Mit dem neugewählten Hessischen Datenschutzbeauftragten Prof. Dr. Spiro Simitis sprach CW-Chefredakteur Dr. Gerhard Maurer

- Wenn Datenverarbeiter den Begriff "Datenschutz" hören, dann unterstellen sie - nach Verlauf der bisherigen Diskussionen - vielfach, die Umwelt halte sie für quasi-kriminell und meine, man müsse sie kontrollieren. In der EDV-Fachwelt ist Datenschutz nicht populär.

Man sollte zunächst versuchen, ein Mißverständnis auszuräumen. In allen bisherigen Diskussionen um den Datenschutz pflegt man zunächst die Frage zu stellen: "Können Sie mir irgendwelche Mißbräuche ganz präzise angeben?" denn - so heißt es dann: "Nur wenn solche Mißbräuche wirklich existieren sollten, lohnt es sich über Datenschutz nachzudenken. Sollte es sie umgekehrt nicht geben", so pflegt man weiter zu folgern", ist jede Intervention des Gesetzgebers überflüssig." Jede Institution sei dann gefährlich, weil sie ein Übermaß an Bürokratie schafft. Meiner Meinung nach kommt es gar nicht darauf an, einen Mißbrauch nachzuweisen. Das Entscheidende ist vielmehr die Einsicht, daß unter den gegenwärtigen gesellschaftlichen und wirtschaftlichen Umständen sowohl der Staat als auch die privaten Unternehmen ein ständig wachsendes Maß an Daten ansammeln. Denken Sie zum Beispiel an die Unterlagen, die man braucht, wenn man einen Kredit aufnimmt, oder die Unterlagen die man braucht, wenn man zum Beispiel sich für staatliche Leistungen interessiert. Daraus ergibt sich die Möglichkeit eines Mißbrauchs. Der Datenschutz hat die Aufgabe, präventiv zu wirken. Es geht nicht darum, ob schon Mißbräuche bestehen, sondern darum, daß solche Mißbräuche entstehen könnten. Dagegen gilt es rechtzeitig Barrieren zu schaffen.

- Die Frage sei dennoch gestattet, können Sie mir den einen oder anderen Fall wirklich eindeutigen Mißbrauchs schildern?

Sicherlich lassen sich solche Fälle nennen. Üblicherweise pflegt man auf die Erfahrungen in den Vereinigten Staaten zu verweisen. Das könnte ich jetzt auch machen, aber das überzeugt kaum jemand. Sofort käme die Antwort: "Das mag in Amerika so sein, bei uns ist das von vorneherein anders." Mein Amtsvorgänger Herr Birkelbach hat in seinen Jahres-Berichten eine ganze Reihe von Fällen aufgezählt, in denen der Datenschutzbeauftragte eingreifen mußte. So hatte er über einen Fall in der Stadt Frankfurt berichtet. Dort wurden von der Stadt für die Verkehrsplanung bei Bürgern eine ganze Reihe von Daten erhoben, bei denen man sich in der Tat fragen mußte, in welchem Zusammenhang sie überhaupt mit der Verkehrsleistung stehen. Das ist ein Beispiel. Ein weiteres Beispiel, das Herr Birkelbach ebenfalls erwähnt hatte, war die Weitergabe von Daten aus hessischen Gefängnissen, die Strafgefangene betrafen, an private Unternehmen, die diese Informationen benutzen, um bestimmte Angebote den Familienangehörigen der Strafgefangenen zu machen. Ein weiterer Fall, der in der Bundesrepublik vor nicht allzulanger Zeit eine Rolle gespielt hat und durch die Presse gegangen ist: Sie erinnern sich wahrscheinlich, daß man versucht hat, eine zentrale Kartei zu errichten, in der Personen, über die man den Verdacht hatte sie hätten einen Warendiebstahl begangen, aufgenommen werden sollten. So lange es an einer Entscheidung der Gerichte fehlt, kann nach unseren rechtsstaatlichen Grundsätzen niemand für schuldig gehalten werden. Jede Sammlung, jede Kartei, die bloß Verdächtigungen aufnimmt ist rechtsstaatlich äußerst bedenklich.

- Sie sagen damit selber, daß im gültigen Recht schon Vorkehrungen gegen Mißbrauch mit persönlichen Daten getroffen sind. Da ist das Persönlichkeitsrecht, das im Grundgesetz verbrieft ist, und es gibt viele Spezial Normen für Ärzte, Rechtsanwälte und andere Berufsgruppen. Genügen diese Gesetze nicht? Braucht man wirklich ein Datenschutz-Recht?

Die Normen, die sie erwähnen, sind vorhanden und sogar in den letzten Jahren ausgebaut worden. Allerdings meine ich, daß alle diese Normen nicht genügen, denn sie sind zu allgemein gehalten, um den einzelnen weiterzuhelfen. Nehmen Sie einmal an, Sie wüßten, daß in einer bestimmten Datenbank Angaben über Sie vorhanden sind. Sie hätten weiterhin den Verdacht, daß diese Angaben weitergegeben werden und Sie wollten nunmehr aufgrund des von der Rechtssprechung anerkannten allgemeinen Persönlichkeitsrechts gegen diese Datenbank vorgehen. Die Schwierigkeiten sind unvorstellbar groß. Ich will auf eine einzige verweisen: Die Beweislage ist von vorneherein so, daß Sie derjenige sind, der den Beweis erbringen müßte, daß all dies tatsächlich geschehen ist. Der Datenschutz will durch eine Spezialregel Transparenz schaffen. Sie könnte garantiert werden durch eine externe Kontrolle kombiniert mit einer Reihe von individuellen Rechten. Nur so kann gesichert werden, daß der einzelne sich vor einer mißbräuchlichen Weitervergabe seiner Daten schützen kann.

- Sie erwähnten den Adreßhandel. Welche weiteren kritischen Bereiche in der privaten Wirtschaft und in der öffentlichen Hand sehen Sie, die besonderer Aufmerksamkeit bedürfen?

Jedes allgemeine Datenschutzgesetz bedarf der Ergänzung durch bereichspezifische Regelungen, die auf Besonderheiten der einzelnen Gefahrenbereiche eingehen. Adreßhandel ist einer der möglichen Bereiche. Ein anderer wäre beispielsweise die Versicherungswirtschaft - ich denke an medizinische Daten in diesem Zusammenhang. Ein dritter Bereich wären die Datenbanken, die Angaben über die Arbeitnehmer enthalten - Personaldatenbanken bei den großen Unternehmen. Dort stellt sich die Frage: "Wie werden denn diese Daten verwaltet?" "Wer hat Einsicht in diese Daten?" Das Betriebs-Verfassungsgesetz hat diese Fragen nur äußerst lückenhaft geregelt, in dem es dem Betriebsrat die Möglichkeit einräumt, Einfluß auf den Personalfragebogen zu nehmen. Keinerlei Vorschriften aber enthält es darüber, was denn mit den Daten geschieht, die aufgrund dieses Bogens nun gesammelt werden. Zu nennen wäre auch der Bereich der Kreditwirtschaft. Zu fragen ist auch, ob die Standesämter nach wie vor befugt sein sollen, Daten weiterzugeben an kommerzielle Unternehmen oder an die Presse. Es gibt einen weitverbreiteten Handel der öffentlichen Handel mit Daten Auch dies sind Bereiche, in die man, ich meine, eingreifen muß.

- Datenschutz verursacht Kosten. In den Unternehmungen muß zusätzlich verwaltet werden. Mehr Maschinenzeit wird benötigt für komplexe Zugriffsmechanismen. Wie teuer kommt der Datenschutz? Was kann man den Datenverarbeitern zumuten?

Das ist eine Frage, die ich Ihnen im Augenblick nicht präzise beantworten kann. Korrekterweise muß man sogar sagen, daß es an den nötigen detaillierten Untersuchungen über die Kostenfrage fehlt. Dennoch möchte ich eines bemerken. Ich halte dieses Kostenargument für sehr gefährlich. Es ist ein Gesichtspunkt, der in aller Regel dann auftaucht, wenn bestimmte entscheidende Reformen durch den Gesetzgeber durchgeführt werden sollen. Ich erinnere an den Umweltschutz oder an die Produzenten-Haftung. In beiden Fällen hat man gemeint, das Kostenargument müsse den Gesetzgeber, wenn nicht ganz, so doch partiell von seinen Absichten abhalten. Dies ist eine Umkehrung der Prioritäten, die der Gesetzgeber zu beachten hat. Man muß sich zunächst einmal die Frage stellen: "Welche Interessen stehen auf dem Spiel?" "Welche Maßnahmen schreibt die Verfassung vor?" Dann kann man die

Kostenfrage in die Diskussion einbeziehen. Auch der Terminus "zumutbar" ist ein ambivalenter Begriff, denn zunächst einmal fragte sich "Was heißt denn genau >zumutbar<". Soll jemand, der vor dem Dilemma steht, Datenschutzmaßnahmen durchzuführen, auf seine eigene finanzielle schwierige Lage verweisen können um dann zu sagen, er könne die Maßnahmen nicht durchführen, weil sie ihm nicht zumutbar wären? Ein korrekter Weg wäre, Alternativen aufzuzeigen, also mögliche Modelle und Verfahren des Datenschutzes. Der Betroffene hätte dann das Recht, dasjenige Modell für sich zu wählen, das unter seinen finanziellen Aspekten als das "Zumutbarste" erscheint - also Wahl, nachdem die Prioritäten festgelegt worden sind.

- Wie groß ist ihre Dienststelle?

Sie ist so groß, daß sie die Befürchtungen zerstreut, der Datenschutzbeauftragte könnte eine weitere unakzeptable Vermehrung der Bürokratie mit sich bringen. Genau gesagt, ich habe vier Mitarbeiter, die sich mit den einzelnen Datenschutzfragen in den verschiedenen Bereichen beschäftigen.

- Sind darunter auch EDV-Spezialisten?

Einer meiner Mitarbeiter ist zuständig für die technischen Fragen, er ist spezialisiert auf Dinge wie Datensicherung, Datenerfassung und dergleichen mehr.

- In Ihren wissenschaftlichen Arbeiten zur Datenschutz-Materie haben Sie sich stets für die Fremdkontrolle eingesetzt, das heißt, daß die Überwachung der Daten nicht denen überlassen bleiben sollte, die solche Datenbestände anlegen. Deckt sich Ihre Aufgabe als Hessischer Datenschutzbeauftragter mit diesem Modell?

Nein, sie unterscheidet sich sogar erheblich. Dennoch halte ich das hessische Modell für außerordentlich interessant. Es versucht, ein Gleichgewicht herzustellen zwischen einer Kontrolle durch unabhängige Institution und einer Überwachung von Datenbeständen durch eine Teilnahme der Öffentlichkeit. Der Hessische Datenschutzbeauftragte ist von vornherein auf die Mitarbeit der Öffentlichkeit angewiesen. Er kooperiert mit dem Parlament, aber er kann seine Aufgabe nur erfüllen wenn er gleichzeitig weiß, daß er die Öffentlichkeit mobilisieren kann. Mit Unterstützung durch die Presse müssen Fragen des Datenschutzes jederzeit aufgegriffen werden können, um die Diskussion vor dem Parlament fortzusetzen. In dieser Kombination von Öffentlichkeit und Institutionellem Datenschutz sehe ich die Attraktivität dieses Amtes. Wir werden feststellen ob es nicht möglich ist, auf diese Weise einen effizienten Datenschutz zu erreichen und so den Umfang sonst notwendiger institutioneller Kontrollen zu verringern.

- Ich darf Ihnen versichern, daß die Computerwoche gern bereit sein wird, Sie in dieser Arbeit zu unterstützen - sei es durch Berichterstattung oder dadurch, daß Sie gelegentlich die Rubrik "Gastkommentar" als Forum nutzen.