Um 11.05 Uhr heute hörbar im Deutschlandfunk: Das Interview der Woche habe ich mit dem Bundesdatenschutzbeauftragten Peter Schaar geführt. Es ist auf den Seiten des Deutschlandfunk nachlesbar.
Oder direkt auf dieser Seite, dann bitte weiter unten „mehr“ anklicken.
Eine kurze Version, bzw. eine Zusammenfassung, lässt sich hier anhören.
Falls das Stück im Onlinebereich des Deutschlandfunk nicht mehr abrufbar ist, kann es auch hier angehört werden:
Daneben hatte ich das Vergnügen, das Thema heute auch zu kommentieren, welches hier nachhörbar ist.
Interview der Woche, Deutschlandfunk:
Peter Schaar im Gespräch mit Claudia Sanders
Peter Schaar (Bündnis 90/Die Grünen), Bundesdatenschutzbeauftragter, spricht angesichts der Datenskandale bei der Deutschen Telekom und jüngst der Berliner Landesbank von Datenschutzverstößen, die „wir uns nicht hätten vorher träumen lassen können“. Das geplante neue Datenschutzgesetz müsse den technologischen Fortschritten und Risiken stärker Rechnung tragen.
Claudia Sanders: Herr Schaar, das Jahr 2008 ist fast vorbei. War dieses Jahr aus Sicht des Bundesdatenschutzbeauftragten ein gutes oder ein schlechtes Jahr für den Datenschutz?
Peter Schaar: Es war ein außergewöhnliches Jahr. Wir haben Datenschutzverstöße gehabt, die wir uns nicht hätten vorher träumen lassen können – Datenschutzverstöße, die teilweise sehr schwer waren. Deshalb kann ich mich darüber natürlich nicht freuen. Aber die Reaktion hat doch zur Hoffnung Anlass gegeben. Wir haben heute einen Konsens darüber in der Gesellschaft, dass persönliche Daten besser geschützt werden müssen. Das hatten wir vor einem Jahr noch nicht, da wurde Datenschutz immer noch so ein Stück mit Naserümpfen häufig betrachtet – „wer nichts zu verbergen habe, der müsse ja auch nichts befürchten“, und „jeder kann alles wissen“. Und als dann bekannt wurde, in welchem Ausmaß mit personenbezogenen Daten gehandelt wird, teilweise illegal, dass das auch dazu führt, dass echte Schäden entstehen, dass Gelder von Konten abfließen, dass im eigenen Namen irgendwelche Geschäfte getätigt werden, die man aber selber gar nicht zu verantworten hat: All das hat dazu beigetragen, dass die Sensibilität bei den Menschen, aber auch in der Politik, stark zugenommen hat.
Sanders: Lassen Sie uns noch mal einen Blick auf die einzelnen Skandale werfen. Vor kurzem haben wir erfahren, dass statt eines „handfesten Skandals“ – in Anführungsstrichen – bei der Berliner Landesbank und einer Zulieferfirma nur ein gegessener Christstollen Auslöser war. Ist damit jetzt alles in Ordnung?
Schaar: Also, der Vorfall stellt sich auch nach dem Bekanntwerden dieses etwas kuriosen Zusammenhangs überhaupt nicht so da, dass man erleichtert Entwarnung geben kann. Man muss sich mal vorstellen, dass da eine große seriöse Bank die Daten von hunderttausenden Kunden als Päckchen versendet, ohne offenbar zusätzliche Schutzmaßnahmen zu treffen – dass die Daten nicht verschlüsselt sind, dass jeder, der dieses Päckchen erhält, auch Zugang zu den Daten hat. Man würde ja nicht auf die Idee kommen, fünf Millionen Euro – das ist ja ungefähr der Wert dieser Datensendung, nur was jetzt sozusagen den direkt entstandenen Schaden anbelangt, das Schadenspotenzial ist um ein Vielfaches höher – also fünf Millionen Euro praktisch per Päckchen zu versenden, so dass dann ein ungetreuer Postmitarbeiter dort heran kann und das dann entsprechend plündern kann, wie vielleicht es immer mal wieder vorkommt, wenn Großeltern ihren Enkeln irgendwie einen 50-Euro-Schein zukommen lassen.
Sanders: Nun sind Sie auch zuständig für die Deutsche Telekom. Die Deutsche Telekom war in diesem Jahr ja oft genug in den Schlagzeilen, und immerhin – man hat Konsequenzen gezogen. Es gibt ein Vorstandsmitglied, das ist nun zuständig für den Datenschutz, das ist Herr Manfred Balz. Haben Sie den schon kennen gelernt?
Schaar: Ja, ich habe ihn kennen gelernt und ich habe auch den Eindruck, dass er seine Sache sehr ernst nimmt, dass er die Fehler, die da offenbar geworden sind, beseitigen möchte, dass dort bestimmte strukturelle Mängel aufgedeckt und bekämpft werden sollen. Das ist auch das Mindeste allerdings, was man erwarten konnte. Der Wille ist da, jetzt muss man mal schauen, welche Maßnahmen ganz konkret dann auch greifen, damit die Daten der Kunden besser geschützt sind.
Sanders: Nun hat Manfred Balz im Interview erklärt, in seiner Abteilung sind über 70 Mitarbeiter, die sich nun um den Datenschutz innerhalb der Telekom kümmern sollen, der Jahresetat liegt etwa bei zehn Millionen Euro. Herr Schaar, wie viele Mitarbeiter sind denn in Ihrem Haus dafür zuständig, der Telekom auf die Finger zu gucken?
Schaar: Also wir haben einen Gesamtetat, der ungefähr halb so groß ist, also etwa fünf Millionen Euro. Und von diesen 70 Mitarbeitern, die auch ich habe, sind sieben in dem Referat, das sich generell mit Telekommunikation, aber auch mit vielen anderen Fragen zu beschäftigen haben, die in diesem Umfeld stattfinden. Und netto – sage ich mal – sind es vier Mitarbeiterinnen und Mitarbeiter, die für den Datenschutz bei der Telekommunikation, und zwar nicht nur bei der Telekom, auch bei den Mitbewerbern, zu sorgen haben. Das ist natürlich zu wenig.
Sanders: Gibt es denn da Hoffnungen, dass Sie mehr Personal bekommen, einen höheren Etat bekommen?
Schaar: Also Hoffnungen schon, nur hat der Bundestag den Haushalt 2009 ja gerade beschlossen. Und da sind solche Verbesserungen, solche Aufstockungen nicht enthalten. Das bedaure ich natürlich.
Sanders: Vor kurzem ist auch der Entwurf des Bundesdatenschutzgesetzes vom Kabinett verabschiedet worden. Der muss noch durch den Bundestag gehen. Sind Sie zufrieden?
Schaar: Nun, es sind ja eigentlich zwei Entwürfe. Einmal geht es dabei um das Scoring, das heißt, um den Umgang mit Kreditwürdigkeitsprüfungen, die zum Beispiel durch die Schufa, aber auch durch andere Auskunfteien durchgeführt werden im Auftrag von Banken oder sonstigen Unternehmen. Da muss mehr Transparenz einkehren. Der Entwurf geht in die richtige Richtung, ist ein Stückchen zu kurz gesprungen. Gerade, was die Begrenzung des Scoringverfahrens anbelangt, könnte ich mir noch was Besseres vorstellen. Da ist es so, dass in Zukunft auch Unternehmen, die gar kein kreditorisches Risiko eingehen, solche Scoringverfahren gegebenenfalls nutzen können, überhaupt Auskunfteien befragen können – bis hin zu Zahnärzten oder Vermietern, also, die sich auch anders schützen können gegebenenfalls. Ich denke, das geht doch etwas weit. Im Hinblick auf diese zweite Novelle geht es . . .
Sanders: . . . lassen Sie uns noch einen Moment bei dem Scoring bleiben. Was hätten Sie ganz konkret denn gerne anders?
Schaar: Nun, ganz konkret hätte ich mir eine Beschränkung der Verwendung von Scorewerten und von solchen Anfragen bei Auskunfteien auf solche Unternehmen und solche Verträge gewünscht, die kreditorische Risiken eingehen. Das sind einerseits die Banken, aber auch Versandhandelsunternehmen oder Telekommunikationsunternehmen, die beispielsweise teure Handys als Prämie bei einem langfristigen Vertrag ausgeben und damit natürlich ein erhebliches finanzielles Ausfallrisiko eingehen. Da kann ich das durchaus verstehen. Aber bei einer Versicherung, die sich ja auch dadurch schützt, dass derjenige, der den Versicherungsvertrag nicht bezahlen kann, die Prämie nicht bezahlen kann, dass der dann auch keinen Versicherungsschutz mehr hat. Da ist das eigentlich nicht einzusehen, dass man da ein Scoring vornimmt. Darüber hinaus betreibt die Versicherungswirtschaft ohnehin schon seit Jahren Warndateien für solche Kunden, die auffällig geworden sind, weil sie zum Beispiel Versicherungsbetrüger sind oder besondere Risiken aufweisen. Also, da würde ich mir eine Begrenzung wünschen. Außerdem trete ich dafür ein, dass so genannte Geoscoring zu begrenzen. Hier geht es ja darum, dass jemand aufgrund seiner Adresse allein oder überwiegend einen Nachteil gewärtigen muss. Und das führt dazu, dass derjenige, der in einem so genannten „schlechten“ Stadtteil wohnt, einem Stadtteil, wo überwiegend weniger zahlungskräftige Klientel anzutreffen ist, dass der unabhängig von seiner eigenen Einkommenssituation schlechter bewertet wird, als wenn er in einem so genannten „guten“ Bezirk wohnt. Und das führt nun dazu, dass die Bessergestellten noch mal motiviert werden, aus diesen schlechteren Bezirken auszuwandern in die besseren Stadtteile. Und damit ist eine Verslumung noch einmal gefördert.
Sanders: Finden Sie für diese beiden Positionen Zustimmung in der Politik?
Schaar: Also, das ist geteilt. Im Augenblick berät der Bundestag noch genau über diese beiden Fragen. Noch ist nicht abzusehen, wie das ausgehen wird. So, wie das Gesetz von der Bundesregierung verabschiedet wurde, reicht es mir hier eben nicht aus. Aber ich setze hier auf den Deutschen Bundestag, dass er noch nachbessert.
Sanders: Lassen Sie uns zu dem zweiten Punkt kommen, nämlich zum eigentlichen Bundesdatenschutzgesetz. Kritiker sagen, das ist überhaupt nicht auf der Höhe der Zeit, eigentlich könnte man es lassen. Eigentlich hätte man es in eine Papiertonne werfen sollen und komplett neu schreiben.
Schaar: Nun, man kann natürlich immer sagen, wir wollen alles neu machen. Allerdings haben wir mit diesem „alles neu machen“ auch schon so unsere Erfahrungen gemacht im Datenschutz. Schon vor zehn Jahren gab es ein solches Projekt, wo dann ein dickes Buch entstanden ist, was man denn alles hätte neu machen können. Und dieses Buch ist vielleicht nicht in der Papiertonne verschwunden, aber in einer Schublade und hat ziemlich Staub angesetzt. Es ist völlig richtig: Wir brauchen ein modernisiertes Datenschutzrecht. Aber dort, wo jetzt doch ganz erhebliche Mängel offenbar geworden sind bei diesem doch immensen Datenhandel, der jetzt hier stattfindet, teilweise sogar ein illegaler Datenhandel, muss man doch die Quellen ein Stück verstopfen, muss die Betroffenen besser stellen, muss mehr Transparenz reinbringen, muss die Einwilligung stärken. Das finde ich absolut notwendig, und das kann man nicht jetzt auf die nächste Legislaturperiode verschieben, denn jeder Tag, den das Gesetz zu spät kommt, jeden Tag werden wieder zusätzliche Daten in diesen Kreislauf gegeben und könnten gegebenenfalls missbraucht werden. Hier ist wirklich ziemlicher Handlungsbedarf sichtbar, und deshalb trete ich doch sehr dafür ein, dass der Bundestag sich hier sputet, diese Regelung noch in dieser Legislaturperiode über die Bühne zu bringen. Aber es ist völlig richtig, das reicht nicht aus, man darf da nicht verharren. Wir brauchen generell ein Datenschutzrecht, das viel einfacher ist, das besser und klarer strukturiert ist, das auch technologischen Entwicklungen und Risiken noch stärker Rechnung trägt als das Datenschutzrecht, das ja aus dem letzten Jahrhundert im wesentlichen stammt. Also, das brauchen wir, aber das eine zu tun, heißt ja nicht, das andere zu lassen.
Sanders: Nun sagen Kritiker, der vorliegende Entwurf würde immer noch zu freundlich gegenüber der Wirtschaft sein, und zwar im folgenden Punkt:: Nun ist es wohl so, dass die Wirtschaft nur noch dann Daten von jemanden benutzen darf, wenn der ausdrücklich zustimmt, einwilligt, dass diese Daten benutzt werden. Aber, was man nicht hat: Man kann nicht nach verfolgen, wo hat ein Unternehmen diese Adressen her. Das heißt, am Ende gibt es doch dann wiederum keinen tatsächlichen Schutz?
Schaar: Also, ich habe gelernt im Laufe der Jahre, bestimmte Fortschritte als solche auch erstmal zu begrüßen, statt zu sagen, wir brauchen eigentlich viel größere Fortschritte und auch, auf das zu verzichten, was man kriegen kann. Wenn ich die Lobbyarbeit sehe, die gegen diesen Gesetzentwurf stattfindet – und das ist nicht eine Lobbyarbeit derjenigen, denen es nicht weit genug geht, sondern ganz überlegen sind das Vertreter von Werbeunternehmen und sonstigen Wirtschaftsunternehmen, denen schon das viel zu weit geht, was da jetzt vorgesehen ist -, wenn ich das betrachte, dann ist das eine Regelung, die schon für den einzelnen Betroffenen Fortschritte bringen wird. Ich kritisiere auch, dass bisher diese so genannte Herkunftskennzeichnung fehlt. Herkunftskennzeichnung heißt, dass man sehen kann, aus welcher Quelle stammen denn die Daten – und dann kann man ja auch sehr schnell feststellen: Da habe ich eine Einwilligung gegeben oder eben auch nicht. Und dann ist legal und illegal ganz klar zu unterscheiden, was eben heute nicht der Fall ist und auch bei der Neuregelung ohne so eine Herkunftskennzeichnung nicht der Fall wäre. Aber auch hier, denke ich, kann der Deutsche Bundestag nachbessern, und ich werde das auch im Gesetzgebungsverfahren vertreten.
Sanders: Dann gibt es ja auch noch die so genannten Ausnahmeregelungen, also beispielsweise gemeinnützige Institutionen und Parteien – ein Schelm, der Böses dabei denkt. Die dürfen auch weiterhin Daten kaufen und entsprechend nutzen. Warum? Warum kann man auch solche Gruppierungen nicht ausnehmen?
Schaar: Also, ich würde mich freuen, wenn man diese Ausnahmen sehr viel restriktiver handhaben würde, als das jetzt im Gesetzentwurf vorgesehen ist. Offenbar wollte die Politik hier nicht so weit gehen, dass man zu viele gegen sich aufbringt. Das kann ich auch nachvollziehen, es gibt ja auch ein legitimes Interesse von gemeinnützigen Organisationen, auch weiterhin Spender gewinnen zu können. Ich hätte mir auch vorstellen können und könnte mir auch immer noch vorstellen, dass man diese Regelung etwas anders fasst, dass zumindest bestimmte Ausnahmen so restriktiv sind, dass sozusagen die Regel dabei noch deutlich wird. Aber für den Bereich außerhalb der gemeinnützigen Organisationen und außerhalb der Eigenwerbung soll es ja einen dramatischen Wechsel geben – vom Widerspruchsrecht zur Einwilligung. In Zukunft muss derjenige, wenn es bei dem Gesetzentwurf bleibt, ausdrücklich einwilligen, dass er damit einverstanden ist, dass ihm auch Werbung von anderen Unternehmen zugesandt wird, das heißt, dass seine Daten in diesen Datenhandel einfließen. Heute ist es so, dass man widersprechen muss, und man weiß häufig gar nicht, wem gegenüber man zu widersprechen hat, weil die Daten alle schon irgendwie im Umlauf sind. Und wenn man bei einem widerspricht, dann hat der andere immer noch keine Kenntnis davon.
Sanders: Noch ein Punkt, der in diesem Datenschutzgesetz drin steht: Wer dagegen verstößt, muss Bußgelder zahlen. Das war ja auch vorher schon so. Die Höhe ist angehoben worden. Maximale Summe sind 300.000 Euro. Ist das nicht etwas, was große Unternehmen aus der Portokasse zahlen?
Schaar: 300.000 Euro wären in der Tat zu wenig. Aber man muss auch lesen, was sozusagen vor der 300.000 steht. Da steht in diesem Gesetzentwurf drin, dass in den Fällen, in denen diese Höchstgrenze nicht ausreicht und ein wirtschaftlicher Gewinn erzielt wurde, dieser Gewinn auch durch Bußgelder abgeschöpft werden kann. Und da ist keine Höchstgrenze angegeben. Das heißt, die 300.000 sind zwar im Regelfall die Höchstgrenze, aber in den Fällen, in denen man wirklich hohe Gewinne macht – und das kann ja bis in Millionenhöhe gehen durch illegalen Datenhandel, durch illegale Datenverwendung -, kann das ganz abgeschöpft werden. Und ich denke, das ist schon eine ziemlich dramatische Änderung, wenn man auch darüber hinaus bedenkt, dass auch die Bußgeldtatbestände doch deutlich ausgeweitet werden und manches, was bis heute überhaupt nicht bußgeldbewehrt ist, in Zukunft dann als Ordnungswidrigkeit verfolgt wird und zu sehr hohen Strafen dann führen kann.
Sanders: Wobei das bisher ja durchaus blanke Theorie ist, denn das muss man erst einmal nachweisen, wie hoch dieser Gewinn ist, und würde dann ja bestenfalls auf Unternehmen zutreffen, die tatsächlich konkret mit diesen Daten handeln.
Schaar: Sie haben völlig recht. Also die Bußgelder sind insgesamt natürlich eine Waffe, die schwer zu handhaben ist. Das hat ja auch die Vergangenheit gezeigt. Es hat in letzter Zeit gerade einige auch abgeschlossene Bußgeldverfahren gegeben. Aber es sind eigentlich sehr wenige Fälle, die dann wirklich auch rechtskräftig zu Ende geführt wurden. Und dementsprechend denke ich auch, dass man über andere Instrumente für die Aufsichtsbehörden nachdenken muss, denn den Betroffenen ist ja nicht damit gedient, dass sich ein entsprechendes Verfahren über Jahre hin zieht und möglicherweise eine rechtswidrige Praxis sich so lange fortsetzt. Deshalb fordern ja Aufsichtsbehörden auch eine Befugnis, eine rechtswidrige Datenverarbeitung zu untersagen. Und ich unterstütze diese Forderung.
Sanders: Lassen Sie uns auf das Verhältnis von Wirtschaft und Staat und Datenschutz kommen. Früher war es so, gerade in den 80er Jahren, dass die Bevölkerung eher Angst hatte, dass der Staat zu viele Daten sammelt. Mittlerweile hat sich die Angst etwas umgedreht. Man befürchtet mehr, dass die Wirtschaft da intensiver zulangt. Das scheint dieses Jahr auch bewiesen zu haben. Ist das ein Eindruck, der richtig ist, oder der falsch ist?
Schaar: Also, ohne Zweifel sammelt die Wirtschaft bei weitem mehr personenbezogene Daten als der Staat. Aber auch der Staat sammelt heute sehr viel mehr Daten als früher. Insofern hat sich die Entwicklung in beiden Bereichen nur in eine Richtung verändert: hin zum Mehr. Und mehr Daten heißt auch mehr Risiko. Und dass jetzt diese Fälle in Deutschland die Wirtschaft betreffen, hängt sicher damit auch zusammen, aber wenn man mal über den Zaun schaut nach Großbritannien beispielsweise, stellt man fest, dass dort auch Daten verloren gegangen sind, dort aber überwiegend berichtet wird über staatliche Datenschutzverstöße. Und auch bei uns sind die Daten nicht überall, auch im staatlichen Bereich, so gesichert, wie man sich das wünschen würde. Ich habe, beziehungsweise meine Mitarbeiterinnen und Mitarbeiter haben im vergangenen Jahr auch in staatlichen Stellen geprüft, wie wird da mit den Daten. Und wir haben doch einige recht dramatische Schwachstellen festgestellt …
Sanders: Zum Beispiel?
Schaar: Zum Beispiel was jetzt die Übermittlung von Daten auf Datenträger anbelangt. Also was jetzt bei der Landesbank Berlin, also einer nichtöffentlichen Stelle, passiert ist, das findet im öffentlichen Bereich teilweise auch statt, dass da DVDs oder CD-ROMs oder andere Datenträger mit der Post versandt werden. Und die Daten sind nicht mal verschlüsselt. Das haben wir dann beanstandet beziehungsweise auf eine Änderung hingewirkt. Wir haben da glücklicherweise auch die meisten Schwachstellen abstellen können, ehe da etwas passiert ist. Aber ich würde jetzt nicht die Hand dafür ins Feuer legen, dass da nicht noch bestimmte graue Zonen sind, wo nach wie vor eine Praxis anzutreffen ist, wo möglicherweise sogar sensible Daten im staatlichen Bereich unzureichend geschützt sind.
Sanders: Welche Ressorts waren davon besonders betroffen?
Schaar: Da gab es keine besondere Schwerpunktsetzung. Wir hatten Schwachstellen, was jetzt die Zugriffssicherung anbelangte, im Bereich der Bundesagentur für Arbeit. Das ist aber inzwischen abgestellt worden. Da ging es um die Frage, welche Mitarbeiterinnen und Mitarbeiter der BA und der ARGEn in den Kommunen können dort zugreifen und wie wird das Ganze protokolliert. Also, da kann ich insoweit eine Verbesserung melden. Aber auch in anderen Fällen, da ging es um Bafög-Empfänger, da ging es um ärztliche Gutachten von flugmedizinischen Diensten und so weiter, gab es entsprechende Schwachstellen. Eine direkte Ressortzuordnung vermag ich da allerdings jetzt nicht vorzunehmen. Teilweise sind es aber auch nachgeordnete Behörden gewesen, weniger die Ministerien selbst. Das verwundert auch nicht, weil die ja auch eigentlich nicht so viele höchstpersonenbezogene Daten haben, sondern das sind dann die nachgeordneten Stellen, die mit diesen Daten dann arbeiten.
Sanders: Sie haben gerade das Thema Gesundheit angesprochen. Lassen Sie uns noch einen Moment dabei verweilen. Das Vorzeigeprojekt von Gesundheitsministerin Ulla Schmidt ist die elektronische Gesundheitskarte. Statt Krankenakten gibt es nun elektronische Gesundheitskarten. Was halten Sie von diesem Projekt?
Schaar: Also, das ist ja eines der meistdiskutierten Projekte, und auch eines der meistkritisierten Projekte. Ich habe mich, seit ich angefangen habe als Bundesdatenschutzbeauftragter, damit beschäftigt und kann auch nach diesen fünf Jahren nicht feststellen, dass das jetzt der Supergau ist. Wir haben ziemlich gute Gesetze auf diesem Gebiet. Ehe überhaupt mit den Arbeiten begonnen wurde, hat man schon Datenschutzvorschriften formuliert. Das haben wir in anderen Bereichen so noch nie gesehen, jedenfalls nicht in diesem Maße. Und die gehen sehr weit. Es gibt ein sehr weitgehendes Wahlrecht des Betroffenen hinsichtlich der Daten, die über ihn gespeichert werden. Nur das elektronische Rezept und die so genannten Verwaltungsdaten, die man ohnehin schon auf der Krankenversicherungskarte heute hat, sind so genannte Pflichtanwendungen. Die Daten müssen verschlüsselt werden. Der Zugriff ist nur möglich, wenn zwei Karten vorliegen, nämlich die Karte des Betroffenen und die Karte des Arztes, und der Betroffene den Zugriff freigeschaltet hat. Das Ganze ist dann noch sehr differenziert. Also der Orthopäde erfährt nur mit Zustimmung des Betroffenen, was der Internist festgestellt hat. Deshalb kommt ja sogar von anderer Seite, gerade von Ärzten, die Kritik, dass das alles so kompliziert ist, dass es nicht klappen kann. Und das wäre natürlich jetzt ein „roll-back“, wenn aufgrund von praktischen Problemen mit der Umsetzung der Datenschutzregelung jetzt der Datenschutz reduziert würde. Also, da wäre ich doch sehr dafür, das Datenschutzniveau auch sehr hoch zu halten.
Sanders: Ein anderes Gesetz, was auch erst vor kurzem durch den Bundestag gegangen ist, ist das so genannte Bundeskriminalamt-Gesetz – heftig umstritten, gerade was die Online-Durchsuchung von Computern angeht beispielsweise. Es ist ja schon angekündigt worden, dass man in Karlsruhe dagegen vorgehen will. Glauben Sie, dass in Karlsruhe da noch Einschränkungen gemacht werden, oder sagen Sie, eigentlich kann ich mit diesem Gesetz so leben?
Schaar: Also, ich habe ja verfassungsrechtliche Zweifel geäußert. Diesen verfassungsrechtlichen Zweifeln ist teilweise Rechnung getragen worden, teilweise nicht. Man hat eine ganze Reihe von Schwellen eingebaut, gerade was so bestimmte, besonders sensible, besonders tief eingreifende Maßnahmen wie die Online-Durchsuchung betrifft. Da ist ja jetzt ein Richtervorbehalt generell vorgesehen. Es sind auch sehr hohe Hürden dort vorgesehen, was überhaupt die Durchführung einer solchen Maßnahme anbelangt. Generell gibt es nach wie vor noch das Problem: Wann darf aufgezeichnet werden, wann dürfen Daten – nicht nur bei der Telekommunikationsüberwachung, sondern auch bei der Online-Durchsuchung – dann erst mal auf einen Datenträger gebracht werden, der beim BKA ist. Und da hat das Bundesverfassungsgericht gesagt, wenn tatsächliche Anhaltspunkte vorliegen, dass der so genannte Kernbereich der Privatsphäre betroffen ist, also höchst intime Informationen. Und jetzt steht im Gesetz drin, nur dann darf nicht aufgezeichnet werden, wenn allein derartige Daten anfallen. Das ist natürlich in den seltensten Fällen so. Und da wird dann das Regel-Ausnahme-Verhältnis umgekehrt. Und letztlich stellt sich dann die Frage ob der verfassungsrechtlichen Zulässigkeit einer solchen Maßnahme. Insofern sehe ich der Entscheidung in Karlsruhe mit großem Interesse entgegen.
Sanders: Also Sie hoffen im Prinzip, dass Karlsruhe das entsprechend richtet?
Schaar: Ich würde mal auf der Grundlage dessen, was das Bundesverfassungsgericht Karlsruhe bisher entschieden hat, durchaus die Erwartung haben, dass von dort auch noch mal eine Eingrenzung bekommt. Aber es bleibt ja auch außerhalb des verfassungsrechtlichen Problems eine generelle Fragestellung: Muss der Gesetzgeber tatsächlich immer bis an die Grenze, vielleicht sogar darüber hinaus gehen dessen, was die Verfassung noch gerade so erlaubt. Das macht man ja in anderen Bereichen auch nicht immer. Das heißt, die Frage der politischen Verantwortung kann man nicht nach Karlsruhe, nicht an das Bundesverfassungsgericht delegieren, sondern das ist eine Verantwortung von Regierung und Parlament. Und da denke ich, muss einfach mal ein Umdenken stattfinden dahingehend, dass man sagt: Manches, was vielleicht zulässig sein mag, machen wir eben auch nicht, weil uns das doch zu weit geht, was den Eingriff in die Privatsphäre anbelangt.
Sanders: Bevor in diesem Jahr die ganzen verschiedenen Datenschutzskandale, sage ich mal, ans Tageslicht gekommen sind, herrschte vielfach der Eindruck vor, dass, wenn man nichts zu verbergen habe, man ruhig offen mit seinen Daten umgehen könne. Sie haben zu Beginn gesagt, das habe sich ein bisschen gewandelt. Wir sehen in sozialen Netzwerken, die es im Internet gibt, wie Leute ganz freigiebig auch persönliche Daten von sich geben beispielsweise. Macht es aus Ihrer Sicht angesichts dieser Situation Sinn, den Datenschutz noch mal explizit ins Grundgesetz zu schreiben, um eine höhere Wertigkeit dadurch zu erzielen, oder ist das aus Ihrer Sicht nicht nötig?
Schaar: Also, eine Grundgesetzänderung allein, die ohne öffentliche Diskussion stattfindet, wird sicherlich nicht das Bewusstsein der Menschen erreichen. Aber gerade die Diskussion über eine solche Verfassungsänderung bringt uns, glaube ich, voran. Und ich denke, ein Grundrecht wie das auf informationelle Selbstbestimmung, das ja die Grundlage bietet für eine demokratische Weiterentwicklung von Informationsgesellschaft, muss man nachlesen können. Im Augenblick ist es ja so, dass man als Bürger nichts findet. Das Wort Datenschutz taucht im Grundgesetz nicht auf. Und man muss dann schon die Entscheidungssammlung des Bundesverfassungsgerichts durchflöhen, um dann im 65. Band fündig zu werden, nämlich beim Volkszählungsurteil. Wichtige Grundrechte gehören ins Grundgesetz, und das gilt auch für den Datenschutz. Denn sonst entsteht immer wieder so der Eindruck, Datenschutz ist ein Grundrecht zweiter Klasse. Und bisweilen wird der Datenschutz ja auch so behandelt. Jedenfalls zeigt ja die Rechtssprechung des Bundesverfassungsgerichts, dass der Gesetzgeber dieses Grundrecht doch bisweilen nicht so hoch bewertet hat wie andere Grundrechte.
Sanders: Herr Schaar, vielen Dank für das Gespräch.
Schaar: Ich bedanke mich auch.