Datenschützer Schaar "Ich habe Facebook schätzen gelernt"
SPIEGEL ONLINE: Herr Schaar, Sie sind beim Online-Netzwerk Facebook registriert. Das klingt ungewöhnlich für einen Datenschützer ...
Peter Schaar: Ich glaube, ich bin der einzige amtliche Datenschutzbeauftragte in Deutschland, der bei Facebook registriert ist. Mein Anliegen ist dabei hauptsächlich, das Portal kennenzulernen, damit zu experimentieren und Erfahrungen mit virtuellen Verhaltensweisen zu machen. Dort sind aber nur nicht sensible Informationen über mich abrufbar, sondern meine Botschaften beziehen sich im Wesentlichen auf Berufliches. Dabei habe ich Facebook durchaus schätzen gelernt. Manchmal rege ich mich aber auch über solche Dienste auf.
SPIEGEL ONLINE: Worüber?
Schaar: Zum Beispiel über die völlige Belanglosigkeit von vielem, was da eingestellt wird. Da gibt es drei Arten von Beiträgen: Einmal eine sehr persönliche, bei der man mitteilt, wie man sich fühlt und was man gerade macht. Dass man gerade eine Pizza gegessen hat und diese einem nicht so gut bekommen ist. Das haut mich nicht wirklich vom Hocker.
Dann sind da die Politiker-Accounts, die aus Sprechblasen bestehen und bei denen ich manchmal das Gefühl habe, sie haben die gar nicht selbst geschrieben. Aber es gibt auch eine dritte Art von Beiträgen, die ich durchaus ernst nehme. Da haben Teilnehmer ein Anliegen und nutzen das Medium, um sich darüber auszutauschen, zu diskutieren und Verabredungen zu treffen. Das ist für mich eine sinnvolle Ergänzung anderer Kommunikationsformen.
SPIEGEL ONLINE: Mehr missfällt Ihnen an sozialen Netzwerken?
Schaar: Was mich vor allem stört, ist die Gedankenlosigkeit, mit der solche Dienste genutzt und persönliche Informationen ins Internet gestellt werden. Das ist insbesondere bei Jugendlichen der Fall, aber nicht nur bei ihnen. Die Leichtigkeit und Spontaneität der Kommunikation üben für viele einen ungeheuren Reiz aus. Insbesondere Kinder und Jugendliche unterscheiden vielfach nicht, ob sie sich in einem virtuellen oder einem realen Raum aufhalten und geben dadurch oft ungewollt ihre Privatsphäre preis.
SPIEGEL ONLINE: Ist das ein Grund dafür, dass Sie Personaler in Unternehmen zu mehr Toleranz mit Informationen aus dem Netz aufrufen?
Schaar: Absolut. Unter den vielen persönlichen Informationen, die im Internet kursieren, sind oft auch solche, die man gemeinhin als kompromittierend bezeichnen würde. Da macht es zum Beispiel für Personaler keinen Sinn, jemanden aufgrund von Partybildern für ungeeignet zu halten, während derjenige, der es schafft, dort nicht aufzutauchen, als Musterbewerber erscheint. Wenn die Wirtschaft das als Auswahlkriterium erachtet, stellt sie sich selbst ein Bein. Unabhängig davon verlange ich aber von den Netzwerken, ihre Voreinstellungen so zu gestalten, dass nicht alle Welt auf private Daten zugreifen kann. Das ist nämlich nicht der Fall. Die Voreinstellungen sind in fast allen Netzwerken datenschutzunfreundlich.
SPIEGEL ONLINE: Nun ist Datenschutz ja nicht nur im Internet vonnöten. Wo lauern Ihrer Meinung nach mehr Datenschutzrisiken: on- oder offline?
Schaar: Das Internet hat für den Datenschutz eine neue Epoche eingeläutet, aber natürlich liegen die eigentlichen Risiken noch überwiegend in der realen Welt. Nehmen wir das Arbeitsleben: Der Arbeitgeber kann immer mehr über seine Mitarbeiterinnen und Mitarbeiter erfahren - und zwar nicht nur, indem er sie persönlich befragt oder die Arbeitsergebnisse kontrolliert, sondern indem er mithilfe seines Computers den Arbeitsablauf beobachtet. Möglicherweise geschieht dies sogar, ohne dass die Arbeitnehmer es bemerken. Programme, die heimlich und im Detail aufzeichnen, wie der PC genutzt wird und die Ergebnisse verdeckt über das Internet versenden, sind leider ein Verkaufsschlager. Das zeigt, dass das Internet zwar nicht die Ursache für Datenschutzprobleme ist, sie aber verschärft und uns Datenschützer vor große Herausforderungen stellt.
SPIEGEL ONLINE: In Deutschland ist diese Form der Bespitzelung illegal. In Finnland dagegen ist gerade ein Gesetz in Kraft getreten, das es Arbeitgebern erlaubt, die E-Mails ihrer Arbeitnehmer zu überprüfen. Aufgrund des Drucks seitens Nokia wird es auch "Lex Nokia" genannt. Ist so etwas auch in Deutschland denkbar?
Schaar: Ich halte es zumindest derzeit für völlig ausgeschlossen, dass ein solches Gesetz in der Politik oder der Gesellschaft bei uns Zustimmung finden würde. Auch in den USA ist diese Form der Überwachung am Arbeitsplatz sehr weit verbreitet und auch erlaubt. Dass das nun auch in Europa Einzug hält, halte ich für höchst problematisch.
Die Großprojekte des Spannerstaats
SPIEGEL ONLINE: Trotzdem passiert es auch hier immer wieder, dass Unternehmen ihre Mitarbeiter ausspionieren. Sind die Strafen, die auf Missachtung des Datenschutzgesetzes stehen, nicht abschreckend genug?
Schaar: Das heimliche Ausspionieren von Mitarbeitern ist ein Gesetzesverstoß. Wie für andere Datenschutzverstöße sieht das Bundesdatenschutzgesetz Bußgelder und in besonders schweren Fällen sogar Haftstrafen vor. Es gibt auch entsprechende Bußgeld- und Strafverfahren, aber nur einige wenige rechtskräftige Urteile. Im Vergleich zu dem, was geschieht - und ich gehe hier von einer hohen Dunkelziffer aus -, ist der Anteil der Urteile verschwindend gering.
Das liegt zum Teil daran, dass sich die Behörden scheuen, das Instrumentarium anzuwenden. Ein anderer Grund sind die unvollkommenen Gesetze. Die Bußgelder sind in manchen Fällen zu niedrig. Sie berücksichtigen beispielsweise noch nicht die Entstehung von Gewinnen durch Datenmissbrauch. Und es gibt einen juristischen Flickenteppich in Deutschland und in Europa.
"In trockenen Tüchern ist noch nichts"
SPIEGEL ONLINE: Inwiefern?
Schaar: In Deutschland hat jedes Bundesland ein anderes Landesdatenschutzgesetz. Und die Behörden in den jeweiligen Ländern legen das Bundesdatenschutzgesetz nicht immer einheitlich aus. Es gibt zwar Verabredungen, aber natürlich kommt es zu divergierenden Meinungen. Das ist im Föderalismus so angelegt und wohl nicht grundlegend zu ändern.
Innerhalb Europas sehe ich die Datenschutzlandschaft noch viel kritischer: Immerhin haben wir eine europäische Datenschutzrichtlinie - das ist schon mal gut. Aber sie ist in den Mitgliedstaaten sehr unterschiedlich umgesetzt worden. Die Datenschutzbehörden der Mitgliedstaaten bemühen sich darum, die Auslegung der europarechtlichen Vorgaben besser aufeinander abzustimmen. Das ist vor allem für die Wirtschaft wichtig: Viele Unternehmen arbeiten in mehreren EU-Staaten. Wenn die Datenschutzvorgaben in den Ländern höchst unterschiedlich sind, macht es das für die Firmen sehr kompliziert.
SPIEGEL ONLINE: Die Datenschutzskandale bei der Telekom und bei Lidl haben 2008 zum regelrechten Boom-Jahr für Sie gemacht ...
Schaar: Das kann man so sagen. Es war auf jeden Fall das Jahr, in dem bisher die meisten Datenschutzverstöße bekannt geworden sind. Es war aber auch das Jahr, in dem datenschutzrechtlich am meisten in die Wege geleitet wurde. Das hängt unmittelbar miteinander zusammen, weil die Vorfälle die Sensibilität für den Datenschutz gesteigert haben - sowohl in der Politik als auch in der Gesellschaft.
SPIEGEL ONLINE: Insofern können Sie den Konzernen ja regelrecht dankbar für die Skandale sein. Immerhin wird dem Datenschutz auf diese Weise viel Aufmerksamkeit zuteil.
Schaar: Ich würde das so nicht sagen, aber widersprechen würde ich in diesem Punkt auch nicht.
SPIEGEL ONLINE: Was hat sich seit den Datenaffären auf Gesetzesebene verändert?
Schaar: In trockenen Tüchern ist noch nichts, die Gesetze sind aber angeschoben. Die Bundesregierung hat zwei Datenschutznovellen beschlossen: Eine, die schon vor den Vorfällen im letzten Jahr in Planung war. Da geht es um Auskunfteien. Und eine, die den Datenhandel begrenzen soll. Die Novelle wurde aufgrund der Datenskandale auf den Weg gebracht. Für die nächste Legislaturperiode haben zudem alle Parteien angekündigt, dass sie ein Arbeitnehmerdatenschutzgesetz wollen.
SPIEGEL ONLINE: Dagegen sollte bei einigen Datenschutzgesetzen Ihrer Meinung nach der Rückwärtsgang eingelegt werden. Was meinen Sie damit?
Schaar: Alles, was nach dem 11. September 2001 beschlossen wurde - von den biometrischen Merkmalen in Reisepässen bis hin zur Anti-Terror-Datei - muss meiner Meinung nach auf den Prüfstand. Denn alles, was nach solchen dramatischen Ereignissen stattfindet, soll zunächst die Handlungsfähigkeit der Politik demonstrieren. Das muss die Politik grundsätzlich auch tun. Gleichwohl muss Politik diese Entscheidungen aber auch kritisch überprüfen. Deshalb sollte jede Maßnahme, die in den Datenschutz eingreift, nach einiger Zeit von unabhängiger Seite auf ihre Folgen und Verhältnismäßigkeit hin überprüft werden.
SPIEGEL ONLINE: Gerade von Unternehmen sind auch kritische Stimmen zu den Datenschutzgesetzen zu hören, nicht zuletzt, weil ganze Geschäftsmodelle auf dem Handel mit Daten basieren. Spüren Sie aus der freien Wirtschaft starken Widerstand gegen Ihre Vorschläge?
Schaar: Das würde ich so nicht generell sagen. Gegen einzelne Vorschläge ist der Widerstand schon groß, etwa gegen die Abschaffung des sogenannten Listenprivilegs, wo es um die Nutzung von Daten für Werbezwecke geht. Das kann ich zwar durchaus nachvollziehen, weil bestimmte Geschäftsmodelle dann verändert werden müssen. Andererseits denke ich, dass auch die Wirtschaft respektieren muss, dass personenbezogene Daten keine freie Handelsware sind, sondern dass sie Betroffenen zuzuordnen sind, die frei darüber entscheiden wollen, wem sie welche Daten preisgeben.
SPIEGEL ONLINE: Ein Vorschlag Ihrerseits, wie sich Unternehmen freiwillig einer Datenschutzkontrolle unterziehen könnten, ist ein Gütesiegel für den Datenschutz. Das gibt es in Schleswig-Holstein bereits und soll nun auf Bundesebene durchgesetzt werden.
Schaar: Ganz so ist es nicht. In Schleswig-Holstein gibt es ein produktbezogenes Gütesiegel. Da kann beispielsweise ein Schredder ein Datenschutzsiegel bekommen, weil die Schnipsel, die er produziert, klein genug sind. Auf Bundesebene sollen nicht einzelne Produkte geprüft werden, sondern ganze Unternehmen. Firmen sollen sich einer besonders intensiven Datenschutzaufsicht durch eine unabhängige Kontrollstelle unterziehen und ein Prüfsiegel bekommen. Diese Anforderungen werden dann regelmäßig überprüft und dem Unternehmen kann das Siegel gegebenenfalls wieder entzogen werden. Das Gesetz ist von der Bundesregierung beschlossen, jetzt ist es im Bundestag.
SPIEGEL ONLINE: Eine weitere Alternative, Unternehmen auf Datenschutz zu trimmen, ist ein Gesetz aus Kalifornien: Dort müssen Unternehmen Kunden und Öffentlichkeit per Gesetz über den Verlust von Kundendaten aufklären. Können Sie sich das auch für Deutschland vorstellen?
Schaar: Ja, weil sich die Unternehmen schon im Voraus stärker bemühen, dass keine Daten verloren gehen. Das negative Image, das man durch die Veröffentlichung eines Datenverlusts erwirbt, hat eine erzieherische Wirkung. Bei uns kommen Datenaffären bisher nur zufällig heraus. Auch hier enthält der Gesetzentwurf der Bundesregierung vielversprechende Ansätze.
