Es scheint, als gäbe es immer mehr Datenpannen, zuletzt bei SchülerVZ und Libri. Ist ihre Arbeit schwieriger geworden?

Peter Schaar: Sie ist deshalb schwieriger geworden, weil immer mehr Daten verarbeitet werden und weil diese Daten nicht nur in den klassischen Modellen von Datenverarbeitung -- im Sinne einer gezielten Verwendung für bestimmte Zwecke -- anfallen, sondern immer mehr Daten zusammengeführt werden oder beiläufig entstehen. Beispiel: Mit meinem Smartphone bin ich einerseits stets erreichbar, aber auch --- anders als beim Handy -- -permanent online, also mit dem Internet verbunden. Dabei fließen dauernd Daten, unter anderem über meinen Standort. Diese Informationen werden auch gesammelt. Je mehr Daten vorhanden sind, desto größer ist natürlich auch das Risiko, dass sie in die falschen Hände gelangen. Der Aufwand, der heute getrieben werden muss, um diese Daten zu schützen, ist viel größer, als vor zwanzig Jahren bei einem Rechenzentrum, wo man nur darauf achten musste, dass die Mauern hoch genug sind und Bewegungsmelder und Zugriffskontrollsysteme signalisieren, dass jemand unrechtmäßig einzudringen versucht.

Ist das Ausmaß der Überwachung im öffentlichen und privaten Bereich gewachsen?

Schaar: Die Überwachung hat zweifelsohne zugenommen, auch wegen der technologischen Entwicklung. Ich glaube zwar nicht, dass es hier in den vergangenen Jahren einen generellen Mentalitätswechsel gegeben hat. Aber es ist einfacher geworden, zu überwachen. So ist es für den Arbeitgeber heute leichter zu kontrollieren, was ein Arbeitnehmer im Internet macht und welche E-Mails er verschickt, als dauernd zu prüfen, ob er nicht vielleicht am Arbeitsplatz Zeitung liest. Und ein eifersüchtiger Ehepartner muss keinen Privatdetektiv mehr beauftragen, um festzustellen, wo sich der Partner aufhält, sondern kann leicht verfügbare Dienste wie die Handy-Ortung nutzen. Unsere dauernde digitale Aktivität macht uns stärker überwachbar.

Ist die Zahl der Datenschützer mitgewachsen?

Schaar: Es gab in der Tat in einigen Bundesländern Verbesserungen. Beim Bund ist dies angekündigt. Ich gehe davon aus, dass auch meine Dienststelle gestärkt wird. Aber unabhängig von der notwendigen Verstärkung kann es natürlich nicht darum gehen, hinter jeden Datenverarbeiter einen Datenschützer zu stellen. Man muss auch andere Mechanismen finden, um den Datenschutz zu gewährleisten.

Bekommt der Datenschutz durch die Regierungsbeteiligung der "Bürgerrechtspartei" FDP größeres Gewicht?

Schaar: Wenn man den Ankündigungen glaubt, kann man sich berechtigte Hoffnungen machen. Jetzt kommt es darauf an, die Versprechen im Koalitionsvertrag auch umzusetzen. Ich habe schon den Eindruck, dass wir da Rückenwind bekommen haben.

Im schwarz-gelben Koalitionsvertrag ist die Gründung einer "Stiftung Datenschutz" vereinbart. Wie muss man sich solch ein Gremium vorstellen?

Schaar: Das ist noch weitgehend offen. Ich halte die Idee für gut, dass es außerhalb der Verwaltung eine Einrichtung geben soll, die sich darauf konzentriert, für den Einzelnen den Datenschutz von bestimmten Produkten oder Dienstleistungen bewertbar zu machen. So, wie das die Stiftung Warentest tut, allerdings mit anderen Kriterien. Ich kann mir vorstellen, dass sich eine solche Stiftung etwa soziale Netzwerke anschaut und dann deren Datenschutzqualität benotet. Diese Stiftung könnte das viel unkomplizierter machen als eine Aufsichtsbehörde, weil die Behörde ja peinlich genau darauf achten muss, dass ein Werturteil nicht zu einer Geschäftsschädigung führt Eine Behörde hat also Schwierigkeiten, etwa eine "Datenschutzfreundlichkeit" zu bewerten, die das Gesetz so ja nicht kennt. Es geht auch hier nicht um mehr Bürokratie, sondern um mehr Transparenz für den Verbraucher.

Mehr Transparenz fordert auch der Chaos Computer Club. Und zwar in der Form, dass die Datensammler regelmäßig die Bürger darüber informieren sollen, welche Informationen jeweils erfasst sind und was damit geschieht. Ist das ein richtiger Weg?

Schaar: Auf jeden Fall. Das schreibt auch das Bundesdatenschutzgesetz schon jetzt vor: Im Prinzip ist man zu benachrichtigen, wenn Daten erhoben oder gesammelt werden. Nur in der Praxis geschieht das häufig nicht. Da muss man fragen, ob die Mechanismen, die im Gesetz stehen, ausreichen. Ein Datenauszug wäre sinnvoll, aber ich würde sogar noch weiter gehen: Warum gestattet man nicht jedem Bürger einen Online-Zugriff auf die zu seiner Person gespeicherten Daten? Manche Unternehmen machen das ja schon auf freiwilliger Basis.

Das Bundesverfassungsgericht befasst sich derzeit mit der Vorratsdatenspeicherung. Wie muss vor dem Hintergrund der zugrunde liegenden EU-Richtlinie eine vertretbare Regelung konkret aussehen?

Schaar: Zunächst stellt sich die Frage nach dem Maßstab, an dem die Vorratsdatenspeicherung zu messen ist. Gemessen am Grundgesetz und der Grundrechte-Charta des Lissabon-Vertrages wäre eine solche Vorratsdatenspeicherung von sensiblen Daten für sehr weitgehende Zwecke höchst zweifelhaft. Zieht man aber die EU-Richtlinie heran, welche die Vorratsspeicherung vorschreibt, würde sich Karlsruhe darauf beschränken müssen, dafür zu sorgen, dass das deutsche Gesetz bei den Mindestspeicherpflichten und den Nutzungsbegrenzungen keineswegs weiter geht, als durch die EU vorgegeben ist. Aber das wäre aus meiner Sicht nur die zweitbeste Lösung.

Mit zwei einstweiligen Anordnungen hat Karlsruhe den Zugriff auf Verbindungsdaten bereits beschränkt. BKA und Bundesanwaltschaft sind damit enge Grenzen gesetzt. Wie halten es denn die Länder damit? Woher kommen denn etwa die Daten, mit denen gegen Raubkopierer vorgegangen wird?

Schaar: Der Spruch des Bundesverfassungsgerichts gilt auch für die Länder. Es gibt derzeit keinen Zugriff auf den Pool der gespeicherten Vorratsdaten zum Zwecke der Verfolgung von Urheberrechtsverstößen. Die Musikindustrie und die Filmwirtschaft können sich nur auf Daten berufen, die von den Providern ohnehin gespeichert werden, nämlich zu Abrechnungszwecken. Aber es sind dieselben Datenu Schaar: Richtig, aber diese Daten müssen so früh wie möglich gelöscht werden, wenn sie der Anbieter für Abrechnungszwecke nicht mehr benötigt, während die Vorratsdaten sechs Monate gespeichert bleiben müssen. Und deshalb fordere ich auch, dass hier eine ganz klare Trennung zwischen Abrechnungs- und Vorratsdaten erfolgen muss.

Der ehemalige Verfassungsrichter Wolfgang Hoffmann-Riem sagt, der Staat könne sein Versprechen der Sicherheit immer schwerer erfüllen. Deshalb betreibe der Staat Symbolpolitik, die diejenigen, von denen wirklich Gefahr ausgeht, wenig beeindruckt. Gilt das auch für die Vorratsdatenspeicherung?

Schaar: Ich teile diese Einschätzung. Bei der Vorratsdatenspeicherung wie bei anderen Maßnahmen zur Überwachung der elektronischen Kommunikation gibt es für Kriminelle zahlreiche Ausweichmöglichkeiten, und es werden immer mehr. So können Informationen nicht nur per Telefon oder E-Mail, sondern auch über soziale Netzwerke, Tauschbörsen und Internetspiele ausgetauscht werden. Deshalb stellt sich mir die Frage, ob man mit der Vorratsdatenspeicherung wirklich die großen Fische fangen kann und ob damit nicht nur unser alltägliches Kommunikationsverhalten umfassend registriert wird. Darauf habe ich bisher noch keine befriedigende Antwort gehört.

Weitgehend geräuschlos wird ab 1. Januar eine andere Form der Vorratsdatenspeicherung angewandt: der elektronische Einkommensnachweis ELENA. Sträuben sich Ihnen nicht die Haare angesichts der Vielzahl von Daten, die Arbeitgeber an eine zentrale Speicherstelle übermitteln müssen?

Schaar: Jede Datensammlung, gerade wenn es sich um zusätzliche Daten handelt, ist gewiss kritisch zu bewerten. Aber ich würde ELENA nicht auf dieselbe Stufe wie die Vorratsdatenspeicherung in der Telekommunikation stellen. Bei ELENA werden Daten erhoben, die an anderer Stelle, etwa bei den Rentenversicherungsträgern, ohnehin vorhanden sind. Sie werden jetzt nur in einer Datei zusammengefasst. Aber die Frage, ob es wirklich verhältnismäßig ist, dass für eine relativ kleine Zahl von Gehaltsnachweisen eine solche Datensammlung stattfindet, ist aus meiner Sicht noch nicht befriedigend beantwortet worden. Und das könnte Konsequenzen haben im Hinblick auf die verfassungsrechtliche Zulässigkeit.

Robert Kronthaler, Leiter des Bereiches ELENA bei der Deutschen Rentenversicherung Bund, hält einen Missbrauch der Daten von 40 Millionen Arbeitnehmern für "ausgeschlossen"...

Schaar: Den Begriff "ausgeschlossen" benutze ich höchst vorsichtig. Auf mein Drängen hin sind in dieses Verfahren eine Vielzahl ausgefeilter Schutzmaßnahmen eingebaut worden, die einen Missbrauch sehr unwahrscheinlich machen. Andererseits hat ELENA auch einen gewissen datenschutzrechtlichen Mehrwert: Bisher musste man zu seinem Arbeitgeber gehen, wenn man etwa ergänzende Sozialhilfe oder Arbeitslosengeld II beantragt -- selbst, wenn ein Familienangehöriger das tut. Künftig geht man direkt zum Sozialamt und der Arbeitgeber erfährt davon nichts mehr. ELENA ist ein ambivalentes Vorhaben und ich werde genau darauf achten, dass die gesetzlichen Vorgaben eingehalten werden und die Daten für keine anderen Zwe"cke verwendet werden. Im Übrigen sehe ich kein Motiv, warum Sicherheitsbehörden auf diese Daten zugreifen sollten. Die Datenbank ist auch technisch für eine Rasterfahndung ungeeignet.

Stimmt es, dass auch Angaben über Krankheiten, Abmahnungen und Streiks übermittelt werden?

Schaar: Zu meinem Entsetzen war davon einiges vorgesehen. Ich habe aber erreichen können, dass keine Streikdaten erfasst werden. Das ginge weit über das hinaus, was wir bisher in irgendeiner Datenbank haben und hätte größte Sprengkraft. Einige Punkte, insbesondere welche Daten bei einer Kündigung gespeichert werden, sind aber noch nicht endgültig geklärt.

Der Zukunftsforscher und Medienwissenschaftler Bernd Flessner hält den Datenschutz im Internet-Zeitalter für antiquiert. Wir müssten lernen, mit der Überwachung zu leben?

Schaar: Ich halte den Datenschutz für wichtiger denn je. Aber es wird ein anderer Datenschutz sein als vor 20 Jahren. Wir können uns nicht darauf beschränken, Daten hinter Mauern einzuschließen, sondern man muss intelligente Verfahren entwickeln. Es geht zum Beispiel darum, schon bei der Entwicklung von technischen Systemen den Datenschutz im Blick zu haben. Die Bürgerinnen und Bürger müssen wieder stärker selbst darüber bestimmen können, wer was über sie weiß. Wir haben schon über das Thema Transparenz gesprochen: Auch hier müssen dem Einzelnen die technischen Mittel zur Verfügung gestellt werden, dass Informationen über ihn erfasst werden und wer dafür verantwortlich ist.

Die Niederlande haben als erstes Land Europas die Nutzung von Körperscannern an Flughäfen angekündigt. Unter welchen Bedingungen halten Sie den flächendeckenden Einsatz solcher Geräte für verhältnismäßig?

Schaar: Mir sind derzeit keine Körperscanner bekannt, die keinen übermäßigen Eingriff in die Intimsphäre darstellen. Wichtiger finde ich auch die Frage, weshalb nicht darüber diskutiert wird, dass die präventiven Antiterrormaßnahmen versagt zu haben scheinen, sondern gleich wieder der Ruf nach immer neuen Überwachungsmaßnahmen erschallt. Sinnvoller wäre es doch, die bisherigen Möglichkeiten tatsächlich auszuschöpfen. Und wie soll ein solches System eigentlich verhindern, dass eine Beinprothese mit einem an der Wade befestigten Plastiksprengstoff verwechselt wird?

Was wünschen Sie sich als Datenschützer für das neue Jahr?

Schaar: Ich wünsche mir, dass wir zu einem modernen Datenschutzverständnis in der Gesellschaft kommen. Das heißt erstens, dass der Einzelne verstärkt darauf achtet, was mit seinen Daten geschieht, und zweitens mehr Respekt derjenigen, die mit diesen Daten umgehen, seien es nun staatliche Stellen oder Unternehmen.

Quelle: Landeszeitung Lüneburg (Interviewer Klaus Bohlmann)