Nun behaupte niemand, das berühre uns nicht, wir hätten nichts Böses getan und daher nichts zu verbergen. Jede und jeder von uns hat etwas zu verbergen, was mit all den bei Staat und Wirtschaft gespeicherten Datenschatten zerstört wird: Es geht um unsere Privatsphäre. Das Bundesverfas
sungsgericht hat dies – in Reaktion auf den Widerstand gegen die geplante Volkszählung 1983 – schon früh auf den Punkt gebracht: Wer damit rechnet, dass die Wahrnehmung unserer Freiheiten von anonymen Stellen registriert wird und dass ihm dadurch Risiken entstehen können, wird möglicherweise auf eine Ausübung seiner entsprechenden Grundrechte verzichten.
Dies würde nicht nur die Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Grundbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlich-demokratischen Gemeinwesens ist.
Streifen möchte ich noch den im Bericht angerissenen Bereich des Arbeitnehmerdatenschutzes, der meiner Ansicht nach nur einen Teil der technischen Umbruchphase in den Betrieben abbildet. Der Einsatz von Informationstechnologie wird immer billiger, einfacher anwendbar, komplexer, intelligenter und vernetzter. Dies umfasst Videoüberwachung, kontaktlose Chip-Betriebsausweise, Biometrie, Radio-Frequency-Identification, kurz RFID genannt. Ging es zunächst nur um die Optimierung der Betriebsabläufe – neudeutsch Workflow genannt –, so ist der Mitarbeiter heute in die potenziellen Überwachungsprozeduren integriert, was seine Grundrechte mindestens tangiert, wenn nicht direkt verletzt. Es gibt eine Kontrollmöglichkeit seiner Bewegungsprofile, seines Telefonierverhaltens, seiner Arbeit an intelligenten Kassensystemen bis hin zur Protokollierung seiner Arbeitsgeschwindigkeit, der Stornohäufigkeit, seiner Zugriffe auf das firmeninterne Intranet, seines eigenen Kommunikationsverhaltens am Firmen-PC bis hin – über PDA (Personal Digital Assistant) – zur möglichen Kontrolle der gesamten Außendiensttätigkeit.
Die Überlappung von Privatem und Geschäftlichem in modernen Betrieben setzt die sparsame Nutzung der Möglichkeiten für den privaten Bedarf des Arbeitnehmers, aber auch die absolut zurückhaltende Kontrolle durch den Arbeitgeber voraus. Verbindliche Betriebsvereinbarungen, Interessenausgleich der Grenzlinien und verbindliche Absprachen über Datenselbstschutz weisen hier den Weg.
Das Datenschutzrecht antwortete auf diese Herausforderung bisher mit Ordnungsrecht. Mit Verboten, Geboten und staatlichen Kontrollen sollten die schlimmsten Auswüchse privater Datenmacht verhindert werden. Dabei blieben die betroffenen Bürger, wie schon erwähnt, Objekt; als Subjekte handelten die Wirtschaft und die Verwaltung. Der Arbeitnehmer, der Mieter, der Patient oder der Konsument haben zwar subjektive Rechte, zum Beispiel auf Auskunft, Datenkorrektur (Berichtigung, Sperrung und Löschung) und auf Schadenersatz. Um diese Rechte aber durchzusetzen, benötigt der Bürger in jedem Fall staatliche Hilfe, und die staatliche Stelle sollte entsprechend ausgestattet sein und über die optimale Strategie verfügen. Ich bezweifle, ob die Anzahl der Mitarbeiter im Innenministerium den Anforderungen an einen modernen Datenschutz genügt. Ich glaube aber auch, dass wir einsteigen müssen in die Diskussion, ob der Datenschutz in Baden-Württemberg strategisch richtig aufgestellt ist.
Kontrolle und Prävention oder – im Sinne der Postulierung des Kommunikationsgrundrechts – besser Kontrolle und
Antizipation der Datenschützer müssen ergänzt werden durch Instrumente des Selbstdatenschutzes, also durch Selbstdatenschutz-Werkzeuge, so genannte Privacy Enhancing Technologies (PET), eine regulierte Selbstregulierung, Zielvereinbarungen mit datenverarbeitenden Branchen und branchenspezifische Lösungen, die Zertifizierungen und Datenschutz-Gütesiegel enthalten.
Datenschutz muss sich zum lukrativen Geschäftsfeld im Aufbau und in der Pflege der Kundenbeziehung entwickeln. Kunden wollen Datenschutz und die Sicherheit, dass mit ihren Daten sensibel umgegangen wird: Datenschutz als Wettbewerbsvorteil oder neudeutsch „privacy sells“. Zu diesem Paradigmenwechsel gehört auch die Erkenntnis, dass Investitionen der Betriebe in Datenschutz das Vertrauen von Kunden aufbauen und ihre Ängste, wegen der sie Angebote wie – einfach gegriffen – Onlinebanking oder E-Mail-Dienste wegen mangelndem Datenschutz und mangelnder Datensicherheit nicht annehmen, abbauen.
Datenschutz ist Verbraucherschutz, und in die Überlegungen ist mit einzubeziehen, Verbraucherschutzorganisationen verstärkt in den nichtöffentlichen Bereich des Datenschutzes zu integrieren. Das würde allerdings voraussetzen, das Ausbluten der Zuschüsse von Landesseite dringend zu korrigieren.
Im Ringen um einen zeitgemäßen, den Herausforderungen erfolgreich begegnenden Datenschutz muss das meiner Ansicht nach stumpfe Schwert der Verhängung von Bußgeldern überprüft werden, da der Schaden des Einzelnen und die Profite aus der Datenverwendung sich nicht in der Höhe der Bußgelder abbilden.
Und zuletzt – auch wenn ich nicht Cato der Ältere im römischen Senat bin – sind wir der Ansicht, dass man den Datenschutz im öffentlichen und den im nichtöffentlichen Bereich zusammenlegen sollte, um hier einen modernen Datenschutz aus einer Hand von staatlicher Seite bereitzustellen.
Frau Präsidentin, meine Damen und Herren! Das Innenministerium hat als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich seinen dritten Tätigkeitsbericht vorgelegt. Das umfangreiche Werk bietet nicht nur Informationen für dieses hohe Haus, sondern ist gleichzeitig ein hervorragendes Nachschlagewerk für interessierte Bürgerinnen und Bürger sowie betriebliche Datenschutzbeauftragte.
Wir danken den Mitarbeitern des Innenministeriums für diese fundierte, ausführliche und fachlich sehr gut begründete Arbeit.
Meine Damen und Herren, Datenschutz muss ständig in Bewegung sein. Die rasante Entwicklung zum Beispiel des Internets stellt dabei eine permanente Herausforderung dar. Gestatten Sie mir hierzu eine persönliche Anmerkung: Wer von uns morgens sein Outlook öffnet, bekommt klar vor Augen, dass wir in diesem Bereich zwar die richtigen Gesetze haben – die, wie auf Seite 24 der Drucksache 13/4469 dargestellt, die unaufgeforderte Versendung von Werbe
Mails eindeutig verbieten –, dass es aber offensichtlich an Möglichkeiten fehlt, diese durchzusetzen.
Fast täglich werden neue Nutzungsmöglichkeiten elektronischer Dienste erfunden und auf den Markt gebracht. Das World Wide Web schafft nicht nur ungeahnte Möglichkeiten, sondern auch Gefahren für die Persönlichkeitsrechte. Leider sind den Einzelnen diese Gefahren nicht immer so präsent – der Tätigkeitsbericht kann hier Abhilfe schaffen.
Die Bürgerinnen und Bürger wissen das Angebot der Aufsichtsbehörde für den Datenschutz zu schätzen und nehmen ihre Dienste verstärkt in Anspruch: Die Zahl der Eingaben hat gegenüber dem letzten Berichtszeitraum um 37 % zugenommen.
Nach Lektüre des Berichts kann man den wesentlichen Unterschied zum Tätigkeitsbericht des Landesbeauftragten für den Datenschutz herausstellen: Der „öffentlich-rechtliche“ Datenschutz soll die Bürgerinnen und Bürger vor staatlichem Übereifer schützen, Datenschutz im nichtöffentlichen Bereich ist Verbraucherschutz.
Eines gilt es jedoch für die Zukunft zu bedenken: Das Land hat in den letzten Jahren in vielen Bereichen Doppelstrukturen und -zuständigkeiten abgebaut, jedoch leider nicht im Datenschutz. Deutlich wird dies zum Beispiel bei der Neuordnung des Krebsregisters: Der Landesbeauftragte für den Datenschutz berät das Sozialministerium, die Aufsichtsbehörde beim Innenministerium berät das Sozialministerium. Der Landesbeauftragte für den Datenschutz ist für öffentliche Krankenhäuser zuständig, die Aufsichtsbehörde beim Innenministerium für Krankenhäuser in privater Rechtsform. Das mag verstehen, wer will. Es ist eine überflüssige Doppelbefassung, die unnötig Personal bindet.
Hinzu kommt, dass die EU-Kommission nun gegen Deutschland ein Vertragsverletzungsverfahren wegen Missachtung der EU-Datenschutzrichtlinie von 1995 eingeleitet hat. Sie beanstandet, dass die Aufsicht über die Gewährleistung der Privatsphäre hierzulande teilweise in staatlicher Hand ruht. Die „derzeitige Organisation der für die Überwachung der Datenverarbeitung im nichtöffentlichen Bereich zuständigen Kontrollstellen“ sei „nicht mit Gemeinschaftsrecht vereinbar“, heißt es in einem dem Internetmagazin „heise online“ vorliegenden Schreiben der Generaldirektion für Justiz, Freiheit und Sicherheit. Die in den Bundesländern „mit verschiedenen Formen von Fach-, Rechtsund Dienstaufsicht“ gehandhabte Wacht über die Privatsphäre der Bürger erfülle nämlich nicht die Forderung der EU-Datenschutzrichtlinie von 1995 nach „völliger Unabhängigkeit“ der Aufsichtsstellen. Die Bundesregierung ist nun aufgefordert, Stellung zu nehmen. Gegebenenfalls drohen Bußgelder nach einer Verurteilung durch den Europäischen Gerichtshof.
Eine Regierungszuständigkeit für einen Teil der Datenschutzkontrolle, wie wir sie haben – und wie sie leider auch von Niedersachsen wieder eingeführt wurde –, ist ein Modell ohne Zukunft, weil eine Dienststelle eines Ministeriums nicht als von politischer Einflussnahme unabhängige Stelle gilt.
Eine Zusammenführung der Datenschutzkontrolle im nichtöffentlichen und im öffentlichen Bereich beim Landesbe
auftragten – also einer Institution, die von politischer Einflussnahme unabhängig ist und sich im öffentlichen Bereich ja auch seit Jahrzehnten bewährt hat – würde außerdem Synergieeffekte bringen, die sich sogar auf der Kostenseite auswirken. Dies wäre ein enormer datenschutzpolitischer Fortschritt, der gleichzeitig den Anforderungen der EU-Datenschutzrichtlinie voll entspricht. Eine solche Regelung hat sich in anderen Bundesländern bewährt, sie muss auch Ziel in Baden-Württemberg sein.
Erstens: „Eine datenschutzrechtlich befriedigende Lösung des Problems steht noch aus.“ Diese exemplarisch zitierte Aussage auf Seite 26 der Drucksache 13/4469 zeigt, dass im Bereich des Datenschutzes weiterhin erheblicher Handlungsbedarf besteht, und zwar sowohl bei den Regelungen als auch – vor allem – bei der Information derer, die sich an die Regelungen zu halten haben.
Zweitens: Gerade auch in Sachen Datenschutz sollte der Staat Vorbildcharakter haben. Was sich im Moment in Sachen Telefondienste und Bankkonten tut, ist hierbei sicherlich nicht förderlich.
Drittens: Die im Bericht vorgeschlagene Erhöhung der Freistellungsgrenze für Betriebe in Bezug auf die Verpflichtung, einen Datenschutzbeauftragten zu bestellen, wird von der FDP/DVP unterstützt.
Frau Präsidentin, meine Damen und Herren! Das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung ist für die Fraktion GRÜNE ein zentrales Grundrecht, dem gerade angesichts der schnellen Entwicklung der Informationstechnologie und neuer Möglichkeiten der Datengewinnung und -verarbeitung unsere besondere Aufmerksamkeit gelten muss.
Auf die Wahrung dieses Rechts muss inzwischen vermehrt im nichtöffentlichen Bereich geachtet werden. Im privaten Bereich gibt es sehr weit reichende Möglichkeiten, Daten ausfindig zu machen und darüber Informationen über Menschen (Kunden) zu sammeln. Ich will nur die Datengewinnung aus Kreditkarten- und Mobilfunkverträgen oder das Potenzial der RFID-Chips nennen. Hier werden personenbezogene Daten inzwischen vermarktet und verkauft und sind aus kommerziellen Gründen von hohem Interesse.
Datenschutzrechtlich beachtenswerte Möglichkeiten bietet zum Beispiel das im Tätigkeitsbericht erwähnte ScoringVerfahren, das gerade von Auskunfteien verstärkt angewandt wird. Aber auch Praktiken wie die Solvenzprüfung potenzieller Mieter durch Auskunfteien im Auftrag von Vermietern können datenschutzrechtlich relevant sein.
Das bedeutet: Mehr Transparenz und eine verbesserte Kontrolle sind gerade auch im privaten Bereich erforderlich. So hat die Sensibilisierung in der Bevölkerung gegenüber datenschutzrechtlichen Verstößen im nichtöffentlichen Bereich ja auch deutlich zugenommen, wie der Anstieg der Zahl der Beschwerden gegenüber dem Berichtszeitraum 2001/02 um 37 % auf mehr als 900 zeigt.
Für uns ist das Anlass, nicht so sehr im Einzelnen auf die im Tätigkeitsbericht geschilderten Datenschutzverstöße einzugehen, als vielmehr unsere alte Forderung nach einer Zu
sammenlegung von Datenschutz im öffentlichen und Datenschutz im nichtöffentlichen Bereich zu erneuern. Wir brauchen für diesen hochsensiblen Bereich im Ganzen eine Kontrollinstanz, und die Kontrolle muss staatlich sein und darf nicht nur im Beschwerdefall eingreifen. Nicht nur die genannten Gründe, sondern auch die zunehmende Privatisierung von öffentlichen Aufgaben und immer stärker verschwimmende Grenzen zwischen Verwaltung und Privatwirtschaft gebieten dies.
Daher will ich diese Debatte zum Dritten Tätigkeitsbericht des Innenministeriums zum Datenschutz im nichtöffentlichen Bereich dazu nutzen, die Landesregierung erneut aufzufordern, endlich auch für das Land Baden-Württemberg die Zusammenführung von Datenschutz im öffentlichen und Datenschutz im nichtöffentlichen Bereich bei einer institutionell unabhängigen Behörde, nämlich beim Landesbeauftragten für den Datenschutz, durchzusetzen.
Frau Präsidentin, meine Damen und Herren! Der Ihnen jetzt vorliegende Dritte Tätigkeitsbericht des Innenministeriums zum Datenschutz im nichtöffentlichen Bereich schlägt eher leise Töne an. Er zeigt den Alltag einer Datenschutzaufsichtsbehörde, die ihre Aufgabe nicht in erster Linie darin sieht, Datenschutzpolitik zu machen, sondern darin, den Datenschutz durch zupackendes Handeln zu verbessern. Wir gehen den – in ihrer Zahl übrigens ständig steigenden – Beschwerden von Bürgerinnen und Bürgern erforderlichenfalls mit großer Beharrlichkeit nach. Wir führen verstärkt auch unangemeldete Kontrollen vor Ort durch. Die Beratung von Bürgern, Unternehmen und deren betrieblichen Datenschutzbeauftragten liegt uns besonders am Herzen.
Der Bericht spricht viele Bereiche und Berufsgruppen an: Auskunfteien, den Adresshandel und die Werbebranche, Lotterien, den Einzel-, den Groß- und den Versandhandel, Banken und Sparkassen, den Versicherungsbereich, das Gesundheitswesen, Freiberufler wie Ärzte, Apotheker und Rechtsanwälte, Vereine, Parteien und Gewerkschaften, die Videoüberwachung im privaten Bereich und den Arbeitnehmerdatenschutz. Eine zusammenfassende Bewertung des Datenschutzes in Baden-Württemberg fällt deshalb naturgemäß schwer, und sie fällt je nach Branche auch unterschiedlich aus. So viel lässt sich jedoch sagen: Der Umgang mit personenbezogenen Daten hat für viele private Unternehmen und Organisationen einen hohen Stellenwert. Auch im nichtöffentlichen Bereich hat sich der Datenschutz im Laufe der Jahre positiv entwickelt.
Es gibt aber auch schwarze Schafe, die Datenmissbrauch oder Schlampereien begehen oder sich gleichgültig gegenüber dem Datenschutz verhalten. Ich denke hier an einen gravierenden Fall aus dem Lotteriebereich mit mehreren Tausend geschädigten Bürgern, der derzeit länderübergreifend Aufsichts- und Strafverfolgungsbehörden beschäftigt. Ein anderes Beispiel ist die leider immer wieder vorkommende nicht sachgerechte Entsorgung von Patientenakten durch Ärzte. Das sind jedoch Einzelfälle.
Häufiger sind Fehler, die in schlichter Unkenntnis oder wegen falscher Auslegung der Datenschutzvorschriften begangen werden. So werden in der Werbebranche nach wie vor
die seit einigen Jahren geltenden Vorschriften, die der Verwendung von Adressdaten für Werbezwecke Grenzen setzen, häufig nicht beachtet. Ärzte denken manchmal nicht daran, dass auch in ihren Praxisräumen die ärztliche Schweigepflicht gewahrt werden muss. Banken fordern für die Kreditvergabe beim Kunden immer wieder Informationen an, für die beim besten Willen nicht ersichtlich ist, dass sie benötigt werden. Kaufkraftdaten und Risikoklassen aller privaten Haushalte in Deutschland wurden veröffentlicht, ohne dass erkannt worden wäre, dass es sich hier nicht um rein statistische Daten, sondern zumindest teilweise um sehr persönliche Daten einzelner Hausbewohner handelt. Vermieter oder deren Organisationen holen bei Auskunfteien Informationen über das bisherige Zahlungsverhalten von Mietinteressenten ein, ohne sie darüber zu informieren.
In einigen Bereichen gibt es grundsätzlichen Verbesserungsbedarf. Ich will dafür fünf Beispiele anführen:
Erstens: Im Versicherungsbereich müssen wir heute aufgrund von Rechtsänderungen und neuer Rechtsprechung höhere Anforderungen an den Datenschutz stellen als noch vor 10 oder 15 Jahren. Die Einwilligungsklausel, die man bei Abschluss eines Versicherungsvertrags unterzeichnen muss, ist nicht so präzise, dass der Bürger beurteilen könnte, was mit seinen Daten geschieht. Das ist aber notwendig, um rechtswirksam eine Einwilligungserklärung abgeben zu können. Es genügt auch nicht, wenn ein Versicherungsnehmer bei Abschluss einer privaten Krankenversicherung sämtliche Personen, die Heilberufe ausüben, für alle Zukunft von der ärztlichen Schweigepflicht entbindet. Notwendig ist vielmehr die Entbindung von der Schweigepflicht im Einzelfall vor einer Rückfrage bei Ärzten und Krankenanstalten.
Zweitens: In anderen Bereichen zwingen uns bereits eingeführte neue Techniken und Verfahren dazu, die Grenzen zwischen dem berechtigten Interesse der Wirtschaft und den schutzwürdigen Belangen des Betroffenen festzulegen. Zu nennen sind hier beispielsweise Scoring-Verfahren, bei denen mithilfe mathematisch-statistischer Methoden eine Prognose über das künftige Zahlungsverhalten einer Person erstellt und in einem Punktwert – Score – ausgedrückt wird. Die Score-Werte werden von Unternehmen aus den verschiedensten Bereichen als Entscheidungshilfen genutzt. Hier muss die Transparenz des Verfahrens deutlich verbessert werden: Der Betroffene und alle Verfahrensbeteiligten müssen besser über die Zusammensetzung des Score-Werts informiert sein.
Drittens: Im Gesundheitsbereich müssen wir dafür sorgen, dass nach dem Tod, der Insolvenz oder dem Verschwinden eines Arztes Patientenunterlagen in sichere Obhut genommen und die Rechte der Patienten auf Einsicht in ihre Unterlagen gewahrt werden. Ein Gesetzentwurf des Sozialministeriums, der dies sicherstellen will, liegt inzwischen vor.
Viertens: In der Wohnungswirtschaft wollen wir erreichen, dass Auskunfteien Vermieter nur unter Beachtung von Relevanzgrenzen über das bisherige Zahlungsverhalten von Mietinteressenten informieren dürfen.
Und schließlich fünftens: In der Werbewirtschaft, insbesondere bei der Werbung für die Teilnahme am Lotteriespiel,
werden wir sehr genau darauf achten müssen, dass bei der Einschaltung von Kooperationspartnern, Call- und SubCallcentern nicht die Rechte des Bürgers als Verbraucher auf der Strecke bleiben.
Auch sonst gilt es, das eine oder andere zu verbessern: Wir müssen den betroffenen Firmen bzw. Branchen noch besser vermitteln, welche Anforderungen der Datenschutz an sie stellt.