Rufe nach Globalisierung des Datenschutzrechts

Datenschützer und Wirtschaftsvertreter forderten auf dem Jahrestreffen der betrieblichen Datenschutzbeauftragten in Berlin umfassende Rahmenbedingungen für die Gewährleistung der Vertraulichkeit personenbezogener Informationen. "Die Globalisierung erfordert einen besseren internationalen Datenschutz", betonte der EU-Datenschutzbeauftragte Peter Hustinx auf dem 9. Datenschutzkongress am heutigen Dienstag in Berlin. Transaktionen trügen verstärkt globalen Charakter, sodass es für die Datenverarbeitung möglichst "weltweit gültige Normen" brauche. Es sei aber schwer, diese in internationalen Vereinbarungen festzulegen. Er bevorzuge daher die Alternative, entsprechende Vorgaben durch eine "datenschutzkonforme Praxis" zu gestalten.

Auch der Bundesdatenschutzbeauftragte Peter Schaar bestätigte, dass "wir Diskussionen mit Anbietern und Providern weltweit haben". Wenn Europa hier "mit einer Stimme spricht, können wir einen positiven Beitrag zu einer humanen Informationsgesellschaft leisten". Schaar begrüßte zugleich unisono mit Hustinx, dass mit dem neuen Lissabonner EU-Vertrag voraussichtlich von Anfang 2009 erstmals der Datenschutz zum einklagbaren Grundrecht werde. Der EU-Datenschutzbeauftragte forderte zugleich, die grundlegende Brüsseler Datenschutzrichtlinie von 1998 zu novellieren, dabei Begriffe wie "personenbezogene Daten", "Einwilligung" in die Datenverarbeitung oder die Befugnisse und die Unabhängigkeit der Aufsichtsbehörden klarer zu fassen.

Der Datenschutzbeauftragte von Google, Peter Fleischer, ging vom Ansatz her mit Hustinx und Schaar konform: "Es gibt nur eine Internetarchitektur, da müssen wir globale Regelungen finden." Der Datenschutz sei daher weltweit zu modernisieren. Entscheidend sind für ihn aber weniger gesetzliche Vorgaben, als vielmehr die Schaffung von Transparenz. "Im Web 2.0 wird es Mischung von Webseiten geben wie bei iGoogle", betonte Fleischer unter Anspielung der personalisierbaren Startseite des Suchmaschinenprimus. Dutzende verschiedener Webseiten würden zu einem Angebot beitragen und bei jedem Aufruf unzählige Daten untereinander austauschen. Die einzige Antwort darauf sei, global zusammenzuarbeiten und die richtige Datenschutzpraxis herauszuarbeiten.

Wird es konkret, haben staatliche und betriebliche Datenschützer oft unterschiedliche Auffassungen. Dies zeigte sich etwa beim Dauerstreit um die Länge der Speicherung von Suchanfragendaten. Nach Intervention europäischer Datenschützer hält Google Serverlogs noch 18 Monate vor. Danach werden die IP-Adressen und Cookies anonymisiert. Die Speicherung der Internetkennungen an sich erfolge in einer Grauzone, räumte Fleischer ein. Bei Google sehe man eine IP-Adresse aber nicht als personenbezogen an, wenn jemand ohne Nutzung eines Kontos des Suchmaschinenbetreibers etwa für E-Mail oder Blogger.com die Suchfunktion in Anspruch nehme. Generell begründete er die eineinhalbjährige Vorhaltung der Daten, da damit die Suchalgorithmen verbessert und Spam besser bekämpft werden könne.

Das Versprechen Googles, die Informationen über Suchanfragen nicht personenbezogen auszuwerten, reichte Schaar aber nicht. Er verwies darauf, dass es ja künftig Interessen bei der Geschäftsleitung oder bei staatlichen Stellen geben könnte, "mal nachzuschauen, wer sich da für was interessiert hat". Daher sei eine weitere Reduzierung der Speicherfrist geboten, wie dies kleinere deutsche Suchmaschinenanbieter auch bereits vorexerzieren würden.

Auf Widerspruch stieß zudem die Forderung von Hustinx und Schaar, im Rahmen der anstehenden Reform der Datenschutzrichtlinie für elektronische Kommunikation von 2002 für Firmen die Mitteilung von Sicherheitslücken an Betroffene nach Vorbild der USA obligatorisch zu machen. Eine solche Vorschrift passe zwar ins US-System, meinte Joachim Rieß, Konzerndatenschutzbeauftragter bei Daimler. Dort sei sie dann auch durch die entsprechenden zivilrechtlichen Haftungsrechte und Schadensersatzklagemittel abgesichert. Eine solche Bestimmung aber "zu unserer hohen Datenschutzregulierung hinzuzuaddieren", mache keinen Sinn.

Schaar verteidigte die Forderung der Datenschützer dagegen mit dem Argument, dass sich so ein Betroffener selbst schützen und gegebenenfalls Aufsichtsbehörden auf Defizite aufmerksam machen könne. Diese hätten bislang nicht die Mittel, Kontrollen in der Fläche durchzuführen. Hustinx erhofft sich zudem einen "wichtigen Anreiz" für die Wirtschaft, die Datensicherung zu verbessern.

Dass Brüssel nicht immer Vorbild für die weltweite Setzung von Datenschutzmaßstäben sei, waren sich beide Seiten wieder einig. So verwies Rieß darauf, dass Thailand inzwischen nach der EU eine gesetzliche Pflicht zur Vorratsspeicherung von Telefon- und Internetdaten eingeführt habe. Dabei bleibe der asiatische Staat zwar mit einer Vorhaltungsfrist von 90 Tagen weit unter den mindestens sechs Monate verlangenden Brüsseler Vorgaben. Dafür würden sich die thailändischen Behörden aber auf den Standpunkt stellen, dass auch die elektronische Kommunikation innerhalb von Firmennetzen aufbewahrt werden müsse. Hustinx begnügte sich mit dem Kommentar, dass die Richtlinie zur Vorratsdatenspeicherung "kein Beispiel für gute Gesetzgebung ist". Er setzt seine Hoffnung in die mit der Direktive und den Umsetzungsgesetzen beschäftigen Gerichte. (Stefan Krempl) / (jk)