz genauso. Der Vorteil des Eisberges ist ja, dass man ein Siebtel sieht, und man weiß ziemlich genau, wie viel unter der Wasseroberfläche ist. Hier ist es - glaube ich - noch gravierender. Wir wissen nicht mal, wie viel sich unter der Wasseroberfläche befindet. Das heißt, wir sehen zwar etwas, es fliegt ab und zu etwas auf, aber das Dunkelfeld, die Grauzone der Fälle, wo nichts passiert, ist doch ziemlich groß.
Deutschlandradio Kultur: Herr Schaar, das klingt ja nun alles sehr alarmierend. Gibt es gar keinen Datenschutz mehr in Deutschland?
Schaar: Es gibt Datenschutzgesetze. Es gibt auch Datenschutzbeauftragte und Datenschutzaufsichtsbehörden, die über die Einhaltung dieser Gesetze wachen. Aber wir haben bei manchen Unternehmen kein sehr ausgeprägtes Datenschutzbewusstsein. Und wir haben es teilweise - wie in anderen Bereichen auch - mit Personen zu tun, die sich ganz bewusst nicht an das Recht halten, also dieses Recht sogar bewusst brechen, Betrüger, die versuchen Schutzlücken auszunutzen.
Gerade dort, wo es um Geld geht, wo man wirtschaftliche Vorteile erlangen kann, ist diese Motivation doch ziemlich groß. Dementsprechend ist es auch notwendig, dass diejenigen, die über die Daten verfügen oder die aufgrund dieser Daten dann etwas anordnen beziehungsweise eine Überweisung oder Abbuchung zum Beispiel ausführen, auch eine Sorgfaltspflicht haben, der sie nachkommen müssen.
Deutschlandradio Kultur: Der Chaos-Computer-Club aus Hamburg empfiehlt "Datensparsamkeit". Was ist Ihr Rat für den wirksamen Schutz gegen Missbrauch?
Schaar: Datensparsamkeit ist natürlich erstmal ganz wichtig, weil man sagen muss: Wo keine Daten vorhanden sind, insbesondere keine persönlichen Daten, können sie auch nicht missbraucht werden. Das ist zwar erstmal der richtige Weg, aber ich denke gleichwohl, dass wir in einer Informationsgesellschaft mit den technologischen Entwicklungssprüngen, mit denen wir es zu tun haben, doch eher mehr Daten bekommen werden.
Selbst wenn alle sich bemühen, sich jeweils auf das wirklich erforderliche Maß zu beschränken, obwohl das ja eben bisher nicht immer passiert, aber selbst wenn das alle tun, also mit besten Vorsätzen versuchen Daten zu vermeiden, denke ich, dass wir aufgrund dieser technologischen Entwicklung doch noch mehr Daten bekommen. Also kommt es darauf an, diese Daten dann entsprechend wirksam zu schützen.
Zweitens kommt es darauf an, dass sich diejenigen, die diese Daten preisgeben, auch immer wieder überlegen, was passiert damit, und gegebenenfalls nachprüfen, soweit sie dazu in der Lage sind, ob da nicht vielleicht - wie in diesem konkreten Fall - eine Abbuchung stattgefunden hat, die ich gar nicht veranlasst habe.
Deutschlandradio Kultur: Sie haben schon gesagt, die Menschen, die ihre Daten auch selbst preisgeben, im Netz zum Beispiel, müssten auch sorgsam damit umgehen. Man sieht auch, dass sich der Umgang mit den Daten seit Beginn des Internets stark verändert hat. Noch in den 80er-Jahren gab es Riesenproteste wegen Volkszählung. Heute geben Menschen mit Kundenkarten oder auf Websites wie "My face", "Facebook" oder "StudiVZ" viel von sich selbst einfach so preis. Sind wir also als Bürger auch selbst schuld, weil wir zu locker mit unseren Daten umgehen und weil das Bewusstsein noch fehlt?
Schaar: Diese Schuldzuweisung an die Bürgerinnen und Bürger ist immer sehr einfach. Ich finde, sie ist auch sehr wohlfeil. Vielleicht ist bestimmt auch was Wahres dran, dass wir uns teilweise selber nicht bewusst sind, was mit den Daten geschieht, und denken aufgrund eigener Erfahrungen oder vielleicht auch gerade fehlender eigener Erfahrungen, da wird schon nichts damit passieren.
Aber gleichwohl ist das nicht das zentrale Problem. Das zentrale Problem ist, dass wir aufgrund der technologischen Entwicklung viel gravierendere Folgen haben. Wenn jemand in der Vergangenheit bestimmte Daten von sich preisgegeben hatte, dann hatte das auch negative Konsequenzen für ihn, aber meist doch in einem doch ziemlich überschaubaren Rahmen.
Wenn wir das Zeitalter des Internet sehen, werden diese Daten ja nicht nur in einem ganz engen örtlichen oder auch zeitlichen Zusammenhang verwendet, sondern sie sind auf Dauer verfügbar. Sie sind weltweit abrufbar und insofern auch für viele, viele, viele Interessierte zu nutzen und möglicherweise eben auch zu missbrauchen. Denn es gibt leider nicht nur gute Menschen.
Deutschlandradio Kultur: Noch mal zurück zur Wirtschaft. Sie sprachen die Banken an, die viel zu sorglos damit umgehen, mit unseren ganzen Daten, mit den ganzen Abbuchungen. Wie sind denn die Unternehmen, wie ist die Wirtschaft besser zu verpflichten? Brauchen wir neue Gesetze? Brauchen wir schärfere Strafen? Brauchen wir mehr Kontrollen?
Schaar: Ich denke, das brauchen wir auch. Wir brauchen wirksame Mittel, den Datenschutz durchzusetzen und die datenschutzrechtlichen Verpflichtungen, wenn sie nicht eingehalten werden, dann entsprechend mit Sanktionen zu belegen. Das heißt, nicht nur geringfügige Bußgelder, sondern bis hin zu wirklich massiven Strafen.
Da gibt es in anderen Ländern ganz andere Dimensionen. Da gibt es in Spanien, in den USA Bußgelder, die in Millionenhöhe erhoben werden. Bei uns ist schon bei 250.000 Euro Schluss. Das ist sicherlich zu wenig. Aber ich glaube, das ist nicht der entscheidende Punkt.
Der entscheidende Punkt ist ein Umdenken, und zwar auch im Hinblick darauf, dass Datenschutz und Verbraucherschutz in vielen Bereichen - gerade wenn es um die wirtschaftliche Verwendung von persönlichen Daten geht - zusammengehören. Das bedeutet auch, dass der Verbraucher ja auch ein Machtmittel hat, um einen sorglosen oder nicht richtigen und nicht angemessenen Umgang mit Daten zu bestrafen, nämlich durch Wechsel eines Handelspartners, Nichteinkauf bei einem Internetshop, der keine ordentliche Datenschutzpolitik betreibt, oder sogar durch Wechsel der jeweiligen Bank, wenn sie nicht entsprechende Gewährleistung anbietet.
Ich denke, das ist ein ganz wichtiger Punkt, dass der Einzelne dann daraus auch Konsequenzen ziehen kann. Aber er muss sie dann ziehen. Das ist so wie auf dem Strommarkt. Das ist auch so wie bei den Zeitungen. Wenn mir die Zeitung nicht mehr gefällt, wechsle ich die. Insofern sollte der Einzelne von dieser Möglichkeit Gebrauch machen.
Deutschlandradio Kultur: Heißt das, wir brauchen eine neue Datenschutzkultur? Das Bewusstsein muss sich in der Richtung verändern und verbessern?
Schaar: Wir brauchen eine Datenschutzkultur. Aber das Bewusstsein setzt auch Kenntnis voraus. Das heißt, man muss sich klar darüber werden, dass das, was ich in diesem virtuellen Raum mache, dass Daten, die ich dort preisgebe, wirklich eine ganz andere Qualität hat als das, was ich in der herkömmlichen Welt bisher gemacht habe, und dass das, was virtuell ist und virtuell wird, auch teilweise in dieses reale Leben einfließt.
Denken Sie an diese Kundenkarten. So eine Kundenkarte ist zum Beispiel etwas, was noch irgendwie real ist, aber gleichwohl ist der Hauptzweck einer solchen Kundenkarte na nicht die Karte, sondern die Daten, die über diese Karte durch Koppelung mit Kassensystemen und sonstigen IT-Verfahren gewonnen werden können, wie aus einem riesigen Bergwerk.
Man spricht ja auch von "Datermining", also im Grunde genommen von dem Versuch, diese Datenschätze zu heben und zu finden in einem riesigen Haufen von teilweise auch unnützen Daten. Genau das machen natürlich Unternehmen. Deshalb sollten wir diesen Berg nicht immer noch dadurch anhäufen, dass wir selbst - häufig, ohne dass wir wirklich einen entsprechenden Gegenwert dafür bekommen - dort unsere Daten preisgeben.
Deutschlandradio Kultur: Sie haben gesagt, wir müssen unser Bewusstsein schärfen. Aber müssen nicht beide Seiten ihr Bewusstsein schärfen, dass der Bürger zum Beispiel auch die Information von Unternehmen bekommt, wenn da was schief gelaufen ist, wenn es da offensichtlich einen Missbrauch gegeben hat, und dass solche Sachen dann auch öffentlich gemacht oder transparenter gestaltet werden, damit man auch gewarnt werden kann und nicht bloß zufällig auf irgendetwas stößt?
Schaar: Genau das ist eine Forderung, die ich seit langem schon erhebe. Bisher haben wir im deutschen Recht noch nicht eine solche generelle Verpflichtung, anders als in den allermeisten Bundesstaaten in den USA. Nehmen wir das Beispiel der Bank, die Abbuchungen vorgenommen hat, ohne dass das entsprechend berechtigt war. Häufig sind das ja dann nicht Einzelfälle, sondern es sind Tausende, vielleicht Hunderttausende Fälle, in denen versucht wird solches abzubuchen, und sehr häufig eben mit Erfolg. Aber nur in hundert Fällen fällt es Verbrauchern auf. Sie beschweren sich bei der Bank.
Dann muss die Bank verpflichtet werden, die übrigen 99.000 entsprechend auch davon zu informieren, damit sie eben dann prüfen können, ob ein entsprechender Betrag abgebucht wurde, damit sie das rückgängig machen können. Sie haben ja die Möglichkeit das rückgängig zu machen, aber ich denke, in ganz vielen Fällen übersehen die Bankkunden, dass dort eine unrechtmäßige Abbuchung stattgefunden wird. Es wird ja von diesen Betrügern gerade versucht, dies so aussehen zu lassen, als sei das eine ganz routinemäßige Abbuchung. Und es sind häufig auch nur relativ geringe Beträge im Einzelfall. Das Ganze summiert sich dann aber zu Millionensummen.
Deutschlandradio Kultur: Wie wehre ich mich gegen das Scoring - ein automatisiertes Verfahren, mit dem Banken zum Beispiel die Kreditwürdigkeit ihrer Kunden bewerten? Wie kann sich ein Bankkunde in Berlin-Neukölln zum Beispiel dagegen wehren, dass er schlechter eingestuft wird als der, der am Tegernsee wohnt und deswegen einen billigeren Kredit bekommt? Wie kann man mit diesem Scoring umgehen, was völlig unter Ausschluss der Öffentlichkeit läuft?
Schaar: Ich stelle immer wieder überrascht fest, dass ganz viele Menschen überhaupt nicht wissen, was Scoring ist und was da abläuft. Das Problem, das ich hier sehe, ist, dass die Banken - und nicht nur die Banken, zunehmend auch Versicherungen und andere Unternehmen - Entscheidungen aufgrund von automatisierten Bewertungsziffern treffen. Diese Bewertungsziffern heißen "Score-Werte" und das Verfahren nennt man "Scoring".
Das Interessante ist, dass in diese Bewertungsziffern nicht etwa Fehlverhalten des Kunden in erster Linie einfließt, wenn man also einen Kredit nicht ordnungsgemäß bedient hat, sondern dass allein die völlig harmlos erscheinende und auch wirklich legale Verhaltensweise - man zieht um, man wechselt die Bank, man hat einen neuen Arbeitsplatz, man hat ein bestimmtes Alter - alles einfließt in diesen Wert.
Und wenn dann in diesem Wert auch die sogenannten "Geo-Informationen" einfließen, also, in was für einem Stadtteil wohne ich, dann kann das ganz gravierend sein, dass man dann einen Kredit gar nicht kriegt, dass man dafür gegebenenfalls mehr zahlen muss, dass man einen Handy-Vertrag verweigert bekommt beziehungsweise nur noch einen Prepaid-Vertrag angeboten bekommt. Wir haben Beschwerden, da gibt es Ärzte, Zahnärzte, wohl situiert, die gehen in einen "benachteiligten" Bezirk und kriegen keinen Handy-Vertrag mehr. Ich denke, das kann es doch nicht sein.
Da kommt dann im Grunde genommen so etwas wie eine Diskriminierung durch Verwendung von Informationen. Das ist ein Problem, das in der Vergangenheit unterschätzt wurde. Da gibt es jetzt zum Glück, auch auf mein Drängen hin, eine Novelle, eine Veränderung des Bundesdatenschutzgesetzes, die einerseits sicherstellen soll, dass der Betroffene überhaupt erfährt, was da geschieht, und zweitens das Ganze auch ein Stück begrenzt, wenn auch aus meiner Sicht noch nicht hinreichend.
Deshalb noch mal zurück zu Ihrer Frage: Was kann der Einzelne tun? Das ist ganz schwierig. Der Einzelne kann hier ganz schön wenig tun. Er kann fragen. Bisher waren die Antworten häufig sehr unbefriedigend: "Das sind Betriebs- und Geschäftsgeheimnisse, wir wissen gar nicht, was für einen Score-Wert wir verwendet haben. Wir speichern den nämlich nicht." All das wird zumindest besser werden. Ich finde, man sollte von solchen Möglichkeiten auch Gebrauch machen, aber ganz wird man dem Scoring nicht entgehen können.
Deutschlandradio Kultur: Zeigt das nicht insgesamt, dass im Wirtschaftsbereich noch viel zu tun ist und dass sich der Staat in puncto Datenschutz eher mit dem Datensammeln über seine Bürger beschäftigt hat und weniger damit, was so in der Wirtschaft abgeht? Müsste man das nicht ein bisschen umdrehen und die Konzentration darauf legen?
Schaar: Frau Wimmersberg, ich sehe das ganz genauso. Denn hier ist eine sehr einseitige Sichtweise eingekehrt, insbesondere nach dem 11. September 2001. Das Interessante ist ja, dass in den Jahren davor, seit 1998 eine ganz intensive Diskussion über die sogenannte "Modernisierung des Datenschutzrechts" stattgefunden hat. Da ging es auch gerade um die Frage: Wie kann man angesichts dieser neuen technologischen Entwicklung, der wirtschaftlichen Interessen, die an der Datenverarbeitung bestehen, wirksame gesetzliche Regelungen fassen?
Diese Studie, die da von drei berühmten Professoren erstellt wurde, ist just am 11. September oder um den 11. September 2001 herum fertig geworden. Und dann hat sich Herr Schily nicht in der Lage gesehen, die persönlich entgegen zu nehmen. Er war damals ja sowieso häufig mit der Aussage zu hören, Datenschutz ginge schon zu weit. Dann hat man das im Bundesinnenministerium einem Beamten gegeben und hat von dieser Studie nichts mehr gehört.
Das heißt, da ist ganz einseitig über Jahre hinweg nur dieser Aspekt Sicherheit im Mittelpunkt gewesen. Dementsprechend war auch die Datenschutzdiskussion genau darauf fokussiert. Diese generellen Probleme geraten jetzt erst wieder verstärkt ins Blickfeld. Das begrüße ich natürlich, aber ich erwarte auch von den Politikern, dass sie daraus dann die Konsequenzen ziehen. Die erste Konsequenz ist diese sogenannte kleine Datenschutznovelle, die jetzt diskutiert wird.
Deutschlandradio Kultur: Aber haben wir nicht schon den "gläsernen Bürger", Herr Schaar? Dieser Tage bekommt jeder Bundesbürger vom Bundeszentralamt für Steuern seine persönliche Steueridentifikationsnummer. Damit werden dann Name, Anschrift, Geschlecht, Geburtstag, alles, auch der Ort, der Doktortitel, der Künstlername hinterlegt. In der Debatte ist außerdem ein zentrales Melderegister - eine Datensammlung nach der anderen. Eigentlich bin ich doch schon der gläserne Bürger oder sehe ich das falsch?
Schaar: Na ja, ich denke, man sollte das nicht so binär sehen, ja oder nein, gläsern oder undurchsichtig, sondern das ist mehr so ein gradueller, schleichender Prozess. Aber Sie haben recht, dass wir auch gegenüber dem Staat, das ist ja jetzt wieder eine staatliche Maßnahme, die Sie hier angesprochen haben, immer transparenter werden.
Was mich eigentlich noch mehr besorgt, ist, dass so eine Infrastruktur entsteht, die es ermöglicht, dass man Daten, die in völlig unterschiedlichen Bereichen anfallen - im Finanzamt, bei den Sozialbehörden, bei der Rentenversicherung, bei den Krankenversicherungen, bei den Ordnungsbehörden -, zusammenfassen kann. Da muss man jetzt, glaube ich, sagen: Vorsicht, lieber etwas weniger machen in diese Richtung und genauer darüber nachdenken, wie man bestimmten Gefahren, die damit verbunden sind, vorbeugen kann.
Deutschlandradio Kultur: Ich kann das noch erweitern: ELENA oder auch die elektronische Gesundheitskarte sollen kommen. Ist das noch verhältnismäßig? Ist das noch verfassungskonform?
Schaar: Das zentrale Problem ist für uns Datenschützer ja ganz generell, dass viele dieser Maßnahmen für sich betrachtet ziemlich plausibel sind. Nehmen wir diese Steuernummer. Die Steuernummer wird ja damit begründet, dass die Leute umziehen und unter diesen Leuten, die da umziehen, gibt es auch Menschen, die sich der Steuerpflicht entziehen wollen und denen das bisher auch teilweise gelungen ist, und zwar deshalb, weil praktisch diese Zusammenführung der unterschiedlichen Datensätze nicht mehr möglich war. Das ist datenschutzrechtlich - sage ich mal - auch kein optimaler Zustand. Es ist auch insbesondere für die Steuerverwaltung unbefriedigend.
Jetzt muss man aber fragen: Gibt es nicht auch Alternativen zu einer solchen Steuernummer? Ich denke, das ist nicht mehr intensiv geprüft worden. Da hat man einfach gesagt, wir haben im Grunde dann da so eine Art Personenkennzeichen für die Finanzverwaltung. Das führen wir jetzt ein. Und mein Vorgänger hat dann noch eine strikte Zweckbindung durchsetzen können. Das heißt, diese Daten dürfen nur für steuerliche Zwecke verwendet werden.
Das ist erst mal ganz gut, aber wir wissen aus anderen Bereichen, dass diese Zweckbindung nicht immer Ewigkeitswert hat. Denken Sie an die Autobahn-Maut, wo es ja auch hieß, im Gesetz auch noch heißt: Diese Daten dürfen nur für die Maut-Erhebung verwendet werden. Aber demnächst wird es hier eine Möglichkeit geben, diese Daten auch zur Strafverfolgung zu nutzen und vielleicht sogar zur Gefahrenabwehr.
Insofern ist es natürlich immer so, dass - wenn Daten da sind, wenn es ein technisches Verfahren gibt, das es ermöglicht, auf die Daten gegebenenfalls zuzugreifen - auch Begehrlichkeiten wachsen. Das heißt, dass man für durchaus plausible, häufig auch absolut gerechtfertigte Zwecke - das macht es uns ja als Datenschützern schwer - diese Daten verwenden will.
Deutschlandradio Kultur: Herr Schaar, sind Sie mit Ihrer Behörde mit rund 70 Mitarbeitern überhaupt gut ausgerüstet, um diesen Datenmissbrauch in Schach zu halten? Ist das nicht so ein Kampf David gegen Goliath?
Schaar: Sie wissen ja, wie das mit David und Goliath ausgegangen ist. Insofern finde ich, dass der Vergleich uns irgendwie ehrt. Aber es ist schon richtig, wir sind als Datenschützer doch ein bisschen in der Situation derjenigen, die hinter der Entwicklung her fahren und versuchen das Schlimmste zu verhüten beziehungsweise dann bestimmte Folgen zu beseitigen. Das ist sicher nicht der richtige Weg.
Richtiger und wichtiger ist es, dass man in die Verfahren sehr frühzeitig rein kommt, dass man da Änderungen durchsetzen kann. Dazu braucht man einmal das Know-how. Dazu braucht man natürlich auch Verbündete. Man braucht dann gegebenenfalls auch Sanktionsmöglichkeiten, die wirklich wehtun, wenn Regelungen nicht eingehalten werden. Also, an all diesen Baustellen könnte man schon was machen.
Deutschlandradio Kultur: Sie sagten gerade "Verbündete". Wen meinen Sie denn damit?
Schaar: Das ist durchaus ziemlich weit gespannt. Ich denke natürlich an den Verbraucherschutz zum Beispiel. Die Verbraucherschützer haben ja in vielen, vielen Fällen durchaus gleich gelagerte Interessen, nicht immer, aber doch immer öfter. Denken Sie an das Scoring zum Beispiel. Das sehen wir Datenschützer und die Verbraucherschützer ganz genauso. Ich habe den Eindruck, dass es jetzt bei den Datenmissbrauchsfällen der jüngsten Zeit genauso ist.
Aber es sind nicht nur die Verbraucherschützer. Es sind zum Teil die Gewerkschaften, die sicher ein Interesse haben, den Arbeitnehmerdatenschutz zu verbessern. Es sind die Ärzte und Patienten, die natürlich daran interessiert sind, dass Gesundheitsdaten vertraulich behandelt werden. Es sind Journalisten, die das Interesse haben, dass ihre Quellen nicht aufgedeckt werden. Es sind auch die Unternehmen selbst, würde ich sagen, jedenfalls viele Unternehmen, insbesondere diejenigen, bei denen Daten das größte Kapital darstellen.
Deutschlandradio Kultur: Sie fordern den Datenschutz im Grundgesetz zu verankern. Was versprechen Sie sich davon?
Schaar: Wir haben ja schon eine Rechtsprechung des Bundesverfassungsgerichts. Schon 1983, damals ging es um eine Volkszählung, das ist das sogenannte Volkszählungsurteil, hat das Verfassungsgericht gesagt: Es gibt ein Grundrecht auf informationelle Selbstbestimmung. Jeder soll im Grundsatz selbst darüber entscheiden können, welche Daten gebe ich wem gegenüber preis. Das hat das Bundesverfassungsgericht damals gesagt.
Nur das Problem ist, wenn Sie in das Grundgesetz schauen, dann werden Sie dieses Grundrecht nicht finden. Daraus wird dann immer wieder auch geschlussfolgert, das sei ja eigentlich nicht so ein richtiges Grundrecht. Und - das muss man ja auch sagen - auch eine Rechtsprechung des Bundesverfassungsgerichts kann sich ändern. Ich sehe das zwar im Augenblick nicht, aber dementsprechend fände ich es gut, wenn man hier ganz klipp und klar diese Grundsätze in das Grundgesetz rein schreibt.
Wenn ich mir die anderen Grundrechte anschaue, "Post- und Fernmeldegeheimnis", würde man das heute noch so rein schreiben, wie es da drin ist? Reicht das überhaupt aus im Internetzeitalter? Wie ist es mit der Nutzung von elektronischen Medien? Dazu wird ja gar nichts zum informationellen Selbstbestimmungsrecht gesagt. Wie sieht es aus mit den Daten? Die persönlichen Rechte an der Wohnung, die Unverletzlichkeit der Wohnung ist im Grundgesetz festgeschrieben, aber mein virtuelles Umfeld, mein Schlafzimmer im Internet oder mein Computer ist nicht genauso geschützt wie irgendwelche Geschäftsräume.
Da wäre es ein ganz gutes Signal, wenn hier der Gesetzgeber sagen würde: Das Grundrecht auf informationelle Selbstbestimmung schreiben wir ins Grundgesetz.
Deutschlandradio Kultur: Herr Schaar, wir bekommen eine lebenslange Steuernummer. Dann ist die Rede von einem zentralen Melderegister. Die Gesundheitskarte mit der Krankenakte ist im Testverfahren. Die Telekommunikationsdaten werden auf Vorrat gespeichert. Können Sie als Bundesdatenschutzbeauftragter da noch ruhig schlafen?
Schaar: Mein Schlaf wird durch meine berufliche Aufgabe nicht entscheidend beeinflusst, glaube ich. Aber da ist jetzt natürlich schon eine Entwicklung, die mir Sorge bereitet, dass wir hier - teilweise, ohne dass dieses allgemein diskutiert wird - in eine Infrastruktur, in eine Situation kommen, wo sehr, sehr viel mehr Daten miteinander verknüpft werden.
Ich denke, das sollte nicht einfach schicksalhaft hingenommen werden, sondern wir sollten versuchen als Gesellschaft, aber auch als Einzelne, soweit wir das können, wo wir eben tätig sind, als Datenschützer, aber das gilt für Journalisten oder auch für Bankkunden oder auch Bankdirektoren gleichermaßen, dort dieses im Blick zu behalten.
Denn letztlich geht es ja darum: Wie wird unsere Zukunft aussehen? Da denke ich, dass wir - gerade, was diese Wirkung von einzelnen Maßnahmen anbelangt - häufig nicht genügend darüber nachdenken. Das müssen wir aber. Da bleibt uns gar nichts anderes übrig.
Peter Schaar: Ich nutze auch Online-Banking. Ich schaue mir allerdings auch meine Kontoauszüge genau an. Wenn mir da irgendwelche fragwürdigen Transaktionen auffallen, das kommt schon mal vor, dann versuche ich das auch zu klären - mit meiner Frau, mit der ich mir dieses Konto teile, und auch gegebenenfalls gegenüber der Bank. Das ist auch bei mir schon so gewesen, dass mal Geld zu Unrecht von Unternehmen abgebucht wurde, mit denen ich niemals etwas zu tun hatte.
Deutschlandradio Kultur: Wie oft kommt denn das vor bei Ihnen?
Schaar: Das ist zum Glück nur in einem ganz engen Zeitfenster passiert, aber da waren es ungefähr zehn Abbuchungen eigenartiger Provenienz. Da hat offensichtlich eine Firma, die meine Kontonummer, nicht mal meinen Namen verwendet hat, von meinem Konto Geld abgebucht. Das heißt, ich habe dann bei meiner Bank angerufen. Dann sagten die mir: Na ja, wir prüfen ja gar nicht, ob der Name, der da angegeben wird, zu der Kontonummer passt. Ich habe mich doch dementsprechend darüber entrüstet und finde, die Entrüstung ist ganz allgemein angemessen.
Ich weiß nicht, inwieweit die Banken aus diesem Fall Konsequenzen ziehen, der ja deutlich macht, dass doch ganz schön viele davon betroffen sind, dass Leute von Konten abbuchen aufgrund einer vermeintlichen oder angeblichen Einzugsermächtigung, die sich die Banken nicht mal zeigen lassen.
Deutschlandradio Kultur: Nach Ansicht der Verbraucherschützer in Schleswig-Holstein ist die CD mit den Kontodaten und anderen Informationen eigentlich nur die Spitze des Eisberges. Schätzen Sie die Lage ähnlich ein? Was befindet sich denn dann unter der Bergspitze?
Schaar: Ich sehe das ganz genauso. Der Vorteil des Eisberges ist ja, dass man ein Siebtel sieht, und man weiß ziemlich genau, wie viel unter der Wasseroberfläche ist. Hier ist es - glaube ich - noch gravierender. Wir wissen nicht mal, wie viel sich unter der Wasseroberfläche befindet. Das heißt, wir sehen zwar etwas, es fliegt ab und zu etwas auf, aber das Dunkelfeld, die Grauzone der Fälle, wo nichts passiert, ist doch ziemlich groß.
Deutschlandradio Kultur: Herr Schaar, das klingt ja nun alles sehr alarmierend. Gibt es gar keinen Datenschutz mehr in Deutschland?
Schaar: Es gibt Datenschutzgesetze. Es gibt auch Datenschutzbeauftragte und Datenschutzaufsichtsbehörden, die über die Einhaltung dieser Gesetze wachen. Aber wir haben bei manchen Unternehmen kein sehr ausgeprägtes Datenschutzbewusstsein. Und wir haben es teilweise - wie in anderen Bereichen auch - mit Personen zu tun, die sich ganz bewusst nicht an das Recht halten, also dieses Recht sogar bewusst brechen, Betrüger, die versuchen Schutzlücken auszunutzen.
Gerade dort, wo es um Geld geht, wo man wirtschaftliche Vorteile erlangen kann, ist diese Motivation doch ziemlich groß. Dementsprechend ist es auch notwendig, dass diejenigen, die über die Daten verfügen oder die aufgrund dieser Daten dann etwas anordnen beziehungsweise eine Überweisung oder Abbuchung zum Beispiel ausführen, auch eine Sorgfaltspflicht haben, der sie nachkommen müssen.
Deutschlandradio Kultur: Der Chaos-Computer-Club aus Hamburg empfiehlt "Datensparsamkeit". Was ist Ihr Rat für den wirksamen Schutz gegen Missbrauch?
Schaar: Datensparsamkeit ist natürlich erstmal ganz wichtig, weil man sagen muss: Wo keine Daten vorhanden sind, insbesondere keine persönlichen Daten, können sie auch nicht missbraucht werden. Das ist zwar erstmal der richtige Weg, aber ich denke gleichwohl, dass wir in einer Informationsgesellschaft mit den technologischen Entwicklungssprüngen, mit denen wir es zu tun haben, doch eher mehr Daten bekommen werden.
Selbst wenn alle sich bemühen, sich jeweils auf das wirklich erforderliche Maß zu beschränken, obwohl das ja eben bisher nicht immer passiert, aber selbst wenn das alle tun, also mit besten Vorsätzen versuchen Daten zu vermeiden, denke ich, dass wir aufgrund dieser technologischen Entwicklung doch noch mehr Daten bekommen. Also kommt es darauf an, diese Daten dann entsprechend wirksam zu schützen.
Zweitens kommt es darauf an, dass sich diejenigen, die diese Daten preisgeben, auch immer wieder überlegen, was passiert damit, und gegebenenfalls nachprüfen, soweit sie dazu in der Lage sind, ob da nicht vielleicht - wie in diesem konkreten Fall - eine Abbuchung stattgefunden hat, die ich gar nicht veranlasst habe.
Deutschlandradio Kultur: Sie haben schon gesagt, die Menschen, die ihre Daten auch selbst preisgeben, im Netz zum Beispiel, müssten auch sorgsam damit umgehen. Man sieht auch, dass sich der Umgang mit den Daten seit Beginn des Internets stark verändert hat. Noch in den 80er-Jahren gab es Riesenproteste wegen Volkszählung. Heute geben Menschen mit Kundenkarten oder auf Websites wie "My face", "Facebook" oder "StudiVZ" viel von sich selbst einfach so preis. Sind wir also als Bürger auch selbst schuld, weil wir zu locker mit unseren Daten umgehen und weil das Bewusstsein noch fehlt?
Schaar: Diese Schuldzuweisung an die Bürgerinnen und Bürger ist immer sehr einfach. Ich finde, sie ist auch sehr wohlfeil. Vielleicht ist bestimmt auch was Wahres dran, dass wir uns teilweise selber nicht bewusst sind, was mit den Daten geschieht, und denken aufgrund eigener Erfahrungen oder vielleicht auch gerade fehlender eigener Erfahrungen, da wird schon nichts damit passieren.
Aber gleichwohl ist das nicht das zentrale Problem. Das zentrale Problem ist, dass wir aufgrund der technologischen Entwicklung viel gravierendere Folgen haben. Wenn jemand in der Vergangenheit bestimmte Daten von sich preisgegeben hatte, dann hatte das auch negative Konsequenzen für ihn, aber meist doch in einem doch ziemlich überschaubaren Rahmen.
Wenn wir das Zeitalter des Internet sehen, werden diese Daten ja nicht nur in einem ganz engen örtlichen oder auch zeitlichen Zusammenhang verwendet, sondern sie sind auf Dauer verfügbar. Sie sind weltweit abrufbar und insofern auch für viele, viele, viele Interessierte zu nutzen und möglicherweise eben auch zu missbrauchen. Denn es gibt leider nicht nur gute Menschen.
Deutschlandradio Kultur: Noch mal zurück zur Wirtschaft. Sie sprachen die Banken an, die viel zu sorglos damit umgehen, mit unseren ganzen Daten, mit den ganzen Abbuchungen. Wie sind denn die Unternehmen, wie ist die Wirtschaft besser zu verpflichten? Brauchen wir neue Gesetze? Brauchen wir schärfere Strafen? Brauchen wir mehr Kontrollen?
Schaar: Ich denke, das brauchen wir auch. Wir brauchen wirksame Mittel, den Datenschutz durchzusetzen und die datenschutzrechtlichen Verpflichtungen, wenn sie nicht eingehalten werden, dann entsprechend mit Sanktionen zu belegen. Das heißt, nicht nur geringfügige Bußgelder, sondern bis hin zu wirklich massiven Strafen.
Da gibt es in anderen Ländern ganz andere Dimensionen. Da gibt es in Spanien, in den USA Bußgelder, die in Millionenhöhe erhoben werden. Bei uns ist schon bei 250.000 Euro Schluss. Das ist sicherlich zu wenig. Aber ich glaube, das ist nicht der entscheidende Punkt.
Der entscheidende Punkt ist ein Umdenken, und zwar auch im Hinblick darauf, dass Datenschutz und Verbraucherschutz in vielen Bereichen - gerade wenn es um die wirtschaftliche Verwendung von persönlichen Daten geht - zusammengehören. Das bedeutet auch, dass der Verbraucher ja auch ein Machtmittel hat, um einen sorglosen oder nicht richtigen und nicht angemessenen Umgang mit Daten zu bestrafen, nämlich durch Wechsel eines Handelspartners, Nichteinkauf bei einem Internetshop, der keine ordentliche Datenschutzpolitik betreibt, oder sogar durch Wechsel der jeweiligen Bank, wenn sie nicht entsprechende Gewährleistung anbietet.
Ich denke, das ist ein ganz wichtiger Punkt, dass der Einzelne dann daraus auch Konsequenzen ziehen kann. Aber er muss sie dann ziehen. Das ist so wie auf dem Strommarkt. Das ist auch so wie bei den Zeitungen. Wenn mir die Zeitung nicht mehr gefällt, wechsle ich die. Insofern sollte der Einzelne von dieser Möglichkeit Gebrauch machen.
Deutschlandradio Kultur: Heißt das, wir brauchen eine neue Datenschutzkultur? Das Bewusstsein muss sich in der Richtung verändern und verbessern?
Schaar: Wir brauchen eine Datenschutzkultur. Aber das Bewusstsein setzt auch Kenntnis voraus. Das heißt, man muss sich klar darüber werden, dass das, was ich in diesem virtuellen Raum mache, dass Daten, die ich dort preisgebe, wirklich eine ganz andere Qualität hat als das, was ich in der herkömmlichen Welt bisher gemacht habe, und dass das, was virtuell ist und virtuell wird, auch teilweise in dieses reale Leben einfließt.
Denken Sie an diese Kundenkarten. So eine Kundenkarte ist zum Beispiel etwas, was noch irgendwie real ist, aber gleichwohl ist der Hauptzweck einer solchen Kundenkarte na nicht die Karte, sondern die Daten, die über diese Karte durch Koppelung mit Kassensystemen und sonstigen IT-Verfahren gewonnen werden können, wie aus einem riesigen Bergwerk.
Man spricht ja auch von "Datermining", also im Grunde genommen von dem Versuch, diese Datenschätze zu heben und zu finden in einem riesigen Haufen von teilweise auch unnützen Daten. Genau das machen natürlich Unternehmen. Deshalb sollten wir diesen Berg nicht immer noch dadurch anhäufen, dass wir selbst - häufig, ohne dass wir wirklich einen entsprechenden Gegenwert dafür bekommen - dort unsere Daten preisgeben.
Deutschlandradio Kultur: Sie haben gesagt, wir müssen unser Bewusstsein schärfen. Aber müssen nicht beide Seiten ihr Bewusstsein schärfen, dass der Bürger zum Beispiel auch die Information von Unternehmen bekommt, wenn da was schief gelaufen ist, wenn es da offensichtlich einen Missbrauch gegeben hat, und dass solche Sachen dann auch öffentlich gemacht oder transparenter gestaltet werden, damit man auch gewarnt werden kann und nicht bloß zufällig auf irgendetwas stößt?
Schaar: Genau das ist eine Forderung, die ich seit langem schon erhebe. Bisher haben wir im deutschen Recht noch nicht eine solche generelle Verpflichtung, anders als in den allermeisten Bundesstaaten in den USA. Nehmen wir das Beispiel der Bank, die Abbuchungen vorgenommen hat, ohne dass das entsprechend berechtigt war. Häufig sind das ja dann nicht Einzelfälle, sondern es sind Tausende, vielleicht Hunderttausende Fälle, in denen versucht wird solches abzubuchen, und sehr häufig eben mit Erfolg. Aber nur in hundert Fällen fällt es Verbrauchern auf. Sie beschweren sich bei der Bank.
Dann muss die Bank verpflichtet werden, die übrigen 99.000 entsprechend auch davon zu informieren, damit sie eben dann prüfen können, ob ein entsprechender Betrag abgebucht wurde, damit sie das rückgängig machen können. Sie haben ja die Möglichkeit das rückgängig zu machen, aber ich denke, in ganz vielen Fällen übersehen die Bankkunden, dass dort eine unrechtmäßige Abbuchung stattgefunden wird. Es wird ja von diesen Betrügern gerade versucht, dies so aussehen zu lassen, als sei das eine ganz routinemäßige Abbuchung. Und es sind häufig auch nur relativ geringe Beträge im Einzelfall. Das Ganze summiert sich dann aber zu Millionensummen.
Deutschlandradio Kultur: Wie wehre ich mich gegen das Scoring - ein automatisiertes Verfahren, mit dem Banken zum Beispiel die Kreditwürdigkeit ihrer Kunden bewerten? Wie kann sich ein Bankkunde in Berlin-Neukölln zum Beispiel dagegen wehren, dass er schlechter eingestuft wird als der, der am Tegernsee wohnt und deswegen einen billigeren Kredit bekommt? Wie kann man mit diesem Scoring umgehen, was völlig unter Ausschluss der Öffentlichkeit läuft?
Schaar: Ich stelle immer wieder überrascht fest, dass ganz viele Menschen überhaupt nicht wissen, was Scoring ist und was da abläuft. Das Problem, das ich hier sehe, ist, dass die Banken - und nicht nur die Banken, zunehmend auch Versicherungen und andere Unternehmen - Entscheidungen aufgrund von automatisierten Bewertungsziffern treffen. Diese Bewertungsziffern heißen "Score-Werte" und das Verfahren nennt man "Scoring".
Das Interessante ist, dass in diese Bewertungsziffern nicht etwa Fehlverhalten des Kunden in erster Linie einfließt, wenn man also einen Kredit nicht ordnungsgemäß bedient hat, sondern dass allein die völlig harmlos erscheinende und auch wirklich legale Verhaltensweise - man zieht um, man wechselt die Bank, man hat einen neuen Arbeitsplatz, man hat ein bestimmtes Alter - alles einfließt in diesen Wert.
Und wenn dann in diesem Wert auch die sogenannten "Geo-Informationen" einfließen, also, in was für einem Stadtteil wohne ich, dann kann das ganz gravierend sein, dass man dann einen Kredit gar nicht kriegt, dass man dafür gegebenenfalls mehr zahlen muss, dass man einen Handy-Vertrag verweigert bekommt beziehungsweise nur noch einen Prepaid-Vertrag angeboten bekommt. Wir haben Beschwerden, da gibt es Ärzte, Zahnärzte, wohl situiert, die gehen in einen "benachteiligten" Bezirk und kriegen keinen Handy-Vertrag mehr. Ich denke, das kann es doch nicht sein.
Da kommt dann im Grunde genommen so etwas wie eine Diskriminierung durch Verwendung von Informationen. Das ist ein Problem, das in der Vergangenheit unterschätzt wurde. Da gibt es jetzt zum Glück, auch auf mein Drängen hin, eine Novelle, eine Veränderung des Bundesdatenschutzgesetzes, die einerseits sicherstellen soll, dass der Betroffene überhaupt erfährt, was da geschieht, und zweitens das Ganze auch ein Stück begrenzt, wenn auch aus meiner Sicht noch nicht hinreichend.
Deshalb noch mal zurück zu Ihrer Frage: Was kann der Einzelne tun? Das ist ganz schwierig. Der Einzelne kann hier ganz schön wenig tun. Er kann fragen. Bisher waren die Antworten häufig sehr unbefriedigend: "Das sind Betriebs- und Geschäftsgeheimnisse, wir wissen gar nicht, was für einen Score-Wert wir verwendet haben. Wir speichern den nämlich nicht." All das wird zumindest besser werden. Ich finde, man sollte von solchen Möglichkeiten auch Gebrauch machen, aber ganz wird man dem Scoring nicht entgehen können.
Deutschlandradio Kultur: Zeigt das nicht insgesamt, dass im Wirtschaftsbereich noch viel zu tun ist und dass sich der Staat in puncto Datenschutz eher mit dem Datensammeln über seine Bürger beschäftigt hat und weniger damit, was so in der Wirtschaft abgeht? Müsste man das nicht ein bisschen umdrehen und die Konzentration darauf legen?
Schaar: Frau Wimmersberg, ich sehe das ganz genauso. Denn hier ist eine sehr einseitige Sichtweise eingekehrt, insbesondere nach dem 11. September 2001. Das Interessante ist ja, dass in den Jahren davor, seit 1998 eine ganz intensive Diskussion über die sogenannte "Modernisierung des Datenschutzrechts" stattgefunden hat. Da ging es auch gerade um die Frage: Wie kann man angesichts dieser neuen technologischen Entwicklung, der wirtschaftlichen Interessen, die an der Datenverarbeitung bestehen, wirksame gesetzliche Regelungen fassen?
Diese Studie, die da von drei berühmten Professoren erstellt wurde, ist just am 11. September oder um den 11. September 2001 herum fertig geworden. Und dann hat sich Herr Schily nicht in der Lage gesehen, die persönlich entgegen zu nehmen. Er war damals ja sowieso häufig mit der Aussage zu hören, Datenschutz ginge schon zu weit. Dann hat man das im Bundesinnenministerium einem Beamten gegeben und hat von dieser Studie nichts mehr gehört.
Das heißt, da ist ganz einseitig über Jahre hinweg nur dieser Aspekt Sicherheit im Mittelpunkt gewesen. Dementsprechend war auch die Datenschutzdiskussion genau darauf fokussiert. Diese generellen Probleme geraten jetzt erst wieder verstärkt ins Blickfeld. Das begrüße ich natürlich, aber ich erwarte auch von den Politikern, dass sie daraus dann die Konsequenzen ziehen. Die erste Konsequenz ist diese sogenannte kleine Datenschutznovelle, die jetzt diskutiert wird.
Deutschlandradio Kultur: Aber haben wir nicht schon den "gläsernen Bürger", Herr Schaar? Dieser Tage bekommt jeder Bundesbürger vom Bundeszentralamt für Steuern seine persönliche Steueridentifikationsnummer. Damit werden dann Name, Anschrift, Geschlecht, Geburtstag, alles, auch der Ort, der Doktortitel, der Künstlername hinterlegt. In der Debatte ist außerdem ein zentrales Melderegister - eine Datensammlung nach der anderen. Eigentlich bin ich doch schon der gläserne Bürger oder sehe ich das falsch?
Schaar: Na ja, ich denke, man sollte das nicht so binär sehen, ja oder nein, gläsern oder undurchsichtig, sondern das ist mehr so ein gradueller, schleichender Prozess. Aber Sie haben recht, dass wir auch gegenüber dem Staat, das ist ja jetzt wieder eine staatliche Maßnahme, die Sie hier angesprochen haben, immer transparenter werden.
Was mich eigentlich noch mehr besorgt, ist, dass so eine Infrastruktur entsteht, die es ermöglicht, dass man Daten, die in völlig unterschiedlichen Bereichen anfallen - im Finanzamt, bei den Sozialbehörden, bei der Rentenversicherung, bei den Krankenversicherungen, bei den Ordnungsbehörden -, zusammenfassen kann. Da muss man jetzt, glaube ich, sagen: Vorsicht, lieber etwas weniger machen in diese Richtung und genauer darüber nachdenken, wie man bestimmten Gefahren, die damit verbunden sind, vorbeugen kann.
Deutschlandradio Kultur: Ich kann das noch erweitern: ELENA oder auch die elektronische Gesundheitskarte sollen kommen. Ist das noch verhältnismäßig? Ist das noch verfassungskonform?
Schaar: Das zentrale Problem ist für uns Datenschützer ja ganz generell, dass viele dieser Maßnahmen für sich betrachtet ziemlich plausibel sind. Nehmen wir diese Steuernummer. Die Steuernummer wird ja damit begründet, dass die Leute umziehen und unter diesen Leuten, die da umziehen, gibt es auch Menschen, die sich der Steuerpflicht entziehen wollen und denen das bisher auch teilweise gelungen ist, und zwar deshalb, weil praktisch diese Zusammenführung der unterschiedlichen Datensätze nicht mehr möglich war. Das ist datenschutzrechtlich - sage ich mal - auch kein optimaler Zustand. Es ist auch insbesondere für die Steuerverwaltung unbefriedigend.
Jetzt muss man aber fragen: Gibt es nicht auch Alternativen zu einer solchen Steuernummer? Ich denke, das ist nicht mehr intensiv geprüft worden. Da hat man einfach gesagt, wir haben im Grunde dann da so eine Art Personenkennzeichen für die Finanzverwaltung. Das führen wir jetzt ein. Und mein Vorgänger hat dann noch eine strikte Zweckbindung durchsetzen können. Das heißt, diese Daten dürfen nur für steuerliche Zwecke verwendet werden.
Das ist erst mal ganz gut, aber wir wissen aus anderen Bereichen, dass diese Zweckbindung nicht immer Ewigkeitswert hat. Denken Sie an die Autobahn-Maut, wo es ja auch hieß, im Gesetz auch noch heißt: Diese Daten dürfen nur für die Maut-Erhebung verwendet werden. Aber demnächst wird es hier eine Möglichkeit geben, diese Daten auch zur Strafverfolgung zu nutzen und vielleicht sogar zur Gefahrenabwehr.
Insofern ist es natürlich immer so, dass - wenn Daten da sind, wenn es ein technisches Verfahren gibt, das es ermöglicht, auf die Daten gegebenenfalls zuzugreifen - auch Begehrlichkeiten wachsen. Das heißt, dass man für durchaus plausible, häufig auch absolut gerechtfertigte Zwecke - das macht es uns ja als Datenschützern schwer - diese Daten verwenden will.
Deutschlandradio Kultur: Herr Schaar, sind Sie mit Ihrer Behörde mit rund 70 Mitarbeitern überhaupt gut ausgerüstet, um diesen Datenmissbrauch in Schach zu halten? Ist das nicht so ein Kampf David gegen Goliath?
Schaar: Sie wissen ja, wie das mit David und Goliath ausgegangen ist. Insofern finde ich, dass der Vergleich uns irgendwie ehrt. Aber es ist schon richtig, wir sind als Datenschützer doch ein bisschen in der Situation derjenigen, die hinter der Entwicklung her fahren und versuchen das Schlimmste zu verhüten beziehungsweise dann bestimmte Folgen zu beseitigen. Das ist sicher nicht der richtige Weg.
Richtiger und wichtiger ist es, dass man in die Verfahren sehr frühzeitig rein kommt, dass man da Änderungen durchsetzen kann. Dazu braucht man einmal das Know-how. Dazu braucht man natürlich auch Verbündete. Man braucht dann gegebenenfalls auch Sanktionsmöglichkeiten, die wirklich wehtun, wenn Regelungen nicht eingehalten werden. Also, an all diesen Baustellen könnte man schon was machen.
Deutschlandradio Kultur: Sie sagten gerade "Verbündete". Wen meinen Sie denn damit?
Schaar: Das ist durchaus ziemlich weit gespannt. Ich denke natürlich an den Verbraucherschutz zum Beispiel. Die Verbraucherschützer haben ja in vielen, vielen Fällen durchaus gleich gelagerte Interessen, nicht immer, aber doch immer öfter. Denken Sie an das Scoring zum Beispiel. Das sehen wir Datenschützer und die Verbraucherschützer ganz genauso. Ich habe den Eindruck, dass es jetzt bei den Datenmissbrauchsfällen der jüngsten Zeit genauso ist.
Aber es sind nicht nur die Verbraucherschützer. Es sind zum Teil die Gewerkschaften, die sicher ein Interesse haben, den Arbeitnehmerdatenschutz zu verbessern. Es sind die Ärzte und Patienten, die natürlich daran interessiert sind, dass Gesundheitsdaten vertraulich behandelt werden. Es sind Journalisten, die das Interesse haben, dass ihre Quellen nicht aufgedeckt werden. Es sind auch die Unternehmen selbst, würde ich sagen, jedenfalls viele Unternehmen, insbesondere diejenigen, bei denen Daten das größte Kapital darstellen.
Deutschlandradio Kultur: Sie fordern den Datenschutz im Grundgesetz zu verankern. Was versprechen Sie sich davon?
Schaar: Wir haben ja schon eine Rechtsprechung des Bundesverfassungsgerichts. Schon 1983, damals ging es um eine Volkszählung, das ist das sogenannte Volkszählungsurteil, hat das Verfassungsgericht gesagt: Es gibt ein Grundrecht auf informationelle Selbstbestimmung. Jeder soll im Grundsatz selbst darüber entscheiden können, welche Daten gebe ich wem gegenüber preis. Das hat das Bundesverfassungsgericht damals gesagt.
Nur das Problem ist, wenn Sie in das Grundgesetz schauen, dann werden Sie dieses Grundrecht nicht finden. Daraus wird dann immer wieder auch geschlussfolgert, das sei ja eigentlich nicht so ein richtiges Grundrecht. Und - das muss man ja auch sagen - auch eine Rechtsprechung des Bundesverfassungsgerichts kann sich ändern. Ich sehe das zwar im Augenblick nicht, aber dementsprechend fände ich es gut, wenn man hier ganz klipp und klar diese Grundsätze in das Grundgesetz rein schreibt.
Wenn ich mir die anderen Grundrechte anschaue, "Post- und Fernmeldegeheimnis", würde man das heute noch so rein schreiben, wie es da drin ist? Reicht das überhaupt aus im Internetzeitalter? Wie ist es mit der Nutzung von elektronischen Medien? Dazu wird ja gar nichts zum informationellen Selbstbestimmungsrecht gesagt. Wie sieht es aus mit den Daten? Die persönlichen Rechte an der Wohnung, die Unverletzlichkeit der Wohnung ist im Grundgesetz festgeschrieben, aber mein virtuelles Umfeld, mein Schlafzimmer im Internet oder mein Computer ist nicht genauso geschützt wie irgendwelche Geschäftsräume.
Da wäre es ein ganz gutes Signal, wenn hier der Gesetzgeber sagen würde: Das Grundrecht auf informationelle Selbstbestimmung schreiben wir ins Grundgesetz.
Deutschlandradio Kultur: Herr Schaar, wir bekommen eine lebenslange Steuernummer. Dann ist die Rede von einem zentralen Melderegister. Die Gesundheitskarte mit der Krankenakte ist im Testverfahren. Die Telekommunikationsdaten werden auf Vorrat gespeichert. Können Sie als Bundesdatenschutzbeauftragter da noch ruhig schlafen?
Schaar: Mein Schlaf wird durch meine berufliche Aufgabe nicht entscheidend beeinflusst, glaube ich. Aber da ist jetzt natürlich schon eine Entwicklung, die mir Sorge bereitet, dass wir hier - teilweise, ohne dass dieses allgemein diskutiert wird - in eine Infrastruktur, in eine Situation kommen, wo sehr, sehr viel mehr Daten miteinander verknüpft werden.
Ich denke, das sollte nicht einfach schicksalhaft hingenommen werden, sondern wir sollten versuchen als Gesellschaft, aber auch als Einzelne, soweit wir das können, wo wir eben tätig sind, als Datenschützer, aber das gilt für Journalisten oder auch für Bankkunden oder auch Bankdirektoren gleichermaßen, dort dieses im Blick zu behalten.
Denn letztlich geht es ja darum: Wie wird unsere Zukunft aussehen? Da denke ich, dass wir - gerade, was diese Wirkung von einzelnen Maßnahmen anbelangt - häufig nicht genügend darüber nachdenken. Das müssen wir aber. Da bleibt uns gar nichts anderes übrig.