Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz - 7.04.14

Peter Schaar: "Im Grunde bräuchten wir eine europäische Bürgerrechtsbewegung."

Sven Lüders

Peter Schaar zur Bilanz seiner zehnjährigen Amtszeit als Bundesbeauftragter für Datenschutz. Aus: vorgänge Nr. 204 (4-2013), S. 98-105

PETER SCHAAR   Jahrgang 1954, ist gelernter Ökonom. Er war ab 1980 in der Verwaltung der Hansestadt Hamburg tätig und wechselte 1986 zum Hamburger Landesdatenschutzbeauftragten. 2003 wurde er auf Vorschlag von Bündnis 90/Die Grünen vom Deutschen Bundestag zum fünften Bundesbeauftragte für Datenschutz gewählt. Am 16. Dezember 2013 endete seine zweite und damit letzte Amtszeit als Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI). Seine Nachfolgerin im Amt, Andrea Voßhoff, wurde erst am 19. Dezember vergangenen Jahres vom Parlament gewählt und ist seit dem 6. Januar 2014 im Amt.

In die Amtszeit von Peter Schaar fielen zahlreiche Antiterror- und Sicherheitsgesetze, die Umfang und Intensität staatlicher Überwachungsmaßnahmen erheblich steigerten. Zugleich nahm der Datenaustausch zwischen Polizeibehörden und Geheimdiensten deutlich zu, national wie grenzüberschreitend. Auch jenseits der Sicherheitspolitik ist der Datenhunger öffentlicher Stellen in den vergangenen 10 Jahren erheblich gewachsen, etwa bei den Sozialbehörden, in der Finanzverwaltung oder im Gesundheitswesen. Und nicht zuletzt fällt in diese Zeit auch der rasante Aufstieg von Internetdienstleistern und sozialen Netzwerken wie Google, Facebook, Twitter & Co. Deren Datenberge sind kaum anders als ein Hohn auf Datenschutzprinzipien wie Datensparsamkeit und Zweckbindung zu verstehen.

 

In Ihre zehnjährige Amtszeit als Bundesbeauftragter für Datenschutz und Informationsfreiheit fielen einige grundlegende Entscheidungen des Europäischen Gerichtshofes zur Unabhängigkeit der Datenschutzkontrolle. Hat sich an der Stellung des BfDI dadurch etwas geändert?

Eigentlich nicht. Die Stellung des Beauftragten hätte geändert werden müssen, aber das ist nicht passiert. Die gesetzliche Regelung sieht heute noch genauso aus wie vor zehn Jahren, als ich das Amt angetreten habe. Das Problem ist, dass die beiden von Ihnen angesprochenen Urteile, die die Unabhängigkeit der Aufsichtsbehörden für den Datenschutz stärken, sich nicht direkt auf den Bundesdatenschutzbeauftragten beziehen, sondern in dem einen Fall auf die Stellung der Aufsichtsbehörden in den Ländern und im anderen auf die Stellung der österreichischen Datenschutzbehörde. Beide Urteile sind natürlich gleichermaßen für alle Datenschutzbehörden anwendbar. Dennoch war es mir nicht möglich (obwohl ich immer wieder darauf hingewiesen habe) eine rechtliche Besserstellung zu erreichen. Es blieb dabei, dass der bzw. die heutige Beauftragte der Dienstaufsicht durch den Bundesinnenminister sowie der Rechtsaufsicht durch die Bundesregierung unterliegt. Die Dienststelle ist zudem organisatorisch und personell sehr eng an das Bundesinnenministerium gebunden. Ihr Personal wird praktisch vom Bundesinnenministerium bestimmt. Dies geschieht zwar im Einvernehmen mit dem Amtsinhaber, also dem Bundesdatenschutzbeauftragten, die Auswahlentscheidungen trifft jedoch letztlich das Bundesinnenministerium. Das ist nicht akzeptabel. Also ich denke, da muss dringend etwas geändert werden.

 

Sehen Sie denn einen Weg, die Unabhängigkeit für den Bundesbeauftragten zu erstreiten?

Natürlich. Also ich vermute, dass es demnächst ein Verfahren vor dem Europäischen Gerichtshof gegen die Bundesrepublik gibt, wegen der mangelnden Unabhängigkeit und Stellung des/der Bundesbeauftragten. Vielleicht wird das Bundesinnenministerium ja auch selbst tätig und stärkt dessen Stellung. Gewisse Signale aus dem Ministerium, auch durch den neuen Bundesinnenminister Thomas de Maizière, habe ich bereits wahrgenommen. Wie weit das geht, weiß ich aber nicht.

 

Wo sehen Sie denn noch Nachbesserungsbedarf beim Amt des Bundesbeauftragten, was beispielsweise die Aufgaben, die Kompetenzen oder die Ausstattung betrifft?

Ein Aspekt ist die mangelnde Sanktionsfähigkeit durch den Bundesbeauftragten. Die Landesbehörden haben durchaus Sanktionsmöglichkeiten gegenüber Unternehmen: Sie können zum Beispiel Bußgelder verhängen, sie können auch die Datenverarbeitung bei schweren Verstößen gegen das Datenschutzrecht untersagen. Diese Möglichkeit hat der Bundesbeauftragte gegenüber den nichtöffentlichen Stellen aus dem Post- und Telekommunikationsbereich, die seiner Aufsicht bzw. Kontrolle unterstehen, nicht. Er muss dann an die Bundesnetzagentur herantreten, die aber nicht unabhängig handelt, und sie davon überzeugen, gegebenenfalls ein Bußgeld zu verhängen. Das ist mehr als unbequem und mit der Unabhängigkeit nicht vereinbar.

 

Und wie sieht es mit den Ressourcen aus?

Die Aufgaben des Bundesbeauftragten haben massiv zugenommen. Das Bundesverfassungsgericht hat beispielsweise in seinem Urteil zur Anti-Terror-Datei sehr deutlich gesagt, wie wichtig die effektive und effiziente Kontrolle durch unabhängige Datenschutzbeauftragte ist. Es hat ja praktisch eine Vorgabe gemacht, wie häufig bestimmte sensible Dateien zu überprüfen sind. Das ist mit der derzeitigen Personalausstattung überhaupt nicht zu machen. Trotzdem hat es die alte Bundesregierung abgelehnt, die Personalausstattung nach diesem Urteil zu verbessern. Im Haushaltsplanentwurf für 2014 war keine Stellenerhöhung vorgesehen. Jetzt wird man abwarten müssen, wie sich das unter der neuen Koalition gestaltet.

 

Ich stelle mir die Datenschutzkontrolle von Sicherheitsbehörden als eine diffizile Aufgabe vor, weil die Auswertung und öffentliche Diskussion der Ergebnisse sehr eingeschränkt ist.

Wir sind bei dieser Aufgabe wiederholt an Grenzen gestoßen, weil bestimmte Auskünfte nicht gegeben worden sind. Im Großen und Ganzen waren die Behörden zwar kooperationswillig, aber bisweilen wurde auch gesagt, das sei eine reine Länderangelegenheit. Aber gerade wenn es sich um Verbunddateien handelt, wie bei der Anti-Terror-Datei, dann kommt es darauf an, dass man auch ein Gesamtbild gewinnt. Wenn jeder nur seinen kleinen Ausschnitt aus seinem Bundesland zu sehen bekommt, umgekehrt aber alle Sicherheitsbehörden – ich glaube, es waren am Ende mehr als 60 – auf die gesamte Anti-Terror-Datei zugreifen konnten, dann ist das schon ziemlich asymmetrisch. Das hinterlässt den Eindruck, man stattet die Polizei und Nachrichtendienste mit Ferraris aus und lässt die Datenschutzbehörde mit der Postkutsche hinterher fahren. So darf es nicht sein.

Ein weiterer Aspekt betrifft die Geheimhaltung von Quellen. Da gab es immer wieder Diskussionen, wie weit die Kontrollkompetenz des BfDI gerade im geheimdienstlichen Bereich geht. Ich war immer der Auffassung, dass menschliche Quellen geschützt werden müssen. Aber schon der Hinweis, von welchem ausländischen Nachrichtendienst bestimmte Informationen stammen, wurde quasi unter Quellenschutz gestellt. Das ist etwas, was ich nicht akzeptieren kann.

Ein anderer Punkt ist die Abgrenzung zwischen der Kontrollstruktur für die G 10-Maßnahmen, also jenen Maßnahmen, die seitens der Nachrichtendienste in Artikel 10 des Grundgesetzes eingreifen und ausschließlich durch die G 10-Kommission und das parlamentarische Kontrollgremium kontrolliert werden, und dem Rest nachrichtendienstlicher Tätigkeit außerhalb von G 10. Da gibt es Überschneidungen, und genau diese Schnittstellen sind häufig sehr wichtig, um überhaupt beurteilen zu können, ob zum Beispiel bestimmte Datenspeicherungen berechtigt sind oder nicht. Wenn aber gar kein Einblick in die entsprechenden Unterlagen gewährt wurde, dann konnten meine Mitarbeiter die Rechtmäßigkeit der Speicherung auch nicht beurteilen. Sie bekamen bisweilen viele geschwärzte Akten vorgelegt, mit denen sie wenig anfangen konnten.

 

Das andere Problem – erinnern wir uns an die Online-Durchsuchungen und den Staatstrojaner – ist ja die Frage, bis zu welcher Schwelle Aufsichtsbehörden solche Instrumente kontrollieren dürfen, wenn Teile der Überwachung an Private ausgelagert sind, die dann Geschäftsgeheimnisse geltend machen.

Es ist ein zunehmendes Problem, dass die Behörden vielfach nicht mehr selber bestimmte Software, entwickeln, sondern das outsourcen. Bei der sogenannten Quellentelekommunikationsüberwachung haben wir den Fall erlebt, dass die Firma, die diese Software entwickelt hat, zunächst einmal gar nicht bereit war, meine Mitarbeiter in den Quellcode schauen zu lassen; und dann nur unter Bedingungen, die völlig inakzeptabel waren. Sie sollten sich – unter Androhung hoher Konventionalstrafen – dazu verpflichten, nichts über ihre Erkenntnisse publik werden zu lassen, was aus meiner Sicht überhaupt nicht hinzunehmen war. Denn zur Geheimhaltung waren sie ohnehin verpflichtet. Es kann doch nicht sein, dass eine Firma engere Geheimhaltungsvorgaben macht als der Gesetzgeber und dann beispielsweise im Parlament oder auch gegenüber der Öffentlichkeit nichts gesagt werden darf.

Zudem war es so, dass die Firma Geld für die Begleitung der Prüfung haben wollte. Das ist weder in unserem Haushalt vorgesehen, noch kann es hingenommen werden, dass die Aufsichtsbehörden dafür, dass sie prüfen, die überprüften Stellen oder deren Auftragnehmer auch noch zu bezahlen haben. Das ist mit einer unabhängigen Kontrolle nicht zu vereinbaren.

 

Gibt es aus Ihrer Sicht im Bereich der Datenschutzaufsicht akzeptable Grenzen? Oder würden Sie sagen: Wenn staatliche Behörden private Dienstleister in Anspruch nehmen, haben die sich auch einer öffentlichen Aufsicht zu unterwerfen?

Also ich bin der Auffassung, dass der Staat, egal ob er selbst handelt oder ob er sich irgendwelcher Dritter bedient, voll der Datenschutzkontrolle zu unterliegen hat. Da sollte es keine Ausnahmen geben. Dass man sich über den "Modus" der Kontrolle unterhalten kann – also wie breit etwas angelegt ist, ob es personelle Beschränkungen unter den Mitarbeitern der Datenschutzbehörde gibt, die damit befasst sind – ist ein anderes Thema. Aber grundsätzlich finde ich es nicht hinnehmbar, dass es Stellen gibt, die der rechtsstaatlichen und datenschutzrechtlichen Kontrolle entzogen sind.

 

Im Bundesdatenschutzgesetz fällt auf, dass die Behörde des Bundesbeauftragten sehr auf dessen Person zugeschnitten ist. Sehen Sie das als Problem?

So wie die Dienststelle jetzt aufgestellt ist, kann man das durchaus nachvollziehen. Die Mitarbeiter sind ja zugleich auch Mitarbeiter des Bundesinnenministeriums. Insofern ist ein Zuschnitt auf die Person des/der Beauftragten, die durch das Parlament legitimiert ist, durchaus nachvollziehbar. Allerdings ist das auf Dauer sicher kein besonders sinnvoller Zustand. Im Rahmen einer Strukturreform dieses Amtes sollte auch die Stellung der Mitarbeiter aufgewertet werden.

 

Sehen Sie noch Kontrolllücken im System der Datenschutzaufsicht?

Wir haben natürlich eine große Schwäche in Bezug auf die Datenschutzaufsicht bei der Wirtschaft. Die ist im föderalen System auf Länderebene entstanden. Es gab damals viele Argumente, die dafür sprachen. Nur sehen wir heute, dass die sechzehn unterschiedlichen Aufsichtsbehörden sich in vielen Fällen sehr schwer tun, zu gemeinsamen Positionen zu gelangen. Das führt manchmal sogar so weit, dass ein und derselbe Sachverhalt bei unterschiedlichen Aufsichtsbehörden verschieden beurteilt wird – mit der Konsequenz, dass etwas, das in Schleswig-Holstein zulässig ist, in Bayern nicht zulässig ist, oder umgekehrt.


1

2

Vor