Am heutigen Tag vor 45 Jahren, also am 13. Oktober 1970, trat das hessische Datenschutzgesetz als erstes Datenschutzgesetz der Welt in Kraft. Der intellektuelle Kopf hinter diesem Gesetz und der erste hessische Datenschutzbeauftragte mit einer Amtszeit von sechzehn Jahren war Spiros Simitis. Er ist bis heute einer der Vordenker in Sachen digitaler Privatsphäre, kluger Kommentator politischer Entwicklungen und äußert sich regelmäßig zu aktuellen Datenschutzfragen (pdf). Wir veröffentlichen anlässlich des Jubiläums ein (gekürztes) Transkript eines Gesprächs mit ihm, in dem er über die Entstehung der ersten Datenschutzgesetze und die damals und natürlich auch heute noch diskutierten Fragen in Hessen, Deutschland und Europa spricht.
Spiros Simitis studierte von 1952 bis 1956 Jura und hat sich 1962 in Frankfurt/Main habilitiert. Er war nicht nur hessischer Datenschutzbeauftrager, sondern ab 1988 auch ständiger Berater der Europäischen Kommission. Er war außerdem Mitglied im Nationalen Ethikrat, dessen Vorsitz er von 2001 bis 2005 innehatte. Auch im Rahmen des Ethikrates ist Big Data mittlerweile eine Thema.
Wie sind Sie zum Datenschutzthema gekommen? Ihre Doktor- und Habilitationsarbeiten waren ja nicht direkt zu diesem Bereich?
Spiros Simitis: Ende der 1950er und in die 1960er Jahre hinein gab es einen radikalen Wandel. Es ist die Zeit, in der die kybernetischen Maschinen auftauchen, es ist die Zeit Norbert Wieners. Es ist auch die Zeit, in der man meinte, endlich das Maß an Rationalität erreicht zu haben, das es ermöglichen würde, von nun an objektiv und nachprüfbar zu entscheiden. Ich habe dann in der ersten Hälfte der 1960er Jahre die erste Arbeit zu den kybernetischen Maschinen und ihren Konsequenzen publiziert. Danach war ich, wenn Sie so wollen, inmitten dieser Diskussionen, die unmittelbar praktische Folgen hatten. Zum Beispiel, dass Länder wie Baden-Württemberg und Hessen immer lauter darüber nachdachten, zentrale Datenbanken zu errichten, in denen möglichst alle Angaben der Bürger und Bürgerinnen enthalten sein würden, um besser planen zu können, korrektere Entscheidungen, zum Beispiel in der Sozialpolitik, treffen zu können. Und dann, etwa wenn jemandem ein schrecklicher Unfall auf der Autobahn passiert, dank seiner Daten sofort herausfinden zu können, wie man reagieren könnte. Die kybernetischen Maschinen standen im Vordergrund. Sie waren etwas, das auch in der Bundesrepublik in der Wissenschaft viel diskutiert wurden, aber zugleich und je intensiver man darüber sprach, auch Zweifel hervorrief, was denn der Staat alles mit diesen Daten machen könnte.
So wurde dann 1969 in der FAZ ein Leitartikel publiziert, von dem bedeutenden Journalisten Hanno Kühnert, den ich sehr gut kannte. Er richtete an die Landesregierungen die Frage, ob sie sich denn eigentlich überlegt hätten, was man denn alles machen könnte mit diesen Daten, wie man überhaupt Profile aufbauen und Einzelne dazu bringen könnte, sich Maßnahmen zu unterwerfen. Einige Stunden, nachdem der hessische Ministerpräsident Georg-August Zinn den Artikel gelesen hatte, bestellte er den Herr Willi Birkelbach zu sich und erwartete von ihm den Entwurf einer Regelung, die diese Konsequenzen verhindern würde. Das war, wenn Sie so wollen, der Beginn des Datenschutzes.
Die Regelung wurde relativ schnell in der Staatskanzlei ausgearbeitet, leider starb Zinn, sein Nachfolger Albert Osswald hat sich aber auch dafür ausgesprochen. So kam es zu einer, wie ich fand, einmaligen Debatte im hessischen Landtag, weil alle Parteien sofort für diese Regelung waren. Was die Regierung erarbeitet hatte, ging ihnen nicht weit genug, sondern sie wollten viel mehr haben. Das hessische Datenschutzgesetz wurde dann verabschiedet. Es ist allerdings nicht nur das hessische Datenschutzgesetz Gegenstand der Debatte gewesen, weil die Opposition seinerzeit gesagt hat: Wenn die Hypothese stimmt, dass wir zum ersten Mal objektiv entscheiden können, rational vorgehen können und über die Grundlagen dafür verfügen, dann muss sich auch das Verhältnis zwischen Opposition und Regierung verändern. Dann muss die Opposition jederzeit die Möglichkeit haben, an die Daten zu kommen, um ihrerseits ihre Politik definieren zu können. Das war der Anfang des Informationsrechts der Bürgerinnen und Bürger, insbesondere der politischen Parteien gegenüber der Regierung.
Das spielte sich in Frankfurt ab, der Stadt von u. a. Habermas. Spielten die Sozialwissenschaften da eine Rolle?
Spiros Simitis: Nein, Sozialwissenschaftler spielten in diesem Zusammenhang keine besondere Rolle. Es sei denn, es waren Informatiker oder solche, die sich für diese Fragen interessierten.
1972 hat es ein Gutachten gegeben, von Wilhelm Steinmüller und anderen. Wann haben Sie davon erfahren? Das war ja in der Phase, als in Hessen das Datenschutzgesetz schon da war.
Spiros Simitis: Das habe ich sehr früh erfahren, weil Sie folgendes beachten müssen: Hessen war das erste Land, danach Schleswig-Holstein und Schweden. Das war sozusagen der Anfang des Datenschutzes. Parallel aber dazu gab es eine interparlamentarische Gruppe, die sich zum Ziel gesetzt hatte, ein Bundesdatenschutzgesetz zu machen. Die arbeitete an dem Projekt fast parallel zum hessischen Gesetz, daher hatte ich mit denen einen sehr engen Kontakt, weil sie sich immer wieder mit mir unterhalten haben. […] Schließlich war dann 2003 die erste öffentliche Anhörung zum Bundesdatenschutzgesetz, die ich eingeleitet habe.
Was waren da so die Themen?
Spiros Simitis: Es gab da zunächst eine relativ ungläubige Reaktion. In der Ministerialbürokratie war man unsicher, ob man das ernstnehmen soll oder ob es sich um eine Modeerscheinung handelt. Wenn Sie sich die einführenden Bemerkungen zu der Anhörung des Innenministers Hans-Dietrich Genscher durchlesen, werden sie diese Vorsicht sehen. Sie können die Unsicherheit des Ministeriums sehen. Das hat auch damit zutun, dass der damalige Bundeskanzler auch kein besonderer Anhänger des Bundesdatenschutzes war. In der Anhörung selbst wurde aber sofort eines sichtbar: Das hessische und rheinland-pfälzische Gesetz waren zwar unterschiedlich konstruiert, aber beide hatten einen gemeinsamen Gegenstand: den öffentlichen Bereich. Diejenigen, die sich an der öffentlichen Diskussion besonders beteiligten, zum Beispiel ich, haben von Anfang an gesagt, dass alle Daten des öffentlichen und privaten Bereiches betroffen sind. Die Sachverständigen waren zu einem großen Teil aus dem nicht-öffentlichen Bereich und skeptisch gegenüber der Einbeziehung des nicht-öffentlichen Bereiches. Man hat gesagt, dass alle Beispiele sich nur auf den öffentlichen Bereich beziehen würden, weil niemand im privaten Bereich die Mittel hätte, um solche Daten zu sammeln. Konsequenterweise würde es sich deshalb nicht lohnen, im Gesetz auf den privaten Bereich einzugehen.
Ein weiterer Punkt war die Frage der Kontrolle: Wie sie ausgeübt werden soll, von wem und unter welchen Modalitäten. Hessen hat sich für den Datenschutzbeauftragten entschieden, aber ihn erst später der parlamentarischen Kontrolle unterworfen und damit von der Regierung gelöst.
Gab es großen Gegenwind von Lobbyisten aus der Privatwirtschaft gegenüber dem Bundesdatenschutzgesetz (BDSG)?
Spiros Simitis: Das ist eine generelle präventive Reaktion, die dafür sorgen soll, dass man besser die Hände davon lässt. Die gab es auch so. Dafür muss ich etwas zurückgehen. Der Anlass war die Verarbeitungstechnologie, welche sich durch ihren stetigen Wandel auszeichnet, besonders in den 1970er Jahren. Die Datenschutzgesetze waren Reaktionen auf diese Technologie, die gekennzeichnet waren durch einen hohen Mangel an Wissen über diese Technologien selbst. Man wollte also reagieren, wusste aber nicht genau, worauf man reagiert.
Deswegen die Generalklauseln?
Spiros Simitis: Man wählte entweder, wie in Deutschland, Generalklauseln in möglichst allgemeiner Sprache, weil man hoffte, über den Weg der Interpretation nachholen zu können, was man noch nicht während der Entscheidung machen konnte oder aber, wie in Frankreich 1976, keine inhaltlichen Aussagen zu machen, aber Verfahrensvorschriften: eine Kommission, deren Aufgabe es ist einzugreifen, Regeln und Vorgaben zu machen. Das stand hinter der Grundentscheidung des hessischen Gesetzes, die darin bestand, Datenschutz zu akzeptieren. Gleichzeitig wurde aber ein Höchstmaß an Öffentlichkeit angestrebt, weil man in der öffentlichen Diskussion das Korrektiv des Gesetzgebers sah.
Als wir damals unter uns Juristen über Nichteingriffsrechte diskutiert haben, war meine Position, dass es das nicht braucht. Der Grund war ein doppelter. Erstens die Rechtsprechung: Jeder, der sich mit Rechtsprechung auskennt, weiß, wenn etwas Neues auftaucht, versucht die Rechtsprechung es mit den alten Figuren aufzufangen. In dem Maße, indem sie das tut, verkürzt sie auch die Möglichkeit, sich mit dem Neuen auseinanderzusetzen, und fügt es in einen Rahmen, der vielleicht kontraproduktiv ist.
Deshalb haben andere und ich gesagt, dass das nicht in Ordnung ist. Wir wollten erstens einen unabhängigen Datenschutzbeauftragten, zweitens einen Datenschutzbeauftragten, der jederzeit zu jedem Minister Kontakt hat und direkt mit ihm spricht, und drittens einen Datenschutzbeauftragten, der ständig die Öffentlichkeit mobilisiert und in seinem Tätigkeitsbericht die Grundlagen setzt für die weitere Entwicklung des Datenschutzes. […]
Wir haben also die Öffentlichkeit eingespannt und den Datenschutzbeauftragten immer als jemanden angesehen, der Entwicklungen beobachtet, kritisch analysiert und Vorschläge macht, wie man weiterkommt.
Im Privatbereich kann man Bußgelder verhängen, aber im öffentlichen Bereich kann man wohl, wenn überhaupt, nur tadeln. Wie haben Sie Druck ausgeübt?
Spiros Simitis: Ich bin öfters zum Fernsehen gegangen, und das hat immer geholfen. […] Ich habe der öffentlichen Diskussion immer sehr viel Wert beigemessen, gerade auch in Anlehnung an die Vereinigten Staaten, wo diese eine große Rolle spielt.
Warum hat der Datenschutz in Deutschland relativ schnell Form angenommen? In den USA und anderen Ländern sah das ja anders aus.
Spiros Simitis: In den USA war das Bewusstsein für die Technologieveränderungen sehr viel eher als bei uns da, so dass die Möglichkeiten auch schneller wahrgenommen wurden. In der Öffentlichkeit manifestierten sie sich allerdings sehr verschieden: Die ersten Reaktionen waren im Kreditbereich, weil sich der traditionell ausgebildete Konsumentenschutz gegen die Profilierung der Kunden, gegen die Benutzung ihrer Daten bei der Kreditaufnahme wehrte. Es gibt sehr gute Publikationen, welche versuchten, daraus allgemeinere Lehren zu ziehen. Das funktionierte aber nicht, weil die Reaktion der einzelnen Staaten sehr verschieden waren, und wenn überhaupt Folgen aus Berichten gezogen wurden, dies nur einzelne Bereiche wie den Gesundheitsbereich betrafen.
Inwiefern ist Datenschutz auf moderne Gesellschaften angewiesen? Was ist das Moderne an den Gesellschaften, das Datenschutz entstehen lässt? In den USA kristallisierte sich eher der privatrechtliche Konsumentenschutz heraus, während hier in Deutschland das öffentlich-rechtliche Modell genutzt wird. Unter welchen Bedingungen kann Datenschutz entstehen?
Spiros Simitis: Ich werde versuchen, etwas anders zu antworten. In der Volkszählungsentscheidung des Bundesverfassungsgerichts, ich nenne sie mal die „Bibel des Datenschutzes“, geht es in dem Absatz, der mit der Anerkennung der informationellen Selbstbestimmung beginnt, noch weiter. Das Gericht fügt noch einen Satz hinzu: Das Recht, selbst darüber zu entscheiden, wer die Daten des Einzelnen wann, wofür verwendet, ist eine elementare Funktionsbedingung einer demokratischen Gesellschaft.
Genau das ist meiner Überzeugung nach die Grundlage des Datenschutzes. […] Hier wird gesagt, dass die Struktur unser Gesellschaft auf dem Spiel steht, und diese Struktur definiert unsere Aufgabe. Das ist für mich der entscheidende Ansatzpunkt, an dem wir messen müssen, was wir brauchen, wie es aussehen muss und was wir erwarten können.
Was ist denn die Struktur der Gesellschaft?
Spiros Simitis: Es sind nicht nur Daten, die nicht erhoben werden. Alles wird heute erhoben. Es ist so, dass diese Daten, die gesammelt werden, keineswegs nur in einer riesigen Datenbank verarbeitet werden, sondern es gibt ein Netzwerk. Die Technologie ist heute so, dass ich mit den Daten machen kann, was ich will, also auch manipulieren. Ich kann eine Politik entwickeln, die von vorneherein den Einzelnen als steuerbares Objekt ansieht und in diesem Sinne vorgeht. Daran können Sie den Unterschied sehen, zu den 1970er Jahren und den 1980er Jahren, wo wir wollten, dass klar ist, welche Daten erhoben werden, und wir meistens eingreifen, wenn dann etwas mit ihnen geschieht, was wir nicht wollen. Heute ist das anders. Heute ist das eigentliche Stichwort für Datenverarbeitung Prävention. […]
Erstes Beispiel: die britische Biobank, das ist die größte, die es gibt. Sie ist gegründet worden, weil man typische Krankheiten unserer Gesellschaft bekämpfen will, also zum Beispiel Alzheimer. Es werden also Daten von Leuten über vierzig einbezogen, aber nicht, indem ich nur irgendwelche medizinischen Daten abgreife, sondern auch, wo die Leute wohnen, was sie arbeiten, etc. Es entstehen also Profile, wie es sie sonst nirgendwo gibt. Da standen natürlich gleich die Versicherungsgesellschaften und die Sicherheitsbehörden vor der Tür, wobei nur letztere Zugriff erhalten haben.
Zweites Beispiel: In Frankreich werden Kinder von klein auf beobachtet, um herauszufinden, ob sie kriminell werden und wann eingegriffen werden muss.
Drittes Beispiel: Die Bemühungen in Deutschland sind noch nicht soweit, aber in der Krebsbekämpfung geht es auch um Prävention. Es wird früh mit Untersuchungen angefangen, und wenn da was ist, muss gehandelt werden, sonst verliert man die Versicherung. Genau das ist, was ich meine.
Die meisten Daten sind heutzutage bei den privaten Firmen vorzufinden. Es wird also beispielweise zur Telekom gegangen und die Vorratsdatenspeicherung vorgeschrieben. Nicht der Staat sammelt, sondern er nimmt aus den Unternehmen die Daten heraus, die er braucht.
In ihre sechzehnjährige Amtszeit als hessischer Datenschutzbeauftrager fiel auch das Urteil des Bundesverfassungsgerichts zur informationellen Selbstbestimmung. Kann man sagen, dass sich ihre Tätigkeit durch dieses Urteil verändert hat? Machte es vieles einfacher, oder ging es weiter wie gehabt?
Spiros Simitis: Das war ein radikaler Wandel, denn bis zu dieser Entscheidung wurde der Datenschutz nicht wirklich ernstgenommen. Bis dahin hat man immer gemeint, dass der Datenschutz irgendwann aufhört. Von dem Augenblick an veränderte sich die Lage. Das kann man auch daran sehen, dass die erste Reaktion vieler Juristen darin bestand, darüber nachzudenken, was denn diese Entscheidung überhaupt für einen Anwendungsbereich hat. Das wäre vielleicht für öffentliche Stellen relevant, aber nicht für den privaten Bereich. Es wurden dann auch die Reformen hinausgezögert, nur Übergangslösungen geschaffen und ähnliches bis in die 1990er Jahre.
Es war eine Zäsur. Von dann an stand fest: Man spielt nicht mehr mit dem Datenschutz!
Es gibt auch eine Kritik an dem Urteil: Es hätte nur eine Verrechtlichung des Datenschutzes stattgefunden, aber materiell wurde für den Datenschutz nicht viel getan. Was sagen Sie zu dieser Kritik?
Spiros Simitis: Diese Kritik könnte besser sein, wenn sie präziser wäre. Es passierte doch folgendes: Denken Sie an die 1970er Jahre zurück, an unsere Feststellung, dass man in die Generalklauseln geflüchtet ist. An ihrem Ende wussten alle, dass diese Gesetze nichts bringen. Weil durch sie nur reagiert werden kann, wenn der Verwendungskontext bekannt ist. Nur wenn die spezifischen Bedingungen der Sammlung in einem ganz spezifischen Kontext bekannt sind, kann genau gesagt werden, wie vorgegangen werden muss. Deshalb waren sich alle einig, dass zusätzliche Gesetze notwendig sind. Mit jedem Gesetz, das geschaffen wurde, sind aber auch neue Umgehungsmöglichkeiten aufgetreten. Diese Gesetze sind allesamt nicht in einem kohärenten Gesetzeskonstrukt konzipiert, sondern bieten Ausweichmöglichkeiten. […] Es gibt keine Maßstäbe, die die Kohärenz sichern. In dem Maße, indem das fehlt, tritt das ein, was Sie gesagt haben: Die Verrechtlichung unterminiert den Datenschutz, aber nur weil sie sich nicht am Datenschutz entwickeln, sondern ihn immer mit einem Fragezeichen versieht.
Hat sich in den sechzehn Jahren, neben dieser Zäsur, an der praktischen Arbeit als Landesbeauftragter für den Datenschutz etwas geändert? Wurden etwa die Beanstandungen besser oder weniger?
Spiros Simitis: Es ist ein Dilemma aufgetreten. In dem Maße, in dem es Datenschutzbeauftragte gab, die ihre Aufgabe ernstnahmen und intervenierten, verbesserte sich die Lage im öffentlichen Bereich. Je deutlicher aber wurde, dass im öffentlichen Bereich auf diesem Wege etwas zu erreichen war, desto klarer wurde auch, in welchem Zustand sich der nicht-öffentliche Bereich befand. Und da es dort keine parallele Aufsichtsbehörde mit derselben Eingriffsfunktion gab, hatten wir ein immer größeres Ungleichgewicht. Das hat dazu geführt, dass sehr oft, in Hessen beispielsweise, der Datenschutzbeauftragte in seinem Tätigkeitsbericht auch zu Entwicklungen im nicht-öffentlichen Bereich Stellung nahm. Das zeigt Ihnen ein weiteres heutiges Dilemma. Es gibt diese Trennung nicht mehr. Die Anzahl der Beschwerden oder Anfragen hat zugenommen, allerdings immer in dem Maße, in dem der Datenschutzbeauftragte in der Öffentlichkeit präsent war.
Der Deutsche Herbst und die RAF fielen ja auch in Ihre Dienstzeit. Größtenteils waren das zwar Bundesangelegenheiten, aber gab es da auch Berührungspunkte zu Ihrer Arbeit?
Spiros Simitis: Welche Maßnahmen man auch immer traf, wie die Rasterfahndung, es waren Maßnahmen, die einen Datenschutzbeauftragten interessierten und ihn zur Diskussion herausforderten. Doch in dem Maße, in dem sich eine politische Situation zuspitzt und Gefahren auftauchen, in dem Maße pflegt man die Datenverarbeitung – jedenfalls im öffentlichen Bereich – anders zu sehen. Man sieht Informationsquellen, auf die man nicht verzichten kann, darum beginnt man im öffentlichen Bereich, die Zügel immer weiter zu lockern. Da spielt es eine große Rolle, wie das Parlament reagiert, und es spielt eine große Rolle, dass man den Datenschutz als Einheit sehen muss.
Lassen wir den Datenschutz mit 1970 beginnen, und sehen wir die Zeit bis heute an. Es gibt kein Jahrzehnt in der Geschichte der Rechtsprechung des Bundesverfassungsgerichts, in der so viele Entscheidungen zum Datenschutz gefällt worden sind, wie im jetzigen. Das ist kein Zufall, denn die Selbstkontrolle im öffentlichen Bereich funktioniert nicht. Es besteht eher die Überlegung, das Gericht entscheiden zu lassen.
In der Vergangenheit hatten Sie auch die Möglichkeit, Bundesbeauftragter für den Datenschutz zu werden. Warum haben Sie das abgelehnt?
Spiros Simitis: Ich hatte bis dahin schon Einiges gelernt in Hessen. Ich wusste, wie wichtig es ist, als Datenschutzbeauftragter eine bestimmte Beziehung zum Parlament zu haben und eine genaue Kenntnis der Verwaltung und eine Regierung, die tatsächlich bereit ist, sich dafür einzusetzen. Beim Bund sah das nicht so aus. Die Reaktionen des Bundeskanzlers waren nicht die, die man hätte erwarten können, also dass er im Datenschutz etwas Zentrales sah. Es gab Staatssekretäre und spätere Minister, wie beispielsweise Gerhart Baum oder auch Werner Maihofer, die sich sehr für den Datenschutz einsetzten. Mein Gefühl war aber, dass es keine Bürokratie gab, mit der man etwas hätte anfangen können. Und es gab noch einen Grund, der vielleicht etwas merkwürdig vorkommen mag: Die Zeit damals war eine Zeit, die man als kompetitiven Föderalismus bezeichnen kann. Das heißt, das Land Hessen interessierte sich nicht dafür, was der Bund oder Bayern sagte, sondern sagte, was zu machen sei. Und ich war mir nicht im Klaren, auf welches Klima ich im Parlament stoßen würde. Also sah ich mich besser in Hessen, denn es gab auch Leute, die mir nicht so freundlich gesonnen waren.
Sie haben dann angefangen, einen Kommentar zum Bundesdatenschutzgesetz zu schreiben. Das ist zu einem Standardwerk geworden. Warum haben Sie damals damit begonnen?
Spiros Simitis: Ich überlegte mir: Wie könnte man publizistisch auf die Entwicklung des Datenschutzes reagieren? Also: Welche Art der Veröffentlichung muss man wählen, damit sie gelesen wird und Einfluss auf die Praxis bekommt? Nicht nur bei den Datenschutzbeauftragten, sondern auch Einfluss auf all jene, die im Umgang mit Daten zu tun haben. Das denkbar einflussreichste Mittel unter Juristen ist heute der Gesetzeskommentar. Deswegen habe ich mich dafür entschieden und auch die Mitarbeiter danach ausgewählt, ob sie etwas mit dem Datenschutz zu tun hatten. Die einzige Vorgabe, die heute strikt ist und durchweg beachtet werden muss, ist: In der Interpretation wird immer die datenschutzfreundlichste Auslegung gewählt.
Wo sehen Sie beim Arbeitnehmerdatenschutz das Kernproblem? Es nur auf die Politik zu schieben, dass hier nichts zustande kommt, ist vielleicht ein bisschen billig?
Spiros Simitis: Ja, das klingt so. Aber ich will Sie daran erinnern, dass ich den ersten Entwurf auf Bitten des damaligen Bundesarbeitsministeriums Anfang der 1980er Jahre geschrieben habe. In den 1980ern hat das Parlament mehrmals gefragt, wo das Gesetz bleibt. Die Regierung hat mehrmals geantwortet, dass es kommt. Aber bis heute ist nichts da! Deshalb kann man solche Vorwürfe machen.
[…] Ein Anknüpfungspunkt ist die radikale Feststellung fast aller Datenschutzgesetze: Darin heißt es, die Verarbeitung personenbezogener Daten muss die Ausnahme bleiben, es sei denn der Gesetzgeber billigt sie oder der Betroffene hat eingewilligt. Aber die Einwilligung war damals schon und ist heute noch immer eine Fiktion. Außerdem gibt es im Arbeitnehmerbereich Daten, die wir als besonders sensitiv bezeichnen, etwa Gendaten. Damals habe ich schon ein Gesetz dafür verlangt.
Sie waren auch Berater der EG-Kommission im Bereich Datenschutzfragen. Es gab Mitte der 1990er Jahre auch eine Datenschutzrichtlinie, sind Sie damit glücklich im Vergleich zum Bundesdatenschutzgesetz?
Spiros Simitis: Sie müssen bedenken, dass die Kommission in den 1980er Jahren strikt gegen jede Datennutzungsregelung war. Ein Scheingrund war, dass man sich auf die Konvention des Europarats berufen hat. Doch der echte Grund war, dass bei der Generaldirektion Binnenmarkt das Ganze aus einer anderen Perspektive gesehen wurde: aus Wettbewerbssicht. Doch dann sahen sie, dass in immer mehr Ländern Gesetze dazu entstanden sind. Darin sahen sie auch einen Grund, Konsequenzen für den Markt zu befürchten.
Eine Kritik der EU bei der Umsetzung der Richtlinie war, dass in Deutschland die Datenschutzbeauftragten nicht unabhängig genug wären. Wie kann eine solche Unabhängigkeit aussehen?
Spiros Simitis: Durch funktional verstandene Unabhängigkeit. Ich frage nicht, wo der Datenschutzbeauftragte drinsitzt, sondern ich frage, wie seine Kontrolle verläuft. Wenn sie unabhängig ist, können wir das dulden. Die Kommission hat damals zugestimmt. Aber kaum war der Rat vorbei, hat die Kommission eine Klage gegen die Bundesrepublik eingereicht, in der genau das drinsteht, und es steht auch in der zweiten Klage drin. Ich bin jetzt der Meinung, das geht so nicht. Wir brauchen auch eine institutionelle Unabhängigkeit, auch für den privaten Bereich.
Sie waren auch im Bereich des Nationalen Ethikrates tätig. Wie bringt sich Datenschutz und Ethik zusammen?
Spiros Simitis: Denken Sie an mein Beispiel mit den Biobanken. Die ethische Prämisse ist die Selbständigkeit des Einzelnen, sein Schutz vor Manipulations- und Steuerungsversuchen. Die Datenschutzkonsequenz ist ein neues Geheimnis, nämlich ein Forschungsgeheimnis. Eine Öffnung für solche Versuche kann stattfinden, wenn niemand sonst da ran darf. Auch die Polizei muss vor der Türe bleiben. Also es muss ethisch und datenschutzrechtlich doppelt abgesichert sein: ethisch wegen der Steuerbarkeit und datenschutzrechtlich wegen der Unzugänglichkeit.
Jetzt, wo Sie schon sechs Kommentarauflagen zum Bundesdatenschutzgesetz geschrieben haben, was würden Sie daran ändern, wenn Sie sich ein neues Gesetz wünschen dürften? Es gab zuletzt keine großen Änderungen, doch immer wieder gibt es Forderungen, die ein ganz neues Datenschutzrecht verlangen.
Spiros Simitis: Ich würde das Bundesdatenschutzgesetz abschaffen und an seiner Stelle ein Gesetz machen, in dem die generellen Prinzipien festgehalten werden, nach denen bei der Datenverarbeitung verfahren werden muss. Dann würde ich versuchen, die bereichsspezifischen Regelungen damit zu verbinden und zu integrieren und vor dem Hintergrund der Prinzipien zu präzisieren, und das Ganze befristen.
Stichwort Datenschutz durch Technik: Sehen Sie bei sogenannten Privacy Enhancing Technologies die Chance, dass sich solche Techniken durchsetzen, also einhergehend mit dem Wunsch, dass Firmen erkennen, dass sie besonders datenschutzfreundliche Techniken auch zu Marketingzwecken nutzen können, vielleicht durch Gütesiegel…?
Spiros Simitis: Nein, ich glaube nicht, dass sich das durchsetzt. Wo ist das denn entstanden? In den Vereinigten Staaten, weil man keine Datenschutzgesetze hat, ist man in die Technologie gegangen und hat damit die Hoffnung verbunden, das zu erreichen, was man vielleicht über das Gesetz erreicht hätte. Entscheidend ist, die Technologie ist nicht selbständig. Erst müssen wir uns darüber einigen, was wir wollen und wie weit wir gehen wollen. Dann können Sie anfangen, ihre Maschinen zu entwickeln. Die Maschine als solche reicht nicht, weil sie unter Prämissen entsteht, die nicht unbedingt die Prämissen des Datenschutzes sind.
Wenn man vergleicht, was Ende der 1970er in Deutschland los war, was die Leute beim Datenschutz bewegt hat: Man hatte Angst, vom Staat ausgehorcht zu werden, mit der Volkszählung oder ähnlichem. Nun entwickelt man sich bei den Jüngeren hin zu einer Gesellschaft, die davon geprägt ist, sich über Soziale Netzwerke auszutauschen und Spuren zu hinterlassen, um gefunden zu werden, also konträr zu dem, was Ende der 1970er Jahre da war. Das Datenschutzgesetz hat sich in dieser Zeit allerdings nicht groß geändert. Müsste man hier massiv etwas ändern, oder passt es noch? […] Bricht hier ein Generationskonflikt auf, der sich auch im Datenschutzrecht darstellt?
Spiros Simitis: Ich bin vorsichtig, da etwas zu ändern, weil ich immer noch nicht weiß, wie. Aber dass da etwas geändert werden muss, finde ich richtig. Sicher wird Öffentlichkeit verschieden wahrgenommen in diesem Fall. Was ich bedauere, aber für absolut notwendig halte, ist eine öffentliche Debatte in den Parlamenten über diese Entwicklung, über das Internet. Nicht um gleich zu sagen: Das verbiete ich, sondern erst einmal, um sich gegenseitig zu verstehen und das Phänomen zu analysieren. Diese Debatte ist für den Datenschutz essentiell, aber sie hat nicht stattgefunden und sie findet auch nicht statt. Wenn ich mich heute an ein neues Bundesdatenschutzgesetz machen würde, muss diese Reflektion auch darin eingebunden werden. Ich kann auf das Internet nicht mit meinen merkwürdigen Paragraphen reagieren, die ich im BDSG habe.
Wurden Sie von solchen Gesetzten wie der Vorratsdatenspeicherung überrascht?
Spiros Simitis: Nein, man kann ziemlich genau seit den 1980er oder 1990er Jahren verfolgen, dass es immer wieder solche Tendenzen gibt, und weil auch der Druck zu Prävention sehr groß ist. Wenn das mein Vorzeichen ist, dann gehe ich genau diesen Weg. Der Zweck wird allgemein formuliert und so, dass man möglichst viele und möglichst verschiedene Daten zusammenstellt, um sie vielleicht benutzen zu können, und ich greife steuernd in das Verhalten des Einzelnen ein. Was wir heute immer wieder sehen, ist, dass mit der Zweckbindung sehr merkwürdig umgegangen wird – um es freundlich zu formulieren –, solange man nicht alle Daten bekommt, die man gerne haben möchte.
Das Gespräch führte Martin Rost, der uns die freundliche Genehmigung zur Republikation erteilt hat. Es gibt eine mp3-Audio- sowie eine Video-Aufnahme des Gesprächs, das 2009 entstanden ist.
Transkription von Niko, Simon und Constanze.
Wow tolles Interview, danke! Um ehrlich zu sein kannte ich den Mann bis eben nicht :) Mir gefällt sehr gut wie er differenziert und seine Sichtweise klar macht.
Ui, kybernetische Maschinen. Wie in:
Robert Feustel: „Ein Anzug aus Strom“. LSD, Kybernetik und die psychedelische Revolution. Springer VS, Wiesbaden 2015.
http://d-nb.info/1071328867
Sehr interessanter Artikel! Ich freue mich auf Netzpolitik immer sehr fundierte Beiträge lesen zu können. Speziell zum Thema Datenschutz sind viele Halbweisheiten im Netz, hier kann man sich der Korrektheit der Informationen noch sicher sein!
Danke für den thematischen Geschichtsunterricht.
Es beruhigt mich ein wenig, dass es doch noch Menschen hinter den Kulissen gibt, die versuchen „das Richtige“ zu tun und auch einen gewissen Einfluss haben das dann anzubringen.
Schade finde ich, dass „die Öffentlichkeit“ davon eigentlich nichts mitbekommt.
Wenn schon die Parteien nicht willens sind die dringend nötige Diskussion und die miteinhergehende Information zu beginnen ist es zwingend nötig andere Wege zu beschreiten um diesen Mangel zu beseitigen.
Ein Schelm wer dabei denkt, dass die Politik eine Diskussion verhindert um die nötigen Informationen nicht der Öffentlichkeit preis zu geben.
Das Interview fand 2009 statt, liest man am Ende, wenn man es nicht übersieht – und wundert sich über die unveränderte Tagesaktualität. Ein Indiz dafür, dass die letzten 6 Jahre für den Datenschutz keine guten Jahre waren. Schlimmer noch, denn der Datenschutz wurde und wird weiter geschleift. Zu groß ist der Hype darüber, was man doch Feines mit all diesen Unmengen von Daten heute „anfangen“ könne. Datenschützer werden gerne als die „von Gestern“ diffamiert. Dagegen sollten wir uns mit aller Kraft stemmen.
Wir sollten Transparenz in der öffentlichen Verwaltung fordern, aber strengeren Datenschutz für den Privatbereich. Das muss kein Widerspruch sein. Der Staat darf seine Bürger nicht drangsalieren. Und genau dies tut er, wenn er sämtliche Bürger unter Generalverdacht stellt und sämtliche Kommunikationsdaten erfassen läßt.
Interessant finde ich, dass die alten Kämpfer aus Zeiten der ersten Volkszählung bis heute für den Erhalt von Datenschutz streiten müssen, während die Jüngeren oft und flexibel ein anything goes fordern und im Datenschutz ein Hemmnis für „neue Möglichkeiten“ sehen. Leider muss man in der Politik das einmal Erreichte ständig gegen neue Angriffe verteidigen, im Bereich der Bürgerrechte ist das besonders auffallend.
Ist das Thema Datenschutz nicht 6 Jahre nach dem Interview überholt?
Mir geht es allerdings ähnlich wie Herrn Simitris: Die konstruktiven Vorschläge zur Umsetzung des Datenschutzes in einer durchs Internet gewandelten Welt sind mir ausgegangen. Die Praxis, keine persönlichen Daten ins Netz zu stellen, funktioniert auch bei mir nicht mehr. Datenschutz funktioniert aus meiner Sicht auch nicht.
Beispiel aus dem Jahr 2014:
Ich hatte im Juni oder Juli 2014 diverse Krankenversicherungen angefragt, weil es mit der alten, nicht zuletzt in der Einführungsphase der eGK zu Briefpostproblemen gekommen war. Bei den Schreiben von Krankenkassen wird ja heute meist nicht die Verwaltungsnummer, sondern die lebenslang einheitliche Versicherungnummer verwendet.
(Damals wusste ich noch nicht, dass die Arbeitsagenturen Briefpost überwachen und vielleicht sogar manipulieren dürfen. Die Arbeitsagentur hatte ich in der Sache erst vor einigen Wochen nochmals brieflich angefragt, und mich etwas gewundert, dass im Antwortschreiben die Angabe der PLZ im Brief fehlte. Aber man soll ja nicht misstrauisch sein.)
Von mindestens einer KV bekam damals ich zur Antwort, man könne mich nicht versichern, da ich keine e-Mail-Adresse angegeben hatte.
Vom Bundesamt für Sicherheit in der Informationstechnik, das ich einmal wegen meines damaligen Internet- und Mobilfunkanbieters befragte, der in irgendeiner Veröffentlichung über die ein Datenleck im August 2014 explizit genannt worden war, bekam ich einen Brief mit folgendem hübschen Satz,
dem man zumindest den Wahrheitsgehalt nicht absprechen kann:
Als e-Mail-Adressinhaberin könne ich grundsätzlich vom „Datenklau“ – die drückten sich wirklich so aus – betroffen sein.
Selbst wenn das alles „Spaß“ gewesen sein sollte, und ein Teil der Studentenschaft (die sich heute ja online einschreiben muss, wenigstens in den technisch geprägten Unis) vielleicht über eure Artikel und meine Kommentare den Kopf schüttelt, zeigt es doch den Mentalitätswandel.
Übrigens hatte ich einmal in einem Krankenhaus beim Besuch einer (mittlerweile verstorbenen) Person den Eindruck, der Wunsch, der auf der Demo in Dresden geäußert wurde, mit den heutigen technischen und personellen Mitteln schon ein wenig ausgetestet wird.