Bundestag soll Schutzlücken verhindern
Vorabmeldung zu einem Interview in der nächsten Ausgabe der Wochenzeitung
„Das Parlament“ (Erscheinungstag: 04. Januar 2016)
– bei Nennung der Quelle frei zur sofortigen Veröffentlichung –
Der frühere Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, hat an den deutschen Gesetzgeber appelliert, beim Inkrafttreten der geplanten Datenschutz-Grundverordnung der EU Schutzlücken zu verhindern. Beim Beschäftigtendatenschutz, bei den Sozial- und Gesundheitsdaten und der Stellung betrieblicher Datenschutzbeauftragten könnten die nationalen Parlamente weiterhin ein höheres Datenschutzniveau festlegen als in der Verordnung, sagte Schaar in einem Interview der Wochenzeitung „Das Parlament“. Das hänge aber vom politischen Willen in den Mitgliedstaaten ab. Insofern erwarte er vom Bundestag, „dass er sich hier zügig an die Arbeit macht, damit nicht plötzlich eine Schutzlücke auftritt, wenn die Grundverordnung 2018 in Kraft tritt“. Dann träten viele nationale Regelungen außer Kraft, wenn der deutsche Gesetzgeber nicht seine Möglichkeiten nutzt, für mehr Schutz zu sorgen. „Da ist also höchste Eile angesagt, denn ab Frühjahr 2017 sind wir schon im Wahlkampfmodus Richtung Bundestagswahl“, betonte Schaar, der bis Ende 2013 oberster Datenschützer Deutschlands war.
Der Datenschutz-Grundverordnung bescheinigte er „drei wichtige positive Punkte“. Zum ersten werde die Harmonisierung beim Datenschutz vorangebracht. Zweitens solle es gleiche Befugnisse für die unabhängigen Datenschutzbehörden geben. Und schließlich müssten sich auch Unternehmen aus Drittstaaten, die in der EU Geschäfte machen, an das europäische Datenschutzrecht halten. Zu den Schattenseiten der Verordnung zählte Schaar, dass damit das „sehr differenzierte Datenschutzrecht“ in Deutschland stark überarbeitet werden müsse. Dabei werde es sicher „in Einzelfällen auch zu Absenkungen des Datenschutzniveaus kommen“.
Das Interview im Wortlaut:
Herr Schaar, Sie sind seit zwei Jahren nicht mehr Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Ist der Datenschutz in dieser Zeit weiter in die Defensive geraten?
Schaar: Das kann man schon sagen, denn die Rahmenbedingungen sind schwieriger geworden. Zum einen hatten wir 2015 zwei schwere Terroranschläge in Europa – da wird dann reflexartig gefordert, die Sicherheitsbehörden mit zusätzlichen Datenzugriffen auszustatten. Da ist die Vorratsdatenspeicherung ein Thema, eine noch umfassendere Speicherung von Flugpassagierdaten, die lückenlose Erfassung aller Ein- und Ausreisenden, um nur einige Punkte zu nennen. Darüber hinaus werden zusätzliche Überwachungsbefugnisse auch für die Geheimdienste gefordert und ihnen auch teilweise gegeben. Zum anderen ist es für den Datenschutz auch mit der zunehmenden Effektivität der Informationstechnologie nicht einfacher geworden: Alle zwei Jahre verdoppeln sich nach dem Moore’schen Gesetz die Verarbeitungskapazität und -geschwindigkeit. Auch insofern sind die Herausforderungen größer geworden.
Was halten Sie denn von Forderungen etwa nach einem Zugriff auch des Verfassungsschutzes bei der Vorratsdatenspeicherung oder nach Beobachtungsdrohnen des Verfassungsschutzes?
Schaar: Das sind alles Schnellschüsse. Ohne eine gründliche Analyse des tatsächlichen Ereignisses wird hier sehr schnell versucht, Handlungsfähigkeit zu demonstrieren, indem man sich mit solchen Forderungen überbietet. Viele dieser Vorschläge bringen wenig zusätzliche Sicherheit, aber sehr viel mehr Überwachung – nicht nur der Terroristen, sondern von uns allen.
Als Erfolg für den Datenschutz gilt das Urteil des Europäischen Gerichtshofs zum Safe-Harbor-Abkommen, der die Regelungen zum Datenaustausch zwischen den USA und der EU gekippt hat. Welche Konsequenzen muss das haben?
Schaar: Der Europäische Gerichtshof versteht sich zunehmend als Wahrer der Grundrechte der EU – auch schon in seinen Urteilen zur Vorratsdatenspeicherung und zur Frage der Verantwortlichkeit von Suchmaschinen und zum Recht auf Vergessenwerden. Das ist uneingeschränkt positiv zu beurteilen. Inhaltlich geht es darum, dass die Grundrechtecharta in allen EU-Staaten durchgesetzt werden muss. Das Grundrecht auf Datenschutz gilt auch uneingeschränkt für die Übermittlung von Daten in Drittstaaten. Das Safe-Harbor-Abkommen gewährleistet aber keinen ausreichenden Schutz für die in die USA übermittelten Daten – das ist die zentrale Aussage des Gerichtshofs. Um hier voranzukommen, brauchen wir sehr viel bessere Garantien der USA für personenbezogene Daten aus Europa.
In der Europäischen Union steht die Datenschutz-Grundverordnung vor der Verabschiedung. Ist sie gut für den Datenschutz?
Schaar: Es gibt drei wichtige positive Punkte. Der erste ist, dass die Harmonisierung beim Datenschutz vorangebracht wird. Es soll ja ein einheitliches Datenschutzgesetz in Europa geben statt 28 unterschiedliche. Die Kriterien für die Verarbeitung personenbezogener Daten sollen in der gesamten Union dieselben sein. Zweitens soll es gleiche Befugnisse für die unabhängigen Datenschutzbehörden geben. Bisher haben wir da riesige Unterschiede. EU-weit sollen alle Datenschutzbehörden wirksame Sanktionen verhängen können. Punkt drei ist das Marktortprinzip: Auch Unternehmen aus Drittstaaten, die in der EU Geschäfte machen, müssen sich an das europäische Datenschutzrecht halten.
Schatten sehen Sie nicht?
Schaar: Doch, es gibt auch Schatten. Zum einen muss unser sehr differenziertes Datenschutzrecht in Deutschland stark überarbeitet werden. Dabei wird es sicher in Einzelfällen auch zu Absenkungen des Datenschutzniveaus kommen. Noch gravierender ist, dass das Projekt die Prinzipien und Mechanismen, die wir seit 20 Jahren haben, fortschreibt und neuen Herausforderungen wie Big Data nicht ausreichend durch innovative Ansätze Rechnung trägt.
Was wären solche Ansätze?
Schaar: Eine viel stärkere Fokussierung auf die Anonymisierung von Daten etwa. Oder eine viel deutlichere Hervorhebung des Einsatzes datenschutzfreundlicher Techniken, die den Einzelnen ermächtigen, die Kontrolle über seine Daten wiederzugewinnen. Nötig sind auch klare Vorgaben, damit die Produkte nicht so ausgeliefert werden, dass sie maximal Daten absaugen. Das muss auch nach der Reform weiter diskutiert werden.
Die Grundverordnung wird ja unmittelbar geltendes Recht. Bleiben nationalen Gesetzgebern dann noch Spielräume?
Schaar: In bestimmten Bereichen wird der deutsche Gesetzgeber weiterhin etwas für den Datenschutz tun können. Diese Spielräume sollten auch genutzt werden. Das gilt für den Beschäftigtendatenschutz, für die Sozial- und Gesundheitsdaten und für die Stellung betrieblicher Datenschutzbeauftragten. In diesen Bereichen können die nationalen Parlamente weiterhin ein höheres Datenschutzniveau festlegen als in der Verordnung. Das hängt aber vom politischen Willen in den Mitgliedstaaten ab. Insofern erwarte ich vom Deutschen Bundestag, dass er sich hier zügig an die Arbeit macht, damit nicht plötzlich eine Schutzlücke auftritt, wenn die Grundverordnung 2018 in Kraft tritt. Dann treten viele nationale Regelungen außer Kraft, wenn der deutsche Gesetzgeber nicht seine Möglichkeiten nutzt, für mehr Schutz zu sorgen. Da ist also höchste Eile angesagt, denn ab Frühjahr 2017 sind wir schon im Wahlkampfmodus Richtung Bundestagswahl.
Als Edward Snowden 2013 das Ausmaß der Ausspähaktivitäten der NSA enthüllte, war der Aufschrei groß, aber viel passiert ist danach im Grunde nicht.
Schaar: In den USA ist noch das meiste passiert. Dort gab es eine Gesetzesänderung, die das US-interne Datensammeln begrenzt. Aber in Bezug auf die Auslandsüberwachung hat sich kaum etwas verbessert. Das Problem ist auch, dass deutsche Nachrichtendienste viele der Praktiken der US-Dienste auch selbst durchführen. Da ist es schwierig, von den Amerikanern Verbesserungen zu erwarten, wenn man selbst zu solchen Einschränkungen nicht bereit ist. Hier sehe ich den Deutschen Bundestag und die Bundesregierung gefordert, sehr viel schärfere Grenzen zu ziehen für die geheimdienstliche Überwachung.
Als es im vergangenen Herbst Meldungen gab, der Bundesnachrichtendienst habe sogar den französischen Außenminister, Unicef und einen deutschen Diplomaten ausgespäht, schien die Öffentlichkeit das fast mit einem Schulterzucken zu quittieren. Gewöhnen wir uns an die Bespitzelung?
Schaar: Das ist eine ganz große Gefahr, dass wir die Bespitzelung und Überwachung, die dauerhafte oder allgegenwärtige Registrierung als unvermeidlichen Alltag akzeptieren. Dabei ist das kein unabwendbares Schicksal. Überwachung kann man begrenzen, aber dazu muss der Wille da sein und genau daran mangelt es in der Politik, jedenfalls bei denjenigen, die im Augenblick die Mehrheitsentscheidungen bestimmen.
Sehen Sie hier auch Lücken bei den staatlichen Kontrollmöglichkeiten, etwa bei den zuständigen Parlamentsgremien?
Schaar: Sowohl bei den Parlamentsgremien, also bei der G10-Kommission und dem Parlamentarischen Kontrollgremium, als auch bei den Datenschutzbehörden sehe ich nur sehr begrenzte Kontrollmöglichkeiten, die noch nicht einmal optimal aufeinander abgestimmt sind. Hier wäre sehr viel bessere Kooperation, aber auch ein Kapazitätsaufbau erforderlich. Da gibt es zumindest ansatzweise parteiübergreifende Forderungen, insbesondere nach einer Stärkung der parlamentarischen Kontrolle. Ich hoffe, dass sie nicht auch wieder verhallen und ad acta gelegt werden.