"Gesetzliche Anforderungen radikal überprüfen"
Aus Sicht des ehemaligen hessischen Datenschutzbeauftragten Spiros Simitis gehen die aktuellen Datenschutzvorhaben der Bundesregierung nicht weit genug: "Die geltenden gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten müssen radikal überprüft und über weite Strecken neu gestaltet werden", sagte Simitis im Interview mit der Wochenzeitung "Das Parlament".
Eine solche Reform müsse vor allem bei der Kontrolle im nicht öffentlichen Bereich ansetzen, dort hätten sich völlig neue Risiken des Datenmissbrauchs ergeben. Im Gesundheits- und Versicherungsbereich beispielsweise würden sie "auch dafür genutzt, das Verhalten des Einzelnen präventiv zu steuern", so Simitis. Der Akzent liege "durchweg auf einer kontinuierlichen Verarbeitung der Daten aktueller oder potenzieller Patienten, die primär auf ein Verhalten gerichtet ist, das Krankheitsrisiken möglichst gar nicht erst aufkommen lässt."
Spiros Simitis, früherer Vorsitzender des Nationalen Ethikrates und heute Mitglied des Deutschen Ethikrats, fordert darüber hinaus ein Arbeitnehmerdatenschutzgesetz: "Wie wichtig eine solche Regelung ist, kann man an Einzelfragen wie etwa der Erhebung genetischer Daten ebenso sehen wie an der Notwendigkeit, generell und verbindlich die Grenzen einer Erhebung von Arbeitnehmerdaten bei Dritten oder einer Weitergabe an Außenstehende festzulegen."
Das Interview im Wortlaut:
Der Bundestag behandelt in den nächsten Wochen eine ganze Reihe von Datenschutzvorhaben. Ist das ein gutes Zeichen für den Datenschutz?
Vordergründig sicherlich, weil eine Reihe durchaus akuter Probleme angegangen wird. Längst fällig ist aber weit mehr: Die geltenden gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten müssen radikal überprüft und über weite Strecken neu gestaltet werden.
Wie meinen Sie das?
Den Anfang machten in den siebziger Jahren allgemeine Datenschutzgesetze. Sehr bald zeigte sich allerdings, dass sich ein effizienter Datenschutz an konkreten Problembereichen orientieren und auf sie einwirken muss. Doch die mittlerweile immer zahlreicheren bereichsspezifischen Regelungen sind nicht aufeinander abgestimmt und, schlimmer noch, willkommene Ansätze, den Datenschutz gezielt zurückzunehmen. Die offene Zulassung der mit einem der unverzichtbaren Grundsätze des Datenschutzes, der Zweckbindung, unvereinbaren Vorratsdatenspeicherung ist ein Musterbeispiel dafür.
Was wäre Ihrer Meinung nach die Lösung?
Wir brauchen eine allgemeinen Regelung, in der die generell geltenden Datenschutzgrundsätze festgeschrieben werden müssen sowie daran immer wieder gemessene und konsequent aufeinander abgestimmte bereichsspezifische Regelungen.
Die vom gerade wiedergewählten Bundesdatenschutzbeauftragten Peter Schaar vor kurzem zur Diskussion gestellte Charta für digitalen Datenschutz und Informationsfreiheit geht doch schon in diese Richtung?
Ohne Zweifel ein wichtiger Ansatz. Mehr denn je kommt es aber unabhängig davon beispielsweise darauf an, unmissverständlich klarzustellen, dass der Zugriff auf personenbezogene Daten immer die Ausnahme bleiben muss und stets eine gesetzliche Regelung voraussetzt. Erst recht gilt es, anders als bisher, die Einwilligung der Betroffenen nicht den gesetzlichen Vorschriften gleichzustellen.
Warum?
Allein schon die Erfahrungen mit den Allgemeinen Geschäftsbedingungen in den Alltagsgeschäften hätten genügt, um Misstrauen zu wecken. Denken Sie zudem an die Abhängigkeit derjenigen, die wie etwa bei einem Arbeitsverhältnis ihre Daten weitergeben sollen. Und schließlich: Die Einwilligung hat sich als das wirksamste Instrument einer Verarbeitungsstrategie erwiesen, die dazu verhilft, nahezu alle gesetzliche Schranken zu umgehen und alle Daten zu bekommen, die man nur möchte. Sie muss daher auf gesetzlich definierte Fälle beschränkt bleiben.
Die jetzt vorgesehene Novelle des Bundesdatenschutzgesetzes will Verbrauchern mehr Rechte hinsichtlich des von Auskunfteien betriebenen Scorings geben. Genügen die nun vorgesehenen Regelungen aus Ihrer Sicht?
Nein. Scoring muss lediglich im Kreditbereich akzeptiert und nicht etwa ebenso selbstverständlich bei Arbeitsverhältnissen hingenommen werden. Die Betroffenen müssen zudem immer wissen, wer ihre Daten bekommt, weil sie nur dann sich darauf einstellen und reagieren können. Ausnahmen zugunsten von Auskunfteien sind so gesehen völlig fehl am Platz.
Wie sehen Sie die Verarbeitung von Geodaten?
Geodaten sind genau genommen ein weiterer Schritt in einer längst klar gewordenen Richtung. Sie vervollständigen die Informationen über die Betroffenen, indem diese geortet werden und so auch einen Einblick in weitere Daten wie etwa zu den Vermögensverhältnissen und zum sozialen Umfeld vermitteln.
Inwiefern?
Spätestens hier zeigt sich, dass wir einen Punkt in der Verarbeitung personenbezogener Daten erreicht haben, der zu wenig zu Kenntnis genommen wird. Als wir in den siebziger Jahren begonnen haben, ging es darum, welche Daten überhaupt verarbeitet werden dürfen. Das ist heute sinnlos, weil alles schon verarbeitet worden ist.
Welche Konsequenzen hat das?
Mehr und mehr rückt die Vernetzung in den Mittelpunkt der Datenverarbeitung. Mehr und mehr wird sie aber vor diesem Hintergrund auch dafür genutzt, das Verhalten des Einzelnen präventiv zu steuern. Denken Sie an die heftigen Diskussionen über die Gesundheitskarte oder die sich mittlerweile verdichtenden Erfahrungen mit den Informationserwartungen an die Biobanken. Gleichviel, ob es um öffentliche Institutionen oder private Versicherungen geht, der Akzent liegt durchweg auf einer kontinuierlichen Verarbeitung der Daten aktueller oder potenzieller Patienten, die primär auf ein Verhalten gerichtet ist, das Krankheitsrisiken möglichst gar nicht erst aufkommen lässt.
Datenschutzkonforme Verfahren und Produkte sollen künftig über ein Audit geprüft werden. Wie beurteilen Sie die geplante Umsetzung?
Der Vorteil liegt auf der Hand. Mit dem Audit wird ein Verfahren anerkannt und gesichert, das eine verlässliche Überprüfung der datenverarbeitenden Stellen gewährleistet. Eben deshalb ist es aber nicht verständlich, wieso es ein Audit nur geben soll, wenn es die verarbeitende Stelle nicht bei den üblichen Anforderungen belässt, sondern die Verarbeitungsvoraussetzungen erhöht. Soll das Audit wirklich den Datenschut verbessern, muss es immer möglich sein, sich dafür zu entscheiden.
Im Bundesrat gibt es eine SPD-Initiative, die die Einführung eines Arbeitnehmerdatenschutzgesetzes vorschlägt. Wie notwendig sehen sie dieses?
Die Forderung ist alt. Gleich mehrmals hat sich zudem der Bundestag in der Vergangenheit leider vergeblich für ein entsprechendes Gesetz ausgesprochen. Detaillierte Vorschläge hat auch die Internationale Arbeitsorganisation vorgelegt. Wie wichtig eine solche Regelung ist, kann man an Einzelfragen, wie etwa der Erhebung genetischer Daten, ebenso sehen wie an der Notwendigkeit, generell und verbindlich die Grenzen einer Erhebung von Arbeitnehmerdaten bei Dritten oder einer Weitergabe an Außenstehende festzulegen.
Herr Simitis, vermissen Sie angesichts der Fülle der geplanten Gesetzesvorhaben noch etwas?
Eine Reform, die diesen Namen verdient, muss bei der Kontrolle im nicht öffentlichen Bereich ansetzen, ja sie in den Mittelpunkt stellen. Wie im öffentlichen Bereich muss es keinen Zweifel daran geben, dass es die ureigenste Aufgabe der Datenschutzbeauftragten und Aufsichtsbehörden ist, die nic -öffentlichen Stellen bei der Verarbeitung personenbezogener Daten konstant zu überwachen und, wann immer sich Unregelmäßigkeiten andeuten, sofort und nachhaltig einzugreifen. Interne Beauftragte erfüllen so gesehen nur eine Hilfsfunktion, müssen daher mit der externen Kontrollinstanz zusammenarbeiten und sie keineswegs lediglich "in Zweifelsfällen" anrufen.
Wären Bußgelder eine Lösung?
Noch so hohe Bußgelder sind kein Ersatz für eine echte Kontrolle. Der Datenschutz ist im Zeichen der Vorbeugung entstanden, Bußgelder hingegen sind späte Reaktionen. Kurzum, wenn man nicht die Reform vor allem als Aufgabe versteht, nun endlich eine echte Kontrolle auch im nicht öffentlichen Bereich zu schaffen, kann man den Datenschutz vergessen.