Datenschutzexperten bei den Grünen

Für Freitag, den 2. Dezember, hatte die Bundestagsfraktion von Bündnis 90/Die Grünen Experten zum öffentlichen Fachgespräch zur Zukunft des Datenschutzes geladen. Vor dem Hintergrund der für Ende Januar erwarteten Vorstellung einer Überarbeitung der bisherigen europäischen Datenschutz-Rahmenrichtlinie diskutierten Datenschutzrechtler und Politiker über deren zukünftige Ausgestaltung.

"Verbraucherschutz und Datenschutz gehören zusammen", sagte Renate Künast, Fraktionsvorsitzende der Grünen im Bundestag. Sie sehe Datenschutz als weit über die rein rechtliche Diskussion hinaus wichtig an: "Es geht auch um lebensphilosophische Fragen: Wie leben wir eigentlich?" Für die Grüne war klar: "Der Staat ist jetzt in der Pflicht, anzupassen und Verwaltung, aber auch Wirtschaft, Vorgaben zu machen: Regeln, die eingehalten werden müssen."

Die auch im Koalitionsvertrag fixierten Initiativen für einen besseren Datenschutz wie die Einrichtung einer Stiftung Datenschutz sah Künast als Komplettausfall: "Für das nächste Jahr sind zwei Stellen für die Stiftung Datenschutz in Leipzig geplant, das reicht weder für einen Aufbau Ost noch für den Datenschutz." Für die auf EU-Ebene und auch beim Innenminister hoch im Kurs stehenden Selbstregulierungs-Ideen hatte Künast theoretisch mehr übrig als der Bundesdatenschutzbeauftragte Peter Schaar. "Die wesentlichen Regeln gehören ins Gesetz. Unterhalb der nationalen Gesetze kann es Formen von Selbstregulierung und Privacy Impact Assessments geben, die zum Nutzen der Wirtschaft wie der Betroffenen sind", sagte er. "Aber es kann nicht sein, dass wir eine Selbstregulierung machen, die hinter dem Gesetz zurückbleibt", wie das beim Geodatenkodex der Fall gewesen sei.

"Datenschutz muss auch als Gesellschaftspolitik verstanden werden", forderte Schaar. Er erinnerte an das erste, das hessische Datenschutzgesetz, das auch über den Informationsausgleich und nicht nur über den Individualdatenschutz Aufsicht gewähren sollte. Und Datenschutzrechtler Spiros Simitis erinnerte daran, dass es schon 1995 nicht so gewesen sei, dass die Kommission die Initiative ergriffen hätte. Das sei sicherlich auch heute noch so: "Sie denken nicht an die Zukunft, sondern sie ordnen die Gegenwart." Auch inhaltlich übte das Datenschutzurgestein Simitis Kritik: Er sei hochgradig skeptisch gegenüber dem Glauben daran, dass die Einwilligung "beim Datenschutz die Rolle einnehmen solle, die sie im Zivilrecht verloren hat." Wo Grundrechte auf dem Spiel stünden, gebe es nur Gesetze. "Da kann man nicht an den Grundrechten vorbei Selbstregulierungen erfinden", so Simitis. Er sah auch die Überarbeitung der Datenschutz-Rahmenrichtlinie kritisch: "Meine Angst ist im Augenblick, dass die Kommission noch immer bei ihrem alten Modell bleibt, dass sie nicht versucht, eine Generallösung zu finden, die allgemeine Regeln mit speziellen Vorgaben in zentralen Bereichen der Datenverarbeitung verbindet, sondern nach dem alten Muster weiter verfährt." Insbesondere die Gleichstellung von Gesetz und Einwilligung sei für ihn ebenfalls problematisch – die Einwilligung sei in vielen Konstellationen nicht gleichwertig und kaum freiwillig, beispielsweise bei Arbeitnehmern und Arbeitgebern.

Im zweiten Teil des Fachgesprächs ging es um konkrete Ideen zur Verbesserung des Datenschutzes. Gerald Spindler von der Georg-August-Universität Göttingen nahm zuerst den Bundesgesetzgeber in die Pflicht: "Ich wünsche mir die Integration von datenschutzrechtlichen Regelungen zum Beispiel des Telemediengesetzes ins Bundesdatenschutzgesetz." Er dachte darüber hinaus laut über eine Produktsicherheitspflicht für Anbieter und eine Umstellung auf das sogenannte Marktortprinzip nach: der Anbieter könne auch dann in die Pflicht genommen werden, wenn er am Ort des Verbrauchers keine Niederlassung betreibt. Er schlug zudem eine Gefährdungshaftung mit Beweislastumkehr, Schmerzensgeld und Verbandsklagerecht, eventuell mit Gewinnabschöpfung vor – allerdings ausdrücklich nicht als auf jeden Fall notwendig, sondern als Handlungsmöglichkeiten.

Kai von Lewinski von der Berliner Humboldt-Universität kritisierte die "rationale Apathie", die das derzeitige Datenschutzrecht verursache: Für die Betroffenen von Verstößen gegen das Datenschutzrecht sei es oft normal, nichts zu tun, weil es für sie unverhältnismäßig aufwendig wäre, etwas zu unternehmen. Sich bei den Durchsetzungsmechanismen ausschließlich auf die Datenschutzbeauftragten zu verlassen, sei daher widersinnig. Auch die Selbstregulierungsideen, die sich im Datenschutzrecht fänden, funktionierten derzeit schlicht nicht. Von Lewinski übte zudem grundsätzliche Kritik am europäischen Modell der Datenschutzaufsicht: "Eine Aufsichtsstruktur unabhängig zu stellen ist geradezu widersinnig: wir haben hier eine Wirtschaftsaufsichtsbehörde, die nicht mehr von der Politik kontrolliert wird."

Deutliche Kritik am heutigen Zustand übte der schleswig-holsteinische Beauftragte für den Datenschutz, Thilo Weichert: "Es kann nicht sein, dass so wie bislang in Thüringen die Datenschutzaufsicht aus einer halben Person bestand." Und nicht nur die personelle Ausstattung sei unzureichend: "Wir brauchen einen intelligenten Instrumentenmix, bei dem insbesondere Wettbewerbsinstrumente wesentlich stärker genutzt werden können."

"Ein weiteres Instrument ist das der Standardisierung", sagte Weichert. "Wir verstehen Datenschutz nach wie vor als juristisches und nicht als technisches und organisatorisches Problem, und da müssen wir auch Technikrecht besser in den Griff bekommen." Auch die Forderung nach "Privacy by default" sei "kein Paternalismus, sondern ein Ausgleich der Machtungleichgewichte". Er forderte zudem, dass Datenschutz-Auditverfahren verstärkt durchgeführt und in bestimmten Bereichen sogar verpflichtend würden: "Ich denke da zum Beispiel an den Bundestrojaner, wenn ein LKA oder BKA von der Sache nichts versteht." Allerdings sei dies höchstens eine Notlösung. Für Entwicklungen wie Cloud Computing forderte er klare völkerrechtliche Verträge, die Klarheit und Verlässlichkeit schaffen. (hb)