Donnerstag, 28. März 2024

Archiv

Eine Idee wird 50
Wie in Hessen der Datenschutz erfunden wurde

Vor 50 Jahren waren Computer noch schrankgroße Maschinen, die ein Vermögen kosteten und nur von Experten bedient werden konnten. Doch mit ihrem Aufkommen begann die elektronische Datenverarbeitung. Hessen erließ deshalb 1970 ein Datenschutzgesetz. Es war das erste - in Deutschland und weltweit.

Von Monika Dittrich | 07.10.2020
Einweihung des deutschen Rechenzentrums 1963: Der hessische Ministerpräsidenten Georg-August Zinn (2.v.r.) im Gespräch mit dem Leiter des Instituts, Dr. Ernst Glowatzki
Vom hessischen Ministerpräsidenten Georg-August Zinn (2.v.r.) ging die Initiative für das erste Datenschutzgesetz aus (dpa/Richard Koll)
Die Geschichte des Datenschutzes beginnt mit einem Zeitungsartikel. Am 10. Juni 1969 erscheint in der "Frankfurter Allgemeinen Zeitung" ein Leitartikel des Redakteurs Hanno Kühnert. Der gelernte Jurist schreibt über die "Tücken der Computer":
"Die sanfte Revolution der Elektronengehirne hat in der Bundesrepublik längst begonnen. (…) In diesem Stadium des Aufbruchs (…) müssen Gefahren auf die Wand unserer Zukunft projiziert werden, Tendenzen zur Totalisierung des Staates auf Umwegen, zur Schematisierung und zur Entblößung und Degradierung der menschlichen Person."
Mit dem Aufkommen der ersten Großrechner und der Möglichkeiten zentraler Datenverarbeitung wuchsen auch die Bedenken: Was passiert, wenn der Staat Informationen über seine Bürger zentral speichern, miteinander kombinieren und von überallher abrufen kann?
Stempel mit der Aufschrift DSGVO und EU-Fahne
Datenschutzgrundverordnung soll evaluiert werden
Zuviel Bürokratie, mangelnde Kooperation, unterschiedliche Gesetzesauslegungen: Zwei Jahre nach Inkrafttreten der Europäischen Datenschutzgrundverordnung soll evaluiert werden, wie die DSGVO verbessert werden kann.

FAZ-Journalist Kühnert jedenfalls beschreibt in seinem Leitartikel, wie solche Datensammlungen den Menschen "bis zur Unerträglichkeit" transparent machen können:
"Die Bloßstellung des Bürgers und die totalitäre Verwendbarkeit seiner intimsten Lebensdaten durch Ringschaltungen und Datenzentralisierung lassen sich nur mit gesicherten, kontrollierten und auch einprogrammierten Informationssperren bekämpfen."
Geburtsstunde des Datenschutzes
Zeitzeugen erinnern sich nun folgendermaßen: Der damalige hessische Ministerpräsident, Georg-August Zinn, ein Sozialdemokrat, der während der NS-Diktatur im Widerstand aktiv gewesen war, liest an jenem Frühsommermorgen im Jahr 1969 den FAZ-Artikel von Hanno Kühnert. Und er beschließt umgehend: Die staatliche Nutzung von Computern und zentralen Datenbanken braucht Regeln. Noch am gleichen Tag gibt er einen entsprechenden Gesetzentwurf in Auftrag. "Das war, wenn Sie so wollen, der Startschuss des Datenschutzes in der Bundesrepublik", erzählte Spiros Simitis vor einigen Jahren in einem Interview mit den Kollegen von Netzpolitik.org.
Illustration mit Laptop, Auge, Netz und Schlössern 
EuGH kippt Datenschutzvereinbarung - "Die USA müssen ihre Gesetzeslage ändern"
Die Privatsphäre von EU-Bürgern muss auch in den USA gesichert sein – das hat der Europäische Gerichtshof entschieden. Die USA muss nun ihre Überwachungsgesetze ändern, sagte der Datenschutzaktivist Alan Dahi.
Simitis war in den 60er Jahren Rechtsprofessor zuerst in Gießen und dann in Frankfurt am Main – einer, der sich schon früh mit den Auswirkungen der elektronischen Datenverarbeitung beschäftigt hatte. Er war es, der das hessische Datenschutzgesetz maßgeblich formulierte – weshalb er auch als Vater des Datenschutzes bezeichnet wird. "Und so kam es zu einer einmaligen Debatte im hessischen Landtag. Weil alle großen Parteien sofort für diese Regelung waren. Und das hessische Datenschutzgesetz ist dann verabschiedet worden."
Eine Illustration zeigt den Schattenumriss eines Mannes an einem Schreibtisch vor einem grafischen Hintergrund.
Arbeiten in der Cloud - Der Boom der digitalen Dienste
Immer mehr Dienste und Daten werden in der sogenannten Cloud zentral gespeichert. Den Markt dominieren US-amerikanische Anbieter. Mit Gaia-X will die Bundesregierung deshalb ein europäisches Angebot starten.
Im Oktober 1970, also vor 50 Jahren, trat es in Kraft. Es war das erste Datenschutzgesetz nicht nur in Hessen und der Bundesrepublik, sondern weltweit. Im Gesetzestext von 1970 heißt es:
"Die (…) erfassten Unterlagen, Daten und Ergebnisse sind so zu ermitteln, weiterzuleiten und aufzubewahren, dass sie nicht durch Unbefugte eingesehen, verändert, abgerufen oder vernichtet werden können. Dies ist durch geeignete personelle und technische Vorkehrungen sicherzustellen."
"Wie ein Goldfisch im Spiegelglas"
Erstmals gab es damit ein Gesetz, das Bürger vor staatlichem Missbrauch ihrer persönlichen Daten schützt. Dass der rechtlich garantierte Datenschutz ausgerechnet in der Bundesrepublik erfunden wurde, war wohl kein Zufall: Die Erfahrung der NS-Diktatur dürfte eine Rolle gespielt haben – und auch die Auseinandersetzung mit der DDR-Diktatur jenseits der innerdeutschen Grenze:
"Natürlich hatte Deutschland gegenüber anderen Staaten auch eine Besonderheit: es war ein zweigeteilter Staat. Im Osten ein Staat, der eben versuchte, mit der Datenverarbeitung die Freiheitsrechte der Bürger einzuschränken. Und im Westen ein Staat, der auf der Grundlage des Grundgesetzes eine besondere Aufmerksamkeit für das Thema entwickelte", sagt Ulrich Kelber. Der SPD-Politiker ist seit Anfang 2019 Bundesbeauftragter für den Datenschutz.
Dass es ein solches Amt geben muss, einen Kontrolleur, an den Bürger sich wenden können, wenn sie ihren Datenschutz verletzt sehen, der die Sicherheit der Datenverarbeitung im Auge behält – all das steht auch schon im hessischen Datenschutzgesetz von 1970.
"Der Datenschutzbeauftragte überwacht die Einhaltung der Vorschriften dieses Gesetzes und der übrigen Vorschriften über die vertrauliche Behandlung der Angaben der Bürger und der über die einzelnen Bürger vorhandenen Unterlagen bei der maschinellen Datenverarbeitung."
Der erste Datenschutzbeauftragte in Hessen war der mittlerweile verstorbene Sozialdemokrat Willi Birkelbach. In einem Interview mit dem Hessischen Rundfunk erinnerte er sich an die Herausforderung der damaligen Zeit: "Dass es alles sich so entwickeln könnte, dass man zum Schluss sich findet, wie wir das damals ausgedrückt haben, wie ein Goldfisch im Spiegelglas, der dauernd von allen Seiten beleuchtet wird, und das wird dann noch gespeichert. So dass man nachträglich noch Situationen wieder aufrufen kann, von denen niemand sonst Kenntnis genommen hätte. Wenn man das verbindet mit dem, was man heute Rasterfahndung nennt, dann ist kein Mensch mehr frei und jeder Mensch auf der Welt könnte auf diese Weise erfasst werden."
Der SPD-Politiker Willi Birkelbach (1913 - 2008), erster Datenschutzbeauftrager von Hessen
Hessens erster Datenschutzbeauftragter: der SPD-Politiker Willi Birkelbach (1913 - 2008) (dpa/Manfred Rehm)
Als die Computer in die Amtsstuben kamen
Computer waren zu jener Zeit noch schrankgroße Maschinen, die ein Vermögen kosteten und nur von Experten bedient werden konnten. Sie kamen anfangs vor allem beim Militär und in der Wissenschaft zum Einsatz. In einem Fernsehbericht des Westdeutschen Rundfunks von 1966 werden die Computer als elektronische Gehirne beschrieben, die in Sekundenschnelle raffinierte Rechenoperationen erledigen können: "Da muss die menschliche Vorstellungskraft kapitulieren!"
Nach und nach kamen die Großrechner auch in Behörden zum Einsatz. Von "Verwaltungsautomation" war die Rede – und Hessen war bei dieser Entwicklung von Anfang an weit vorn. 1971 schrieb das Magazin "Der Spiegel":
"In keinem anderen Bundesland wird staatliche und kommunale Verwaltungsarbeit schon so umfassend mit elektronischer Datenverarbeitung bewältigt. (…) IBM-Computer errechnen die Einheitswerte bebauter Grundstücke; sie liefern Grundlagen für die Beamtenbesoldung und den Lohnsteuer-Jahresausgleich, die Wehrerfassung und die Planung neuer Verkehrsanlagen; sie geben Aufschluss über die Leistungsfähigkeit der Krankenhäuser und Labors."
Auch deshalb ist das erste Datenschutzgesetz also in Hessen entstanden. Erst sieben Jahre später folgte das Bundesdatenschutzgesetz. Dass das staatliche Datensammeln nicht überhandnehmen darf, dafür gab es in der westdeutschen Gesellschaft damals ein ausgeprägtes Bewusstsein.
Volkszählungsurteil von 1983
Das zeigte sich insbesondere Anfang der 80er Jahre – beim Protest gegen die geplante Volkszählung. Verfassungsbeschwerden gegen das entsprechende Gesetz waren erfolgreich – am 15. Dezember 1983 sprach das Bundesverfassungsgericht sein berühmtes Volkszählungsurteil.
Der Jurist Spiros Simitis, der die Entwicklung des Datenschutzes auf nationaler und internationaler Ebene über Jahrzehnte maßgeblich prägte, bezeichnete das Urteil von 1983 als "Bibel" des Datenschutzes: "Das Gericht sagt, das Recht selbst darüber zu entscheiden, wer die Daten des Einzelnen wann unter welchen Bedingungen wofür benutzt, dieses Recht ist eine elementare Funktionsbedingung einer demokratischen Gesellschaft."
Der Erste Senat des  Bundesverfassungsgerichtes in Karlsruhe mit Bundesverfassungsgerichts-Präsident Professor Dr. Ernst Benda (M) am 15. Dezember 1983 bei der Urteilsverkündung über das Volkszählungsgesetz 1983
Das Bundesverfassungsgericht stellte 1983 klar: Datenschutz ist wichtig für die Demokratie. (dpa/Michael Dick)
Die Karlsruher Richter hatten klargestellt: Datenschutz ist nicht nur wichtig für die Privatsphäre, sondern für die Demokratie. Und sie erhoben die informationelle Selbstbestimmung zum Grundrecht. Der Bund und die Länder mussten nach diesem Urteil ihre Datenschutzgesetze anpassen.
"Das Verfassungsgericht hat zu Recht gesagt, die Bürgerinnen und Bürger dürfen gar nicht erst das Gefühl haben, dass später jemand ihr legitimes, legales Verhalten bewertet und vielleicht zu fehlerhaften Schlussfolgerungen kommt. Weil das die Freiheitsrechte in einer liberalen Demokratie einschränkt", sagt Ulrich Kelber, der heutige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Datenschutz ist elementar für die Demokratie
Die Gesetze und Urteile von damals waren vorausschauend. Und doch konnte niemand ahnen, welche umfassende Bedeutung der Datenschutz im täglichen Leben einmal bekommen würde. Weil die digitale Revolution nicht vorhersehbar war, die Durchdringung der Gesellschaft mit Computern und Tablets und Smartphones, mit mobilem Internet und künstlicher Intelligenz.
Längst gilt es nicht mehr nur, staatliches Datensammeln zu beschränken und zu kontrollieren. Hinzu kommt die Datensammelwut globaler Konzerne wie Google, Facebook oder Amazon. "Es war einfach am Anfang nicht absehbar, dass sich ein ganzer wirtschaftlicher Bereich, eine ganze Branche bildet, die von Daten lebt, die Daten zu ihrem Geschäftsmodell macht, die Werbeplattformen erfindet, damit wir darauf kommunizieren können und darauf Werbung zu verticken", sagt Constanze Kurz.
Die Silhouette eines Mannes zeichnet sich vor einem Computerbildschirm mit den Logos von Google+ und Facebook ab.
Bestandsaufnahme DSVGO - Mehr Datenschutzbewusstsein erreicht
Durch die Datenschutzgrundverordnung (DSGVO) ist das Bewusstsein für den Datenschutz gestiegen, auch wenn der Umstieg für einige Unternehmen holprig verlief. Und: Datenanalyse ist auch weiterhin möglich.
Die Informatikerin forscht und schreibt zum Thema Datenschutz und Ethik, sie ist Sprecherin des Chaos Computer Clubs, in dem sich Hacker zusammengeschlossen haben und der heute eine wichtige Nichtregierungsorganisation zum Thema Computersicherheit ist. Und sie ist Redaktionsmitglied bei Netzpolitik.org, einer Nachrichten-Webseite mit den Schwerpunkten digitale Freiheitsrechte und Datenschutz.
"Jeder hat etwas zu verbergen"
Constanze Kurz: "Jeder Aspekt des Lebens und des Arbeitens ist mittlerweile digitalisiert, da fallen Daten an, insofern ist jeder Aspekt unseres Bürgerseins und Menschseins mit diesen Datenfragen verbunden. Aus meiner Sicht ist das gerade eine Zeit, über die wir später denken werden: Oh, da ist einiges in die Praxis umgesetzt worden, worüber wir eines Tages die Köpfe schütteln werden."
Dazu gehört aus ihrer Sicht zum Beispiel die Tatsache, dass Datensätze gezielt genutzt werden können, um Wähler zu beeinflussen oder – wie manche sagen würden – zu manipulieren. Bei der Abstimmung über den Brexit in Großbritannien und auch bei der Wahl von US-Präsident Trump soll es so gewesen sein, das gibt auch Constanze Kurz zu Bedenken: "Aber das kann man inzwischen für jede einzelne Wahl sagen. Denn es gibt ja kein Land mehr, wo nicht auch die Frage der Auswertung von Massendaten in Bezug auf Wählerbeeinflussung oder -verhalten nicht eine Rolle spielt für die Wahlkämpfer."
Nun muss man sich fragen, warum viele Menschen ihre Daten heutzutage bereitwillig zur Verfügung stellen – etwa bei Facebook oder in anderen sozialen Netzwerken. Es sei eben bequem, sagt Constanze Kurz - und obendrein fehlten häufig die Alternativen: "Das kann man sich im Mobilfon-Markt ansehen, da haben wir im Wesentlichen zwei Betriebssysteme. Sie haben wenig tatsächlichen Markt, wo Menschen aussuchen könnten, ob sie lieber mit einem privatsphäre-freundlichen oder so einem datenauswertenden Modell leben wollen. Und wenn Sie die Umfragen sehen, dann sehen Sie, dass die Menschen einen ganz großen Wert auf die Privatsphäre-Einstellungen legen, aber oft nicht wissen, wie sie es in der Praxis umsetzen sollen."

Was wohl auch damit zu tun hat, dass die Technik immer komplexer wird. Und noch immer – wenn auch inzwischen seltener – hört man gelegentlich das Argument, wer nichts zu verbergen habe, müsse seine Daten auch nicht geheim halten.
Constanze Kurz: "Es ist eigentlich ein unsolidarischer Satz, weil die meisten Menschen, die ihn aussprechen, sprechen ihn aus mit der Intention zu sagen: Wir alle haben nichts zu verbergen, also auch der Gesprächspartner, also Du, mit dem man spricht. Aber man sollte diese Sätze nicht so abtun. Denn wenn ein Großteil der Bevölkerung plötzlich das Gefühl hat, ich habe ja gar nichts zu verbergen, dann wäre das misslich. Denn Grundrechte muss man leben, man muss sie verteidigen, sonst sterben sie ab."
Ulrich Kelber: "Jeder hat etwas zu verbergen und bei jedem kommt man darauf, ihm schnell deutlich zu machen, welche Informationen über ihn er nicht möchte, dass andere kennen, und vor allem möchte keiner, dass ein System, das mich analysiert, am Ende meine Verhaltensweisen so gut voraussagen kann, dass ich nicht mehr auf gleicher Augenhöhe bin."
Constanze Kurz, Sprecherin des Chaos Computer Clubs
Constanze Kurz: "Ich habe nichts zu verbergen' ist ein unsolidarischer Satz. (dpa/Peter Endig)
Um das zu verhindern, brauche man strenge Regeln und Gesetze. Denn letztlich gehe es ja nicht darum, die Daten zu schützen, sondern die Menschen, sagt Ulrich Kelber. Die Europäische Datenschutzgrundverordnung sei in dieser Hinsicht ein großer Wurf.
Datenschutz ist kein "sekundäres" Grundrecht
"Wer einer Europäerin oder einem Europäer ein Produkt oder eine Dienstleistung anbietet, tut dies zu europäischen Bedingungen, unterwirft sich damit dem Europäischen Datenschutzrecht, mit seinen Strafen, die auch ausgesprochen werden, hohen Strafen bei entsprechenden Datenschutzverstößen. Und das scheint immerhin so attraktiv zu sein, dass das europäische Datenschutzrecht jetzt auch Vorbild für andere Weltregionen wird. Japan, Südkorea, Indien, Brasilien, Mexiko, und selbst in den USA haben jetzt mit Kalifornien und New York zwei sehr wichtige Bundesstaaten ein Datenschutzrecht nach europäischem, nach deutschem, nach hessischem Vorbild entwickelt", das der Bundesdatenschutzbeauftragte Ulrich Kelber.
Auch der Staat nutzt den technischen Fortschritt – weshalb es auch hier beim Datenschutz immer wieder neue Themen gibt: von der Vorratsdatenspeicherung über Online-Durchsuchungen bis hin zur automatischen Gesichtserkennung und der elektronischen Patientenakte. Anfang des Jahres wurde in Deutschland darüber diskutiert, Handy-Standortdaten zu nutzen, um Corona-Infektionsketten nachzuverfolgen. "Also da gibt es schon viele Leute, die meinen, wenn etwas technisch möglich ist, dann lasst uns doch die Daten sammeln und auswerten – selbst wenn das am Ende gar nichts bringt", so Kelber.
Das Logo der Corona-Warn-App auf einem Smartphone. Mithilfe der App werden Bürger benachrichtigt, sollten Sie sich in der Nähe eines am Coronavirus Erkrankten aufgehalten haben, wenn dieser die App ebenso installiert hatte und seine Erkrankung meldet. | Verwendung weltweit
Corona-Warn-App - Play Services übermitteln Daten an Google
Bei der Nutzung der Corona-Warn-App werden offenbar persönliche Nutzerdaten an zentrale Server übermittelt. Die Krux an der Sache: Ohne die dafür verantwortlichen Google Play Services wäre die Corona-Warn-App blind.
Die Geschichte des Datenschutzes ist auch eine Geschichte politischer Zielkonflikte: Vor allem für die Verbrechens- und Terrorbekämpfung wird die Privatsphäre der Bürger immer wieder eingeschränkt. Nach den Anschlägen vom 11. September 2001 erließen viele Länder Sicherheitsgesetze, die den Datenschutz schwächten.
Datenabfluss nach Cyberangriffen
Hinzu kamen Praktiken, die nicht einmal gesetzlich geregelt waren: Der frühere CIA-Mitarbeiter Edward Snowden enthüllte 2013, welche Spionagemethoden vor allem amerikanische und britische Geheimdienste nutzten – immer mit dem Argument, Terroranschläge verhindern zu wollen. Der folgende NSA-Skandal führte zu einer breiten Debatte über die Gefahren staatlicher Überwachung.
Ulrich Kelber warnt davor, Datenschutz als sekundäres Grundrecht zu interpretieren – und etwa den Gesundheitsschutz oder die innere Sicherheit als wichtiger darzustellen. Und er bemängelt, dass einmal eingeführte Eingriffsrechte des Staates nicht auf ihre Wirksamkeit hin überprüft würden: "Ich würde erwarten, dass man eine echte Analyse macht, wo geht es eigentlich um Vollzugsdefizite und nicht um das Defizit an Daten. Und dafür gibt es viele Beispiele, wo die Terroristen, die später die Anschläge gemacht haben, bekannt waren, aber nicht beobachtet wurden. Da hätte es nichts gebracht, nachträglich noch 25 Telefonkontakte mehr zu identifizieren."

Die Informatikerin Constanze Kurz sieht noch eine weitere Gefahr für die Privatsphäre der Bürger: mangelnde IT-Sicherheit. Je abhängiger eine Gesellschaft von Computersystemen ist, desto verletzlicher ist sie auch: Das haben Cyberangriffe etwa auf den Bundestag, das Berliner Kammergericht oder kürzlich auf das Universitätsklinikum Düsseldorf gezeigt. "Im Grunde sind alle Computersysteme angreifbar. Und was hilft es mir denn, wenn ich ein gutes Datenschutzkonzept habe, wenn man die Fehler in Software und Betriebssystem hat, so dass die Daten dann doch wieder abgreifbar sind."
Der Bundesdatenschutzbeauftragte, Ulrich Kelber (29.9.2016).
Seit Anfang 2019 Bundesdatenschutzbeauftragter: Ulrich Kelber. (dpa / picture alliance / Monika Skolimowska)
Mehr als Verbraucherschutz
"In der Datenschutzgrundverordnung steht, man muss die ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der Daten treffen. Also eine nicht ausreichende IT-Sicherheit eines Systems kann durchaus für sich bereits ein Datenschutzverstoß sein", sagt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Dass die Funktion seines Amtes in einer digitalen Gesellschaft immer wichtiger wird, habe der Bundestag, der ihn auf Vorschlag der Bundesregierung wählt, längst erkannt. Die Bonner Behörde, der er vorsteht, wurde zuletzt personell verstärkt.
Kelber sieht sich und sein Haus in der Tradition von 50 Jahren Datenschutz in der Bundesrepublik: "Ich glaube auf jeden Fall, dass es eine klare Linie gibt von 1970, dem hessischen Datenschutzrecht, dem wegweisenden Urteil des Bundesverfassungsgerichts 1983 bis hin dann zum Europäischen Datenschutzrecht 1995 und mit der Verabschiedung der Datenschutzgrundverordnung 2016, dann auch die Übernahme weiterer in Deutschland bewährter Elemente und vor allem die Grundidee: Datenschutzrecht ist ein Grundrecht, ist aus dem Grundrecht abgeleitet, es ist nicht nur Verbraucherschutz."
Nicht nur Verbraucherschutz, sondern elementar für eine funktionierende Demokratie: So sieht es auch die Informatikerin und Datenschutz-Expertin Constanze Kurz. "Man hört im Ausland oft über die Deutschen: Ach, da ist eine ‚German Angst‘, wir seien besonders ängstlich mit den Daten. Aber es gibt auch einen gewissen Respekt vor der Skepsis, mit der hier Datenprobleme debattiert werden und auch Datenskandale berichtet werden. Also ich bin nicht ganz unzufrieden damit, dass der Datenschutz immer noch in fast allen politischen Ebenen intensiv debattiert wird. Und da können wir uns bei den Vätern dieser Gesetze wohl bedanken."