Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel, Datenschutz - 1.02.15

Datenschutz-Index für Sicherheitsdatenbanken

Michael Kuhn

aus: vorgänge Nr. 206/207 (Heft 2-3/2014), S. 152-162

Bewertungsergebnisse für die Antiterrordatei

(Red.)Um eine staatliche oder private Datenbank aus Datenschutzsicht angemessen bewerten zu können, müssen viele Dinge berücksichtigt werden. Dazu zählen u.a. die rechtlichen Rahmenbedingungen, technische Sicherheitsstandards, faktische Arbeitsabläufe. Entsprechend schwierig ist deshalb die bürgerrechtliche Bewertung einer Datenbank in einfachen Worten, die für Laien verständlich, übersichtlich und dennoch präzise ist. Für eine schnell zu erfassende Bewertung solcher Datenbanken könnte ein Datenschutz-Index helfen. Michael Kuhn stellt ein mögliches Modell eines solchen Indexes vor.

 


Die Anzahl staatlicher Datenbanken ist heute kaum mehr zu überschauen. So existierten etwa im Jahr 2011 allein für die polizeiliche Gefahrenabwehr und Prävention 69 bundesweite Datenbanken beim Bundeskriminalamt (BKA), der Bundespolizei und dem Zollkriminalamt. Diese Datenbanken enthielten 15.694.595 Datensätze, wie eine parlamentarische Anfrage der Linken (BT-Drs. 71/7160) ergab. Das lässt erahnen, welche Datenmassen bei staatlichen Stellen vorhanden sind, wenn man neben dem Bund auch die Länderebene oder die zahlreichen anderen behördlichen Tätigkeitsbereiche in den Blick nimmt. Selbst wenn diese Informationen alle zugänglich wären – sich einen schnellen Überblick über staatliche Datensammlungen zu verschaffen und ihr Gefährdungspotential für die Bürgerrechte zu erkennen, ist kaum zu leisten. Ausgehend von den Ergebnissen des Projekts „Staatliche Datensammlung – Sind Bürger_innen gefährdet?“, an dem sich die Humanistische Union in den letzten beiden Jahren beteiligte, möchte ich die Möglichkeiten und Grenzen eines Datenschutz-Indexes diskutieren, mit dem staatliche Datenbanken systematisch bewertet werden können.

Das Projekt „Staatliche Datensammlung – Sind Bürger gefährdet?

Die Schwierigkeiten, die es bereiten kann, aus der Vielzahl staatlicher Datenbanken die besonders problematischen und diskussionswürdigen herauszufiltern, wurden besonders deutlich bei der Durchführung des Projektes „Staatliche Datensammlung – Sind Bürger gefährdet?“ (nachfolgend „Projekt“).(1) Grundidee des Projektes war es, staatliche Datenbanken verschiedener Bereiche in einer Reihe europäischer Länder zu vergleichen. Die Ergebnisse des Vergleichs sollten in leicht verständlichem, übersichtlichem Informationsmaterial zusammengefasst werden. Dazu zählten ein Online-Quiz, ein Datenschutzpass und ein übersichtliches Ranking („Hitparade“) der untersuchten Länder, u.a. Deutschland, Großbritannien, Österreich, Frankreich, Portugal, Spanien, Ungarn, Polen, Tschechien, Luxemburg und Griechenland.

Bereits die Suche nach einer geeigneten Methode für den Vergleich der Datenbanken gestaltete sich als schwierig. Die Projektteilnehmer_innen einigten sich darauf, zunächst Datenbanken in jedem Feld nach ihrer Gefährlichkeit oder besonderen Relevanz in der öffentlichen Diskussion herauszusuchen und diese Einschätzung anhand eines gemeinsam entwickelten Fragebogens zu erklären. Die Fragebögen waren die Grundlage für die gemeinsam erstellte vergleichende Analyse.

Allerdings war das Projekt auf die Erstellung von knappem und verständlichem Informationsmaterial für Bürger_innen ausgerichtet, das auch in mehreren europäischen Ländern funktionieren sollte. Die daraus folgenden Probleme, die umfangreichen Informationen und Wertungen nachvollziehbar und sinnvoll zu verdichten, zeigten sich besonders an der „Hitparade“. Das ambitionierte Ziel bestand darin, auf einer Druckseite die untersuchten Dateien in den verschiedenen Ländern knapp und übersichtlich nach ihrer „Gefährlichkeit“ in einem Datenschutzranking von „sehr gut“ bis „sehr schlecht“ darzustellen. Dazu wurden die Datenbanken anhand der Fragebögen in den Dimensionen „Gefährlichkeit“, „Transparenz“, „Rechtsschutzmöglichkeiten“ und „Einfluss der Datenschutzbehörden“ bewertet. Die dabei vergebenen Noten waren für die anderen Projektteilnehmer_innen aber kaum nachvollziehbar und die Gesamtergebnisse am Ende teilweise unplausibel. Ein Grund dafür mag gewesen sein, dass Datenbanken im eigenen Land – über das man schließlich am besten informiert ist – negativer bewertet werden als die ausländischen Datenbanken, die man nur aufgrund der Recherchen und der knappen Fragebögen kennt. Zudem waren die genannten Bewertungskriterien ohne weitere Erläuterung keineswegs selbsterklärend, weshalb die Bewertungen am Ende sehr subjektiv ausfielen. Ist z.B. der Rechtsschutz nur schwer, wenn falsche oder rechtswidrige Einträge schwer zu korrigieren bzw. löschen sind, oder bereits dann, wenn die Betroffenen nie oder nur in Ausnahmefällen über ihre Speicherung benachrichtigt werden (was i.d.R. die Voraussetzung für die Wahrnehmung des Rechtsschutzinteresses ist)?

Sinn eines Datenschutzindexes

Trotz der dargestellten Probleme beim datenschutzrechtlichen Bewerten und Vergleichen von Datenbanken stellt sich die Frage, ob die Grundidee einer knappen und aussagekräftigen Wertung von Datenbanken nicht doch sinnvoll ist und für die Arbeit einer Bürgerrechtsorganisation fruchtbar gemacht werden kann. Der Mehrwert eines solchen Verfahrens bestünde in einem konzentrierten Überblick über bestehende Datenbanken, mit dem Interessierte eine ihnen unbekannte Datenbank schnell beurteilen und die besonders problematischen Aspekte einer Datenbank schnell erfassen können. Damit geht ein Datenschutzindex in eine ähnliche Richtung wie das „Datenschutzgütesiegel“, das die Stiftung Datenschutz für den privaten Bereich erarbeiten soll. Im Gegensatz zu Verbraucher_innen haben Bürger_innen, die sich mit staatlichen Datenbanken beschäftigen, natürlich nicht die Möglichkeit, Produkte ohne Gütesiegel bzw. mit einer schlechten Wertung einfach zu meiden. Dennoch ist es möglich, mit Hilfe eines Datenschutzindexes ein besseres Bewusstsein für die Probleme staatlicher Datensammlungen zu schaffen und so das Interesse von Bürger_innen an der Wahrnehmung ihrer Auskunfts- und Beschwerderechte zu verbessern. Ein transparenter Datenschutzindex könnte an Initiativen wie „Reclaim your data“ anknüpfen. Eine griffige Bewertung von Datenbanken anhand einer Note, die evtl. mit Farben oder Symbolen untermalt wird (etwa wie das vieldiskutierte Wertungssystem der „Lebensmittelampel“) hätte zudem einen hohen Wiedererkennungswert und könnte eine Art Markenzeichen für den Datenschutz werden. Da die datenschutzrechtliche Debatte häufig um private Akteure wie Facebook oder Google kreist, könnte der Datenschutzindex dazu beitragen, Bürger_innen bewusst zu machen, dass auch der Staat in kaum überschaubarem Ausmaß persönliche Daten speichert und verknüpft.

Grundsätzliche Probleme und Grenzen eines Datenschutzindexes

Das Projekt „Staatliche Datensammlung“ hat die grundsätzlichen Schwierigkeiten bei der Erarbeitung eines Datenschutzindexes deutlich gemacht. Aus den Erfahrungen kann man folgern, dass auf eine datenschutzrechtliche Gesamtbewertung ganzer Politikfelder oder ganzer Länder aufgrund des Umfangs und der Komplexität des Themas besser verzichtet werden sollte. Die Ergebnisse wären entweder sehr vage oder aufgrund individueller Besonderheiten ohne eingehende Hintergrundinformationen kaum verständlich; vor allem, wenn man eine knappe rechtsvergleichende Bewertung darstellen möchte. Das lässt sich an den teilweise ganz unterschiedlichen nationalen Befindlichkeiten verdeutlichen. So wird etwa das Melderegister in Deutschland kaum grundsätzlich problematisiert, während die Einführung eines vergleichbaren Registers in Großbritannien nach einer großen öffentlichen Debatte gestoppt wurde. Umgekehrt wäre eine zentrale Schülerdatei voll sensibler Daten, wie sie in Großbritannien existiert und erstaunlich wenig diskutiert wird, in Deutschland politisch und rechtlich undenkbar. Sicherlich können auch breit angelegte Vergleiche zu informativen Ergebnissen führen, die als Diskussionsgrundlage nutzbar sind. Das zeigen nicht zuletzt der Privacy Index oder der Surveillance Monitor von Privacy International.

Verengt man den Fokus dagegen auf die Bewertung einzelner nationaler Datenbanken, lässt sich jedoch ein Datenschutzindex präziser und zugleich handhabbarer gestalten. Dabei muss jedoch das methodische Vorgehen transparent gemacht werden. Eine einzelne Bewertung einer Datenbank allein ist aufgrund der vielfachen Ausgestaltungsmöglichkeiten von Datenbanksystemen, der darin gespeicherten Daten und ihrer Verwendungen kaum aussagekräftig. Die Aussagekraft der Bewertung beruht daher auf der Angabe der einzelnen untersuchten Kriterien und der Angabe, mit welcher Gewichtung diese in die Bewertung eingehen. Letztlich bleibt eine solche Bewertung von Datenbanken dennoch subjektiv, wird aber zumindest nachvollziehbar und in sich konsequent.

Folgerungen und Skizze eines möglichen Vorgehens

Ausgehend vom Projekt „Staatliche Datensammlung“ erfolgt die Analyse einer zu bewertenden Datenbank anhand eines einheitlichen Rasters, das in mehrere Kategorien unterteilt ist. Einige Kategorien sind rein informativ, wie etwa die Auflistung der nationalen und ggf. europäischen Rechtsgrundlagen, die zuständigen Behörden (für evtl. Auskunftsersuchen), das Datum der Errichtung, ggf. die Vorgeschichte der Datenbank, Stellungnahmen der Datenschutzbehörden oder zivilgesellschaftlicher Initiativen. Für die eigentliche Bewertung sind dagegen fünf Kategorien maßgeblich: Zweck, Inhalt, Datenzugriff, Datenverwaltung und Datenkontrolle. Nach diesen Kriterien wird die Datenbank bewertet, wobei sich die Schulnotenskala von 1 (sehr gut) bis 6 (ungenügend) anbietet.

Die Benotung sollte erläutert werden, da ein solches System nicht selbsterklärend ist. Als Grundlage der Benotung kann zunächst eine Sammlung kurzer Beispiele dienen, die Hinweise zur Gewichtung der einzelnen Kriterien gibt und möglichen Missverständnissen vorbeugt. Trotz der angestrebten Systematik sollte das Bewertungsschema aber offen gestaltet sein, um den Besonderheiten der individuellen Datenbank zu entsprechen. Das Bewertungsraster kann sich mit seiner Anwendung in der Praxis und den sich dort zeigenden Zweifelsfragen weiter entwickeln, wäre also kein starres Muster. In der genaueren Ausarbeitung wäre auch zu überlegen, ob die Bewertungskriterien und ihre Erläuterungen je nach dem Anwendungsbereich der Datenbank (z.B. Polizei, Gesundheitswesen, Bildung) variieren sollten und ob zwischen privat geführten Datenbanken – ob privat veranlasst oder auf staatlicher Anordnung beruhend – unterschieden werden soll. Die Aussagekraft der am Ende gebildeten Abschlussnote (Gesamturteil) würde dadurch erhöht, dass auch die Teilnoten der verschiedenen Bewertungskategorien ausgewiesen werden, um die verschiedenen Bewertungsdimensionen darzustellen. Es wäre ja vorstellbar, dass eine Datenbank, die hochsensible Daten enthält, in den anderen Aspekten vorbildlich ausgestaltet ist, was eine Gesamtnote nicht abbilden kann.

Unter Berücksichtigung dieser Einschränkungen schlage ich als Ausgangspunkt die folgenden Kategorien und exemplarischen Bewertungskriterien vor. Sie orientieren sich an der juristischen Prüfung der Rechtfertigung eines Grundrechtseingriffs, insbesondere der Verhältnismäßigkeitsprüfung, und greifen die typischen Datenschutzprobleme staatlicher Datenbanken auf.

I) Zweck
  1. Für welche (zulässigen) Zwecke werden die Daten erhoben?
  2. Gibt es Zweifel an der Geeignetheit/Erforderlichkeit der Maßnahmen zur Zweckverfolgung ganz generell?
  3. Gibt es Nachweise für die Geeignetheit/Erforderlichkeit der Maßnahmen mit Blick ganz generell auf den Zweck?
  4. Bestehen Bedenken, dass tatsächlich hauptsächlich andere Zwecke verfolgt werden könnten? Wird das Zweckbindungsgebot eingehalten?
  5. Besteht die konkrete Gefahr der Ausweitung auf weitere (Verwendungs-) Zwecke
II) Inhalt

Leitfragen: Ist das Ausmaß der gespeicherten Daten verhältnismäßig zur Zweckverfolgung? Genügen die Regelungen dem Bestimmtheitsgebot?

  1. Welche Kategorien von personenbezogenen Daten werden erfasst? Sind diese bestimmt genug?
    a) Allgemeine Kategorien personenbezogener Daten:
    * Einzelangaben über persönliche Verhältnisse zur Identifizierung und Beschreibung des/der Betroffenen (z.B.: Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Ausbildungsstand, Erscheinungsbild, Leistungen, Arbeitsverhalten, Gesundheitszustand oder Überzeugungen)
    * Einzelangaben über sachliche Verhältnisse mit Art der Zuordnung zur Person (Name oder Nummer)
    b) Besondere Kategorien von Daten, zu denen es bereits Regelungen/Rechtsprechung gibt:
    * Stammdaten/Bestandsdaten (vgl. §§ 97, 111 TKG)
    * Verkehrsdaten (vgl. § 96 TKG)
    * Standortdaten (vgl. § 98 TKG)
    * Zugangsdaten (vgl. § 113 Abs.1 S. 2 TKG, 100j Abs. 1 S. 2 StPO)

  2. 1

    2

    3

    Vor