Archiv

Sicherheitspolitik und Datenschutz
Sind Datenschützer überfordert?

Daten der Bürger müssen geschützt werden, daran gibt es keinen Zweifel. Um Bedrohungen besser zu erkennen, müssten Datensammlungen erweitert und besser analysiert werden. Aber dabei muss sich der Staat natürlich an Recht und Gesetz halten und zum Beispiel Datenschutzvorgaben einhalten.

Von Falk Steiner |
    Proteste gegen die Vorratsdatenspeicherung vor der SPD-Zentrale in Berlin.
    Mehr speichern, für viele Zwecke speichern, länger speichern - auf Datensammlung und Analyse ruhen viele Politikerhoffnungen. (picture alliance / dpa / Rainer Jensen)
    Ob im Netz bei Google oder Facebook, der Software im Auto oder den Datenbanken von Versicherungen: überall fallen heute Daten über uns an. Sie zeigen, wie groß, klein, grünäugig, zahlungsfähig oder gesund eine Person ist - oder eben nicht. Gesammelte, dann analysierte Daten bilden die Grundlagen für Entscheidungen – beispielsweise in der Wirtschaft, aber eben nicht nur dort. Sondern auch in der Politik, unter anderem wenn es um Sicherheitsfragen geht. Und spätestens dann heißt es: Wie viel ist erlaubt?
    "Natürlich war die Vorratsdatenspeicherung, die Kollege Maas und ich vereinbart haben, ein Kompromiss. Und der ist gut. Gleichzeitig, wenn ich mich in anderen Staaten umgucke, ich hätte eben gerne eine andere Regelung. Sechs Monate statt zehn Wochen und Ähnliches, das ist unsere Position als Union."
    Sagte Bundesinnenminister Thomas de Maizière, CDU, am Freitag vergangener Woche. Mehr speichern, für viele Zwecke speichern, länger speichern – auf Datensammlung und Analyse ruhen viele Politikerhoffnungen. Wer Informationen sammelt, sie auswertet und mit anderen teilt, kann vielleicht in der Lage sein, Bedrohungen besser zu erkennen. Aber dabei muss sich der Staat selbst natürlich an Recht und Gesetz halten – zum Beispiel Datenschutzvorgaben einhalten.
    Das Recht auf Selbstbestimmung jedes Einzelnen ist ein hohes Gut. Abgeleitet aus Artikel 1 des Grundgesetzes, der unantastbaren Menschenwürde und Artikel zwei, dem allgemeinen Persönlichkeitsrecht, stellten die Richter am Bundesverfassungsgericht in Karlsruhe schon im Jahr 1983 fest:
    "Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen."
    Dieses Grundrecht kennt - wie jedes Grundrecht - Beschränkungen aus anderen wichtigen Gründen. Doch mit ihrem Urteil verpflichteten die Karlsruher Richter den Staat dazu, für einen nennenswerten Datenschutz einzutreten.
    Grundrecht mit Einschränkungen
    Die Datenschutzaufsicht ist im Bund und den Ländern als staatliche Einrichtung organisiert. Sie soll überprüfen, ob das Datenschutzrecht eingehalten wird. Und einschreiten, wenn das nicht der Fall ist, ob bei staatlichen oder privaten Stellen.
    Private wie Unternehmen sind übrigens nicht im gleichen Maß an die Grundrechte gebunden. Denn Grundrechte sind zuerst einmal Abwehrrechte gegen den Staat, nicht gegen Unternehmen, Vereine oder andere private Stellen. Doch auch diese sind ans Datenschutzrecht gebunden, denn auch sie sind Akteure nach den Spielregeln der Gesellschaft. Aber immer mehr Unternehmen verarbeiten Daten – zu immer neuen Zwecken.
    Gerade erst ist der Leiter des Landesamtes für Datenschutzaufsicht im fränkischen Ansbach für weitere fünf Jahre im Amt bestätigt worden. Thomas Kranig wacht über den Datenschutz bei den nichtöffentlichen Stellen in Bayern, vor allem Unternehmen. Die werden stichprobenartig von den Aufsichtsbehörden kontrolliert – oder wenn es konkrete Beschwerden über sie gibt. An Arbeit mangelt es ihm nicht:
    "Das ist ein Problem. Wir haben nach dem statistischen Jahrbuch Bayern ungefähr 700.000 verantwortliche Stellen, wie wir im Datenschutz sagen, also Stellen, die mit personenbezogenen Daten umgehen. Wir haben 16 Mitarbeiter. Dann können Sie sich vorstellen, dass die Chance, von uns kontrolliert zu werden, vielleicht etwa so ist wie ein Sechser im Lotto."
    Doch nun gibt es Grund zur Freude für Thomas Kranig, denn:
    "Ich habe in den letzten Jahren auch schon immer beantragt, dass wir etwas aufgestockt werden, was bisher keinen Erfolg hatte. Jetzt steht die Datenschutzgrundverordnung, das heißt, die Neuregelung des Datenschutzrechts in Europa vor der Tür. Das hat auch jetzt die bayerische Staatsregierung zur Kenntnis genommen und einen Grundsatzbeschluss gefasst, dass wir eben jetzt gestärkt werden."
    Neuregelung des Datenschutzrechtes
    Auf acht neue Stellen hofft Kranig. Mit den Änderungen am Europäischen Datenschutzrecht kommen noch mehr Aufgaben auf die Behörden zu – unter anderem sollen sie stärker beratend tätig sein und für Datenschutz sensibilisieren.
    Im bevölkerungsreichsten Bundesland Nordrhein-Westfalen sind 2016 gleich 10 neue Stellen für die Datenschutzaufsicht geschaffen worden. Mit 63 Vollzeitstellen ist diese Behörde, die öffentliche und private Einrichtungen kontrollieren soll, eine der größten der Bundesrepublik.
    In Kiel ist Marit Hansen die Landesdatenschutzbeauftragte. Die Informatikerin soll mit 15 Kollegen in Schleswig-Holstein die Einhaltung des Datenschutzes kontrollieren.
    "Es sind ja schon, wenn man rechnet, einige tausend öffentliche Stellen. Also jede Schule, jedes Krankenhaus, jeder Arzt, jede Behörde natürlich, da unterschiedliche Rollen natürlich noch, Amtsärzte, und dann natürlich noch die ganzen Firmen."
    In der brandenburgischen Landeshauptstadt Potsdam zählt die Datenschutzaufsicht gerade einmal 16,5 Stellen. Doch die reichen nicht, teilt die Behörde schriftlich mit:
    "Die aus unserer Sicht nach wie vor knappe Personalausstattung erlaubt es der Landesbeauftragten bereits jetzt nicht, Beratungen und Kontrollen im erforderlichen Umfang durchzuführen."
    Ganz so hart will es Marit Hansen für Schleswig-Holstein nicht formulieren. Aber auch ihre Aufgaben nehmen enorm zu und sie hat zusätzliche Stellen beantragt.
    "Also, ich würde mich sehr freuen, wenn wir uns um sieben bis acht Personen verstärken könnten. Aber krieg auch schon Signale, dass das wohl in Schleswig-Holstein nicht funktioniert."
    Eine Illustration, bei der ein Mann im Hasso-Plattner-Institut in Potsdam (Brandenburg) eine Hand auf einen Bildschirm mit dem visualisierten, weltumspannenden Internet hält.
    Der Zugriffs aufs Internet erfolgt mitunter mit kriminellen Absichten. (dpa / Ralf Hirschberger)
    Welche Folgen die mangelnde Kontrolle haben kann, weiß der Berliner Rechtsanwalt Carlo Piltz. Er publiziert zum Datenschutzrecht, berät und vertritt kleine Start-ups und auch große Unternehmen. Er sagt:
    "Eigentlich vorgesehen ist eine kontinuierliche zumindest Aufmerksamkeit der Behörden, und dann eventuell auch eine nähere Überwachung, Prüfung und eventuell Kontrolle und am Ende auch Ordnungswidrigkeitsverfahren oder auch Bußgelder zu erlassen. Der Nachteil dieses Systems, das erleben wir gerade in der heutigen Welt kommt man nicht mehr mit, man kommt nicht mehr hinterher."
    Der Spezialist für Datenschutzrecht führt das zum einen auf die Komplexität heutiger Datenverarbeitung und ein teilweise veraltetes Datenschutzrecht zurück. Aber auch an anderer Stelle sieht er Fehler im System:
    "Da bedürfte es eigentlich einer weit umfassenderen Ausstattung. Damit soll nicht den Behörden der schwarze Peter zugeschoben werden, ich glaube, die tun momentan wirklich, was sie können und pfeifen aus dem letzten Loch. Das ist eine politische Frage."
    Pfeifen aus dem letzten Loch, das gilt für die Datenschutzaufsicht nicht nur gegenüber den privaten Stellen. Auch öffentliche Stellen wollen immer mehr Daten sammeln, verarbeiten, weitergeben. Das geht hin bis zur Zusammenarbeit mit ausländischen Nachrichtendiensten wie zwischen NSA und BND in Bad Aibling, der Sicherheit wegen:
    "Bestimmte notwendige Zusammenarbeiten und gemeinsame Dateien mit Auslandsnachrichtendiensten das mag angesichts der Sicherheitslage auch gerechtfertigt sein."
    Sagt keine Geringere als Deutschlands ranghöchste Datenschützerin - die Bundesbeauftragte für den Datenschutz, Andrea Voßhoff.
    "Aber es spricht überhaupt nichts dagegen und beeinträchtigt nach meiner Auffassung auch in keiner Weise den Anspruch, der im Rahmen der Sicherheitsinteressen erhoben wird, hier eine datenschutzkonforme Ausgestaltung hinzukriegen. Ich finde, das geht und bedaure immer, dass das so kontrovers diskutiert wird."
    Die frühere Bundestagsabgeordnete der CDU ist für den Schutz der Daten der Bundesbürger zuständig - bei den Post- und Telekommunikationsunternehmen, vor allem aber bei allen Bundesbehörden. Darunter sind so heikle Schwergewichte wie das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und der Zoll, auch Bundeskriminalamt und Bundespolizei unterliegen ihrer Kontrolle. Regelmäßig stehen Voßhoffs 12 Mitarbeiter ganz praktisch vor der Frage: sind ein wirksamer Datenschutz und das Sicherheitsinteresse tatsächlich kompatibel? Und wenn ja: wie?
    Die Bundesbeauftragte für Datenschutz, Andrea Voßhoff, gestikuliert.
    Die Bundesbeauftragte für Datenschutz, Andrea Voßhoff. (Hannibal Hanschke, dpa picture-alliance)
    An Einzelfällen wird das Problem deutlich: Vorratsdatenspeicherung, Anti-Terror-Datei, BKA-Gesetz - alle haben das Bundesverfassungsgericht mindestens einmal beschäftigt. Zuletzt schrieben die Richter im April ins sogenannte BKA-Gesetz-Urteil einen ganzen Katalog an Vorgaben; Vorgaben, die Regierung und Parlament berücksichtigen müssen, wenn sie die Befugnisse der Sicherheitsbehörden erweitern und in die informationelle Selbstbestimmung eingreifen wollen, zum Beispiel mit der Schaffung von Dateien über politische oder religiöse Extremisten.
    Eine der Vorgaben aus diesem und dem Antiterrordatei-Urteil betrifft auch die Arbeit von Andrea Voßhoff direkt. Spätestens alle zwei Jahre müssen besonders heikle Dateien von ihren Mitarbeitern kontrolliert werden, so das Bundesverfassungsgericht, und das muss auch möglich sein – technisch wie personell. Will der Staat tief ins Grundrecht auf informationelle Selbstbestimmung eingreifen, muss er also die Kontrolle durch die Datenschutzaufsichtsbehörden garantieren. Doch tut er das bislang?
    Zehn Jahre war Peter Schaar der Bundesdatenschutzbeauftragte. Bis ihm im Dezember 2013 die CDU-Politikerin Andrea Voßhoff nachfolgte. Schaar hat für den Datenschutz gekämpft, oft öffentlich, oft gegen die wechselnden Bundesregierungen. Für ihn steht fest:
    "In Deutschland haben wir ja schon seit längerer Zeit ein recht ausgefeiltes Datenschutzaufsichtssystem. Und eigentlich müsste man annehmen, dass wir kein Umsetzungsdefizit haben. Das Gegenteil ist richtig: die Datenschutzaufsichtsbehörden sind zwar vorhanden, sie sind auch vollauf beschäftigt, aber sie sind nicht überall so wirksam, wie ich mir das gewünscht hätte und auch noch wünschen würde."
    Und das hat für Schaar zwei Gründe:
    "Das liegt einmal sicherlich daran, dass ihre personellen und materiellen Ausstattungen nicht so sind, wie sie sein müssten. Aber entscheidend ist für mich, dass die Datenschutzbehörden vielfach eben auch keine wirksamen Instrumente zur Verfügung haben, um sich gegenüber Unternehmen, aber auch öffentlichen Stellen durchzusetzen."
    Gegenüber Unternehmen verändern sich mit der europäischen Datenschutzgrundverordnung ab 2018 die von Schaar angesprochenen Instrumente. Der Strafrahmen wird deutlich erhöht; das Bußgeld kann dann bis zu zwei Prozent des weltweiten Jahresumsatzes einer Firma betragen. Doch an den Möglichkeiten der Datenschutzaufsicht öffentlichen Stellen gegenüber, ändert sich erst einmal nichts. Doch gerade die haben sich in den vergangenen Jahren den Kontrollen durch die Datenschutzaufsicht widersetzt.
    Zu Beginn der NSA-Affäre 2013 war Peter Schaar noch Bundesdatenschutzbeauftragter. Der Bundesnachrichtendienst verneinte damals kurzerhand, dass Schaars Mitarbeiter für die besonders heiklen Daten aus der Außenstelle Bad Aibling, in der eng mit der NSA zusammengearbeitet wurde, zuständig wären. Begründung: Die Daten seien nicht in Deutschland, sondern im Ausland und zwar von deutschem Boden – aber per Satellit erhoben worden.
    "Diese Zuständigkeit war gegeben, jedenfalls dort, wo es darum ging, dass Daten durch Deutschland durchgeleitet wurden oder aber darum Daten, die von deutschen Stellen im Ausland erhoben wurden, in Deutschland verarbeitet wurden. Und trotzdem wurde da die Auskunft verweigert."
    Im als geheime Verschlusssache eingestuften Bericht der Datenschutzaufsicht wird das Vorgehen des deutschen Auslandsgeheimdienstes als Behinderung der Arbeit der Aufsichtsbehörde eingestuft. Doch Konsequenzen hatte das nicht, berichtet Schaar:
    "Ein Problem ist es natürlich, wenn dann die vorgesetzten Ministerien selber nicht bereit sind, weiter aufzuklären. Dann hat man letztlich als Datenschutzbeauftragter nur die Möglichkeit, dieses Verhalten zu beanstanden, was ich dann auch getan hatte, und diese Beanstandung öffentlich zu machen. Weitere Zwangsmittel stehen einem da kaum zur Verfügung. Man hätte theoretisch auf Auskunft klagen können, das wäre ein sehr, sehr langwieriger Weg gewesen. Und ob es sinnvoll ist, einen solchen Weg dann in einer aktuellen Auseinandersetzung zu gehen, ist durchaus fragwürdig angesichts des riesigen Aufwandes, der damit dann auch verbunden ist."
    Der Bundestagsabgeordnete Konstantin von Notz posiert am Rande eines kleinen Landesparteitags der Grünen in Kiel.
    Der Grünen-Politiker Konstantin von Notz (picture alliance / dpa / Daniel Reinhardt)
    Für die Datenschutzaufsicht ist eine Klage zu aufwendig? Kann das sein? Immerhin geht es hier um den Schutz der Daten der Bürger. Konstantin von Notz, der Grünen-Obmann im NSA-Untersuchungsausschuss, stellt fest.
    "Angesichts des engen Personalkorsetts, das die Bundesdatenschutzbeauftragte hat, geht das in der Form nicht. Die Behörde hat unter 100 Mitarbeiter und das ist ein katastrophaler Zustand, der letztlich zu solchen Missständen wie beim Bundesnachrichtendienst führt."
    Tatsächlich scheuen die Datenschutzaufsichtsbehörden gerichtliche Auseinandersetzungen, selbst wenn es um Unternehmen geht. Nur selten ergeht ein Bußgeldbescheid wegen Datenschutzrechtverstößen. Doch ohne Bußgeldbescheid gibt es keine Klagemöglichkeit. Für den Berliner Anwalt für Datenschutzrecht Carlo Piltz ist das ein Problem:
    "Dazu muss es erst einmal zu den Gerichten kommen. Und da ist es natürlich schon erforderlich, dass dann auch die jeweiligen befugten Stellen wie die Aufsichtsbehörden sagen: das lassen wir gerichtlich klären, da lassen wir einen Bescheid ergehen, und dann gucken wir, was dabei rauskommt."
    Das bedeutet, das viele Rechtsfragen – beispielsweise ob Internetprotokolladressen personenbezogene Daten sind oder nicht - bis heute nicht abschließend geklärt sind. Datenschutzaufsichtsbehörden wie Datenverarbeiter können vergleichsweise einfach behaupten, im Recht zu sein - ohne, dass diese Behauptung tatsächlich überprüft wird. Ein Grund auch hier: Personalmangel.
    Doch wäre den Behörden mit einer Aufstockung der personellen Kapazitäten geholfen? Und will die Politik das? Der Grünen-Innenpolitiker Konstantin von Notz sagt:
    "Während die Sicherheitsbehörden mit tausenden neuen Stellen aufgerüstet wurden, hat man da praktisch nichts gemacht, deshalb fordern wir eine spürbare und wahrnehmbare Aufstockung um ungefähr 200 Stellen für die Bundesdatenschutzbeauftragte. Man muss einfach sehen: die Eingriffe in diesen Bereich haben sich potenziert. Und die Bundesdatenschutzbeauftragte, Frau Voßhoff, sagt es selbst – sie kann den Verpflichtungen in diesem Bereich derzeit nicht nachkommen, das ist ein untragbarer Zustand für einen Rechtsstaat."
    Die angesprochene Bundesdatenschutzbeauftragte will die genaue Zahl an neuen Stellen nicht verraten, die sie für 2017 beantragt hat. Doch 200 sind es bei Weitem nicht. Aus dem Haushaltsauschuss des Bundestages ist zu erfahren, dass sie 50 neue Stellen beantragt hat. Auf den ersten Blick erscheint das wenig, doch die Bonner Behörde würde damit um fünfzig Prozent wachsen. Dass das passieren wird, ist fraglich: Denn während fast schon ein Wettlauf stattfindet, wer in diesen Tagen mehr Tausende neue Stellen für die Sicherheitsbehörden und mehr Befugnisse für diese fordert, wird die Ausstattung der Datenschutzbehörden politisch kaum thematisiert. Doch einige wichtige Sicherheitsvorhaben drohen zu scheitern, wenn der Datenschutz vergessen wird. Die Beauftragte Andrea Voßhoff wird deutlich:
    "Neben vielen Argumenten oder auch Darlegungen zu einzelnen Regelungen hat das Bundesverfassungsrecht ja auch mehr als deutlich gemacht, wie ich finde auch zurecht, dass es gerade dort, wo das Recht auf informationelle Selbstbestimmung aufgrund von Sicherheitsinteressen massiv beeinträchtigt wird, zum Ausgleich dieses Grundrechtseingriffs sichergestellt sein muss, dass eine regelmäßige, effiziente Datenschutzkontrolle stattfindet. Und hat das mit dem Begriff der Kompensationsfunktion, also zur Kompensierung des Grundrechtseingriffs definiert. Und das setzt voraus, dass auch Aufsichtsbehörden Kontrollen durchführen können müssen und das auch regelmäßig durchführen können müssen.
    Zugriff auf Daten wird immer wichtiger
    Sind Kontrollen aufgrund von Personalmangel nicht möglich, könnten Bürger gegen die Sammlung ihrer Daten durch die Sicherheitsbehörden klagen – und das mit Aussicht auf Erfolg. Marit Hansen, die Landesdatenschützerin aus Schleswig-Holstein, will eines verhindern:
    "Wenn nachher Probleme bestehen, weil Risiken da sind, weil die falschen Leute verdächtigt werden, dann haben wir ein Problem."
    Denn falsche Verdächtigungen können zu Zusatzkontrollen an Flughäfen, Überwachungsmaßnahmen, Aus- und Einreiseverbote usw. führen.
    Doch nicht nur die Dateien gesammelt von den Sicherheitsbehörden sind ein Problem, der vermehrte Zugriff auf Daten bei privaten Stellen wie etwa Google wird immer wichtiger – gut 11.000 Mal baten deutsche Behörden 2015 allein bei Google um Daten. Nach den Anschlägen von Ansbach und Würzburg hatten Politiker, Unternehmen wie Facebook, Twitter und Youtube aufgefordert, der Polizei und den Geheimdiensten Daten einfacher zugänglich zu machen. Das erzürnt Peter Schaar:
    "Das ist ja teilweise völlig kurios, dass jetzt hier kritisiert wird, dass zum Beispiel ein Unternehmen wie Facebook bestimmte Daten nicht auf Zuruf herausgibt, sondern darauf beharrt, dass eine entsprechende Anordnung da ist, die auch nachgewiesen werden muss."
    Google gab auf gut die Hälfte der Anfragen aus Deutschland hin Daten heraus. Die Unternehmen würden teils stärker auf die Einhaltung des Rechts pochen, als die Behörden selbst, sagt Schaar. Ein Unding, sagt er, aber klar sei auch:
    "Nicht hinter jeden Polizisten, nicht hinter jeden Verfassungsschützer kann man einen Datenschützer stellen. Das heißt, es kommt letztendlich darauf an, die Prozesse so zu gestalten, dass sie, zumindest von der grundlegenden Auslegung her, datenschutzkonform sind."
    Entscheidend sei, dass Unternehmen, aber eben auch und gerade Politiker und Behörden an den Datenschutz denken.
    Dass sie das tun – aber nicht im Sinne Schaars - wurde Ende vergangener Woche wieder klar. Da forderten die Unions-Innenminister in ihrer sogenannten Berliner Erklärung einen "Datenschutz mit Augenmaß". Die Sicherheitsbehörden, heißt es in dem Papier, würden unter erschwerten Bedingungen arbeiten. Besonders das überzogene Datenschutzrecht schränkt ihre Möglichkeiten, unsere Bürger zu schützen und die Feinde der Demokratie abzuwehren, häufig unverhältnismäßig ein, heißt es in der Berliner Erklärung.-
    Der Bundesinnenminister, bis zum vergangenen Jahr noch für die Ausstattung der Datenschutzbehörden verantwortlich, sagt heute, er habe nichts gegen deren bessere Ausstattung. Getan hat de Maiziere dafür all die Jahre wenig. Seit Jahresbeginn ist die Bundesdatenschutzbeauftragte unabhängig vom Innenministerium - und nun nur noch dem Parlament verpflichtet. Da fällt es dem Innenminister plötzlich ganz leicht zu sagen:
    "Die Sicherheitsbehörden scheuen überhaupt nicht Transparenz und Kontrolle auch durch die Datenschutzbeauftragten."