Im Gespräch mit Peter Schaar

"Privatsphäre und Datenschutz sind nicht gleichbedeutend"

Mirko Schrempp

Peter Schaar ist seit Ende 2003 Bundesbeauftragter für den Datenschutz und seit Januar 2006 auch Bundesbeauftragter für die Informationsfreiheit. Er ist diplomierter Volkswirt und bereits seit den achtziger Jahren als Datenschützer aktiv. Zwischenzeitlich unterrichtete er als Lehrbeauftragter an der Fakultät für Mathematik, Informatik und Naturwissenschaften der Universität Hamburg. Wir hatten die Gelegenheit, mit ihm über Sicherheit und Schutz von Daten und den daraus resultierenden Anforderungen für die Planung von IT-Systemen zu sprechen.

Herr Schaar, was sind Ihre Aufgaben als Bundesdatenschutzbeauftragter und was bestimmt Ihren Handlungsspielraum – auch im Hinblick auf die Privatwirtschaft?

Peter Schaar: Zum einen bin ich für die Kontrolle der Einhaltung der Datenschutzbestimmungen in den Bundesbehörden einschließlich der nachgeordneten Dienststellen zuständig. Dazu gehören zum Beispiel auch die Bundeswehr, die Krankenkassen, soweit sie überörtlich tätig sind, und ähnliche Einrichtungen, bei denen man nicht gleich auf die Idee kommt, dass es sich dabei um Bundesbehörden handelt. Ich berate diese Stellen natürlich auch, wenn sie IT-Projekte planen und einführen. Dabei legen meine Mitarbeiter und ich großen Wert darauf, Datenschutzanforderungen schon in einer sehr frühen Planungsphase und bei Systementscheidungen zu berücksichtigen. Wenn sich zum Beispiel herausstellt, dass eine Software nicht gewährleistet, dass personenbezogene Daten gelöscht werden können, wie das etwa bei einem großen Anbieter von Servicesoftware der Fall war, dann müssen wir uns diesem Problem stellen. Das kann dann soweit gehen, dass wir den Behörden raten, diese Software gegebenenfalls nicht einzusetzen. Umgekehrt fördern wir den Einsatz innovativer und datenschutzgerechter Systeme. Wir klären, welche Anforderungen an bestimmte technische Einrichtungen zu stellen sind, zum Beispiel Videoüberwachungsanlagen, für die wir zusammen mit dem Bundesamt für die Sicherheit in der Informationstechnik ein Protection Profile entwickelt haben. Dieses gehört dann ins Pflichtenheft bei entsprechenden Ausschreibungen.

Mir ist es auch wichtig, die Öffentlichkeit über den Datenschutz zu unterrichten und auf Verbesserungen hinzuwirken. Die Spanne der Öffentlichkeitsarbeit reicht dabei von Grundsatzfragen der Gesetzgebung bis zu aktuellen Datenschutzvorfällen, wie der Frage nach dem Location Tracking durch Apple oder dem Diebstahl von Nutzerdaten bei Sony.

Immer wichtiger werden die Koordination und die Außenvertretung des Datenschutzes in Europa. Aus dieser Richtung kommen auch immer wieder wertvolle Hinweise auf Probleme oder auch Impulse für Datenschutzverbesserungen. Auch auf dem europäischen und dem internationalen Feld setze ich mich dafür ein, Technologien datenschutzkonform zu gestalten und einzusetzen. Denken Sie hier etwa an RFID-Chips. Hier hat die Arbeitsgruppe der europäischen Datenschutzbehörden, die Artikel-29-Gruppe, im Dialog mit der Industrie Vorgaben für die Durchführung von Privacy Impact Assessments für RFID-Chips erarbeitet, die als Rahmenwerk jetzt auch europaweit umgesetzt werden sollen.

Schließlich bin ich zuständig für die Datenschutzkontrolle bei Post- und Telekommunikationsunternehmen, bei denen sich sehr viele Innovationen abspielen. Denken Sie an die neuen Dienstleistungen, die durch das Internet möglich geworden sind, zum Beispiel an De-Mail. Dabei geht es sowohl um die Weiterentwicklung des rechtlichen Rahmens als auch darum, die Einhaltung von Gesetzen zu gewährleisten. Ganz generell versuche ich dazu beizutragen, dass datenschutzfreundliche Lösungen gefunden werden. Es gibt also eine Vielzahl von Berührungspunkten, die alle einen gemeinsamen Nenner haben: Technologien müssen für den Anwender und Nutzer rechtskonform gestaltet werden.

Die Datenschutzaufsicht für den privatwirtschaftlichen Bereich obliegt ansonsten den Datenschutzbehörden der Länder, die das unterschiedlich organisiert haben. Inzwischen liegt auch diese Aufgabe überwiegend bei den Landesbeauftragten für den Datenschutz. In einigen Fällen separat bei den Ministerien – Bayern hat beispielsweise ein eigenes Amt für Datenschutzaufsicht.

Ihr Aufgabenbereich und der Ihrer Landeskollegen endet an der Grenze der Bundesrepublik, beziehungsweise an denen Europas – aber die Daten sind heutzutage globalisiert und halten sich nicht an Landesgrenzen – wie wird der Datenschutz global geregelt?

Peter Schaar: Einerseits können auf nationaler Ebene natürlich nicht sämtliche Datenschutzfragen beantwortet werden. Selbst das europäische Recht kann bei globalen Netzen und Diensten nicht immer datenschutzgerechte Lösungen gewährleisten. Europa ist als Wirtschaftseinheit mit 495 Millionen Einwohnern – und damit auch Konsumenten – aber ein so starker Faktor und Wirtschaftsraum, dass er auch von den ganz großen Playern in der Wirtschaft nicht ignoriert werden kann. Daher ist es von großer Wichtigkeit, dass wir in Europa mit einer Stimme sprechen. Gerade Konzerne, die ihre Zentralen außerhalb Europas haben, etwa Google, Apple oder Facebook, orientieren sich doch sehr stark an den US-amerikanischen Datenschutzvorstellungen, bei denen ich aber eine deutliche Änderung wahrnehme – und zwar in positiver Weise. Gleichwohl bleibt die Durchsetzung des deutschen und europäischen Datenschutzrechts eine vordringliche Aufgabe. Wir müssen dafür sorgen, dass diese Datenschutzregelungen auch von den in Europa tätigen multi-nationalen Unternehmen akzeptiert und gelebt werden – das ist nicht immer einfach.

Geschrieben von
Mirko Schrempp
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.