Datenschützer Peter Schaar "Bei Behörden hat man keine Wahl"

Schwere Pannen bei der Bundesagentur für Arbeit: Deutschlands oberster Datenschützer Peter Schaar warnt im Interview mit SPIEGEL ONLINE vor der verbreiteten Schluderei mit vertraulichen Daten - und fordert Sanktionen bei Verstößen.
Datenschützer Schaar: "Da müssen dann auch ganz klar Sanktionen möglich sein"

Datenschützer Schaar: "Da müssen dann auch ganz klar Sanktionen möglich sein"

Foto: A3116 Tim Brakemeier/ dpa

SPIEGEL ONLINE: Herr Schaar, bei der Bundesarbeiter für Arbeit konnten Mitarbeiter intimste Daten von Hartz-IV-Empfängern einsehen, und Bewerbungsunterlagen waren nicht vor illegalem Zugriff geschützt. Warum wird derart sorglos mit vertraulichen Daten umgegangen?

Peter Schaar: Es wäre ein Unding gewesen, dass Zehntausende Mitarbeiter nach dem ursprünglichen Konzept der Bundesagentur für Arbeit bundesweit hätten einsehen können, wer alkoholkrank ist oder soziale Probleme hat. Das Programm, das sogenannte Vier-Phasen-Modell, wurde uns erst kurz vor der Einführung gezeigt. Wir haben massive Bedenken angemeldet. Buchstäblich in letzter Minute konnten wir die Bundesagentur von diesem weiten Zugriffskonzept abbringen.

SPIEGEL ONLINE: Warum aber lief ein Großteil des Programms weiter?

Schaar: Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

SPIEGEL ONLINE: Was muss sich ändern, damit der Datenschutz bei der Behörde ernster genommen wird?

Schaar: Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht - und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

SPIEGEL ONLINE: Aber bei Unternehmen sieht es doch nicht besser aus. Die Postbank steht in den Schlagzeilen, weil freie Mitarbeiter Zugriff auf Kontendaten hatten. Bei Libri standen eine halbe Millionen Rechnungen im Internet.

Schaar: Die bei der Postbank offenbar gewordenen Datenschutzmängel beruhen auf einer unternehmerischen Entscheidung der Geschäftsleitung, die ich für bedenklich halte. Bei Libri handelt es sich wohl um einen technischen Fehler. Gerade, wenn Daten über das Internet übertragen werden, muss besonders achtsam mit dem Datenschutz umgegangen werden. Stellt man nur ein, zwei Parameter eines Systems falsch ein, kann ein ganzes Sicherheitskonzept obsolet werden. Dies ist möglicherweise bei Libri geschehen.

SPIEGEL ONLINE: Dabei hatte Libri sogar ein Siegel des Tüv Süd für besonderen Datenschutz ...

Schaar: Das mit dem Prüfsiegel ist natürlich fatal, das führt zu einem Vertrauensverlust. Ich weiß nicht, was dort genau geprüft wurde. Sollte Libri aber sein System nach der Überprüfung verändert haben, hätten sie es von Experten erneut checken lassen müssen. Bei Telekom und Bahn, die in der Vergangenheit durch Datenskandale aufgefallen sind, stelle ich aber mittlerweile einen Mentalitätswandel fest. Offenbar muss dafür leider erst ein großer Skandal her. Aber es stimmt: Bei vielen Firmen vermisse ich die nötige Sorgfalt im Umgang mit sensiblen Daten.

SPIEGEL ONLINE: Braucht es also strengere gesetzliche Regelungen?

Schaar: Wir brauchen auch präventive Maßnahmen. Datenschutz muss von Anfang an mitgedacht werden, wenn man Computersysteme aufbaut. Dafür könnte es ein Zertifikat geben, das unter staatlicher Aufsicht vergeben wird - der Staat würde festlegen, welche Kriterien bei Prüfungen angewandt werden und welche Qualifikationen die Prüfer haben müssen. Und da müssen dann auch ganz klar Sanktionen möglich sein.

SPIEGEL ONLINE: Ist das nicht Wunschdenken? Auf ein gesetzliches Datenschutz-Audit konnte sich schon die Große Koalition nicht einigen.

Schaar: Im schwarz-gelben Koalitionsvertrag steht, dass eine Stiftung Datenschutz eingerichtet werden soll. Das ist ein Schritt in die richtige Richtung - und nun muss die neue Regierung ja auch erst mal die Arbeit aufnehmen.

SPIEGEL ONLINE: Was kann der Kunde tun, um seine Daten im Umgang mit Firmen und Behörden zu schützen?

Schaar: Ich kann nur raten, sich immer zu überlegen, was für persönliche Daten man preisgibt und wie hoch der tatsächliche Nutzen ist. Bei sozialen Netzwerken im Internet hat man das selbst in der Hand, bei Online-Bestellungen ist es schon schwieriger - und bei Behörden hat man keine Wahl. Da kann man sich das meist nicht aussuchen. So sind Arbeitssuchende darauf angewiesen, von der Bundesagentur für Arbeit betreut zu werden.

Das Interview führte Ole Reißmann
Die Wiedergabe wurde unterbrochen.