Datenschutz in Deutschland EU-Ultimatum an Berlin

Die Europäische Kommission verlangt von Deutschland einen vom Staat unabhängigen Datenschutz. In einigen Bundesländern kontrollieren Behörden, ob Privatunternehmen die Datenschutzgesetze einhalten. Das soll die Bundesrepublik binnen zwei Monaten abschaffen.

Der Föderalismus macht manche Dinge in Deutschland kompliziert. Nicht nur, dass jedes Bundesland auf sein ganz spezielles Schulsystem pocht und sogar die Hoheit über Zigarettenqualm zu besitzen scheint. Auch beim Datenschutz kocht jedes Land sein eigenes Süppchen.

Zwar gibt es in jedem Land einen Beauftragten für Datenschutz, der die Einhaltung der Gesetze in Behörden und der Verwaltung kontrollieren soll. Die Aufsicht über Privatunternehmen, die mittlerweile ja wesentlich mehr Personendaten speichern als der Staat selbst - siehe Mobilfunkanbieter, Banken oder Deutsche Post -, ist aber von Bundesland zu Bundesland unterschiedlich geregelt.

In den meisten Ländern übernehmen mittlerweile Behörden, etwa das Regierungspräsidium Darmstadt für ganz Hessen, diese Aufgabe. Und genau da wittern Privacy-Wächter einen Interessenkonflikt: Weil Polizei und Ermittlungsbehörden ein Interesse haben, dass Daten beispielsweise von der Telekom oder Internetanbietern möglichst lange gespeichert werden, damit man auch Monate später darauf zurückgreifen kann, könnten die Aufseher aus den Behörden den Datenschutz hintanstellen, argumentieren sie.

Der Frankfurter Jurist Patrick Breyer teilt diese Sichtweise und hat im Jahr 2003 eine Beschwerde bei der EU-Kommission eingereicht. "Es kann nicht sein, dass die Datenschutzaufsicht in einer Behörde angesiedelt ist", sagte er zu SPIEGEL ONLINE. Nun hat die EU-Kommission reagiert - und zwar im Sinne der Beschwerde. Deutschland müsse binnen zwei Monaten die "völlige Unabhängigkeit" ihrer Datenschutzbehörden herstellen, heißt es in einem Brief der Kommission an Breyer. Andernfalls drohe eine Klage vor dem Europäischen Gerichtshof.

Zwei Monate Zeit für zufriedenstellende Antwort

Die EU-Kommission kritisiert in dem Schreiben, "dass die bestehenden unterschiedlichen Organisationsformen der Kontrollstellen in den Bundesländern […] nicht den Anforderungen der verlangten 'völligen Unabhängigkeit' im Sinne [...] der Datenschutzrichtlinie 95/46/EG entsprechen". Weiter heißt es: "Erhält die Kommission binnen zwei Monaten keine zufrieden stellende Antwort, kann sie den Gerichtshof der Europäischen Gemeinschaften anrufen."

Die EG-Datenschutzrichtlinie aus dem Jahr 1995 schreibe die "völlige Unabhängigkeit" der Behörden vor, die die Einhaltung des Datenschutzes kontrollierten, sagte Breyer. Deshalb sei er sich sicher, dass Deutschland demnächst die Organisation des Datenschutzes neu organisieren müsse.

Breyers Beschwerde bei der EU-Kommission geht auf einen Rechtsstreit mit T-Online zurück. Der Internetprovider speichert bis heute IP-Adressen seiner Kunden, selbst wenn diese eine Flatrate nutzen. Zu Abrechnungszwecken sei dies nicht erforderlich, argumentierte Breyer, und verlangte die sofortige Löschung der Daten. Das Landgericht Darmstadt gab ihm Anfang des Jahres Recht, die Beschwerde von T-Online gegen dieses Urteil beim Bundesgerichtshof wurde im Oktober abgewiesen.

Wenn ein Provider die von Kunden verwendeten IP-Adressen speichert, ist ein anonymes Surfen nicht mehr möglich. Ermittlungsbehörden oder Gerichte können die Herausgabe der Kundennamen verlangen, etwa wenn sie illegalen Dateitauschern auf der Spur sind, von denen sie nur IP-Adressen kennen. Auch Forumsteilnehmer lassen sich so im Nachhinein identifizieren.

Datenschützer befangen?

So geschah es auch Holger Voss, der nach einem von ihm verfassten Posting im Forum von Telepolis verklagt wurde - wegen angeblicher Billigung der Terroranschläge vom 11. September 2001. Nachdem er diesen Prozess für sich entschieden hatte, zog er vor Gericht, um gegen die IP-Adress-Speicherung bei T-Online, die seine Identifizierung erst ermöglicht hatte, vorzugehen.

Dass die IP-Adressspeicherung bei T-Online gegen Datenschutzgesetze verstößt, glaubten zwar Breyer und viele andere Juristen - nicht jedoch die dafür zuständigen Datenschützer im Regierungspräsidium Darmstadt. Die Speicherung sei gerechtfertigt, damit die T-Online im Zweifelsfall die Erbringung der Leistung wirklich korrekt und durchsetzbar nachweisen könne, erklärte die Behörde im Januar 2003. Die IP-Nummer diene dazu, die Fehlersicherheit der Datenverarbeitung sowie die Nachweisbarkeit und die Durchsetzbarkeit von Forderungen zu gewährleisten.

Den Vorwurf, dass Regierungspräsidium sei in Datenschutzfragen befangen, hatte die Behörde im Sommer 2005 zurückgewiesen. Dabei verwies Dezernatleiterin Renate Hillenbrand-Beck laut heise online auch auf Aufsichtsstrukturen im Umwelt-, Pharmazie-, oder Baubereich. Diese zeigten, "dass weisungsgebundene Behörden die ihnen anvertrauten Gesetze rechtmäßig und engagiert vollziehen können".

Anwalt Beyer hält diesen Vergleich von Datenschutz und Bauaufsicht jedoch für unzulässig. Er hat zwar keine konkreten Anhaltspunkte dafür, dass das Innenministerium die T-Online-freundliche Entscheidung der behördlichen Datenschützer beeinflusst haben könnte, hält die Situation aber für nicht tragbar: "Man hat keinen Einblick. Man weiß nicht, was hinter den Kulissen vor sich geht."

Die Wiedergabe wurde unterbrochen.