Jochen Spengler: Wie oft haben wir doch früher den Satz gehört "wer nichts zu verbergen hat, der hat auch nichts zu befürchten". Der Satz war schon immer falsch, aber so richtig klar wird dies in diesen Datenskandal-Tagen. Nach Aufdeckung des illegalen Handels mit Kundendaten wollen die Bundesparteien nun Konsequenzen ziehen und den Datenschutz verstärken, und die Frage stellt sich, ob das nicht viel zu spät kommt. Das Bankgeheimnis gibt es nicht mehr. Manche Firmen überwachen ihre eigenen Mitarbeiter per Telefon, Mikrofon und Kamera. Wir haben die Vorratsspeicherung von Telekommunikationsdaten. Es gibt den gläsernen Steuerzahler, bald mit lebenslänglicher Steuernummer. Es gibt den gläsernen Fluggast, der sogar seine religiöse und sexuelle Orientierung bei Reisen in die USA mitteilen muss. Wir haben demnächst die Patientenkarte. Wer ins Internet geht, hinterlässt seine Spuren. Und der Personalausweis mit Fingerabdruck ist auch in der Mache. Am Telefon ist Professor Spiros Simitis, langjähriger hessischer Datenschutzbeauftragter und Leiter der Forschungsstelle Datenschutz an der Uni Frankfurt. Guten Morgen, Herr Simitis.
Spiros Simitis: Guten Morgen!
Spengler: Herr Simitis, man weiß gar nicht, wer da alles welche Daten über einen hat. Die Adressen der gesamten bundesdeutschen Bevölkerung seien für Marketingzwecke und Verkaufs-Akquise im Umlauf. Das vermuten Datenschützer in Schleswig-Holstein. Muss uns langsam unheimlich werden?
Simitis: Wissen Sie, was wir heute erleben ist die Konsequenz eines Grundfehlers aller Datenschutzgesetzgebungen von Anfang an. Man hat sich damals auf den Standpunkt gestellt und ihn bis heute hartnäckig verteidigt, im öffentlichen Bereich muss es klare Regelungen geben. Im privaten Bereich hingegen hat man den Regelungsbedarf heruntergespielt und die Kontrolle sehr, sehr mit allen möglichen Hindernissen behaftet.
Spengler: Heißt das, dass der SPD-Innenpolitiker Dieter Wiefelspütz Recht hat, wenn er den Missbrauch mit Daten der Bürger vor allem als ein Problem der Privatwirtschaft sieht? Er hat gesagt, "big brother" lauert in der Privatwirtschaft eher als bei "Vater Staat". Der Staat ist sauber, Teile der Privatwirtschaft nicht. Hat er damit Recht?
Simitis: Nein. Das ist grundfalsch. Was zutrifft ist folgendes: Die Verarbeitung personenbezogener Daten hat in den vergangenen Jahren vor allem im privaten Bereich zugenommen. Es gibt fast kein einziges Datum mehr, das im privaten Bereich nicht verarbeitet wird. Die Konsequenz davon ist - und das haben wir in den Vereinigten Staaten schon gesehen und bei uns auch bei der Telekom -, dass der Staat jetzt immer mehr darüber nachdenkt, ob er selbst nicht mehr so viele Daten zu verarbeiten braucht, weil er auf die Daten zugreifen kann, die es im privaten Bereich gibt. Diese Unterscheidung, die ist hinfällig.
Spengler: Lassen Sie uns trotzdem bei dieser Unterscheidung einen Moment bleiben. Das was jetzt am Datenskandal neu ist, das ist, dass Daten von Unternehmen zu Unternehmen verkauft werden und dass dabei auch Kontonummern sind. Oder ist das Ihnen auch nicht neu?
Simitis: Das ist mir auch nicht neu, weil es solche Ansätze immer gegeben hat. Wir haben eine Kommerzialisierung der Daten im privaten Bereich, die absolut zugenommen hat, und da machen sich auch die Grundfehler der Gesetzgebung sofort bemerkbar - vor allem zwei. Erstens: die mangelnde Kontrolle. Und zweitens: Vorkehrungen, die die Zweckbindung der Verarbeitung sichern. Ich sage das auch deshalb, weil man vergisst - auch in der jetzigen Diskussion -, dass Kontrolle - und auf die kommt es an - beim Datenschutz präventiv sein muss. Sie muss vorbeugen. Sie kommt nicht hinterher. Deswegen nutzen uns auch nicht Bußgeldbescheide. Die zuständigen Instanzen müssen vorher eingreifen, sich vergewissern, wer die Daten hat, was mit ihnen geschieht und das Schicksal der Daten verfolgen. Das brauchen wir.
Spengler: Wer sind denn die zuständigen Instanzen? Wer soll da kontrollieren?
Simitis: Da haben wir unser nächstes Problem. Im öffentlichen Bereich haben wir die unabhängigen Datenschutzbeauftragten von Anfang an gehabt. Im privaten Bereich waren es Instanzen, die in die staatliche Verwaltung eingegliedert wurden. Hinzu kamen die so genannten betrieblichen Datenschutzbeauftragten, die intern darüber zu wachen haben. Nun kann man sich gerade in den letzten Tagen fragen: Wo sind denn die alle geblieben?
Spengler: Ja. Wo sind sie denn geblieben?
Simitis: Wenn ich das wüsste, wäre ich froh. Eben deswegen sage ich, dort muss man ansetzen. Man muss dafür sorgen, dass im privaten Bereich eine konstante Kontrolle stattfindet, mit derselben Intensität und auf Vorbeugung bedacht.
Spengler: Die Bundesjustizministerin Brigitte Zypries ist offenbar eingeschwenkt auf eine Forderung der Verbraucher, wonach man bei der Weitergabe der Werbedaten explizit zustimmen müsse. Wir hören uns das mal kurz an:
Zypries: Ich denke, wir werden gemeinsam diskutieren müssen, ob es nicht Sinn macht, im Datenschutzrecht vorzusehen, dass eine vorherige Einwilligung erteilt werden muss, wenn Daten weiterverkauft werden sollen. Das ist im Moment nicht so ausgestaltet, sondern anders herum. Ich meine, dass eine Einwilligungslösung immer eine klarere Regelung für den Verbraucher ist.
Spengler: Würde uns eine solche Einwilligungslösung weiterhelfen, oder wird das nur ein Tropfen auf den heißen Stein?
Simitis: Zunächst muss man sich auch da verabschieden von einer Vorstellung, die bis heute nahezu jedes Mal vorgebracht wird. Die Einwilligung ist im privaten Bereich eine pure Fiktion. Denken Sie mal an sich, wenn Sie in einen Supermarkt gehen. Denken Sie daran, was man Ihnen sofort anbietet, wenn Sie sich bereit erklären, dass Ihre Daten verarbeitet werden. Jedermann ist in solchen Situationen nicht sonderlich aufmerksam und alle finden sich bereit, sich einverstanden zu erklären. Entscheidend ist nicht das Einverständnis; entscheidend ist, dass wir zunächst einmal sagen müssen, die Einwilligung hat nicht die Funktion, die man ihr zugedacht hat, nämlich die Autonomie des einzelnen zum Ausdruck zu bringen und ihm das Recht zu geben zu entscheiden, was genau zu geschehen hat. Denken Sie an die Arbeitnehmer zum Beispiel. Dort haben wir es einsehen müssen, dass das mit der Einwilligung nicht funktioniert. Aber insofern hat Frau Zypries Recht: Wenn man überhaupt die Einwilligung ins Spiel bringen wird, dann muss sie eine Form haben, die den einzelnen zwingt, sich Gedanken darüber zu machen. Das ist eben diese nachträgliche Frage an den Konsumenten: Bist du bereit, das zu machen? Nicht wenn man gerade rein kommt und quasi nebenbei und in kleinen Buchstaben oder wie auch immer. Jahrelang haben wir uns in diesem Land über die allgemeinen Geschäftsbedingungen gestritten. Jetzt haben wir angenommen und akzeptiert, dass allgemeine Geschäftsbedingungen gesetzlich geregelt sein müssen. Aus genau denselben Gründen, weil die Einwilligung, wenn sie so abstrakt gesehen wird, nichts bringt.
Spengler: Herr Professor Simitis, wie kommen diese ganzen Datensammlungen eigentlich zu Stande? Man fragt sich ja, wie kommt der und der an meine Kontonummer und wie kommt das dann mit meinem Geburtsdatum zu Stande. Wie muss man sich das als Laie vorstellen?
Simitis: Zunächst einmal gibt es einen Grundsatz im Datenschutz, der nicht ernst genommen wird. Das ist die absolute Zweckbindung. Wenn ich sicher sein kann, dass wenn Sie von mir Daten haben wollen - gleichviel in welchem Zusammenhang - diese Daten nur für den Zweck benutzt werden dürfen, den wir ausgemacht haben oder den Sie mir gesagt haben, dann kann ich beruhigt sein. Wenn es aber so ist, wie wir es heute haben, dass es alle möglichen Ausnahmen gibt, dass ich im Rahmen meines Unternehmens, für meine Unternehmenszwecke und vor dem Hintergrund einer möglichen Einwilligung die Daten - und zwar die vielen Daten, die heute da sind - betrachte, dann ist diese Sammlung - das dürfen Sie nicht vergessen - ein gewaltiges Informationskapital. Jeder Unternehmer, wenn er dieses Informationskapital sieht, denkt auch nicht nur an sich in dem Sinne, wie benutze ich sie konkret, sondern auch daran, dass er dieses Kapital verwerten kann, indem er es verkauft. Das wissen wir seit Jahren aus den Vereinigten Staaten. Das ist bei uns auch so und da müssen wir eingreifen.
Spengler: Brauchen wir eine Art Datengipfel? Muss man sich zusammensetzen und sagen, das sind jetzt die wichtigsten Maßnahmen, um dieser Gefährdung entgegenzutreten?
Simitis: Was wir zunächst brauchen ist offen einzugestehen, wo die Mängel waren, die wir bewusst in diesen vielen Jahren in Kauf genommen haben, und dann zum Beispiel an der Zweckbindung, zum Beispiel an klaren Kontrollvorkehrungen, zum Beispiel an den Punkten, die wir jetzt besprochen haben, ansetzen. Dann kämen wir weiter.
Spengler: Wie kommen wir denn weiter, wenn das Justizministerium sagt, dafür sind wir nicht zuständig, dafür ist das Innenministerium zuständig, und das sagt, dafür ist das Verbraucherschutzministerium zuständig?
Simitis: Zuständig ist im Prinzip das Innenministerium. Die Justizministerin hat es gesagt, um ihren Vorschlag zunächst vorzubringen, aber auch darauf aufmerksam zu machen, dass sie nicht die Kompetenz hat, ihn umzusetzen, sondern allenfalls in der Diskussion über etwas, was das Innenministerium gesagt hat, ihn wieder vorzubringen und zu hoffen, dass es dazu kommt. Das ist die Ausgangssituation. Das Innenministerium hat ja, wenn ich es richtig gehört habe, gestern eine Erklärung abgegeben, die weit von dem abweicht.
Spengler: Nun ist das Innenministerium auch genau das Ministerium, das für den Staat immer wieder darum wirbt, Daten der Bürger zu sammeln. Ich sage mal nur Pass, diverse Datensätze, Datendateien, die wir dort haben. Kann man gerade diesem Ministerium vertrauen, dass es mit den Daten aus der Privatwirtschaft dann wirklich sorgsam umgeht?
Simitis: Ich glaube, was geschehen muss ist etwas, was wir auch aus der Geschichte des Datenschutzes wissen. Und zwar wiederholt haben wir dieses bestätigt gesehen. Wer intervenieren muss, und zwar nachdrücklich und fordernd, ist das Parlament. Der Bundestag muss verlangen, dass Korrekturen geschehen. Der Bundestag kann von sich aus Vorgaben machen und er kann auch an diesen Vorgaben messen, was immer das Bundesinnenministerium oder wer sonst vorlegt. Wir brauchen eine parlamentarische Initiative die sagt, der Datenschutz ist an einem Punkt angekommen, wo er von Grund auf reformiert werden muss, weil er ansonsten nichts mehr bringt.
Spengler: Professor Spiros Simitis, Leiter der Forschungsstelle Datenschutz der Universität Frankfurt. Danke für das Gespräch.
Spiros Simitis: Guten Morgen!
Spengler: Herr Simitis, man weiß gar nicht, wer da alles welche Daten über einen hat. Die Adressen der gesamten bundesdeutschen Bevölkerung seien für Marketingzwecke und Verkaufs-Akquise im Umlauf. Das vermuten Datenschützer in Schleswig-Holstein. Muss uns langsam unheimlich werden?
Simitis: Wissen Sie, was wir heute erleben ist die Konsequenz eines Grundfehlers aller Datenschutzgesetzgebungen von Anfang an. Man hat sich damals auf den Standpunkt gestellt und ihn bis heute hartnäckig verteidigt, im öffentlichen Bereich muss es klare Regelungen geben. Im privaten Bereich hingegen hat man den Regelungsbedarf heruntergespielt und die Kontrolle sehr, sehr mit allen möglichen Hindernissen behaftet.
Spengler: Heißt das, dass der SPD-Innenpolitiker Dieter Wiefelspütz Recht hat, wenn er den Missbrauch mit Daten der Bürger vor allem als ein Problem der Privatwirtschaft sieht? Er hat gesagt, "big brother" lauert in der Privatwirtschaft eher als bei "Vater Staat". Der Staat ist sauber, Teile der Privatwirtschaft nicht. Hat er damit Recht?
Simitis: Nein. Das ist grundfalsch. Was zutrifft ist folgendes: Die Verarbeitung personenbezogener Daten hat in den vergangenen Jahren vor allem im privaten Bereich zugenommen. Es gibt fast kein einziges Datum mehr, das im privaten Bereich nicht verarbeitet wird. Die Konsequenz davon ist - und das haben wir in den Vereinigten Staaten schon gesehen und bei uns auch bei der Telekom -, dass der Staat jetzt immer mehr darüber nachdenkt, ob er selbst nicht mehr so viele Daten zu verarbeiten braucht, weil er auf die Daten zugreifen kann, die es im privaten Bereich gibt. Diese Unterscheidung, die ist hinfällig.
Spengler: Lassen Sie uns trotzdem bei dieser Unterscheidung einen Moment bleiben. Das was jetzt am Datenskandal neu ist, das ist, dass Daten von Unternehmen zu Unternehmen verkauft werden und dass dabei auch Kontonummern sind. Oder ist das Ihnen auch nicht neu?
Simitis: Das ist mir auch nicht neu, weil es solche Ansätze immer gegeben hat. Wir haben eine Kommerzialisierung der Daten im privaten Bereich, die absolut zugenommen hat, und da machen sich auch die Grundfehler der Gesetzgebung sofort bemerkbar - vor allem zwei. Erstens: die mangelnde Kontrolle. Und zweitens: Vorkehrungen, die die Zweckbindung der Verarbeitung sichern. Ich sage das auch deshalb, weil man vergisst - auch in der jetzigen Diskussion -, dass Kontrolle - und auf die kommt es an - beim Datenschutz präventiv sein muss. Sie muss vorbeugen. Sie kommt nicht hinterher. Deswegen nutzen uns auch nicht Bußgeldbescheide. Die zuständigen Instanzen müssen vorher eingreifen, sich vergewissern, wer die Daten hat, was mit ihnen geschieht und das Schicksal der Daten verfolgen. Das brauchen wir.
Spengler: Wer sind denn die zuständigen Instanzen? Wer soll da kontrollieren?
Simitis: Da haben wir unser nächstes Problem. Im öffentlichen Bereich haben wir die unabhängigen Datenschutzbeauftragten von Anfang an gehabt. Im privaten Bereich waren es Instanzen, die in die staatliche Verwaltung eingegliedert wurden. Hinzu kamen die so genannten betrieblichen Datenschutzbeauftragten, die intern darüber zu wachen haben. Nun kann man sich gerade in den letzten Tagen fragen: Wo sind denn die alle geblieben?
Spengler: Ja. Wo sind sie denn geblieben?
Simitis: Wenn ich das wüsste, wäre ich froh. Eben deswegen sage ich, dort muss man ansetzen. Man muss dafür sorgen, dass im privaten Bereich eine konstante Kontrolle stattfindet, mit derselben Intensität und auf Vorbeugung bedacht.
Spengler: Die Bundesjustizministerin Brigitte Zypries ist offenbar eingeschwenkt auf eine Forderung der Verbraucher, wonach man bei der Weitergabe der Werbedaten explizit zustimmen müsse. Wir hören uns das mal kurz an:
Zypries: Ich denke, wir werden gemeinsam diskutieren müssen, ob es nicht Sinn macht, im Datenschutzrecht vorzusehen, dass eine vorherige Einwilligung erteilt werden muss, wenn Daten weiterverkauft werden sollen. Das ist im Moment nicht so ausgestaltet, sondern anders herum. Ich meine, dass eine Einwilligungslösung immer eine klarere Regelung für den Verbraucher ist.
Spengler: Würde uns eine solche Einwilligungslösung weiterhelfen, oder wird das nur ein Tropfen auf den heißen Stein?
Simitis: Zunächst muss man sich auch da verabschieden von einer Vorstellung, die bis heute nahezu jedes Mal vorgebracht wird. Die Einwilligung ist im privaten Bereich eine pure Fiktion. Denken Sie mal an sich, wenn Sie in einen Supermarkt gehen. Denken Sie daran, was man Ihnen sofort anbietet, wenn Sie sich bereit erklären, dass Ihre Daten verarbeitet werden. Jedermann ist in solchen Situationen nicht sonderlich aufmerksam und alle finden sich bereit, sich einverstanden zu erklären. Entscheidend ist nicht das Einverständnis; entscheidend ist, dass wir zunächst einmal sagen müssen, die Einwilligung hat nicht die Funktion, die man ihr zugedacht hat, nämlich die Autonomie des einzelnen zum Ausdruck zu bringen und ihm das Recht zu geben zu entscheiden, was genau zu geschehen hat. Denken Sie an die Arbeitnehmer zum Beispiel. Dort haben wir es einsehen müssen, dass das mit der Einwilligung nicht funktioniert. Aber insofern hat Frau Zypries Recht: Wenn man überhaupt die Einwilligung ins Spiel bringen wird, dann muss sie eine Form haben, die den einzelnen zwingt, sich Gedanken darüber zu machen. Das ist eben diese nachträgliche Frage an den Konsumenten: Bist du bereit, das zu machen? Nicht wenn man gerade rein kommt und quasi nebenbei und in kleinen Buchstaben oder wie auch immer. Jahrelang haben wir uns in diesem Land über die allgemeinen Geschäftsbedingungen gestritten. Jetzt haben wir angenommen und akzeptiert, dass allgemeine Geschäftsbedingungen gesetzlich geregelt sein müssen. Aus genau denselben Gründen, weil die Einwilligung, wenn sie so abstrakt gesehen wird, nichts bringt.
Spengler: Herr Professor Simitis, wie kommen diese ganzen Datensammlungen eigentlich zu Stande? Man fragt sich ja, wie kommt der und der an meine Kontonummer und wie kommt das dann mit meinem Geburtsdatum zu Stande. Wie muss man sich das als Laie vorstellen?
Simitis: Zunächst einmal gibt es einen Grundsatz im Datenschutz, der nicht ernst genommen wird. Das ist die absolute Zweckbindung. Wenn ich sicher sein kann, dass wenn Sie von mir Daten haben wollen - gleichviel in welchem Zusammenhang - diese Daten nur für den Zweck benutzt werden dürfen, den wir ausgemacht haben oder den Sie mir gesagt haben, dann kann ich beruhigt sein. Wenn es aber so ist, wie wir es heute haben, dass es alle möglichen Ausnahmen gibt, dass ich im Rahmen meines Unternehmens, für meine Unternehmenszwecke und vor dem Hintergrund einer möglichen Einwilligung die Daten - und zwar die vielen Daten, die heute da sind - betrachte, dann ist diese Sammlung - das dürfen Sie nicht vergessen - ein gewaltiges Informationskapital. Jeder Unternehmer, wenn er dieses Informationskapital sieht, denkt auch nicht nur an sich in dem Sinne, wie benutze ich sie konkret, sondern auch daran, dass er dieses Kapital verwerten kann, indem er es verkauft. Das wissen wir seit Jahren aus den Vereinigten Staaten. Das ist bei uns auch so und da müssen wir eingreifen.
Spengler: Brauchen wir eine Art Datengipfel? Muss man sich zusammensetzen und sagen, das sind jetzt die wichtigsten Maßnahmen, um dieser Gefährdung entgegenzutreten?
Simitis: Was wir zunächst brauchen ist offen einzugestehen, wo die Mängel waren, die wir bewusst in diesen vielen Jahren in Kauf genommen haben, und dann zum Beispiel an der Zweckbindung, zum Beispiel an klaren Kontrollvorkehrungen, zum Beispiel an den Punkten, die wir jetzt besprochen haben, ansetzen. Dann kämen wir weiter.
Spengler: Wie kommen wir denn weiter, wenn das Justizministerium sagt, dafür sind wir nicht zuständig, dafür ist das Innenministerium zuständig, und das sagt, dafür ist das Verbraucherschutzministerium zuständig?
Simitis: Zuständig ist im Prinzip das Innenministerium. Die Justizministerin hat es gesagt, um ihren Vorschlag zunächst vorzubringen, aber auch darauf aufmerksam zu machen, dass sie nicht die Kompetenz hat, ihn umzusetzen, sondern allenfalls in der Diskussion über etwas, was das Innenministerium gesagt hat, ihn wieder vorzubringen und zu hoffen, dass es dazu kommt. Das ist die Ausgangssituation. Das Innenministerium hat ja, wenn ich es richtig gehört habe, gestern eine Erklärung abgegeben, die weit von dem abweicht.
Spengler: Nun ist das Innenministerium auch genau das Ministerium, das für den Staat immer wieder darum wirbt, Daten der Bürger zu sammeln. Ich sage mal nur Pass, diverse Datensätze, Datendateien, die wir dort haben. Kann man gerade diesem Ministerium vertrauen, dass es mit den Daten aus der Privatwirtschaft dann wirklich sorgsam umgeht?
Simitis: Ich glaube, was geschehen muss ist etwas, was wir auch aus der Geschichte des Datenschutzes wissen. Und zwar wiederholt haben wir dieses bestätigt gesehen. Wer intervenieren muss, und zwar nachdrücklich und fordernd, ist das Parlament. Der Bundestag muss verlangen, dass Korrekturen geschehen. Der Bundestag kann von sich aus Vorgaben machen und er kann auch an diesen Vorgaben messen, was immer das Bundesinnenministerium oder wer sonst vorlegt. Wir brauchen eine parlamentarische Initiative die sagt, der Datenschutz ist an einem Punkt angekommen, wo er von Grund auf reformiert werden muss, weil er ansonsten nichts mehr bringt.
Spengler: Professor Spiros Simitis, Leiter der Forschungsstelle Datenschutz der Universität Frankfurt. Danke für das Gespräch.