"Daten nur für einen klar bestimmten Zweck sammeln"

22.08.1980

Mit Dr. Frits W. Hondius, "Head of the Division of Public Law" des Europarates sprach Elmar Elmauer

- Herr Hondius, seit zehn Jahren bemüht sich auch der Europarat um eine Harmonisierung der Datenschutz-Regelungen: Welche Themen haben Sie gegenwärtig konkret vor Augen?

Wir gehen davon aus, daß der Bürger in jedem Staat dieselben fundamentalen Rechte haben soll, und wir sehen, daß der Computergebrauch überall dieselben Probleme aufwirft. Das ist nicht nur in Europa so, sondern genauso in Neuseeland, also auf der anderen Seite der Welt. Der Bürger verliert den Zugriff auf Daten, die ihn betreffen. Er hat ein Gefühl von Ohnmacht, und zwar zuallererst gegenüber den Behörden, die seine Daten speichern und verarbeiten. Denn wenn die Behörde fragt, dann muß der Bürger seine Daten angeben - gegenüber dem Privatsektor ist niemand verpflichtet. Und zudem bestehen im öffentlichen Sektor wesentlich mehr Verbindungen zwischen den verschiedensten speichernden Stellen.

- Haben nach den Erkenntnissen der Juristen des Europarates öffentliche Stellen die Datenverarbeitung mißbraucht und sich mehr Informationen verschafft, als sie zur Erfüllung ihrer Aufgaben gebraucht hätten ?

Ich weiß nicht, ob es solche Behörden gegeben hat. Jedenfalls bestand diese Gefahr. Hier hat der Datenschutz eine Gegenbewegung gebracht. Diese Frage war ja nicht nur als Mißbrauch, sondern auch als Mentalitätsproblem in der Diskussion. Manchen Behörden war und ist einfach noch zu wenig bewußt, wo die Rechte der Bürger beginnen.

- Wir haben nun in Europa unterschiedlichste Regelungen, die den Schutz personenbezogener Daten gewährleisten sollen: Lizensierungssysteme, Registrierungssysteme und ein materiell rechtliches System in der Bundesrepublik. Funktioniert dieses Nebeneinander? Oder muß hier irgendwann ein supranationales Regelungswerk für Harmonie sorgen?

Es ist richtig, daß es verschiedene Lösungen gibt: In der Bundesrepublik hat man großes Vertrauen in die Selbstkontrolle, in Schweden gibt es das äußerste Modell der externen Kontrolle mit Lizensierung, wo man nichts ohne Genehmigung machen darf, in Frankreich hat man ein Zwischenmodell von Selbstkontrolle und externer Kontrolle. Grundsätzlich muß man sich dabei überlegen: Was ist der Inhalt des Datenschutzes, welches Ziel will man mit ihm erreichen? Das Ziel ist - Daten müssen an sich richtig sein, sie dürfen also nicht überholt sein, Daten müssen dem Zweck genügen und dürfen nicht mißbraucht werden. Über diese Ziele sind wir uns innerhalb Europas klar. Aber wir müssen den Ländern überlassen, wie sie diese Ziele innerhalb ihres Rechtssystems verwirklichen. Es wäre jedenfalls eine Illusion zu glauben, man könnte nur für den Datenschutz historisch gewachsene Rechtssysteme ändern . . .

- . . . gut, bleibt die Frage nach der Notwendigkeit einer supranationalen Lösung.

Was die Frage betrifft, ob eine nationale Kontrolle genügt, bin ich der Meinung, man benötigt keine internationale Datenschutzinstanz, weil diese Instanz genau der Big Brother sein würde, den wir nicht haben wollen. Wir müssen aber zu einer Zusammenarbeit kommen, die Doppelregelungen verhindert und Lücken schließt. Dies gilt besonders für grenzüberschreitende Operationen, weil sich hier Regelungen möglicherweise widersprechen könnten, jedenfalls könnte unnötiger Aufwand für die Datenverarbeitung selbst entstehen.

- Gerade beim grenzüberschreitenden Datenverkehr und der daraus möglicherweise resultierenden Behinderung der Datenverarbeitung muß die Frage gestellt werden, ob via Datenschutz auch Wettbewerbspolitik getrieben werden könnte, zumal ja hier der Datenfluß kanalisiert werden soll?

Man hat diese Furcht geäußert. Besonders die Vereinigten Staaten haben konkret befürchtet, man könnte die Datenflüsse so lenken, daß man damit der Wirtschaft helfen oder sie behindern kann. Ich muß hier aber wiederholen, was ich eingangs sagte: Wesentlichstes Ziel des Datenschutzes ist der öffentliche Sektor. Und im öffentlichen Sektor gibt es wenig grenzüberschreitenden Datenverkehr. Dazu kommt natürlich, daß man auch im privaten Sektor nicht auskommt, den grenzüberschreitenden Datenverkehr zu regeln. Aber solch eine internationale Regelung hat ja auch zwei Aufgaben: Die erste Aufgabe ist, die gleichen Basisbedingungen in einem möglichst großen Kreis von Staaten zu schaffen. Wenn dieses Ziel erreicht ist, gibt es auch keine Hemmnisse mehr für die Datenflüsse zwischen diesen Staaten. Der zweite Zweck ist: Wir müssen dem Bürger eines Landes helfen, seine Rechte in einem anderen Land verwirklichen zu können.

- Offensichtlich muß aber auch hier der Grundkonflikt gelöst werden, zwischen dem Grundrecht einer natürlichen Person auf Schutz seiner personenbezogenen Daten und dem Recht einer Gesellschaft auf und an Information.

Ja, hier haben wir die Spannung zwischen zwei legitimen Bedürfnissen, daß die Gesellschaft auch Informationen über Personen braucht und andererseits das Recht des Individums auf seine Privatsphäre. Ich persönlich glaube, daß man das Problem des "privacy" ein bißchen übertrieben hat.

- Haben Sie keine Bedenken, daß richtige Daten in einem Personal-Informationssystem richtig verarbeitet werden, um ein richtiges Aufgabenprofil zu zeichnen - dem aber dann nur noch der Normbürger gerecht wird?

Dies ist in der Tat ein Problem der Privatsphäre, weshalb man den einzelnen nicht zum Gefangenen seines Datenbildes machen darf. Dies ist die Gefahr, wenn man solche Profile zeichnet, und dies ist auch die Gefahr der Informatik: Denn das Bild, das Computer von uns schaffen, ist nur teilweise ein Ebenbild der Wirklichkeit. Deshalb soll man nur Daten sammeln, die für einen klar bestimmten Zweck notwendig sind. Hier sehe ich einige Schwierigkeiten mit dem Bundesdatenschutzgesetz ...

- . . . wegen seiner unbestimmten Begriffe?

Ja, ich habe den Eindruck, daß da ein bißchen viel Abstraktes im Gesetz steht. Was sind "schutzwürdige Interessen" oder was sind die "rechtmäßigen Aufgaben einer Behörde"? Man muß aber auch sehen, daß das Bundesdatenschutzgesetz sehr viel übrig läßt für die Praxis der Datenschutzbehörde. Und die Tatsache, daß die Bundesrepublik einen Datenschutzbeauftragten hat, der auch an den Bundestag Bericht gibt, ist ein gutes Mittel, das Gesetz allmählich in die gute Richtung zu lenken.

- Nur neigen Politiker zu Kompromissen - so könnte auch das Gesetz über die Novellierung aufgeweicht werden.

Sicher werden immer wieder Kompromisse geschlossen. Aber das Wichtigste ist, daß der Bürger weiß, daß es nun eine Möglichkeit gibt, Beschwerde einzulegen. Deshalb wird das Datenschutzgesetz eine immer stärkere präventive Wirkung auf die Datenverarbeitung ausüben, weil Systeme, die nicht dem Gesetz entsprechen, gar nicht mehr eingeführt werden.

- Kritisiert werden in der Bundesrepublik die Datennetze der Polizei, die zur Terrorismusbekämpfung geknüpft wurden - meinen Sie das mit "Novellierung zum Guten""

Wir haben uns im Europarat noch nicht mit den Fahndungsmethoden beschäftigt, weil dies zunächst eine innerstaatliche Angelegenheit ist. Zudem ist nur eine kleine Anzahl von Leuten von der Fahndung betroffen Wir regeln im Europarat zuerst die meist verbreiteten Systeme.

- Welche?

Wir haben uns zuerst einmal um die, Medizin gekümmert, weil hier die gesamte Bevölkerung ein Interesse da an hat. Und wir wissen, daß seit Hippokrates der Arzt die Pflicht hat, die Daten seiner Patienten geheimzuhalten, daß aber nirgendwo der Patient das Recht hat, zu wissen, was über ihn gespeichert wurde. Um dies zu erreichen, mußten wir gewisse Zweifel der Ärzteschaft überwinden. Wir hatten auch Probleme mit der Forschung: Auch dort sind Angaben zur Person die wichtigsten Quellen. Und weil Forschung grundsätzlich frei ist, jeder Forschung machen kann, konnte jedermann sagen, ich brauche diese Daten für die Forschung. Es muß aber doch eine gewisse Kontrolle geben.

- Also ein Korsett für die Forschung? Das ist in der Konsequenz behindernd?

Ich fürchte ja - es wird ein bißchen schwieriger für die Forscher. Aber das wird sie nur dazu bringen, ihre Forschung ein bißchen offener und Dritten gegenüber verantwortlicher zu betreiben.

- Wir haben bisher ständig von der natürlichen Person gesprochen, deren Daten es zu schützen gelte. Wie sehen Sie die Schutzwürdigkeit der juristischen Person? Kleine Unternehmen sind ja gegenüber Multis manchmal in einer Situation wie eine Privatperson.

Unser Ausgangspunkt ist immer die Europäische Menschenrechtskonvention, die in Artikel 27 nicht nur natürlichen Personen, sondern auch Gruppen von Personen oder juristischen Personen Klagerecht bei Verletzungen der Menschenrechte einräumt. In der Praxis haben wir gesehen, daß auch Wirtschaftsunternehmen Interesse an der Wahrnehmung solcher Grundrechte haben können. Datenschutz muß also auch mittelbar sein, denn wenn man eine Kirche nicht schützt, schützt man auch ihre Mitglieder nicht. Aber wir wollen keinem Unternehmen die Möglichkeit geben, zu erfahren, was der Konkurrent über den Mitbewerber in den Büchern stehen hat. Dies ist Wettbewerb und kein Datenschutz.

- Ganz offensichtlich ist Datenschutz aber wegen seiner Wettbewerbsnähe ein Problem der westlichen Marktwirtschaften?

Es gibt Datenschutzprobleme auch in anderen Gesellschaftsformen. Man muß einfach sehen, daß Informationen Macht sind. Und daraus ergibt sich das neue Phänomen Datenschutz: Mit Daten über Personen kann ich Macht gegenüber diesen Personen ausüben, so wie eine Nation Daten über andere Nationen haben kann, um damit Macht auszüben. So herrscht in den Entwicklungsländern größte Besorgnis darüber, Daten, die für die eigene Entwicklung notwendig sind, ohne die Technik anderer Nationen zur Verfügung gestellt zu bekommen. Ich bin schon deshalb überzeugt, daß das Thema. Datenschutz noch lange nicht ausdiskutiert ist.