Übergabe des 20. Tätigkeitsberichts des Bundesbeauftragten für den Datenschutz (2003/2004) an den Präsidenten des Deutschen Bundestages

Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat heute dem Präsidenten des Deutschen Bundestages, Wolfgang Thierse, seinen 20. Tätigkeitsbericht für den Zeitraum 2003/2004 überreicht. In der anschließenden Pressekonferenz erklärte er:

(Es gilt das gesprochene Wort!)

“Der Schutz personenbezogener Daten hat sich inzwischen sowohl in Deutschland als auch international etabliert. Mehr als zwanzig Jahre nach dem Volkszählungsurteil des Bundesverfassungsgerichts ist das Recht auf informationelle Selbstbestimmung als Grundrecht anerkannt und wird grundsätzlich respektiert.

Der Tätigkeitsbericht für die Jahre 2003 und 2004 zeigt aber auch, dass der Schutz dieses Grundrechts angesichts des rasanten technologischen Fortschritts und anderer Entwicklungen - etwa bei der Sicherheitslage - ständig vor neuen Herausforderungen steht.

Erweiterte Befugnisse der Sicherheitsbehörden neu bewerten

Die zusätzlichen Befugnisse, die den Sicherheitsbehörden nach den terroristischen Anschlägen am 11. September 2001 eingeräumt worden sind, müssen überprüft werden, wie dies bereits im Gesetzgebungsverfahren vorgesehen wurde. Ich begrüße es, wenn die bei der Evaluation verwendeten Kriterien und die Ergebnisse der Öffentlichkeit zugänglich gemacht werden, damit die politische Debatte auf Basis einer gesicherten Faktenlage geführt werden kann. Dies ist deshalb besonders wichtig, weil über die Fortsetzung von Grundrechtseingriffen zu entscheiden ist, bei denen der verfassungsrechtliche Verhältnismäßigkeitsgrundsatz gewahrt bleiben muss (vgl. Nr. 5.5.4). Ich erwarte, dass Eingriffsbefugnisse, die nicht gebraucht werden oder die sich nicht bewährt haben, zurückgenommen werden. Nicht angemessen wäre es, wenn im Prinzip jedes Ergebnis als Argument für die Beibehaltung oder gar Ausweitung der Grundrechtseingriffe verwendet würde. So überzeugt es nicht, wenn eine geringe oder völlig fehlende Nutzung der neuen Befugnisse als Beweis für einen verantwortungsvollen Umgang gewertet und daraus Forderungen nach zusätzlichen Befugnissen abgeleitet würden, wenn zugleich - wie bei der Telekommunikationsüberwachung - eine starke Nutzung als Beleg dafür angeführt wird, dass neue Eingriffsbefugnisse erforderlich seien.

Unantastbaren Kernbereich privater Lebensführung beachten

Die Bedeutung des Grundrechts auf informationelle Selbstbestimmung hat das Bundesverfassungsgericht im Berichtszeitraum in verschiedenen Entscheidungen eindrucksvoll unterstrichen. So betont das Verfassungsgericht in seiner Entscheidung zur akustischen Wohnraumüberwachung (“Großer Lauschangriff”) vom 3. März 2004, dass ein unantastbarer Kernbereich privater Lebensgestaltung vor jeglicher Überwachung geschützt bleiben muss. Diese Entscheidung hat Konsequenzen weit über die akustische Wohnraumüberwachung hinaus, etwa auch für die Telefonüberwachung. Denn das Gericht hat am gleichen Tag in einer weiteren Entscheidung festgestellt, dass die aufgestellten Grundsätze auch bei der Befugnis zur präventiven Telekommunikationsüberwachung durch das Zollkriminalamt zu beachten sind (vgl. Nr. 7.1). Ich erwarte daher auch, dass die Bundesregierung noch in dieser Legislaturperiode einen Gesetzentwurf zur Begrenzung und Neuregelung der Telekommunikationsüberwachung vorlegt.

Keine Vorratsspeicherung von Verkehrsdaten

Besonders kritisch sehe ich die auf europäischer Ebene diskutierte Initiative zur Einführung einer Vorratsspeicherung von Telekommunikationsdaten für 12 bis 36 Monate. Ich erinnere daran, dass der Deutsche Bundestag sich mehrfach mit großer Mehrheit dagegen ausgesprochen hat, zuletzt einstimmig in seinem Beschluss vom 17. Februar 2005 zu meinem 19. Tätigkeitsbericht (vgl. Nr. 13.1.1). Als Alternative zur generellen und massenweisen Datenspeicherung auf Vorrat könnte die Strafverfolgungspraxis in den USA dienen, bei der auf Ersuchen der Strafverfolgungsbehörden zwar in begründeten Einzelfällen die elektronischen Daten von den Diensteanbietern weiter zu speichern sind, aber nur herausgegeben werden müssen, wenn innerhalb von neunzig Tagen ein entsprechender richterlicher Beschluss vorgelegt wird. Ich halte diesen Ansatz für wesentlich datenschutzfreundlicher.

Moratorium für die Einführung biometrischer Merkmale in Pässen

Biometrische Systeme und Verfahren stehen in mehreren Bereichen vor der Anwendung, um die Identifikation von Personen zu erleichtern. Sie ermöglichen es jedoch auch, den Einzelnen heimlich zu überwachen. Noch in diesem Jahr sollen die ersten Pässe mit biometrischen Merkmalen ausgegeben werden. Die Biometrie hält aber häufig nicht, was man sich von ihr verspricht (vgl. Nr. 4.2.2). Wissenschaftliche Untersuchungen und Anwendungstests zeigen, dass sie oft nicht so zuverlässig funktioniert, wie es für ihren flächendeckenden Einsatz erforderlich wäre. Die Reaktion auf diese Mängel kann nicht sein, die Anzahl der jeweils genutzten biometrischen Merkmale zu erhöhen. Das macht ein Verfahren nicht zuverlässiger, sondern multipliziert die Fehlerrate. Ich halte eine offene und breit geführte Diskussion über die Anwendung biometrischer Verfahren für unverzichtbar. Für die Einführung biometrischer Merkmale in Reisepässen erscheint mir ein Moratorium angebracht; zumal die entsprechenden Vorgaben der EU-Verordnung erst Mitte 2006 und nicht etwa in diesem Jahr umgesetzt werden müssen.

Sorgfalt vor Schnelligkeit bei der Einführung neuer elektronischer Verfahren

Mit der Gesundheitskarte (Nr. 21.1) und der JobCard (vgl. Nr. 4.1.1.1 und 15.2) stehen zwei sehr anspruchsvolle elektronische Verfahren vor der Einführung, die auch für den Datenschutz eine große Herausforderung darstellen. Ich bin sicher, dass sich die damit verbundenen Probleme lösen lassen. Aber auch hier muss Sorgfalt vor Schnelligkeit gehen, nicht zuletzt damit diese Karten auf die zwingend erforderliche Akzeptanz bei den Betroffenen stoßen. Im Mittelpunkt stehen dabei das Selbstbestimmungsrecht der Patientinnen und Patienten und die Vertraulichkeit der medizinischen Daten.

Datenschutz bereits bei der Entwicklung neuer Technik berücksichtigen

Leider hat die Entwicklung technologischer Instrumente, mit denen sich der Einzelne gegen die Erfassung seiner Daten schützen kann, nicht mit der allgemeinen technologischen Entwicklung Schritt gehalten. Umso wichtiger ist es, bei neuen Systemen den Datenschutz bereits in der Entwicklungs- und Konzeptionsphase zu berücksichtigen, wie dies das Bundesdatenschutzgesetz (BDSG) bereits seit 2001 vorsieht. Offenbar hat diese Erkenntnis allerdings noch nicht alle Beteiligten erreicht. So musste ich feststellen, dass selbst bei einem Großprojekt wie der Umstellung der Arbeitslosen- und Sozialhilfe auf das Arbeitslosengeld II elementare Datenschutzanforderungen bei der Systemgestaltung nicht beachtet wurden (vgl. Nr. 16.1).

Persönlichkeitsrecht beim Fortschritt der DNA-Analyse bewahren

Von grundlegender Bedeutung sind auch die neuen Erkenntnisse bei der Erforschung des menschlichen Genoms und die daraus erwachsenen Anwendungsmöglichkeiten. Aus der DNA lassen sich sowohl die Identität und die Abstammung feststellen als auch Hinweise auf persönliche Eigenschaften und über die Veranlagung zu Krankheiten gewinnen. Die Kontroversen um die Nutzung der DNA als “Fingerabdruck des 21. Jahrhunderts” und über die Zulässigkeit heimlicher Vaterschaftstests sind dabei nur ein erster Ausdruck für die Umwälzungen, die sich aus den neuen Erkenntnissen ergeben. Die hiermit verbundenen Fragen gehen weit über das kodifizierte Datenschutzrecht hinaus. Die kommenden Jahre werden entscheidende Weichenstellungen bringen, ob angesichts dieser qualitativ neuen Möglichkeiten das Persönlichkeitsrecht bewahrt werden kann. Vor diesem Hintergrund halte ich den sog. “Richtervorbehalt” bei der DNA-Identitätsfeststellung zwar bei anonymen Tatortspuren für verzichtbar. Seine weitere Einschränkung, etwa bei Vorliegen zweifelhafter, weil nicht wirklich freiwilliger Einwilligungen, geht jedoch zu weit (vgl. Nr. 7.3).

Kontenabfrage - wie staatliche Stellen auf Daten privater Unternehmen zugreifen

Ein weiteres Thema, das im Berichtszeitraum zu heftigen Kontroversen geführt und inzwischen auch das Bundesverfassungsgericht beschäftigt hat, ist die staatliche Kontenabfrage (vgl. Nr. 8.3). Auch wenn das Bundesministerium der Finanzen in einem Anwendungserlass inzwischen den datenschutzrechtlichen Bedenken zum Teil Rechnung getragen hat und jetzt eine Information der Betroffenen vorsieht, sind noch nicht alle meine Einwände ausgeräumt. Die Entscheidung des Bundesverfassungsgerichts über die beantragte einstweilige Anordnung gegen die Kontodatenabfrage beinhaltet noch keine Bewertung der Vereinbarkeit des Gesetzes mit der Verfassung. Ich rege deshalb an, dass die bereits in dem Anwendungserlass geregelten Vorgaben in das Gesetz übernommen werden. Gesetzlich muss zumindest klar gestellt werden, welche Behörden zu welchen Zwecken die Kontodaten abrufen dürfen.

Gerade dieses Beispiel macht im Übrigen deutlich, wie staatliche Stellen zunehmend Zugriff auf Datenbestände der privaten Wirtschaft nehmen, die zu ganz anderen Zwecken angelegt worden sind. Für bedenklich halte ich es in diesem Zusammenhang auch, dass die Nutzungshäufigkeit von Befugnissen, die das Telekommunikationsgesetz Strafverfolgungs- und Sicherheitsbehörden einräumt, drastisch angestiegen ist. Im Jahr 2004 wurden in fast drei Millionen Fällen Stammdaten von Telekommunikationskunden in einem automatisierten Verfahren bei der Regulierungsbehörde für Telekommunikation und Post nachgefragt (2001: 1,5 Mio.). Diese hat daraufhin insgesamt rund 10 Millionen Abfragen bei Telekommunikationsunternehmen gestellt (2001: 3,2 Mio.). Diese ausufernde Abfrage der Stammdaten von Telekommunikationskunden sollte gesetzlich begrenzt werden.

Stillstand bei der Modernisierung des Datenschutzrechts überwinden

Bei der Datenschutzgesetzgebung wurden während der Berichtsperiode leider kaum sichtbare Fortschritte erzielt. Das für den Vollzug des BDSG 2001 erforderliche Datenschutzauditgesetz, das vom Bundestag seit langem geforderte Arbeitnehmerdatenschutzgesetz und das dringend notwendige Gendiagnostikgesetz lassen weiter auf sich warten. Bei der angekündigten grundlegenden Modernisierung des Datenschutzrechts herrscht Stillstand. Lediglich in einigen gesetzlichen Spezialregelungen konnten erfreuliche Ergebnisse erreicht werden, etwa bei der Gesundheitskarte. Vor diesem Hintergrund begrüße ich Ankündigungen aus dem Deutschen Bundestag, in wichtigen Datenschutzfragen parlamentarisch initiativ zu werden, wie dies bereits bei dem mit dem Datenschutz eng verwandten Informationsfreiheitsgesetz deutlich wurde (vgl. Nr. 2.7).

Datenschutz bei europäischer Zusammenarbeit gewährleisten

Die grenzüberschreitende Datenverarbeitung und vor allem die Datenübermittlungen zwischen den nunmehr 25 Mitgliedstaaten der EU nehmen deutlich zu. Zwar ist die Europäische Datenschutzrichtlinie inzwischen durchgehend in nationales Recht umgesetzt; sie bezieht sich jedoch nicht auf die Verarbeitung personenbezogener Daten im Sicherheitsbereich. Wenn Polizei- und Strafverfolgungsbehörden intensiver zusammenarbeiten und dabei auch personenbezogene Daten ohne Rücksicht auf nationale Grenzen austauschen sollen, wie dies im Haager Programm beschlossen wurde, muss der Datenschutz auch auf diesem Gebiet europäisiert werden. Ausgangspunkt müssen dabei die Datenschutz-Grundrechte der Europäischen Grundrechtecharta sein, die unverändert in den Entwurf für eine Europäische Verfassung übernommen wurden (vgl. Nr. 3.3).”

nach oben