Datenschutz: "Wir sind nicht machtlos, aber unser Einfluss hält sich in Grenzen", das gesteht der Bundesdatenschutzbeauftragte Peter Schaar gegenüber den VDI nachrichten. Die technische Entwicklung, die dazu führt, dass immer mehr Daten erhoben und gespeichert werden, ist für ihn die größte Herausforderung. "Diese Entwicklung trifft auf einen Datenhunger staatlicher Stellen und privater Unternehmen. Das ist eine brisante Mischung." VDI nachrichten, Düsseldorf, 5. 2. 10, rb
VDI nachrichten: Worin sehen Sie die großen Herausforderungen für den Datenschutz?
Schaar: Die größte Herausforderung ist nach wie vor die technologische Entwicklung, die es ermöglicht, immer mehr Daten über uns zu erheben und zu speichern, die reale Vorgänge mit digitalen Erfassungssystemen verknüpft sowie die damit verbundenen Auswertungsmöglichkeiten. Diese Entwicklung trifft auf einen Datenhunger staatlicher Stellen und privater Unternehmen. Das ist eine brisante Mischung.
Seit zehn Jahren ist im Bereich des technischen Datenschutzes nicht mehr viel geschehen - wurden Chancen verpasst?
Ja, leider. Manche Ansätze, die Ende der 90er- und zu Beginn der 0er-Jahre entworfen wurden, sind nicht weiterentwickelt worden. Dasselbe gilt für datenschutzfreundliche Bezahlverfahren. Es gab ja verschiedene Prepaid-Verfahren, die hier Dreiecksbeziehungen aufbauen, so dass der Dienstleister den Kunden nicht kennt. Diese Verfahren haben sich auf dem Markt nicht durchgesetzt.
Lässt sich der Rückstand noch aufholen?
Bestimmte Technologien ermöglichen ein "Privacy by Design": Etwa dass man Gesichter bei einer Videoüberwachung zunächst verpixelt und nur dann kenntlich macht, wenn eine Straftat begangen wurde. In der U-Bahn der kanadischen Stadt Toronto wird eine solche Technik eingesetzt. Das Mehr an Überwachung muss also nicht automatisch auch ein Mehr an persönlicher Überwachung bedeuten.
Bei der neuen Generation der Kommunikationsmittel, den sogenannten Smartphones, hingegen müssten mehr datenschutzfreundliche Technologien zum Einsatz kommen. Eine einwandfreie Identifikation berechtigt nicht, dass alle Daten erhoben und zusammengeführt werden. Hier besteht also gesetzgeberischer Handlungsbedarf.
Wie beurteilen Sie das Zusammenführen von Daten aus verschiedenen Datenbanken, das inzwischen technisch keine Problem mehr ist. Wie können Bürger vor Missbrauch geschützt werden?
Ich plädiere für ein Verbot der Profilbildung hinter dem Rücken des Betroffenen. Das haben wir derzeit so explizit nicht. Die Erhebung und Zusammenführung von für unterschiedliche Zwecke gespeicherten Daten soll nur dann erlaubt sein, wenn der Betroffene ausdrücklich darin einwilligt. Außerdem muss er die Möglichkeit haben, die Einwilligung jederzeit zu widerrufen. Dann müssen die Daten auch wieder zurückgeholt werden.
Ein solches Profilbildungsverbot sollte bei der Novellierung des deutschen Gesetzes und der europäischen Richtlinie berücksichtigt werden. Rechtliche Regelungen lösen aber nicht alle Probleme. Daher brauchen wir ein datenschutzfreundliches Identitätsmanagement, das eine Zusammenführung von Daten aus unterschiedlichen Bereichen erschwert und an die Mitwirkung des Betroffenen knüpft. Bedeutsam ist hier auch die Möglichkeit zur Nutzung von Diensten in anonymer und pseudonymer Form.
Bundesweit kommen auf 100 000 Unternehmen lediglich zwei Kontrolleure. Ihr Personal wird demnächst leicht aufgestockt. Wo sollen die neuen Kräfte verstärkt arbeiten?
Ich will mehr Dynamik in den technologischen Datenschutz bringen. Leider hat es hier in den sechs Jahren, als ich meinen Posten angetreten habe, kaum Fortschritte gegeben. Wir Datenschützer müssen verstärkt mit der Wissenschaft kooperieren und neue Forschungsprojekte auf den Weg bringen. Im Bereich der Zertifizierung, etwa im Zusammenhang mit Bürgerportal und neuem Personalausweis, wollen wir aktiver werden. Für die Informationsfreiheit schließlich wird es endlich ein eigenes Referat geben.
Haben sich die sozialen Normen so gewandelt, wie Facebook-Chef Marc Zuckerberg meint, so dass es keine Nachfrage mehr nach Datenschutztools gibt?
Der Rückstand spricht dafür, dass der damalige Ansatz mit Appellen allein nicht durchsetzbar war. Umgekehrt basieren soziale Netzwerke auf sozialen Beziehungen, wo es naheliegt, dass man die Personen kennt. Hier kann man anonyme Nutzungsmöglichkeiten fordern, aber damit wird das Problem nicht gelöst. Bei den kommerziellen Dienstleistungen, etwa wenn eine Lizenz einer Software oder eines Spiels genutzt wird, reichen pseudonyme Registrierungen völlig aus, da braucht man nicht notwendigerweise auch die Namen der Nutzer. Ich halte es für entscheidend, dass die Datenvermeidung in die Systemanforderungen integriert wird. Sie muss ein obligatorischer Prüfpunkt bei der Systementwicklung werden und das müsste gesetzlich sanktioniert werden.
Sind deutsche Datenschützer machtlos, wenn Unternehmen wie Facebook ihre Datenschutzeinstellungen einfach ändern?
Wir sind nicht machtlos, aber unser Einfluss hält sich in Grenzen. Facebook hat in der Tat gegen die von Datenschützern wiederholt gegenüber den Unternehmen aufgestellte Forderung, datenschutz- und benutzerfreundliche Voreinstellungen zu schaffen, verstoßen.
Können deutsche Bürger im Internet überhaupt noch ihre Rechte durchsetzen?
Unternehmen müssen die europäische Datenschutzrichtlinie beachten, wenn sie eine Niederlassung in der EU haben und technische Mittel verwenden, die hier gelegen sind. Weil Google etwa Rechenzentren in Europa betreibt und Niederlassungen hat, ist klar, dass das Unternehmen europäisches Recht beachten muss.
Das Safe-Harbor-Abkommen sollte dafür sorgen, dass die personenbezogenen Daten europäischer Bürger bei amerikanischen Unternehmen so gut geschützt werden wie in Europa. Klappt das?
Mit den USA gibt es ausbaufähige Formen der Zusammenarbeit, speziell mit den Verbraucherschützern in der Federal Trade Commission, die für die Einhaltung des Abkommens zuständig ist. Mit der FTC bin ich in Gesprächen. Wenn ein Unternehmen wie Google dem Abkommen beigetreten ist, besteht so die Möglichkeit, die Einhaltung von Zusagen, wie bei Google Street View, auch vor Ort zu überprüfen.
Was bedeutet das Safe-Harbor-Abkommen in Praxis?
Es gab vor einiger Zeit ein ernüchterndes Review im Auftrag der Europäischen Kommission, das zeigte, dass bei der Durchsetzung erhebliche Defizite bestanden. Eine Konsequenz daraus ist, dass wir mit der FTC die Beziehungen verbessern. In dem Moment, in dem ein Unternehmen eine Zusage macht, muss es diese auch nach US-Gesetz einhalten.
Wie ist das bei Webangeboten im europäischen Ausland, die nicht dem Safe-Harbor-Abkommen beigetreten sind? Sind hier die Nutzer verraten und verkauft?
Es ist in der Tat noch um einiges schwieriger, deutsche oder europäische Datenschutzstandards bei solchen Unternehmen durchzusetzen. Wenn der Zielmarkt in Europa ist, sind die Standards zu beachten. Für alle Fälle müssen hier Anpassungen erfolgen, die unseren Datenschutzstandards entsprechen. Es bleibt aber immer die Frage, wer das vor Ort kontrolliert.
CHR. SCHULZKI-HADDOUTI
Peter Schaar
- ist seit 2003 der Bundesbeauftragte für den Datenschutz, seit 2006 bekleidet er auch das neue Amt des Bundesbeauftragten für die Informationsfreiheit.
- ist Mitglied der Artikel-29-Datenschutzgruppe der Datenschutzbeauftragten der EU sowie der International Working Group on Data Protection in Telecommunications der Internationalen Datenschutzkonferenz.
- wurde vom Deutschen Bundestag am 26. November 2008 für weitere fünf Jahre in seinem Amt bestätigt. csh
Weitere Informationen finden Sie hier:
Profilfotos auf der Internetplattform Facebook, die bislang nur Freunde sehen konnten, kann nun jeder Internetsurfer einsehen. Das können Nutzer nur noch rückgängig machen, indem sie...
Eine Artikelauswahl der aktuellen Wochen-
ausgabe können Sie hier direkt online lesen:
Verbessern Sie Ihr Verständnis für die kulturellen Unterschiede der euröpäischen Nachbar und trennen Sie richtige von falschen Aussagen.
Lust auf eine kleine Auszeit? Kein Problem! Nutzen Sie einfach
unser kurzweiliges Unterhaltungsportal.
Spiel & Spaß
Seite drucken
Seite versenden
zurück
zum Seitenanfang
RSS