Datenschutz für Charles' Liebesgeflüster
■ Interview mit dem Datenschutzbeauftragten Dr. Hansjürgen Garstka: Daten von Bahncard-Kunden gesichert. Beim TV-Decoder ist Datenschutz kein Thema. Mit Arbeitnehmer-Daten darf der Betrieb machen, wa
Dr. Garstka (47) ist seit 1989 Berliner Datenschützer. Er ist zugleich auch Vorsitzender des Arbeitskreises Telekommunikation und Medien der internationalen Datenschutzkonferenz auf europäischer und deutscher Ebene.
taz: Datenschutz spielt sich meist im Verborgenen ab. Daß der Datenschützer jetzt nicht nur für die öffentlichen Verwaltungen, sondern auch für Privatunternehmen zuständig ist, haben die meisten Menschen erst gemerkt, als sie mit der Bundesbahn darum stritten, welche Daten für die Bahncard verlangt werden dürfen.
Hansjürgen Garstka: Die Art und Weise, wie die Bahn das anging, war tatsächlich mangelhaft. Unsinnigerweise wurden auch die Kunden nach Verdienst und Arbeitgeber gefragt, die nur eine reine Bahncard haben wollten und nicht die Kreditkarten-Funktion. Die Menschen hätten besser darüber aufgeklärt werden müssen, was mit den Daten passiert. Schließlich löst es viele Befürchtungen aus, daß die Karten technisch in South-Dakota in den USA hergestellt werden. Damit werden die Daten von Millionen Kunden der Bahn in die USA übermittelt, wo es für den privaten Bereich keine Datenschutzregelungen gibt. Die Probleme sind allerdings gelöst. Die Formulare sind deutlich verbessert worden. In den USA werden die deutschen Datenschutzregelungen angewandt, eine Verwertung der Daten für Werbezwecke in den USA ist ausgeschlossen. Auch Kontrollen in den USA sind sichergestellt.
Ein eher seltener Erfolg. Ihre Behörde hinkt doch ständig hinterher. Bei der Internationalisierung von Ferngesprächen ist kein Datenschutz mehr gewährleistet.
Richtig ist, daß man die Datenverarbeitungsprobleme nicht mehr national lösen kann. Die sogenannten „routing“-Angebote nehmen immer stärker zu. So ist es denkbar, daß Telefonate in die USA nicht mehr auf direktem Wege, sondern beispielsweise über Moskau oder Madras abgewickelt werden. Damit gehen die Gespräche über Länder, in denen es bisher keine Datenschutzgesetze gibt. Mit Hilfe der modernen Techniken könnte nicht nur aufgezeichnet werden, wer mit wem spricht, sondern auch die Inhalte der Gespräche. Daraus ergibt sich ein ganz großer internationaler Erörterungsbedarf.
Ist den Menschen egal, wie mit ihren Daten umgegangen wird?
Den meisten Menschen ist das nicht klar und sie denken auch nicht darüber nach. Das ist das Prince-Charles-Phänomen. Es ist einfach leichtfertig, über ein normales schnurloses Telefon Liebesgespräche zu führen. Man kann zu jedem Elektronikhändler gehen und für ein paar Mark einen Scanner kaufen, mit dem die Gespräche der Nachbarn abgehört werden können, die schnurlose Telefone haben. Erst bei den neuen digitalen Geräten geht das nicht mehr. Da denkt keiner darüber nach.
Dem Regelungsbedarf bei den neuen Informationstechniken stehen sie doch mit ihrer Mini-Behörde hilflos genüber?
Bei Entwicklungen wie etwa Multimedia, wo bislang getrennte Bereiche wie Telekommunikation, Computertechnik und Fernsehen zu einer einheitlichen Technik zusammenwachsen, weiß bisher niemand, wie eine angemessene Sicherung aussehen kann. Demnächst wollen die Datenschutzbeauftragten in Deutschland als auch auf internationaler Ebene die Probleme von Online-Diensten vom Bildschirmtext bis zum Internet angehen. Die Zeitungsverleger haben bereits einen Vorschlag für einen Staatsvertrag für Online- Dienste mit einer inhaltlichen Selbstbeschränkung gemacht.
Dabei wird es nicht ohne Kontrollmechanismen abgehen. Auch vor dem Hintergrund der europäischen Datenschutzrichtlinie, die vor einigen Wochen in Kraft getreten ist, müssen die Befugnisse der Datenschutzbeauftragten gestärkt werden, die bisher nur Empfehlungen abgeben und Reden halten können. Im Multimedia-Bereich, wo wir internationale Vereinbarungen bräuchten, wäre es doch grotesk, wenn einzelne Bundesländer unterschiedliche Regelungen hätten. Auch bei der bevorstehenden Liberalisierung des Telefonnetzes stellt sich die Frage, ob wir für die Kontrolle der Netzwege nicht eine zentrale Kontrollbehörde in Gestalt des Bundesdatenschutzbeauftragten benötigen.
Ist Datenschutz anachronistisch geworden angesichts der technologischen Veränderungen?
Gerade weil die Entwicklungen da sind, müssen wir uns besonders intensive Gedanken über den Datenschutz dazu machen. Dabei kommen die eigentlichen Probleme erst noch. In den weltweit entstehenden Netzen können künftig Informationen für persönliche Dossiers und Nutzerprofile in einer Weise zusammenführen, die bisher undenkbar war. Automatisch arbeitende „agents“ könnten jede angebotene Information ausfindig machen. Ohne klare Regelungen wären dem Mißbrauch Tür und Tor geöffnet. Bei der Entwicklung der Systeme steht häufig nur die technische Machbarkeit im Vordergrund. Der Datenschutz spielt keine Rolle. So war es auch bei der Entwicklung eines Decoders im Multimediabereich: Der anonyme Zugang per Chipkarte, bei dem kein persönliches Nutzungsprofil entsteht, war bislang kein Thema.
Gegen diesen Urwald ist der Regelungsbedarf im öffentlichen Bereich ein gepflegtes Gärtchen.
Verwilderungserscheinungen sind auch in den öffentlichen Verwaltungen zu beobachten. Früher gab es große Rechenzentren, die mit klassischen bürokratischen Mitteln reguliert werden konnten. Inzwischen haben die meisten Verwaltungen ihre eigenen Computer. An vielen Arbeitsplätzen können die Mitarbeiter mit ihren PCs machen, was sie wollen. Da wird es immer schwerer, Transparenz herzustellen.
Probleme macht auch die Privatisierung einzelner Verwaltungsbereiche. So haben in den letzten Jahren einzelne Krankenhäuser den Betrieb ihres Rechenzentrums an private Unternehmen übertragen. Das war nur möglich, wenn die Mitarbeiter keine medizinischen Daten zu Gesicht bekommen können. Hierfür müssen aufwendige Schutzmechanismen wie Verschlüsselungsverfahren eingesetzt werden.
Ein anderes Beispiel ist die Parkraumbewirtschaftung in der Innenstadt. Die Erhebung der Daten von Parksündern durch Privatunternehmen ist nicht ohne weiteres zu rechtfertigen. Überhaupt wurden zu viele Daten erhoben, zum Beispiel von den Anwohnern.
Was muß dringend geregelt werden?
Es ist uns in diesem Jahr in Berlin endlich gelungen, die Personalaktenführung in der öffentlichen Verwaltung datenschutzrechtlich zu regeln. Bundesweit fehlt aber nach wie vor ein Arbeitnehmerdatenschutzgesetz für die Verarbeitung von Personaldaten in privaten Unternehmen. Geregelt werden muß, welche Daten der Arbeitgeber erheben darf: beginnend vom Bewerbungsgespräch bis hin zur Frage, welche Daten das Unternehmen nach dem Ende des Arbeitsverhältnisses – zum Beispiel an den neuen Arbeitgeber – weitergeben darf. Fraglich ist, welche Daten zur Personalpolitik genutzt werden können und nach welchen Daten bei Kündigungen selektiert werden darf. Darf der Arbeitgeber Genomanalysen der Beschäftigten anfertigen lassen und die Ergebnisse in das Personalinformationssystem einstellen? Dies ist nicht ganz abwegig: Soll es erlaubt sein, in der chemischen Industrie Daten über Allergien zu speichern, um die betroffenen Arbeitnehmer dort einzusetzen, wo bestimmte Belastungen nicht herrschen?
In der Bundesgesetzgebung muß unbedingt die Strafprozeßordnung geändert werden, wo es zwar viele Befugnisse zur Datenerhebung, aber keinerlei Regelungen zum Datenschutz gibt. Ein Beispiel ist der Umgang mit Daten von Zeugen: Einerseits werden in den Akten viele Daten über Zeugen aufgeführt und damit an die Parteien offenbart, andererseits fehlen Vorschriften darüber, in welchem Umfang diese Daten durch Anwälte weiterverbreitet werden dürfen.
Das will auch die Polizei ändern.
Auf der anderen Seite haben die Beschuldigten keinen Anspruch auf Akteneinsicht. Auch das sehen wir nicht ein. Ganz grundsätzlich muß in der Strafprozeßordnung geregelt werden, welche Daten von den Gerichten und den Staatsanwaltschaften insbesondere in Computern verarbeitet werden dürfen. Ungeregelt ist auch, welche Daten weitergeleitet werden dürfen. Bisher gilt in der Justiz der Grundsatz „Jeder hilft jedem.“
Regelungsdefizite gibt es auch beim Strafvollzug. Bei einer umfangreichen Prüfung in der Vollzugsanstalt Tegel haben wir festgestellt, daß zu viele Daten gesammelt, Daten zu großzügig offenbart oder zu lange aufgehoben werden – auch über Aidskranke.
Wo liegt die Grenze der Datenerhebung?
Man muß sich strikt auf die Grenze der Erforderlichkeit beschränken. Jede Sammlung von Daten auf Vorrat oder Verdacht ist auszuschließen. Bei jeder Information, die erhoben, gespeichert oder weitergegeben wird, muß geprüft werden, ob die Daten notwendig sind. Überall werden bislang Daten gesammelt nach dem Motto, schauen wir mal, was daraus wird. Das hat dann ganz typische Folgen: Kürzlich hat meine baden-württembergische Kollegin Ruth Leuze berichtet, daß ein achtzehnjähriger Jugendlicher bei der Polizei nicht eingestellt wurde, weil er ein paar Jahre vorher einen Mercedes-Stern abgebrochen hatte. Das Delikt wurde nicht gelöscht – und nun scheiterte sein Berufsziel daran. Interview: Gerd Nowakowski
