Peter Schaar

Europäische Datenschutzrichtlinie - Wird die Umsetzung verschleppt?

Grundrechte-Report 1998, S. 233-237

Mit der stürmischen Entwicklung des Internet scheinen die informationstechnischen Grenzen zwischen den Nationalstaaten, ja sogar zwischen den Kontinenten zu verschwinden. Daraus resultieren nicht nur Vorteile für den Nutzer neuer Online-Dienste, die im World Wide Web "surfen", sondern es entstehen auch erhebliche neue Risiken für das informationelle Selbstbestimmungsrecht, den Datenschutz: Wer sich der neuen technischen Möglichkeiten bedient, läuft zugleich Gefahr, daß sein individuelles Verhalten an verschiedensten Stellen registriert wird und daß die Inhalte, die er vermeintlich vertraulich mit einem elektronischen Brief versendet, an vielen Stellen unbemerkt gelesen, kopiert, verändert oder auch auf andere Weise manipuliert werden können. Dabei ist dem einzelnen häufig nicht einmal klar, welchen Weg seine Nachrichten durch die unzähligen Maschen des Netzes nehmen. So kann es vorkommen, daß ein elektronischer Brief, der von Hamburg nach Berlin gesandt wird, Zehntausende Kilometer zurückgelegt hat, bis er nach wenigen Sekunden den Empfänger erreicht.

Grenzüberschreitende Datenverarbeitung findet beileibe nicht nur im Internet statt. Selbst in Bereichen, in denen man dies zunächst nicht vermutet, befindet man sich informationstechnisch außerhalb der Landesgrenzen. Ein Beispiel hierfür sind sogenannte Call-Center, telefonische Serviceeinrichtungen, die mittlerweile von den verschiedensten Unternehmen angeboten werden. Insbesondere international agierende Unternehmen betreiben zentrale europäische Call-Center, an die sämtliche eingehende Anrufe weitergeleitet werden. So kann es geschehen, daß ein deutscher Kunde sein Telefonbanking in Irland abwickelt, in der Ansicht, er sei mit der Frankfurter Filiale seiner Bank verbunden.

Auch bei öffentlichen Stellen nimmt die informationelle Europäisierung zu; vor allem auf polizeilicher Ebene sind inzwischen große Datenbestände entstanden, die europaweit online abgerufen werden können; bei Asylbewerbern wird ebenfalls eine europaweite Registrierung angestrebt, die sogar die Fingerabdrücke elektronisch erfaßt.

Das informationstechnische Verschwinden von nationalen Grenzen macht datenschutzrechtliche Gegenstrategien erforderlich. Hierzu gehören technische Maßnahmen, zum Beispiel die Verschlüsselungstechnik, die hier nicht näher betrachtet werden sollen. Ein wirksamer Datenschutz setzt jedoch auch die Weiterentwicklung der internationalen Rechtsordnung voraus.

Diese Notwendigkeit ist durchaus frühzeitig erkannt worden. Schon 1980 hat die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) eine Empfehlung über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten beschlossen. Ein Jahr später folgte der Europarat mit seinem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Auch die Vereinten Nationen haben 1990 Richtlinien für personenbezogene Daten in automatisierten Dateien formuliert. Gemeinsam war diesen Vorschriften jedoch, daß ihre Umsetzung den jeweiligen Mitgliedsstaaten freigestellt blieb. Dementsprechend gibt es bis heute viele Staaten, in denen entweder überhaupt keine oder unzureichende Datenschutzvorschriften gelten.

Erst mit der Europäischen Datenschutzrichtlinie ist der Versuch unternommen worden, in den Ländern einer Weltregion Mindeststandards für den Datenschutz verbindlich vorzugeben. Die Mitgliedsstaaten der Europäischen Union sind verpflichtet, spätestens bis zum Oktober 1998 die Vorgaben der Richtlinie umzusetzen. Dies hat dazu geführt, daß verschiedene europäische Staaten, in denen es bisher keine datenschutzrechtlichen Bestimmungen gab, inzwischen Datenschutzgesetze beschlossen haben (z. B. Italien und Griechenland). In Deutschland gibt es noch immer (Dezember 1997) nicht einmal einen Kabinettsbeschluß zu einer Datenschutz-Novelle, obwohl die Umsetzungsfrist im Oktober 1998 abläuft. Die fristgemäße Umsetzung der Richtlinie in deutsches Recht ist insofern äußerst fraglich. Ein in diesem Fall wahrscheinliches Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof scheint die Bundesregierung nicht zu schrecken.

In einem Anfang 1997 veröffentlichten ersten Entwurf praktiziert das Bundesinnenministerium einen Minimalismus, den man in anderen Bereichen, etwa im Strafrecht oder bei Grundrechtsverkürzungen im Asylbereich, leider vergeblich sucht. Die Devise scheint zu sein: Alles soll beim alten bleiben. Diese Haltung ist dort besonders ärgerlich, wo die europäische Richtlinie höhere Anforderungen an den Datenschutz stellt als das Bundesdatenschutzgesetz, etwa bei der Datenverarbeitung durch nicht-öffentliche Stellen.

Die deutschen Datenschutzbeauftragten hatten bereits auf ihrer Konferenz im März 1996 Verbesserungsvorschläge angeregt. Ihre wichtigsten Forderungen sind im Entwurf des Bundesinnenministeriums nicht erfüllt worden. Nicht realisiert wurden insbesondere

- die Vereinheitlichung der Vorschriften für den öffentlichen und privaten Bereich mit dem Ziel eines hohen, gleichwertigen Schutzes der Betroffenen, beispielsweise bei der Datenerhebung und bei der Zweckbindung bis hin zur Verarbeitung in Akten,

- die Erweiterung der Rechte der Betroffenen auf Information durch die datenverarbeitenden Stellen,

- eine Verpflichtung zu Risikoanalyse, Vorabkontrolle, Technikfolgenabschätzung,

- die Verbesserung der Organisation und Stärkung der Befugnisse der Datenschutzkontrolle unter den Gesichtspunkten der Unabhängigkeit und der Effektivität sowie

- die Weiterentwicklung der Vorschriften zur Datensicherheit, insbesondere im Hinblick auf Miniaturisierung und Vernetzung.

Das Bundesinnenministerium hat außerdem die Vorschläge der Datenschutzbeauftragten ignoriert, bei der anläßlich der Anpassung an die europäischen Vorgaben ohnehin notwendigen Novellierung des Bundesdatenschutzgesetzes für eine Modernisierung der Vorschriften zu sorgen, indem zum Beispiel der Schutzbereich bei Bild- und Tonaufzeichnungen und bei der Video-Überwachung erweitert und besondere Regelungen für Chipkarten-Anwendungen erlassen werden sollten, um die datenschutzrechtliche Verantwortung aller Beteiligten festzulegen und den einzelnen vor unfreiwilliger Preisgabe seiner Daten zu schützen.

Selbst wenn die Vorgaben der EU-Richtlinie umgesetzt würden, wird dies die datenschutzrechtlichen Defizite nicht vollständig ausräumen, denn die Richtlinie ist in manchen Bereichen nur ein Kompromiß auf niedrigem Niveau. Besonders ärgerlich ist, daß keine effektive und unabhängige europäische Datenschutz-Kontrollinstanz vorgesehen ist. Damit sind personenbezogene Daten, die von Organen der Europäischen Gemeinschaft verarbeitet werden, weniger geschützt als Daten, die von öffentlichen Stellen der Mitgliedsstaaten verarbeitet werden. Zwar sieht die Richtlinie die Einrichtung einer unabhängigen europäischen Datenschutzgruppe vor, doch soll diese Gruppe lediglich beratende Funktion haben. Wie notwendig ein effektiver Datenschutz bei europäischen Institutionen ist, wurde bei Europol deutlich (siehe Beitrag in diesem Band), wo trotz weitgehender Ermittlungsbefugnisse keine angemessene Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben vorgesehen ist. Dabei ist Europol nur der Anfang: Im Bereich der Statistik, in der Asylpolitik, im Wirtschafts-, Steuer- und Sozialbereich entstehen umfangreiche Datensammlungen bei europäischen Institutionen, die einer effektiven Datenschutzkontrolle unterliegen müssen.

 

 

 

Dieter Deiseroth

Verfassungswidrige NATO-Nuklearpolitik? - Nach dem Richterspruch des Internationalen Gerichtshofs

 


Coverbild Grundrechte-Report 1998