Themen / Datenschutz

Peter Schaar: "Im Grunde bräuchten wir eine europäische Bürger­rechts­be­we­gung."

07. April 2014

Peter Schaar zur Bilanz seiner zehnjährigen Amtszeit als Bundesbeauftragter für Datenschutz. Aus: vorgänge Nr. 204 (4-2013), S. 98-105

PETER SCHAAR   Jahrgang 1954, ist gelernter Ökonom. Er war ab 1980 in der Verwaltung der Hansestadt Hamburg tätig und wechselte 1986 zum Hamburger Landesdatenschutzbeauftragten. 2003 wurde er auf Vorschlag von Bündnis 90/Die Grünen vom Deutschen Bundestag zum fünften Bundesbeauftragte für Datenschutz gewählt. Am 16. Dezember 2013 endete seine zweite und damit letzte Amtszeit als Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI). Seine Nachfolgerin im Amt, Andrea Voßhoff, wurde erst am 19. Dezember vergangenen Jahres vom Parlament gewählt und ist seit dem 6. Januar 2014 im Amt.

In die Amtszeit von Peter Schaar fielen zahlreiche Antiterror- und Sicherheitsgesetze, die Umfang und Intensität staatlicher Überwachungsmaßnahmen erheblich steigerten. Zugleich nahm der Datenaustausch zwischen Polizeibehörden und Geheimdiensten deutlich zu, national wie grenzüberschreitend. Auch jenseits der Sicherheitspolitik ist der Datenhunger öffentlicher Stellen in den vergangenen 10 Jahren erheblich gewachsen, etwa bei den Sozialbehörden, in der Finanzverwaltung oder im Gesundheitswesen. Und nicht zuletzt fällt in diese Zeit auch der rasante Aufstieg von Internetdienstleistern und sozialen Netzwerken wie Google, Facebook, Twitter & Co. Deren Datenberge sind kaum anders als ein Hohn auf Datenschutzprinzipien wie Datensparsamkeit und Zweckbindung zu verstehen.

In Ihre zehnjährige Amtszeit als Bundesbeauftragter für Datenschutz und Informationsfreiheit fielen einige grundlegende Entscheidungen des Europäischen Gerichtshofes zur Unabhängigkeit der Datenschutzkontrolle. Hat sich an der Stellung des BfDI dadurch etwas geändert?

Eigentlich nicht. Die Stellung des Beauftragten hätte geändert werden müssen, aber das ist nicht passiert. Die gesetzliche Regelung sieht heute noch genauso aus wie vor zehn Jahren, als ich das Amt angetreten habe. Das Problem ist, dass die beiden von Ihnen angesprochenen Urteile, die die Unabhängigkeit der Aufsichtsbehörden für den Datenschutz stärken, sich nicht direkt auf den Bundesdatenschutzbeauftragten beziehen, sondern in dem einen Fall auf die Stellung der Aufsichtsbehörden in den Ländern und im anderen auf die Stellung der österreichischen Datenschutzbehörde. Beide Urteile sind natürlich gleichermaßen für alle Datenschutzbehörden anwendbar. Dennoch war es mir nicht möglich (obwohl ich immer wieder darauf hingewiesen habe) eine rechtliche Besserstellung zu erreichen. Es blieb dabei, dass der bzw. die heutige Beauftragte der Dienstaufsicht durch den Bundesinnenminister sowie der Rechtsaufsicht durch die Bundesregierung unterliegt. Die Dienststelle ist zudem organisatorisch und personell sehr eng an das Bundesinnenministerium gebunden. Ihr Personal wird praktisch vom Bundesinnenministerium bestimmt. Dies geschieht zwar im Einvernehmen mit dem Amtsinhaber, also dem Bundesdatenschutzbeauftragten, die Auswahlentscheidungen trifft jedoch letztlich das Bundesinnenministerium. Das ist nicht akzeptabel. Also ich denke, da muss dringend etwas geändert werden.

Sehen Sie denn einen Weg, die Unabhängigkeit für den Bundesbeauftragten zu erstreiten?

Natürlich. Also ich vermute, dass es demnächst ein Verfahren vor dem Europäischen Gerichtshof gegen die Bundesrepublik gibt, wegen der mangelnden Unabhängigkeit und Stellung des/der Bundesbeauftragten. Vielleicht wird das Bundesinnenministerium ja auch selbst tätig und stärkt dessen Stellung. Gewisse Signale aus dem Ministerium, auch durch den neuen Bundesinnenminister Thomas de Maizière, habe ich bereits wahrgenommen. Wie weit das geht, weiß ich aber nicht.

Wo sehen Sie denn noch Nachbesserungsbedarf beim Amt des Bundesbeauftragten, was beispielsweise die Aufgaben, die Kompetenzen oder die Ausstattung betrifft?

Ein Aspekt ist die mangelnde Sanktionsfähigkeit durch den Bundesbeauftragten. Die Landesbehörden haben durchaus Sanktionsmöglichkeiten gegenüber Unternehmen: Sie können zum Beispiel Bußgelder verhängen, sie können auch die Datenverarbeitung bei schweren Verstößen gegen das Datenschutzrecht untersagen. Diese Möglichkeit hat der Bundesbeauftragte gegenüber den nichtöffentlichen Stellen aus dem Post- und Telekommunikationsbereich, die seiner Aufsicht bzw. Kontrolle unterstehen, nicht. Er muss dann an die Bundesnetzagentur herantreten, die aber nicht unabhängig handelt, und sie davon überzeugen, gegebenenfalls ein Bußgeld zu verhängen. Das ist mehr als unbequem und mit der Unabhängigkeit nicht vereinbar.

Und wie sieht es mit den Ressourcen aus?

Die Aufgaben des Bundesbeauftragten haben massiv zugenommen. Das Bundesverfassungsgericht hat beispielsweise in seinem Urteil zur Anti-Terror-Datei sehr deutlich gesagt, wie wichtig die effektive und effiziente Kontrolle durch unabhängige Datenschutzbeauftragte ist. Es hat ja praktisch eine Vorgabe gemacht, wie häufig bestimmte sensible Dateien zu überprüfen sind. Das ist mit der derzeitigen Personalausstattung überhaupt nicht zu machen. Trotzdem hat es die alte Bundesregierung abgelehnt, die Personalausstattung nach diesem Urteil zu verbessern. Im Haushaltsplanentwurf für 2014 war keine Stellenerhöhung vorgesehen. Jetzt wird man abwarten müssen, wie sich das unter der neuen Koalition gestaltet.

Ich stelle mir die Datenschutzkontrolle von Sicherheitsbehörden als eine diffizile Aufgabe vor, weil die Auswertung und öffentliche Diskussion der Ergebnisse sehr eingeschränkt ist.

Wir sind bei dieser Aufgabe wiederholt an Grenzen gestoßen, weil bestimmte Auskünfte nicht gegeben worden sind. Im Großen und Ganzen waren die Behörden zwar kooperationswillig, aber bisweilen wurde auch gesagt, das sei eine reine Länderangelegenheit. Aber gerade wenn es sich um Verbunddateien handelt, wie bei der Anti-Terror-Datei, dann kommt es darauf an, dass man auch ein Gesamtbild gewinnt. Wenn jeder nur seinen kleinen Ausschnitt aus seinem Bundesland zu sehen bekommt, umgekehrt aber alle Sicherheitsbehörden – ich glaube, es waren am Ende mehr als 60 – auf die gesamte Anti-Terror-Datei zugreifen konnten, dann ist das schon ziemlich asymmetrisch. Das hinterlässt den Eindruck, man stattet die Polizei und Nachrichtendienste mit Ferraris aus und lässt die Datenschutzbehörde mit der Postkutsche hinterher fahren. So darf es nicht sein.

Ein weiterer Aspekt betrifft die Geheimhaltung von Quellen. Da gab es immer wieder Diskussionen, wie weit die Kontrollkompetenz des BfDI gerade im geheimdienstlichen Bereich geht. Ich war immer der Auffassung, dass menschliche Quellen geschützt werden müssen. Aber schon der Hinweis, von welchem ausländischen Nachrichtendienst bestimmte Informationen stammen, wurde quasi unter Quellenschutz gestellt. Das ist etwas, was ich nicht akzeptieren kann.

Ein anderer Punkt ist die Abgrenzung zwischen der Kontrollstruktur für die G 10-Maßnahmen, also jenen Maßnahmen, die seitens der Nachrichtendienste in Artikel 10 des Grundgesetzes eingreifen und ausschließlich durch die G 10-Kommission und das parlamentarische Kontrollgremium kontrolliert werden, und dem Rest nachrichtendienstlicher Tätigkeit außerhalb von G 10. Da gibt es Überschneidungen, und genau diese Schnittstellen sind häufig sehr wichtig, um überhaupt beurteilen zu können, ob zum Beispiel bestimmte Datenspeicherungen berechtigt sind oder nicht. Wenn aber gar kein Einblick in die entsprechenden Unterlagen gewährt wurde, dann konnten meine Mitarbeiter die Rechtmäßigkeit der Speicherung auch nicht beurteilen. Sie bekamen bisweilen viele geschwärzte Akten vorgelegt, mit denen sie wenig anfangen konnten.

Das andere Problem – erinnern wir uns an die Online-Durchsuchungen und den Staatstrojaner – ist ja die Frage, bis zu welcher Schwelle Aufsichtsbehörden solche Instrumente kontrollieren dürfen, wenn Teile der Überwachung an Private ausgelagert sind, die dann Geschäftsgeheimnisse geltend machen.

Es ist ein zunehmendes Problem, dass die Behörden vielfach nicht mehr selber bestimmte Software, entwickeln, sondern das outsourcen. Bei der sogenannten Quellentelekommunikationsüberwachung haben wir den Fall erlebt, dass die Firma, die diese Software entwickelt hat, zunächst einmal gar nicht bereit war, meine Mitarbeiter in den Quellcode schauen zu lassen; und dann nur unter Bedingungen, die völlig inakzeptabel waren. Sie sollten sich – unter Androhung hoher Konventionalstrafen – dazu verpflichten, nichts über ihre Erkenntnisse publik werden zu lassen, was aus meiner Sicht überhaupt nicht hinzunehmen war. Denn zur Geheimhaltung waren sie ohnehin verpflichtet. Es kann doch nicht sein, dass eine Firma engere Geheimhaltungsvorgaben macht als der Gesetzgeber und dann beispielsweise im Parlament oder auch gegenüber der Öffentlichkeit nichts gesagt werden darf.

Zudem war es so, dass die Firma Geld für die Begleitung der Prüfung haben wollte. Das ist weder in unserem Haushalt vorgesehen, noch kann es hingenommen werden, dass die Aufsichtsbehörden dafür, dass sie prüfen, die überprüften Stellen oder deren Auftragnehmer auch noch zu bezahlen haben. Das ist mit einer unabhängigen Kontrolle nicht zu vereinbaren.

Gibt es aus Ihrer Sicht im Bereich der Datenschutzaufsicht akzeptable Grenzen? Oder würden Sie sagen: Wenn staatliche Behörden private Dienstleister in Anspruch nehmen, haben die sich auch einer öffentlichen Aufsicht zu unterwerfen?

Also ich bin der Auffassung, dass der Staat, egal ob er selbst handelt oder ob er sich irgendwelcher Dritter bedient, voll der Datenschutzkontrolle zu unterliegen hat. Da sollte es keine Ausnahmen geben. Dass man sich über den „Modus“ der Kontrolle unterhalten kann – also wie breit etwas angelegt ist, ob es personelle Beschränkungen unter den Mitarbeitern der Datenschutzbehörde gibt, die damit befasst sind – ist ein anderes Thema. Aber grundsätzlich finde ich es nicht hinnehmbar, dass es Stellen gibt, die der rechtsstaatlichen und datenschutzrechtlichen Kontrolle entzogen sind.

Im Bundesdatenschutzgesetz fällt auf, dass die Behörde des Bundesbeauftragten sehr auf dessen Person zugeschnitten ist. Sehen Sie das als Problem?

So wie die Dienststelle jetzt aufgestellt ist, kann man das durchaus nachvollziehen. Die Mitarbeiter sind ja zugleich auch Mitarbeiter des Bundesinnenministeriums. Insofern ist ein Zuschnitt auf die Person des/der Beauftragten, die durch das Parlament legitimiert ist, durchaus nachvollziehbar. Allerdings ist das auf Dauer sicher kein besonders sinnvoller Zustand. Im Rahmen einer Strukturreform dieses Amtes sollte auch die Stellung der Mitarbeiter aufgewertet werden.

Sehen Sie noch Kontrolllücken im System der Datenschutzaufsicht?

Wir haben natürlich eine große Schwäche in Bezug auf die Datenschutzaufsicht bei der Wirtschaft. Die ist im föderalen System auf Länderebene entstanden. Es gab damals viele Argumente, die dafür sprachen. Nur sehen wir heute, dass die sechzehn unterschiedlichen Aufsichtsbehörden sich in vielen Fällen sehr schwer tun, zu gemeinsamen Positionen zu gelangen. Das führt manchmal sogar so weit, dass ein und derselbe Sachverhalt bei unterschiedlichen Aufsichtsbehörden verschieden beurteilt wird – mit der Konsequenz, dass etwas, das in Schleswig-Holstein zulässig ist, in Bayern nicht zulässig ist, oder umgekehrt.

Da würden Sie sich für eine Harmonisierung aussprechen?

Jedenfalls für eine viel stärkere Verknüpfung, damit man zum Beispiel über Mehrheitsentscheidungen zu einem Ergebnis kommt. Gerade im Zusammenhang mit der weiteren europäischen Harmonisierung der Datenschutzaufsicht ist es dringend erforderlich, dass man von deutscher Seite mit einer Stimme sprechen kann, anstatt am Ende bei wichtigen Fragen – wie so oft – in der Enthaltung Zuflucht nehmen zu müssen. Das nennt man „the german vote“. Das ist nicht besonders förderlich, wenn man den Datenschutz voranbringen will.

Bei der europäischen Harmonisierung gehören Sie zu den Befürwortern des Entwurfs einer EU-Datenschutzverordnung, zumindest deren Stoßrichtung?

Ja, ich unterstütze die Stoßrichtung der Entwurfs. Im Detail gibt es durchaus Dinge, die man noch verbessern könnte, aber im Grundsatz stand ich dem immer positiv gegenüber und finde es sehr bedauerlich, dass das in dieser Legislaturperiode des europäischen Parlaments nichts mehr wird. Und ob es danach wirklich weitergeht, ist ja alles andere als sicher.

Die Kritik an dem Entwurf kam von verschiedenen Seiten – relativ prominent auch vom Verfassungsrichter Johannes Masing. Hat Sie das überrascht?

So sehr ich das Bundesverfassungsgericht ansonsten schätze, in diesem Punkt fand ich die Kritik an der Datenschutzgrundverordnung falsch. Denn hier geht es ja darum, dass eine Rechtsmaterie, die ohnehin schon europarechtlich geregelt ist, nämlich durch eine Richtlinie, zukünftig durch eine Verordnung geregelt werden soll. Das macht zwar in der „Regelungsmechanik“ einen Unterschied. Aber die Freiheitsgrade, die in der Umsetzung bestehen, sind auch heute nicht so groß, wie man sich das manchmal vorstellt. Das kann man anhand der Entscheidungen nachvollziehen, in denen der europäische Gerichtshof schon die bestehende Richtlinie im Sinne einer Vollharmonisierung ausgelegt hat.

Ich will den Karlsruher Richtern nicht vorwerfen, pro domo unterwegs zu sein. Aber es ist sicher richtig, dass im Zuge der Kompetenzverlagerung auf Europa nationale Verfassungsgerichte ein Stück an Bedeutung verlieren. Umso wichtiger ist es, die Stellung des EuGH zu stärken und genau dafür einzutreten, dass zum Beispiel die Individualverfassungsbeschwerde gegenüber dem EuGH zulässig wird.

Es macht wenig Sinn, Verfassungsrechte nur nationalstaatlich garantieren zu wollen, gerade in einer Materie, die zunehmend globalisiert ist. Wir sehen ja bei den NSA-Aktivitäten, dass dieser territoriale Rechtsansatz die Probleme nicht in den Griff bekommt. Ich finde es bezeichnend, dass gerade Großbritannien sich dagegen sperrt, weitere Kompetenzen an Europa abzugeben. Und wenn die deutsche Bundesregierung da Beihilfe geleistet hat, dann war das sicher nicht im Sinne der Stärkung unserer Grundrechte.

Wie sehen Sie das Argument von Herrn Masing, der EuGH hätte gerade im Datenschutzbereich noch nicht diese ausdifferenzierte und etablierte Grundrechtsprechung wie das Bundesverfassungsgericht vorzuweisen?

Ja gut, aber das Bundesverfassungsgericht hatte bis 1968 auch keine Rechtsprechung zum Datenschutz. Das erste Urteil mit einem direkten Datenschutzbezug ist nach meiner Erinnerung die Mikrozensus-Entscheidung, danach kam das Volkszählungsurteil von 1983. Man sollte dem Europäischen Gerichtshof auch die Möglichkeit einräumen, seine Rechtsprechungspraxis zu entwickeln. Schließlich haben wir jetzt europäische Grundrechte, und in Artikel 8 der europäischen Grundrechte-Charta ist sogar ein explizites Grundrecht auf Datenschutz verankert – anders als im Grundgesetz. Da haben wir nur die Rechtsprechung des Bundesverfassungsgerichts. Insofern finde ich es falsch zu sagen, in Deutschland gäbe es so einen tollen Schutz und der würde jetzt durch Europa aufgeweicht – diese Sichtweise ist zumindest sehr einseitig.

Das andere Argument richtet sich gegen die Zentralisierung bzw. die fehlende Zusammenarbeit des EuGH mit den Fachgerichten.

n diese Richtung muss sich unser Rechtssystem weiter entwickeln. Wir haben ja in vielen Sektoren eine immer engere staatenübergreifende Zusammenarbeit in Europa. Dementsprechend muss sich unser Recht, auch die Rechtsprechung darauf einstellen. Wir sehen zum Beispiel im Bereich der Polizei und Justiz eine immer intensiver werdende Zusammenarbeit der Behörden mit einem immer intensiveren Datenaustausch, aber der Datenschutz in dem Bereich ist nicht annähernd so weit integriert. Deshalb brauchen wir einfach mehr europäisches Datenschutzrecht, das Mindeststandards regelt, ohne die Grundrechtspositionen in den Mitgliedstaaten abzuschleifen. Ich glaube, das ist durchaus möglich.

Wäre nicht auch der Datenschutz der EU-Organe selbst anzugehen?

Das ist kein Entweder-Oder, sondern gehört dazu. Ich habe immer kritisiert, dass die Vorschläge der Kommission die EU-Gremien nicht einbeziehen. Das kann man mit einem Federstrich beseitigen. Die vorgeschlagene Europol-Verordnung der Kommission bleibt hinter dem zurück, was sie den Mitgliedsländern als geltendes Recht vorschlägt. Das ist überhaupt nicht einzusehen.

Welche politischen Möglichkeiten sehen Sie derzeit, den Prozess der EU-Datenschutzgrundverordnung voranzubringen?

Ich denke, von nationaler Ebene muss Einfluss ausgeübt werden, gerade weil im Rat in den letzten Jahren der Widerstand relativ intensiv war. Leider ist es ja so, dass wir keine europäische Öffentlichkeit haben. Immerhin versuchen einige Parteien bei der anstehenden Wahl des Europa-Parlaments stärker als europäische Parteien in Erscheinung zu treten. Das ist natürlich noch weit davon entfernt, wirklich so etwas wie eine politische Öffentlichkeit in Europa zu schaffen. Ich denke, das ist ein ganz wichtiger Punkt: dieses Nationalstaaten überschreitende Verständnis von Grundrechten stärker zu entwickeln. Im Grunde bräuchten wir eine europäische Bürgerrechtsbewegung.

Zum Stichwort Grenzüberschreitung würde mich Ihre Meinung zum NSA-Skandal interessieren. Hat Sie die Tiefe und Reichweite der Kommunikationsüberwachung überrascht?

Das ganze Bild, das sich jetzt abzeichnet, ist natürlich erschreckend, und es offenbart diese völlig unannehmbaren Lücken, die wir in unserem Rechtssystem haben. Das zentrale Problem ist doch die territoriale Beschränktheit des Rechts bei gleichzeitig globalen Aktivitäten von Geheimdiensten und großen Unternehmen. Wir haben ein Rechtssystem, das irgendwo zwischen dem 17. und 19. Jahrhundert in seinen Grundsätzen feststeckt; und wir sind mit einer globalen Herausforderung des 21. Jahrhunderts konfrontiert. Ein Update ist dringend erforderlich.

Aber wir sehen doch, wie schwierig es allein schon ist, dieses Problem auf europäischer Ebene zu lösen?

Ja, aber immerhin könnte man auf europäischer Ebene vorangehen. Denken Sie an die Frage der Geheimdienstaktivitäten, die ja systematisch so gestaltet sind, dass das jeweilige nationale Recht zwar im Wesentlichen nicht verletzt, aber dennoch erfolgreich umgangen wird! Und zwar durch Kooperationsbeziehungen, die sich nicht nur auf das „Five Eyes“-System beschränken. Letztlich findet so doch eine sehr umfassende Überwachung aller statt.

Wenn es einen Punkt gibt, der tatsächlich überraschend, oder sagen wir, katastrophal ist, dann ist das nicht die gezielte Spionage gegen Mitglieder irgendwelcher Regierungen, sondern die anlasslose Massenüberwachung, die ja heute viel mehr Anknüpfungspunkte findet als jemals zuvor. Wir befinden uns in der Übergangsphase zu einer wirklich allgegenwärtigen Datenverarbeitung. Und das bedeutet, dass auch die Überwachung allgegenwärtig wird. Die Telefonüberwachung in den 1950er Jahren war weitgehender, als viele sich das vorstellen konnten – aber sie betraf im Wesentlichen die Telefonverbindungen zwischen Ost und West. Im Inland wurden relativ wenige Telefone abgehört. Heute werden sämtliche Kommunikationsdaten elektronisch gefiltert, wobei es da in Europa trotz Vorratsdatenspeicherung noch Unterschiede gibt. Das ist die zentrale Herausforderung.

Stellt nicht gerade der NSA-Skandal die klassische Wertung in Frage, wonach den Kommunikationsinhalten eine höhere Schutzwürdigkeit zusteht als den sogenannten Metadaten der Kommunikation – also wer, wann, wie mit wem usw.? Wenn wir jetzt sehen, in welcher Weise und in welchem Umfang aus diesen Metadaten Erkenntnisse gezogen werden, müsste doch die Wertung noch einmal überdacht werden, oder?

Diese Wertung muss dringend revidiert werden. Die Vorstellung, dass die sozusagen äußerlichen Informationen relativ harmlos seien und nur die Überwachung der Kommunikationsinhalte als sensibel angesehen wird – das passt nicht mehr angesichts des Umfangs und der näheren Umstände dieser Überwachung. Es gibt ja auch einen ganz klaren Zusammenhang zwischen beiden Seiten der Information: Die Metadaten werden umfassend gesammelt und ausgewertet, sie werden verknüpft mit gefilterten Inhalten und dann wird gezielt identifiziert und abgehört. Das ist sozusagen der Dreisprung der Überwachung, von der umfassenden Überwachung aller zur gezielten Spionage und dem gezielten Überwachen einzelner Personen bzw. Gruppen. Das ist ein extremes Machtpotential, was die Geheimdienste und auch andere Behörden, teilweise sogar Firmen, im Zuge neuerer technischer Entwicklungen gewonnen haben.

Eine letzte Frage zum Abschluss: Was halten Sie rückblickend für Ihren größten Erfolg als Bundesbeauftragter für Datenschutz?

Das ist schwer zu sagen. Ich glaube, die größten Erfolge haben wir indirekt, sozusagen über Bande, mit dem Bundesverfassungsgericht errungen, indem es gelungen ist, das Bundesverfassungsgericht mit guten Argumenten zu munitionieren und damit bestimmte Gesetzgebungsvorhaben oder überbordende Maßnahmen zurückzufahren und da Schranken einzuziehen. Ansonsten gab es sicher immer wieder die kleinen Siege, also dass das eine oder andere Vorhaben abgemildert oder verhindert wurde, aber ich will das nicht überbewerten.

Herzlichen Dank für das Gespräch!
Das Interview führte Sven Lüders.

Dateien

nach oben