CW: Man hört und liest derzeit viel von neuen Verletzungen des Datenschutzes, wenig jedoch von Konsequenzen. Hat der Datenschutz in Deutschland noch eine Lobby?
SCHAAR: Ich habe den Eindruck, dass sich das Interesse deutlich verstärkt hat. Dabei ist die Diskussion nicht bei dem Lamento über Datenpannen stehen geblieben, sondern es wurden auch konkrete Schritte zur Stärkung des Datenschutzes unternommen. So berät der Bundestag derzeit über eine Verbesserung der Betroffenenrechte bei den Auskunfteien. Ein entscheidendes Thema ist dabei die Transparenz von Bewertungen der Kreditwürdigkeit mittels so genannter Score-Werte. Der von der Bundesregierung beschlossene Entwurf geht in die richtige Richtung, ist mir aber noch zu zaghaft.
So setze ich mich für die Begrenzung der Auskunfteianfragen auf kreditorische Risiken ein und lehne das Geoscoring ab, bei dem letztlich die Adresse entscheidet, ob jemand einen Kredit oder sonstigen Vertrag erhält. Weitere gesetzliche Verbesserungen sind angekündigt. So sollen Daten künftig nur noch dann für Werbezwecke weitergegeben werden dürfen, wenn der Betroffene ausdrücklich einwilligt. Unternehmen sollen verpflichtet werden, die Datenschutzbehörden und die Betroffenen über Datenschutzverstöße zu informieren. Ganz wichtig ist auch das Datenschutz-Audit-Gesetz, das es ermöglichen soll, Datenschutzgütesiegel nach bundesweit einheitlichen Kriterien zu vergeben.
CW: Ist der Weg zum gläsernen Bürger noch aufzuhalten?
SCHAAR: Hier geht es nicht nur um Gesetze, sondern um viel umfassendere Ansätze, die gleichermaßen technologische, rechtliche und soziale Dimensionen einbeziehen. Das Gebot der Datenvermeidung steht ja seit einigen Jahren sogar im Bundesdatenschutzgesetz, wird aber ganz überwiegend ignoriert.
Die für technische Systeme und für die jeweiligen Fachaufgaben Verantwortlichen sehen den Datenschutz immer noch als etwas an, was man an ein fertiges Konzept anflanscht. Man könnte dies - in Anlehnung an die Umweltdiskussion - als "End-of-the-Pipe"-Ansatz bezeichnen: Filter sollen verhindern, dass Schadstoffe freigesetzt werden. Aber was macht man, wenn das Rohr undicht ist oder falsch verlegt wurde? Ähnlich verhält es sich heute mit vielen IT-Konzepten. Zunächst werden die Daten gesammelt und verknüpft und dann wird über Schutzmaßnahmen und Nutzungsbegrenzungen nachgedacht. Nachhaltig wird Datenschutz nur dann, wenn es gelingt, ihn in oder sogar vor die Systeme zu verlagern.
Warum muss etwa bei der Altersfeststellung das genaue Geburtsdatum abgefragt werden? Wieso verlangen alle möglichen Anbieter von Web-Diensten die vollen Identifikationsdaten der Nutzer, auch wenn dies eigentlich nicht erforderlich ist? Es fällt uns Datenschützern natürlich schwer, Unternehmen von der Sinnhaftigkeit der Datenvermeidung zu überzeugen, wenn sie andererseits staatlich dazu verpflichtet werden, Daten auf Vorrat zu speichern, die sie selbst nicht oder nicht mehr benötigen.