Christiane Kaess: Vor dem Hintergrund der Spitzelaffäre bei der Deutschen Telekom will Bundesinnenminister Wolfgang Schäuble heute in Berlin mit Branchenvertretern über eine Selbstverpflichtung beim Datenschutz sprechen. Einige sind der Einladung erst gar nicht gefolgt. Unterdessen geht die politische Diskussion um den Datenschutz weiter.
Am Telefon ist der Bundesdatenschutzbeauftragte Peter Schaar. Guten Tag Herr Schaar!
Peter Schaar: Guten Tag!
Kaess: Herr Schaar, wir haben es eben im Beitrag gehört. Es wird Ihnen vorgeworfen, auf die Telekom-Affäre "phlegmatisch" so wörtlich zu reagieren. Warum bleiben Sie eher gelassen?
Schaar: Vielleicht ist das eine Grundeinstellung, die ich habe, dass ich nicht so schnell aufgeregt reagiere. Und ich glaube auch nicht, dass die Effektivität davon abhängt, dass man besonders laut schreit oder mit den Händen wedelt.
Kaess: Aber reicht das als Reaktion auf die bisher gravierendsten Missbrauchsfälle in einem Wirtschaftsunternehmen?
Schaar: Der entscheidende Punkt ist doch, dass man die Datenschutzkontrolle jetzt effektiviert. Das heißt, dass man uns die Mittel an die Hand gibt, hier effektiv vorzugehen. Im Augenblick ist es doch so, dass die Wahrscheinlichkeit, dass ein Datenmissbrauch aufgedeckt wird, denkbar gering ist. Bei mir sind fünf Mitarbeiter mit der Überwachung oder Kontrolle von Telekommunikationsunternehmen - zirka 5000 sind es mindestens - beschäftigt und die müssen auch noch Eingaben bearbeiten. Die haben sich im Übrigen auch noch verdoppelt in der letzten Zeit. Sie müssen zu Gesetzgebungsvorhaben Stellung nehmen. Da bleibt nicht viel Zeit zu unangekündigten Kontrollen.
Kaess: Das heißt es fehlen Ihnen die nötigen Mittel?
Schaar: Natürlich! 5500 Mitarbeiter hat das Bundeskriminalamt. Da kann natürlich ein Polizeivertreter sagen na ja, der Datenschutzbeauftragte muss ja mindestens genauso effektiv sein. Aber wie gesagt: Fünf Personen, fünf Stellen sind für die Kontrolle der Telekommunikation da. Das ist natürlich deutlich zu wenig.
Dann gibt es aber noch ein zweites Problem. Häufig wird ein Datenschutzverstoß als Kavaliersdelikt angesehen. Gerade in der Wirtschaft wird dann auch gesagt, das sei ja unnütze Bürokratie. Jetzt zeigt sich, wie hoch der Vertrauensschaden ist, wenn mit den Daten nicht sorgfältig umgegangen wird. Und ich denke auch hier gibt es ja eine Stellschraube. Man könnte ja den Bußgeldrahmen deutlich ausweiten. Bisher sind es ja höchstens 300.000 Euro, die verhängt werden könnten. Wenn man diesen Rahmen auf einen Betrag anhebt, der den Unternehmen wirklich weh tut, auch großen Unternehmen, dann wäre sicherlich Datenschutz auch ein ernst zu nehmenderes Thema.
Kaess: Das ist der eine Vorschlag, den Sie gemacht haben. Der andere ist ein so genannter Daten-Notar. Dieser soll die Nutzung von Telefonverbindungsdaten durch Unternehmen und Strafverfolger kontrollieren. Wer aber garantiert die Unbestechlichkeit eines solchen Daten-Notars?
Schaar: Das ist natürlich immer das Problem. Sie können das Risiko nie auf null absenken. Aber man kann das Risiko für diejenigen, die Daten missbrauchen wollen, erhöhen - das Entdeckungsrisiko.
Kaess: Inwiefern?
Schaar: Und zwar dadurch, dass man sozusagen die Verantwortung auch auf mehrere Personen verteilt, das heißt so eine Art Zwei-Schlüssel-System oder Vier-Augen-System sagt man manchmal auch, wo eine unabhängige Stelle das Okay gibt, wenn auf sensible Informationen zugegriffen wird. Das ist die Idee. Das ist aber auch sage ich mal nur eine Idee unter verschiedenen. Man kann zum Beispiel auch technisch sicherstellen, dass solche Datenzugriffe viel effektiver protokolliert werden. Auch das geschieht ja nach meinen Erfahrungen nicht in dem Maße, wie es erforderlich wäre.
Kaess: Ich möchte noch mal kurz auf den Daten-Notar eingehen. Es gibt ja auch jetzt schon interne Unternehmenskontrolle. Funktioniert hat die aber trotzdem nicht, wenn sich diejenigen an den entscheidenden Positionen absprechen - siehe Telekom.
Schaar: In diesem Fall scheint es ja so zu sein, dass die entscheidenden Vorgänge bewusst am betrieblichen Datenschutzbeauftragten vorbei geführt wurden. Also muss hier die Frage auch erlaubt sein: Wie können wir die Stellung des betrieblichen Datenschutzbeauftragten verbessern? Auch hier geht es teilweise um die Frage: Mit welchen Mitteln wird der ausgestattet? Aber auch: Wie unabhängig ist der? - Er ist ja nicht vergleichbar unabhängig wie ein Betriebsrat. Er hat beispielsweise nicht ein vergleichbares Kündigungsrecht. Hier könnte man auch, wenn man was für den Datenschutz tun will, etwas verändern.
Kaess: Wie optimistisch sind Sie, dass bei dem heutigen Treffen im Bundesinnenministerium etwas Sinnvolles herauskommt?
Schaar: Das ist jetzt ein erstes Gespräch. Ich kann mir nicht vorstellen, dass man bei einem solchen Gespräch zu wirksamen Gegenreaktionen kommt. Aber icW bin gespannt. Weiße Salbe hilft hier nicht mehr. Hier sind Maßnahmen gefordert, eine Stärkung der Datenschutzaufsicht im Bund und in den Ländern. Das ist das Gebot der Stunde.
Kaess: Es soll vor allem um eine so genannte Selbstverpflichtung gehen. Die Unternehmen sagen, es gebe bereits eine Selbstverpflichtung. Seit der Liberalisierung des Marktes vor zehn Jahren müsse jede Firma Lizenzen beantragen.
Schaar: Die Frage ist ja: was heißt Selbstverpflichtung in dem Zusammenhang und was passiert, was sind die Sanktionen, die dann eingreifen, wenn man sich an die Selbstverpflichtung nicht hält? - Da bin ich gespannt, was da raus kommt. Ich habe allerdings den Eindruck, dass man mit einer Selbstverpflichtung, dass man die Gesetze in Zukunft achten will, noch nicht genug getan hat. Man muss dann möglicherweise doch noch mal an die Regeln heran und man muss eine effektive Stärkung auch des Datenschutzes erreichen und nicht nur eine verbale.
Kaess: Herr Schaar, müsste auch, weil sie Großaktionär bei dem Bonner Konzern ist, die Bundesregierung eine aktivere Rolle übernehmen?
Schaar: Das ist ja ein Eigentumsverhältnis und über den Aufsichtsrat könnte die Bundesregierung sicherlich Einfluss nehmen. Aber ob man damit tatsächlich derartige Vorfälle verhindern kann, die ja sich auch ereignen könnten bei einem rein privatwirtschaftlichen Unternehmen - es hat ja im Ausland vergleichbare Fälle gegeben, wo Vodafone zum Beispiel betroffen war -, da bin ich mir nicht so sicher.
Kaess: Wie können sich denn auf der ganz anderen Seite die Verbraucher im Moment schützen?
Schaar: Wichtig ist, dass man sich natürlich überlegt "Ist das Unternehmen, mit dem ich einen Vertrag abschließe, vertrauenswürdig?" und sich auf dem Markt umsieht. Das bedeutet, dass man vielleicht ein Unternehmen, bei dem derartige Dinge vorkommen, dann nicht in die erste Wahl zieht.
Kaess: Wie kann ich das kontrollieren, ob ein Unternehmen vertrauenswürdig ist?
Schaar: Gut wäre es, wenn wir ein Datenschutzzertifikat, ein Datenschutz-Audit bekämen. Das ist ja auch schon gefordert worden.
Kaess: Was meinen Sie damit genau?
Schaar: Dass ein unabhängiger Gutachter positiv feststellt, dass die Anforderungen des Datenschutzes gewährleistet werden. Dazu braucht man allerdings ein Gesetz, das den Rahmen dafür festlegt, und darüber wird ja schon seit Jahren gerungen, jedoch bisher ohne greifbares Ergebnis.
Kaess: Warum?
Schaar: Aus der Wirtschaft gibt es da ganz massiven Widerstand - jedenfalls aus großen Teilen der Wirtschaft. Die Wirtschaftsverbände meinen, das sei wieder eine zusätzliche bürokratische Hürde, die hier eingeführt würde, obwohl es nur um ein freiwilliges Audit, ein freiwilliges Zertifizierungsverfahren geht, nicht mal um ein obligatorisches. Ich kann das überhaupt nicht nachvollziehen. Der Schaden, der durch Datenschutzverstöße ausgelöst wird, ist um ein Vielfaches höher als die Kosten, die mit einem besseren Datenschutz verbunden wären.
Kaess: Der Bundesdatenschutzbeauftragte Peter Schaar war das. Vielen Dank für das Gespräch, Herr Schaar.
Schaar: Ich bedanke mich auch.
Am Telefon ist der Bundesdatenschutzbeauftragte Peter Schaar. Guten Tag Herr Schaar!
Peter Schaar: Guten Tag!
Kaess: Herr Schaar, wir haben es eben im Beitrag gehört. Es wird Ihnen vorgeworfen, auf die Telekom-Affäre "phlegmatisch" so wörtlich zu reagieren. Warum bleiben Sie eher gelassen?
Schaar: Vielleicht ist das eine Grundeinstellung, die ich habe, dass ich nicht so schnell aufgeregt reagiere. Und ich glaube auch nicht, dass die Effektivität davon abhängt, dass man besonders laut schreit oder mit den Händen wedelt.
Kaess: Aber reicht das als Reaktion auf die bisher gravierendsten Missbrauchsfälle in einem Wirtschaftsunternehmen?
Schaar: Der entscheidende Punkt ist doch, dass man die Datenschutzkontrolle jetzt effektiviert. Das heißt, dass man uns die Mittel an die Hand gibt, hier effektiv vorzugehen. Im Augenblick ist es doch so, dass die Wahrscheinlichkeit, dass ein Datenmissbrauch aufgedeckt wird, denkbar gering ist. Bei mir sind fünf Mitarbeiter mit der Überwachung oder Kontrolle von Telekommunikationsunternehmen - zirka 5000 sind es mindestens - beschäftigt und die müssen auch noch Eingaben bearbeiten. Die haben sich im Übrigen auch noch verdoppelt in der letzten Zeit. Sie müssen zu Gesetzgebungsvorhaben Stellung nehmen. Da bleibt nicht viel Zeit zu unangekündigten Kontrollen.
Kaess: Das heißt es fehlen Ihnen die nötigen Mittel?
Schaar: Natürlich! 5500 Mitarbeiter hat das Bundeskriminalamt. Da kann natürlich ein Polizeivertreter sagen na ja, der Datenschutzbeauftragte muss ja mindestens genauso effektiv sein. Aber wie gesagt: Fünf Personen, fünf Stellen sind für die Kontrolle der Telekommunikation da. Das ist natürlich deutlich zu wenig.
Dann gibt es aber noch ein zweites Problem. Häufig wird ein Datenschutzverstoß als Kavaliersdelikt angesehen. Gerade in der Wirtschaft wird dann auch gesagt, das sei ja unnütze Bürokratie. Jetzt zeigt sich, wie hoch der Vertrauensschaden ist, wenn mit den Daten nicht sorgfältig umgegangen wird. Und ich denke auch hier gibt es ja eine Stellschraube. Man könnte ja den Bußgeldrahmen deutlich ausweiten. Bisher sind es ja höchstens 300.000 Euro, die verhängt werden könnten. Wenn man diesen Rahmen auf einen Betrag anhebt, der den Unternehmen wirklich weh tut, auch großen Unternehmen, dann wäre sicherlich Datenschutz auch ein ernst zu nehmenderes Thema.
Kaess: Das ist der eine Vorschlag, den Sie gemacht haben. Der andere ist ein so genannter Daten-Notar. Dieser soll die Nutzung von Telefonverbindungsdaten durch Unternehmen und Strafverfolger kontrollieren. Wer aber garantiert die Unbestechlichkeit eines solchen Daten-Notars?
Schaar: Das ist natürlich immer das Problem. Sie können das Risiko nie auf null absenken. Aber man kann das Risiko für diejenigen, die Daten missbrauchen wollen, erhöhen - das Entdeckungsrisiko.
Kaess: Inwiefern?
Schaar: Und zwar dadurch, dass man sozusagen die Verantwortung auch auf mehrere Personen verteilt, das heißt so eine Art Zwei-Schlüssel-System oder Vier-Augen-System sagt man manchmal auch, wo eine unabhängige Stelle das Okay gibt, wenn auf sensible Informationen zugegriffen wird. Das ist die Idee. Das ist aber auch sage ich mal nur eine Idee unter verschiedenen. Man kann zum Beispiel auch technisch sicherstellen, dass solche Datenzugriffe viel effektiver protokolliert werden. Auch das geschieht ja nach meinen Erfahrungen nicht in dem Maße, wie es erforderlich wäre.
Kaess: Ich möchte noch mal kurz auf den Daten-Notar eingehen. Es gibt ja auch jetzt schon interne Unternehmenskontrolle. Funktioniert hat die aber trotzdem nicht, wenn sich diejenigen an den entscheidenden Positionen absprechen - siehe Telekom.
Schaar: In diesem Fall scheint es ja so zu sein, dass die entscheidenden Vorgänge bewusst am betrieblichen Datenschutzbeauftragten vorbei geführt wurden. Also muss hier die Frage auch erlaubt sein: Wie können wir die Stellung des betrieblichen Datenschutzbeauftragten verbessern? Auch hier geht es teilweise um die Frage: Mit welchen Mitteln wird der ausgestattet? Aber auch: Wie unabhängig ist der? - Er ist ja nicht vergleichbar unabhängig wie ein Betriebsrat. Er hat beispielsweise nicht ein vergleichbares Kündigungsrecht. Hier könnte man auch, wenn man was für den Datenschutz tun will, etwas verändern.
Kaess: Wie optimistisch sind Sie, dass bei dem heutigen Treffen im Bundesinnenministerium etwas Sinnvolles herauskommt?
Schaar: Das ist jetzt ein erstes Gespräch. Ich kann mir nicht vorstellen, dass man bei einem solchen Gespräch zu wirksamen Gegenreaktionen kommt. Aber icW bin gespannt. Weiße Salbe hilft hier nicht mehr. Hier sind Maßnahmen gefordert, eine Stärkung der Datenschutzaufsicht im Bund und in den Ländern. Das ist das Gebot der Stunde.
Kaess: Es soll vor allem um eine so genannte Selbstverpflichtung gehen. Die Unternehmen sagen, es gebe bereits eine Selbstverpflichtung. Seit der Liberalisierung des Marktes vor zehn Jahren müsse jede Firma Lizenzen beantragen.
Schaar: Die Frage ist ja: was heißt Selbstverpflichtung in dem Zusammenhang und was passiert, was sind die Sanktionen, die dann eingreifen, wenn man sich an die Selbstverpflichtung nicht hält? - Da bin ich gespannt, was da raus kommt. Ich habe allerdings den Eindruck, dass man mit einer Selbstverpflichtung, dass man die Gesetze in Zukunft achten will, noch nicht genug getan hat. Man muss dann möglicherweise doch noch mal an die Regeln heran und man muss eine effektive Stärkung auch des Datenschutzes erreichen und nicht nur eine verbale.
Kaess: Herr Schaar, müsste auch, weil sie Großaktionär bei dem Bonner Konzern ist, die Bundesregierung eine aktivere Rolle übernehmen?
Schaar: Das ist ja ein Eigentumsverhältnis und über den Aufsichtsrat könnte die Bundesregierung sicherlich Einfluss nehmen. Aber ob man damit tatsächlich derartige Vorfälle verhindern kann, die ja sich auch ereignen könnten bei einem rein privatwirtschaftlichen Unternehmen - es hat ja im Ausland vergleichbare Fälle gegeben, wo Vodafone zum Beispiel betroffen war -, da bin ich mir nicht so sicher.
Kaess: Wie können sich denn auf der ganz anderen Seite die Verbraucher im Moment schützen?
Schaar: Wichtig ist, dass man sich natürlich überlegt "Ist das Unternehmen, mit dem ich einen Vertrag abschließe, vertrauenswürdig?" und sich auf dem Markt umsieht. Das bedeutet, dass man vielleicht ein Unternehmen, bei dem derartige Dinge vorkommen, dann nicht in die erste Wahl zieht.
Kaess: Wie kann ich das kontrollieren, ob ein Unternehmen vertrauenswürdig ist?
Schaar: Gut wäre es, wenn wir ein Datenschutzzertifikat, ein Datenschutz-Audit bekämen. Das ist ja auch schon gefordert worden.
Kaess: Was meinen Sie damit genau?
Schaar: Dass ein unabhängiger Gutachter positiv feststellt, dass die Anforderungen des Datenschutzes gewährleistet werden. Dazu braucht man allerdings ein Gesetz, das den Rahmen dafür festlegt, und darüber wird ja schon seit Jahren gerungen, jedoch bisher ohne greifbares Ergebnis.
Kaess: Warum?
Schaar: Aus der Wirtschaft gibt es da ganz massiven Widerstand - jedenfalls aus großen Teilen der Wirtschaft. Die Wirtschaftsverbände meinen, das sei wieder eine zusätzliche bürokratische Hürde, die hier eingeführt würde, obwohl es nur um ein freiwilliges Audit, ein freiwilliges Zertifizierungsverfahren geht, nicht mal um ein obligatorisches. Ich kann das überhaupt nicht nachvollziehen. Der Schaden, der durch Datenschutzverstöße ausgelöst wird, ist um ein Vielfaches höher als die Kosten, die mit einem besseren Datenschutz verbunden wären.
Kaess: Der Bundesdatenschutzbeauftragte Peter Schaar war das. Vielen Dank für das Gespräch, Herr Schaar.
Schaar: Ich bedanke mich auch.