Ruth Leuze, Landesbeauftragte für den Datenschutz in Baden-Württemberg

Wer wissen will, wie es um den Datenschutz in Wirklichkeit steht, sollte sich nicht von wohlklingenden Erklärungen und Beteuerungen blenden lassen, sondern muß den Behördenalltag als Meßlatte nehmen.

Die Erfahrungen des Jahres 1989 lassen sich auf den kurzen Nenner "durchwachsen, wolkig bis düster" bringen. Natürlich gab es anerkennenswerte Bemühungen um ein datenschutzgerechtes Vorgehen. Überschattet wurden sie jedoch von einer Vielzahl schlichtweg unverständlicher Verstöße und Mängel:

- Gespickt mit Datenschutzverstößen war die Sicherheitsüberprüfung von Handwerkern, die im Innenministerium Umbauarbeiten durchfuhren sollten. Anstatt mit offenen Karten zu spielen, agierte das Innenministerium hinter deren Rücken. Es verließ sich blindlings auf die angebliche Allwissenheit des Polizeicomputers und schaltete zudem willkürlich den Verfassungsschutz ein. Es speicherte Daten der Handwerker viel zu lange; ja, es scheute sich nicht einmal, in einer Reihe von Fällen an diesen vorbei unter Verweigerung Beglichen rechtlichen Gehörs den Firmenchefs zu sagen, ihre Männer dürfen aus Sicherheitsgründen das Dienstgebäude nicht betteten. So erging es zum Beispiel einem Möbelpacker allein deshalb, weil er vor mehr als neun Jahren bei einer Fahrt mit einem Lastwagen einem anderen Lastwagenfahrer den "Vogel" gezeigt haben soll.

- Wie wichtig der Schutz gefährdeter Personen vor terroristischen Anschlägen ist, weiß jeder. Die Polizei darf jedoch dabei nicht mehr als erforderlich in die Rechte unbeteiligter Bürger eingreifen. Daran ließ es die Polizeidirektion Sigmaringen fehlen, als sie 1989 monatelang zum Schutz eines gefährdeten Politikers in der Umgebung dessen Wohnung, systematisch die Kennzeichen durchfahrender oder parkender Autos heimlich notierte und nachprüfte. Die Polizeidirektion Sigmaringen schaltete dabei völlig unnötig viel zu viele Polizeidienststellen ein, speicherte die Daten der Autofahrer zu lange in Karteien und hebt heute noch viele der schriftlichen Meldungen ihrer Polizeibeamten über die gemachten Beobachtungen auf. Weil die Polizei dies alles freilich lieber für sich behalten hätte, versuchte sie, die durch einen Bürger ausgelöste Kontrolle der Datenschutzbeauftragten durch mancherlei Finessen zu blockieren.

Ein gewisser Lichtblick bei alledem war die Reaktion des Innenministeriums auf die Beanstandung. Es räumte immerhin ein, daß sich die Polizeidirektion Sigmaringen durchaus datenschutzgerechter hätte verhalten können. Dies zeigt, daß sich manchen Unkenrufen zum Trotz Personenschutz und Datenschutz durch aus unter einen Hut bringen lassen.

Die Sigmaringer Ereignisse richten erneut das Augenmerk auf ein immer ärgerlicher werdendes Manko. Wer wissen will, ob und unter welchen Umständen die Polizei heimlich Autokennzeichen notieren und Autofahrer abklären darf, sucht in den Gesetzen vergeblich, wo die Grenze des Zulässigen verläuft. Sechs Jahre nach den grundlegenden Ausführungen des Bundesverfassungsgerichts zum Grundrecht auf Datenschutz hätten Bürger und Polizei Klarheit in einer so wichtigen Frage verdient. Der Gesetzgeber muß endlich Farbe bekennen, was die Polizei heimlich machen darf und was nicht.

Mängel und Verstöße zeigten sich aber beileibe nicht nur bei der Polizei:

- So speichern manche Bußgeldstellen bei Bürgermeisterämtern und Landratsämtern in ihren Computern immer noch Verkehrssünder wegen längst erledigter Parkverstöße, Geschwindigkeitsüberschreitungen und anderen Ordnungswidrigkeiten im Straßenverkehr. Dadurch entstehen zwangsläufig in Konkurrenz zum Verkehrszentralregister beim Flensburger Kraftfahrt-Bundesamt örtliche Verkehrssünderkarteien, die es eigentlich nicht geben sollte. Das Innenministerium muß diesen Wildwuchs beschneiden und alle Bußgeldstellen anweisen, was sie zu tun und was sie zu lassen haben.

- Ein Kapitel für sich sind die Antragsformulare der Sozialämter, die auf Sozialhilfe angewiesene Bürger ausfallen müssen. Die Ämter zwingen sie damit, mehr von sich und ihren Angehörigen preiszugeben, als sie für ihre Entscheidung tatsächlich wissen müssen. Was soll zum Beispiel die ultimative Aufforderung an jemand, der einmal Kleiderhilfe beantragt, er solle künftig jede Änderung des Familieneinkommens und der Vermögensverhältnisse, jeden Krankenhausaufenthalt und die Aufnahme einer Arbeit unaufgefordert und unverzüglich mitteilen? Viel zu weit geht es auch, wenn Hilfesuchende unabhängig von der Art, Dauer und Höhe der beantragten Unterstützung Auskunft über alles geben sollen, was sie in den letzten zehn Jahren verschenkt haben - ganz gleich, ob es sich um ein kleines Geburtstagsgeschenk für das eigene Kind oder ähnliches handelt. Ein ständiges Ärgernis sind auch die demütigenden pauschalen Einwilligungserklärungen, die Sozialämter abverlangen, damit sie bei Gott und der Welt Auskünfte einholen können.

- Mehr als frappierend ist, wie unterschiedlich es die Steuerverwaltung mit dem Steuergeheimnis hält. Geht es um den Datenfluß innerhalb des Finanzamts oder zwischen den Finanzämtern, ist Großzügigkeit oberstes Gebot. Übersendet zum Beispiel ein Notar pflichtgemäß die Abschrift eines beurkundeten Kaufvertrags zur Festsetzung der Grunderwerbssteuer an das Finanzamt, erfahren davon sofort auch all diejenigen Finanzbeamten, welche Verkäufer und Käufer zur Einkommenssteuer und Vermögenssteuer veranlagen. Noch mehr: Die drei Oberfinanzdirektionen im Lande können sich per Knopfdruck am Bildschirm die Steuerdaten aller Steuerpflichtigen anzeigen lassen, welche die Finanzämter ihres Bezirks speichern. Infolgedessen können zum Beispiel die zwei bis drei Mitarbeiter der Oberfinanzdirektion Stuttgart, welche pro Jahr die Beschwerden von 500 bis 600 Steuerpflichtigen in Vollstreckungsangelegenheiten bearbeiten, tagtäglich die Daten von zwei Millionen Steuerzahlern abrufen. In krassem Gegensatz dazu steht das krampfhafte Bemühen der Steuerverwaltung, daß die Datenschutzkontrolle ja keine Daten Steuerpflichtiger zu Gesicht bekommt. Das Steuergeheimnis dient ihr dabei als Vorwand - ganz so, als ob es das Finanzamt und nicht den Bürger schützt.

- Schwere Mängel zeigten sich bei einer Kontrolle des Rechenzentrums der Universität Freiburg. Dort konnten ausgeschiedene Mitarbeiter weiterhin als berechtigte Benutzer arbeiten, weil das Rechenzentrum oft deren Abrechnungsnummern und Benutzerkennungen nicht kannte und deshalb nicht löschen konnte. Paßworte wurden über Jahre hinweg nicht geändert. Schied ein Mitarbeiter aus, vererbte er es ganz einfach an seinen Nachfolger. Solches passierte selbst mit dem Paßwort, das den Zugang zum zentralen Zugriffsschutzsystem eröffnete. Unzulänglich waren auch die Vorkehrungen gegen Hackerangriffe: Infolge der weltweiten Vernetzung des Rechenzentrums wäre es möglich gewesen, von jedem beliebigen Ort Eindringungsversuche zu starten; die Hacker hätten sich dabei ruhig Zeit lassen können, da die Verbindung nicht einmal nach einer Anzahl von Fehlversuchen automatisch abbrach.

- Erhebliche Datensicherungsmängel zeigten sich teilweise auch bei anderen Behörden. Vielfach waren EDV-Programme nur unzulänglich getestet und nicht ausreichend kommentiert. Oft fehlten schriftliche Nachweise, daß und wann die Verantwortlichen die EDV-Verfahren zum Einsatz freigegeben hatten. Besonders erstaunlich waren die weit verbreiteten Mängel beim Paßwortschutz.

Neben der Kontrolltätigkeit waren 1989 neue wichtige Entwicklungen für den Datenschutz zu beobachten. Wir versuchten, diese zu beeinflussen, zum Beispiel durch Mitwirkung an einer Reihe von Gesetzesvorhaben:

- Höchste Aufmerksamkeit verdient die Entwicklung der Informationsverarbeitung in der Europäischen Gemeinschaft. Ziel muß es sein, innerhalb der Gemeinschaft ein möglichst gleichwertiges Datenschutzniveau zu erreichen.

- Wegen der Fortschritte der Gentechnologie sollte der Gesetzgeber schnellstmöglich die Rahmenbedingungen festlegen, um die Risiken aus dieser neuen Technik auf ein erträgliches Maß zu reduzieren.

- Vor allem wird es hohe Zeit, daß man möglichst bald in allen Verwaltungsbereichen zu einem verfassungskonformen Datenschutzrecht kommt. Leider zeigt sich dabei zunehmend die Tendenz, das Volkszählungsurteil nur als formalen Auftrag zu werten. Man sieht zwar ein, daß der Gesetzgeber tätig werden muß, ist jedoch darum bemüht, die bisherige Praxis möglichst zu legalisieren und der Verwaltung sogar vielfach noch mehr Spielraum zu eröffnen. Sinnfälligen Ausdruck findet diese Denkweise in der Forderung des Finanzministeriums, die Steuerverwaltung vom Zweckbindungsgebot zu befreien, weil sonst deren bisherige Praxis, Steuerdaten auch für andere Steuerzwecke zu verwenden und weiterzugehen, in Frage steht. Datenschutz verkümmert so zur reinen Beschäftigungstherapie für den Gesetzgeber.

- Auch das wichtigste Gesetzgebungsvorhaben, die derzeit im Gange befindliche Novellierung des Landesdatenschutzgesetzes, ist nicht etwa zukunftsweisend angelegt, sondern geradezu ängstlich darauf bedacht, nur das zu verändern, was praktisch unumgänglich ist. Nur in einem Punkt ist der Gesetzentwurf geradezu revolutionär: Seine Verfasser haben den Datenschutz als Instrument zur Zurückdrängung der unbequemen Datenschutzkontrolle entdeckt und machen in vielen Verwaltungsbereichen - vornehmlich in Krankenhäusern, Finanzämtern und bei Personalbehörden - systematische Kontrollen unmöglich, indem sie das Einwilligungsprinzip als großen Fortschritt für den Bürger propagieren.

In Wirklichkeit ist dies ein Danaergeschenk: Die Bürger bekommen dadurch tatsächlich nicht mehr, sondern weniger Datenschutz als bisher, weil sich die Kontrollinstanz dann auf die paar wenigen, ihr mit Namen bekannten beschränken müßte, die vielen ihr Unbekannten aber ebenso schutzbedürftig sind. Nicht genug damit: Die CDU-Fraktion sieht in der unabhängigen Kontrollbehörde sogar schon den Orwell'schen Großen Bruder - also die Instanz, die es darauf anlegt, die Bürger völlig zu durchleuchten. Gründlicher kann man die Aufgaben und Möglichkeiten der Unabhängigen Datenschutzkontrolle nicht verkennen.

Die Datenschutzkontrolle kann nämlich, selbst wenn sie wollte, die weißwo über Bürger gespeicherten Daten nicht zusammen führen, weil sie deren Lebensbezüge Oberhaupt nicht oder nur ganz ausschnittsweise kennt. Deshalb ist es ihr nicht einmal dann möglich, wenn sie Bürger ausdrücklich darum bitten, zu sagen, wer überall welche Daten über sie speichert.