Quelle: REGIERUNGonline/Denzel
1.) Wie kann eine solche Bewusstseinssteigerung erreicht werden? Was sollte für die jeweilige Adressatengruppe berücksichtigt werden (Staat bzw. Politik, Unternehmen, Privatperson)?
a) Staat: Wie können Freiheitsrechte und das allgemeine Persönlichkeitsrecht wieder stärker ins Blickfeld der Politik gerückt werden? Auf welche Weise können Datenschutzinteressen den bekannten Totschlag-Argumenten der Sicherheitsbehörden trotzen?
Peter Schaar: Das Recht auf informationelle Selbstbestimmung war noch nie so stark wie heute im Fokus der Behörden, der Unternehmen und der Gesellschaft. Gerade in Zeiten der zunehmenden, man könnte fast sagen allgegenwärtigen, Datenverarbeitung muss der Datenschutz anhand der sich ändernden konkreten Gegebenheiten ‚übersetzt’ werden: Wo müssen rechtliche, wo technische oder organisatorische Stellschrauben des Datenschutzes gedreht werden? Nehmen wir das Thema smart grids. Energie wird zukünftig immer teurer, folglich wird an intelligenteren Verknüpfungen von Stromerzeugung, -transport, -speicherung und -verbrauch gearbeitet. Umfassendere Steuerungs- und Vebrauchsinformationen sind dabei von zentraler Bedeutung. Sie ermöglichen aber auch den „gläsernen“ Energienutzer. Eine solche umfassende Registrierung des Verhaltens wäre jedoch mit dem Grundrecht auf informationelle Selbstbestimmung nicht vereinbar. Daher arbeiten wir an einem datenschutzfreundlichen Grundkonzept: Die wesentlichen Datenschutzvorgaben müssen gesetzlich festgelegt werden. Die intelligenten Stromzähler müssen diese Vorgaben technisch umsetzen. Die Datenschützer beteiligen sich konstruktiv an dem Dialog über Lösungsalternativen. Übrigens hat sich so manches Totschlag-Argument gegen den Datenschutz dabei schnell in Luft aufgelöst, denn uns geht es ja gerade nicht darum, Lösungen zu verhindern, sondern um die Verbindung verschiedener gleichermaßen wichtiger Ziele: Energieeffizienz sollte mit gutem Datenschutz kombiniert werden.
b) Unternehmen: Welches Vorgehen wäre sinnvoll, um die Privatwirtschaft für die moralische Verwerflichkeit der kommerziellen Datensammelwut und des „Geschäfts mit den Daten“ zu sensibilisieren? Wie kann man unternehmerisches Bewusstsein für einen gemäßigten und nachhaltigen Umgang mit Daten erzeugen? Wäre z.B. ein Appell an die CSR sinnvoll?
Peter Schaar: Dies ist eine anspruchsvolle Aufgabe, denn nicht zu Unrecht gelten personenbezogene Daten als Gold des 21. Jahrhunderts, mit dem vermeintlich kostenlose Dienste finanziert und gute Geschäfte gemacht werden. Allerdings ist immer weniger vorstellbar, dass nachhaltig erfolgreiche Geschäftsmodelle ohne ordentlichen Datenschutz auskommen. Das zeigt sich etwa daran, dass sich Internetunternehmen, in deren Geschäftspolitik der Schutz persönlicher Daten zunächst kaum eine Rolle spielte, heute zunehmend mit Kritik auseinanderzusetzen haben. Appelle an die Verantwortlichen in den Unternehmen, sich mit dem Datenschutz auseinanderzusetzen, sind sicherlich wichtig. Bedeutsamer ist aber, dass entsprechende Regeln fixiert und eingehalten werden. Dazu gehören auch Mechanismen, die den Datenschutz als echten Wettbewerbsvorteil stärken. So können Gütesiegel – allerdings nur solche, die ihren Namen verdienen – das Vertrauen der Kundinnen und Kunden stärken und das ist in manchen Branchen schon die halbe Miete zum Erfolg.
c) Privatperson: Wie kann auf die Risiken im Umgang mit den neuen Medien in all ihrer Ernsthaftigkeit und Dringlichkeit aufmerksam gemacht werden, ohne sogleich eine Verteufelung zu erreichen? (Stichwort: Arabischer Frühling – neue Medien bieten auch weitreichende gesellschaftliche Chancen!)
Peter Schaar: Jede Entwicklung ist eine Herausforderung für den Nutzer. Dieser sollte nicht von vermeintlichen Vorteilen blenden lassen, sondern stets überlegen, ob es Nachteile gibt und wenn ja, wie er damit umgehen will. Dabei geht es nicht darum, von der Nutzung neuer Medien und Dienste auf Grund von Datenschutzbedenken abzusehen. Wir Datenschützer sehen uns nicht als Gouvernanten, die den Nutzern Vorgaben über das eigene Verhalten machen. Mir geht es, im Gegenteil, um den aufgeklärten Umgang mit solchen Angeboten. Der arabische Frühling ist ein gutes Beispiel für die Vor- und Nachteile neuer Medien. Einerseits konnten sich die Oppositionellen effektiv über die neuen Kommunikationsdienste austauschen, auf der anderen Seite gerieten Oppositionelle und andere Nutzer so in den Blickwinkel der Sicherheitsbehörden. Auch vor diesem Hintergrund halte ich es für kurzsichtig, dass einige Politiker für eine Identifikationspflicht aller Internetnutzer eintreten. Auch Forderungen nach Netzsperren für bestimmte Inhalte sehe ich kritisch. Abgesehen davon, dass sie sich nur sehr schwer durchsetzen lassen, setzen sie eine Infrastruktur voraus, die sich ohne großen Aufwand auch auf beliebige andere Inhalte anwenden ließe. Da ist man dann schnell bei der Frage, ob es sich um Zensur handelt. Auch wenn kriminelles Handeln im Internet selbstverständlich sanktioniert werden muss, ist hier auch die Medienkompetenz der Nutzerinnen und Nutzer gefragt, denn der Staat wird im Internet – wie in der realen Welt – nie einen vollständigen Schutz gewährleisten können.
2.) Auf die passive Erkenntnis sollte das aktive Handeln folgen: Wie sehen Ihrer Ansicht nach die konkreten Herausforderungen der jeweiligen Akteure aus?
a) Staat: Sind verbindliche und mäßigende Spielregeln für den (auch staatlichen) Umgang mit personenbezogenen Daten der Schlüssel zu gesteigerter Datensicherheit? Wie könnte eine Reformierung des nationalen und internationalen Datenschutzrechts aussehen?
Peter Schaar: Das Datenschutzrecht muss den Einzelnen wieder in das Zentrum des Datenschutzrechts rücken. Er muss in die Lage versetzt werden zu entscheiden, wie er mit seinen Daten umgeht. Wichtig ist auch, dass das Datenschutzrecht technologischen Entwicklungen nicht immer hinterher rennt, dass also Datenschutzanforderungen bereits in der Entwurfsphase in technische Geräte und neue Geschäftsmodelle integriert werden. Wir nennen das ‚Privacy by Design’. Auf europäischer Ebene hat die Europäische Kommission Anfang 2012 ihre Vorschläge für eine Reform des europäischen Datenschutzrechts präsentiert. Ziel dieser Reform ist es auch, dass sich alle in Europa aktiven Unternehmen, egal ob europäische oder US-amerikanische Unternehmen, an die gleichen Standards zu halten haben. Das begrüße ich.
b) Unternehmen: Welche Anreize könnten Unternehmen dazu bewegen, verstärkt (Kunden-) Datenschutzmaßnahmen in Eigeninitiative zu ergreifen?
Peter Schaar: Letztlich entscheiden die Nutzer, also die Kunden, darüber, welche Dienste sie nutzen und welche Daten sie über sich preisgeben. Aber die Gesetze müssen den Rahmen abstecken, in denen die Betroffenen möglichst frei entscheiden können. Dazu gehört etwa, dass wirklich nur diejenigen Daten erhoben werden, die für die Erbringung eines Dienstes erforderlich sind. Außerdem müssen die Angebote so gestaltet werden, dass es echte Entscheidungsmöglichkeiten gibt. So ist die Personalisierung für viele Dienste eben nicht zwangsläufig. Vielmehr könnten und sollten auch alternative Nutzungsformen ermöglicht werden, bei denen die Nutzenden anonym bleiben oder sich ein Pseudonym aussuchen. Selbst bei Zahlungsverfahren sind anonyme Lösungen verfügbar, die auf dem Prinzip der Vorauszahlung beruhen, sogenannte Prepaid-Verfahren.
Anreize für einen verbesserten Datenschutz in den Unternehmen können durch Zertifizierung gewährleistet werden. Hiermit könnte ein Unternehmen den Kunden schnell zeigen, dass es sich um den Schutz der Kundendaten kümmert. Dies würde den positiven Wettbewerbs-Gedanken vertiefen.
Anreize zur Steigerung der Informationssicherheit in den Unternehmen, wenn auch negative, schaffen übrigens auch die immer zahlreicheren Hacker-Angriffe. Es scheint, dass sich viele Unternehmen erst seit kurzem ernsthafte Gedanken über den Schutz der Kundendaten machen. Vor diesem Hintergrund finde ich es gut, dass Unternehmen in Deutschland seit 2009 Jahr verpflichtet sind, derartige Datenabflüsse zu melden. Ich trete dafür ein, eine solche Verpflichtung auch im europäischen Recht zu verankern.
c) Individuen: Wie könnte ein aktives Einfordern des Rechts auf Schutz personenbezogener Daten im Alltag des Einzelnen aussehen (Stichwort: „gläserner Bürger“ vs. Recht auf informationelle Selbstbestimmung)?
Peter Schaar: Angesichts immer umfassenderer Datenverarbeitung wird es für den Einzelnen immer schwieriger, der Erfassung seiner Daten zu entgehen. Umso wichtiger ist es, dass es hier klare Regelungen gibt, die den Einzelnen in die Lage versetzen, selbstbestimmt zu agieren. Einen gläsernen Bürger, also eine Situation, bei der alle privaten und öffentlichen Stellen alles über alle wissen, darf es nicht geben – das widerspräche dem Menschenbild des Grundgesetzes. Dreh- und Angelpunkt des Rechts auf informationelle Selbstbestimmung ist die Entscheidungshoheit des Betroffenen über die auf ihn bezogenen Daten. Damit dieser seine Rechte wahrnehmen kann, muss die Datenverarbeitung zunächst einmal transparent sein. Was macht beispielsweise Facebook oder das Finanzamt mit meinen Daten? Zweitens brauchen wir eine echte Entscheidungsmöglichkeit statt faktischem Zwang. So sehe ich es sehr kritisch, dass immer mehr Dienstleistungen nur dann erbracht werden, wenn der Betroffene in die Verarbeitung seiner Daten für andere Zwecke, insbesondere für die Werbung, eingewilligt hat, mit der Konsequenz, dass umfassende Persönlichkeits- und Interessenprofile entstehen. Zur Freiwilligkeit gehört übrigens auch, dass der Widerruf der Einwilligung nicht etwa durch einen Medienbruch erschwert wird, dass zwar online eingewilligt werden kann, für den Widerspruch aber der Postweg, vielleicht sogar als Einschreiben mit Rückschein, vorgesehen ist.
3.) Glauben Sie, dass sich die antike Tugend der „Mäßigung“ als Schlüssel zu den aktuellen datenschutzbezogenen Problemen erweisen könnte? Antike Werte für eine moderne Zukunft?
Peter Schaar: Datensparsamkeit ist wohl eine moderne Ausprägung dieser antiken Tugend. Dieser im Datenschutzrecht verankerte Grundsatz hat aber als allgemeine Zielvorgabe bislang kaum Wirkung entfaltet. Vielfach werden Datenverarbeitungssysteme entwickelt oder gesetzliche Vorschriften entworfen, bei denen immer mehr Daten erhoben werden. Solche Datenbestände haben in der Vergangenheit wiederholt zu Datenschutzskandalen geführt oder wurden vom Bundesverfassungsgericht als verfassungswidrig kassiert. Wer jedoch den Grundsatz der Datensparsamkeit beachtet, sich also mäßigt, der schützt sich vor solchen Gefahren. Aber auch bei den Nutzerinnen und Nutzern, die zunehmend zu Netzbürgern werden, ist bisweilen Mäßigung angesagt. Deren Notwendigkeit sehe ich insbesondere bei sozialen Netzwerken, bei denen ungeheuer viele private Informationen preisgegeben werden, über deren Missbrauchsmöglichkeiten sich die Betroffenen nicht oder nur ungenügend bewusst sind. Hier ist weniger manchmal besser.
4.) Schließlich folgt das Gute-Fee-Szenario: Wenn Sie drei Wünsche in Bezug auf Datenschutz im Internet frei hätten, worum würden Sie die gute Fee konkret bitten?
Peter Schaar: Im Märchen ist es ja häufig so, dass die begrenzte Zahl guter Wünsche verschwendet wird. Deshalb beschränke ich mich hier auf sehr grundsätzliches: Erstens sollten die Menschen so weit wie möglich die Kontrolle über ihre Daten haben. Dafür müssen – zweitens – die Systeme so gestaltet werden, dass sie die Selbstbestimmung ermöglichen, also sparsam mit Daten umgehen und hinsichtlich des Umgangs mit den Informationen transparent sind. Und drittens müssen die rechtlichen Rahmenbedingungen stimmen, und das global.
Vielen Dank für das Interview.