Überwachung des Bürgers durch Staat und Wirtschaft

"20 Jahre nach Orwell"

Anlässlich der 28. Datenschutzfachtagung DAFTA "20 Jahre nach Orwell" vom 18. bis 19. November 2004 in Köln, hielt der Bundesbeauftragte für den Datenschutz eine Rede zur "Überwachung des Bürgers durch Staat und Wirtschaft - Welche Perspektiven hat der Datenschutz?". ngo-online dokumentiert die Rede von Peter Schaar im Wortlaut.

Die Anfänge des Datenschutzes gingen ganz maßgeblich auf Erfahrungen und Befürchtungen gegenüber staatlicher Überwachung und Registrierung zurück. Die systematische Erfassung und maschinelle Verarbeitung und Auswertung personenbezogener Daten ist nämlich wesentlich älter als die heutige Computertechnik, die sich ja bekanntlich erst seit dem Zweiten Weltkrieg entwickelt hat. Die Anfänge automatisierter Datenverarbeitung liegen in der zweiten Hälfte des 19. Jahrhunderts. So bediente sich die US-Censusbehörde der ersten lochkartengestützten DV-Systeme, der sog. „Hollerith-Technik“, um damit große strukturierte Datenmengen bewältigen zu können. Einen unrühmlichen Höhepunkt erlebte diese Technik in der Nazizeit, als – unter dem Vorwand einer Volkszählung – 1937 die systematische Judenerfassung im gesamten Deutschen Reich erfolgte (diese Daten sind im übrigen in Archiven nach wie vor überwiegend vorhanden). Edwin Blake hat in seinem Werk zur Rolle der Firma IBM in diesem Großprojekt sehr überzeugend nachgewiesen, dass ohne breiten Einsatz effektiver Datenverarbeitungstechnik das lückenlose Registrierungs- und Vernichtungsnetz der Nazis, mit dem neben den Juden auch andere Minderheiten und „unwerte“ Behinderte erfasst wurden, nicht so erfolgreich gewesen wäre. Auch in der Sowjetunion kam die mechanische, deshalb aber durchaus effektive DV-Technik zum Einsatz.

Vor diesem totalitären Hintergrund von Faschismus und Stalinismus schrieb George Orwell im Jahr 1948 das Werk „1984“, das einen Überwachungsstaat beschreibt, in dem mit fortgeschrittener Technik eine - beinahe - totale Kontrolle ausgeübt wird. „1984“ war insofern ein Beitrag der politischen Auseinandersetzung mit totalitären Regimen und Ideologien seiner Zeit, in denen die Menschenwürde keine Rolle spielte.

Diese Horrorvision ist mehr als ein halbes Jahrhundert alt – ist sie deshalb aber nicht mehr aktuell?

Von besonderer Bedeutung ist bei der Orwellschen Vision die Verknüpfung von totalitärem Staat und technischer Überwachung. Es geht Orwell nicht nur oder – wie ich meine - auch nur vorrangig um eine Warnung vor der Technologie an sich, sondern um den Hinweis auf die Gefährdung der Demokratie und der Selbstbestimmung bei Fortsetzung einer Totalisierungstendenz der Gesellschaft, die er damals durchaus zu Recht befürchten musste.

Hinsichtlich der Bedeutung der Technologie können wir heute feststellen, dass nunmehr weitaus mehr und vielleicht auch effektivere Überwachungstechniken zur Verfügung stehen, als im Jahr 1948 für „1984“ befürchtet wurde. Hinsichtlich der gesellschaftlichen Entwicklung hat sich Orwells Vision – zumindest in Europa und anderen demokratischen Staaten – zum Glück nicht verwirklicht. Vielmehr können wir trotz aller Rückschläge, jedenfalls verglichen mit 1948, feststellen, dass Demokratie, und das heißt nicht zuletzt auch Begrenzung staatlicher Macht und Schutz von Menschenwürde und Privatsphäre, heute wesentlich weiter verbreitet ist als damals.

Trotzdem war es notwendig, dass auch in demokratisch verfassten Gesellschaften die mit dem Einsatz von Techniken verbundenen Gefahren seit den späten 60er Jahren des 20. Jahrhunderts zunehmend öffentliches Interesse fanden – glücklicherweise jedoch nicht ohne entsprechende Vorschläge, wie diesen Gefahren begegnet werden sollte. So hatte Ende 1969 der hessische Landtag ein Gesetz über die Errichtung einer Zentrale für Datenschutzverarbeitung der öffentlichen Verwaltung verabschiedet, also zur Staatstätigkeit „auf Knopfdruck“, wie man seinerzeit sagte. Die wirtschaftlichen Vorteile rationeller Informationstechnik für Routinearbeiten wie z.B. der Berechnung von Dienstbezügen, Renten oder Steuerschulden, im Meldewesen oder bei der Statistik waren bereits erkannt. Darüber hinaus wurde es möglich, maschinell gespeicherte Angaben in Melderegistern und polizeilichen Fahndungsdaten sofort miteinander zu vergleichen. Für die Kombination von Datensammlungen aus unterschiedlichen Lebens- und Verwaltungsbereichen interessierten sich Planungsabteilungen in Gemeinden, Städten und Landkreisen. Vor diesem Hintergrund forderte die Landesregierung ein Datenschutzgesetz für den Bereich der öffentlichen Verwaltung an. Der damalige hessische Ministerpräsident Albert Osswald stellte während der Kabinettberatung über den Entwurf des hessischen Datenschutzgesetzes, des ersten Datenschutzgesetzes weltweit, fest: „Das Datenschutzgesetz ist erforderlich, um das Vertrauen der Bürger zum Staat im Zeitalter des Computers zu erhalten und allen Befürchtungen, die Automation werde den Bereich der demokratischen Mitwirkung in Staat und Gemeinde einschränken, entgegenzuwirken.“

Der Datenschutz war also eine politische Reaktion auf Befürchtungen, die sich mit der Automatisierung von Verwaltungsabläufen verbanden. Er sollte damit auch eine Antwort auf Überwachungserfahrungen bieten, die ja zumindest im anderen deutschen Staat noch bis 1989 nicht nur Fiktion, sondern bittere Realität waren. Das erste Bundesdatenschutzgesetz von 1977 hatte zwar auch schon die Notwendigkeit des Datenschutzes im privaten Bereich erkannt, doch war der Schutzbereich für aufgezeichnete Informationen in der öffentlichen Verwaltung und im privaten Bereich unterschiedlich weit gesteckt. Genauere Reglementierungen galten nur für den öffentlichen Bereich.

Natürlich kann ein Vortrag mit der Bezugnahme auf „1984“ die Diskussion um die Volkszählung in der 80er Jahren nicht unerwähnt lassen. In diesem Kreis muss ich auf die damaligen Hauptargumente nicht weiter eingehen. Die Debatte hatte das positive Ergebnis, den Datenschutz in bis dahin ungekanntem Ausmaß in das Bewusstsein der Öffentlichkeit zu bringen. Das wegweisende Volkszählungsurteil des Bundesverfassungsgerichts vom Dezember 1983 liest sich auch heute noch als eine weitsichtige Auseinandersetzung mit den Gefahren der Informationstechnik und als Formulierung von Vorgaben zur Verhinderung ihres Missbrauchs. Allerdings war – das muss ich als einer der Beteiligten bekennen – die Volkszählungsdiskussion bisweilen etwas überhitzt und hat nicht zwischen (potenziellen) Gefahren und Realität unterschieden. Gerade das zufällige zeitliche Zusammentreffen der Volkszählung mit „1984“ hatte zur Folge, dass einige Akteure das Bild des „Überwachungsstaats“ und von „big brother is watching you“ allzu wörtlich nahmen. Dass es sich dabei weitgehend um eine Fehlinterpretation der Realität handelte, wurde dadurch deutlich, dass es gerade eine der tragenden Säulen der bundesrepublikanischen Gesellschaft, das Bundesverfassungsgericht war, das die rechtsstaatlichen Grenzen der Datenverarbeitung setzte und sich dabei auf das „Recht auf informationelle Selbstbestimmung“ berief.

Seither hat sich das Bild gewandelt; nicht zuletzt, weil sich auch die Gesellschaft verändert hat. Heute misstrauen die Bürger nicht allein oder auch nur vorrangig dem Staat, sondern auch im Geschäftsverkehr nimmt das gegenseitige Misstrauen zu. Eine Folge davon besteht darin, dass Überwachung und Kontrolle zunehmen. Ausgelöst durch Forderungen nach mehr Sicherheit haben Behörden zusätzliche Befugnisse zum Datensammeln erhalten. Weitere Forderungen, die Erhebungs- und Verarbeitungsbefugnisse noch auszuweiten, liegen auf dem Tisch. Organisierte Kriminalität und schließlich die Terroranschläge des 11. September ließen vor allem den Ruf nach präventivem Schutz immer lauter werden. Dabei stehen den Sicherheitsbehörden schon seit längerem mannigfache Möglichkeiten zur Verfügung, von denen ich hier nur auf einige beispielhaft eingehen möchte: •?Die stetig steigende Zahl der Telefonüberwachungen nach der Strafprozessordnung belegt, dass bestimmte technikorientierte Überwachungsmaßnahmen immer stärker eingesetzt werden. Seit Einführung der Jahresstatistik über die gesetzlich vorgesehenen Maßnahmen zur Überwachung der Telekommunikation ist dieser Trend ungebrochen. Im Jahr 1995 wurden lediglich rund 4.700 Überwachungsanordnungen gezählt. Im Jahre 2002 lag die Zahl bereits bei rund 21.800 und 2003 waren es sogar 24.400 TÜ- Anordnungen. Dies ist eine Steigerung von mehr als 400% in weniger als einem Jahrzehnt, wobei die dabei umfassten Anschlüsse und erst recht die Zahl der abgehörten Telefonate noch sehr viel höher liegen. Diese Zahlen unterstreichen die Notwendigkeit, die Befugnisse zur Telefonüberwachung mit dem Ziel zu reformieren, den Erfordernissen der Verhältnismäßigkeit und der Effektivität verstärkt Geltung zu verschaffen. Ich hoffe, dass das Bundesjustizministerium hier die bereits vor einiger Zeit geäußerten Absichten in die Tat umsetzt.

  • Das heimliche Abhören von Wohnungen, besser bekannt als „Großer Lauschangriff“, durch die Sicherheitsbehörden zum Zwecke der Strafverfolgung, ist durch das Urteil des Bundesverfassungsgerichtes vom März diesen Jahres zwar glücklicherweise eingeschränkt worden; die jüngste Gesetzgebung – insbesondere im Polizeirecht der Länder – belegt jedoch, dass dieser Maßnahme nach wie vor erhebliche Bedeutung zugemessen wird. Das von mir am 08. November 2004 durchgeführte wissenschaftliche Kolloquium zu den Konsequenzen des Urteils hat deutlich gemacht, dass die tragenden Grundsätze der Entscheidung nicht nur bei der akustischen Wohnraumüberwachung, sondern auch bei anderen verdeckten Ermittlungsmaßnahmen – etwa der Telefonüberwachung – zu berücksichtigen sind. Dies gilt insbesondere für die Aussagen zum absolut geschützten Kernbereich der Privatsphäre und zu den verfahrensmäßigen Sicherungen, z.B. zur Benachrichtigung der Betroffenen.
  • Eine Vorratsdatenspeicherung über die Nutzung öffentlicher Telekommunikationsnetze und -dienste ist in Deutschland bisher nur im Einzelfall und unter sehr eingeschränkten Bedingungen gem. § 100g StPO zulässig, insbesondere wenn ein konkreter Verdacht für eine Straftat von erheblicher Bedeutung vorliegt. Der EU- Ministerrat berät gegenwärtig jedoch über einen Vorschlag, alle Anbieter von Telekommunikations- und darunter auch von Internetdiensten zur pauschalen Speicherung sämtlicher Verkehrsdaten für einen Zeitraum von mindestens einem Jahr zu verpflichten. Am Rande sei bemerkt, dass der Deutsche Bundestag nach intensiven Beratungen des Telekommunikationsgesetzes erst in diesem Frühjahr zu dem Ergebnis gekommen ist, auf eine derartige Verpflichtung zur Vorratsdatenspeicherung zu verzichten. Ich hoffe, dass diese Beschlusslage Bestand behalten wird. Die Bundesregierung hat es in der Hand, die europaweite Einführung der Datenbevorratung zu verhindern, da ja bekanntlich für den Ministerrat nach wie vor das Einstimmigkeitsprinzip gilt.

Zunächst ausgelöst durch einen verstärkten Sicherheitsanspruch an den Staat, haben neben den klassischen Sicherheitsbehörden mittlerweile immer weitere Behörden Zugriff auf unterschiedlichste Daten, die von nicht-öffentlichen Stellen erhoben wurden. Und hier geht es nicht ausschließlich um das Aufspüren von Verbrechen und Terror, sondern auch um die Kontrolle des Verhaltens des Durchschnittsbürgers bzw. der Durchschnittsbürgerin, ob er/sie die Steuern ordnungsmäßig zahlt und sich auch sonst rechtskonform verhält:

? Nach dem 11. September 2001 wurden Regelungen geschaffen, die eine leichtere Kontrolle von kriminellen und terroristischen Geldflüssen und eine Überprüfung von Konten ermöglichen sollten. Die Bundesanstalt für Finanzdienstleistungsaufsicht hat danach die Möglichkeit, Kontoinformationen online abzurufen. Alle Kreditinstitute wurden verpflichtet, eine besondere Datei zu führen, aus der die Bundesanstalt Daten verdeckt abrufen kann. Bei den Daten handelt es sich um die Stammdaten der Bankkunden, nicht etwa die Kontostände. Vor dem Hintergrund der terroristischen Gefahren wurde dieses Verfahren weitgehend akzeptiert. Als kritisch sehe ich es aber an, dass mit dem „Gesetz zur Förderung der Steuerehrlichkeit“ ab dem 1. April 2005 eine Vielzahl weiterer Behörden in gleicher Weise Zugriff auf diese Bankdaten erhalten soll. Nach dieser gesetzlichen Vorgabe erhalten Finanzbehörden und andere öffentliche Stellen die Möglichkeit, über das Bundesamt für Finanzen von den Kreditinstituten Informationen über die Kontenstammdaten bestimmter Bankkunden zu erhalten. Voraussetzung für eine Abfrage ist, dass die anfragende Behörde ein Gesetz anwendet, das „an Begriffe des Einkommensteuergesetzes anknüpft“ und eigene Ermittlungen der anfragenden Behörde nicht zum Ziel geführt haben oder keinen Erfolg versprechen. Um welche Begriffe es sich dabei handelt, ist nicht abschließend definiert. Noch ist daher unklar, welche Behörden die Abfrageberechtigung erhalten werden und zu welchen Zwecken dies möglich sein soll. Dies halte ich für verfassungsrechtlich bedenklich. Auch ist nicht gewährleistet, dass die Betroffenen von der Tatsache des Abrufs Kenntnis erhalten. Dies betrifft insbesondere diejenigen Kontoinhaber, bei denen aufgrund des Datenabrufs keine Unregelmäßigkeiten aufgefallen sind. Sie haben in Unkenntnis des Abrufs nicht die Möglichkeit, die Rechtmäßigkeit der Abfrage gerichtlich überprüfen zu lassen. Ich meine, der Staat sollte hier mit offenem Visier arbeiten und die Betroffenen zumindest nachträglich von den Abrufen informieren. Auch die Bedürfnisse der Wirtschaft an der Datengewinnung, vor allem im Rahmen des Risikomanagements, nehmen zu:

? Eine für mich bedenkliche Entwicklung aus dem privatwirtschaftlichen Bereich wird mit dem Begriff „Scoring“ umschrieben. Mit dem Scoringverfahren soll die Kreditwürdigkeit weitgehend unabhängig vom tatsächlichen Verhalten des Betroffenen beurteilt werden, selbst dann, wenn keinerlei negative Informationen aus der Vergangenheit über das Zahlungsverhalten einer Person vorliegen. Mittels statistisch-mathematischer Methoden werden Prognosen über das zukünftige Verhalten von Personengruppen erstellt, denen dann der Einzelne zugeordnet wird. Hat man lediglich wenige Daten über den Betroffenen, werden mikrogeographische und soziodemographische Daten herangezogen, um zu einem Profil zu gelangen, das am ehesten dem „Typen“ des Betroffenen entspricht. In welcher Gegend wohnt er? Wie hoch ist dort das Familieneinkommen? Welche Autos stehen dort vor der Tür? Wird dort Spiegel oder Das Goldenen Blatt gelesen etc. etc.? Steht die eigene Villa in der falschen Straße oder wohnt man in einem sozialen Brennpunktbereich, hat man eben Pech gehabt und bekommt nur gegen Nachnahme etwas geliefert. Bereits ein „falscher“ Name reicht dann z.B. aus, dem Betroffenen den Abschluss einer bestimmten Versicherung zu versagen, wenn er auf osteuropäische Vorfahren schließen lässt.

Auf einem kürzlich stattgefundenen Symposium der Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein- Westfalen zu diesem Thema waren sich alle Wirtschaftsvertreter darin einig, dass heute keine kommerzielle Entscheidung ohne ein vorangegangenes Scoring mehr fällt. Bestellt man per Internet eine Ware, läuft vielfach bereits während des Erhebungsvorgangs der Adressdaten ein Scoring ab, von dessen Ergebnis es der Händler abhängig macht, ob er nur Lieferung per Nachnahme oder auch Zahlung gegen Rechnung anbietet. Ein datenschutzrechtlich, aber vor allem gesellschaftspolitisch bedenkliches Vorgehen, das dem Einzelnen die Möglichkeit nimmt, selbst über sein Erscheinungsbild in der Öffentlichkeit zu entscheiden oder dieses auch nur durch eigenes rechtstreues Verhalten zu beeinflussen.

Damit stellt das individualisierte Scoring eine bedeutsame Bedrohung des Rechts auf informationelle Selbstbestimmung dar. Der Gesetzgeber ist gefordert, hier klare Grenzen zu formulieren, damit nicht ganze Gruppen der Bevölkerung in diskriminierender Weise behandelt werden.

Durch Kundenkarten sollen die Verbraucher an das Unternehmen gebunden werden und ihre Käufe auf die entsprechenden Geschäfte konzentrieren. Doch geht das Interesse der Unternehmen in aller Regel weiter. Als Gegenleistung für die Rabattgewährung wollen sie auch etwas vom Kunden erfahren. Angaben zu Interessen, Konsum- und Kaufgewohnheiten, sozialen und familiären Verhältnissen werden zum Teil auf den Anmeldeformularen abgefragt oder aber subtil über das tatsächliche Kaufverhalten in Erfahrung gebracht, indem nicht nur jeder Gebrauch der Karte, sondern auch die dabei erworbenen Artikel registriert werden. Von der Wirtschaft ist hier zu verlangen, dass sie für mehr Transparenz sorgt und die (potenziellen) Kunden verständlich und umfassend über Umfang und Zwecke der Datenverarbeitung informiert.

? Die Begehrlichkeiten der privaten Wirtschaft zeigen sich auch an dem wachsenden Netz verschiedener Auskunftssysteme zur Beurteilung der Zahlungskräftigkeit und Vertrauenswürdigkeit potenzieller Geschäftspartner oder Kunden. Neben zahlreichen Kreditauskunftssystemen hat neuerdings auch die Wohnungswirtschaft eigene Auskunftssysteme entwickelt und auch die Versicherungswirtschaft verfügt über ein zentrales Hinweissystem. Datenschutzrechtliche Gefahren entstehen vor allem dann, wenn verschiedenste Unternehmen aus unterschiedlichen Branchen aus den Systemen Informationen abrufen können und so den einzelnen Kunden für sich gläsern machen können. Damit hier keine Ausgrenzungsspirale in Gang gesetzt wird, also derjenige, der seine Handyrechnung nicht bezahlt hat, nicht fürchten muss, in Zukunft seinen Zahnersatz im voraus bezahlen zu müssen, sind die rechtlichen Grenzen schärfer zu formulieren. Dies betrifft insb. § 29 Bundesdatenschutzgesetz.

? Noch gravierender können Einschnitte sein, die sich aus der Analyse des menschlichen Genoms ergeben. Im Bereich des Strafverfahrens gibt es zur Nutzung der sog. DNA- Analyse bereits einschlägige Normen, die die Feststellung, Speicherung und Verwendung von DNA- Identifikationsmustern regeln, obgleich auch hier noch nicht alle Fragen geklärt sind. Doch beschränkt sich der Einsatz von Genomanalysen schon lange nicht mehr auf die Verbrechensbekämpfung und die Überführung von Straftätern. Ob es um die Feststellung von Kindschaftsverhältnissen geht, um den Abschluss von Lebens- oder Krankenversicherungsverträgen, um Einstellungen oder Kündigungen im Arbeitsleben, überall ist die Nutzung von Gentests zumindest denkbar, wenn nicht bereits Realität. Leider fehlen hier noch spezielle rechtliche Regelungen, um Missbrauch auf diesem Gebiet entgegenzutreten, einen fairen Interessenausgleich zu gewährleisten und diesen Kernbereich der Persönlichkeit eines Menschen wirkungsvoll zu schützen. Ich bin allerdings optimistisch, dass die genetischen Daten in naher Zukunft durch ein Gendiagnostikgesetz zumindest juristisch geschützt werden.

Unterstützt werden diese Tendenzen durch technologische Entwicklungen, deren Tempo sich keineswegs verlangsamt hat:

  • Videokameras, von denen man sich beobachtet fühlt und von denen man nicht weiß, ob sie nur das verlängerte Auge eines Wächters sind oder ob die beobachteten Daten aufgezeichnet werden, für welchen Zweck und was anschließend mit den Bildern geschieht. Verbunden mit biometrischen Verfahren und elektronischer Bildauswertung könnten Personen gezielt verfolgt und Bewegungsprofile erstellt werden. Es bleibt abzuwarten, ob die bei der Novellierung 2001 eingeführten Vorgaben von § 6b BDSG diese Gefährdungen wirksam begrenzen.
  • Es werden zunehmend Systeme entwickelt, die es in technisch unterschiedlicher Weise und zu verschiedenen Zwecken erlauben, den genauen Aufenthalt eines Menschen festzustellen. Ortungsmöglichkeiten bieten inzwischen zusätzliche Funktionen im Handy und bestimmte Dienste in den Mobilfunknetzen (location based services).

Soweit derartige Dienste durch Telekommunikationsanbieter betrieben werden, gilt seit diesem Jahr die Vorgabe, dass eine Lokalisierung nur mit ausdrücklicher Einwilligung des Betroffenen erfolgt. Auch für die Strafverfolgungsbehörden gibt es seit einiger Zeit verhältnismäßig klare Vorgaben in der Strafprozessordnung. Wie verhält es sich aber, wenn Detekteien derartige Dienste verwenden? Was muss derjenige befürchten, der auf diese Weise seinen Partner oder seine Nachbarin ausspioniert? Hier bestehen Strafbarkeitslücken, die schnell geschlossen werden müssen.

? Im Internet sind wir nach wie vor mit cookies und web-bugs konfrontiert, die unser Nutzerverhalten ausforschen oder das Nutzen von Daten an den Hersteller des benutzten Multimedia-Programms melden. Auch hier geht es um Profilbildung und heimliches Eindringen in unseren Privatbereich. Angesichts der Internationalität der Netze ist es besonders schwierig, den Datenschutz des Nutzers durchzusetzen, zumal es in vielen Fällen nicht einmal gelingt, die Verantwortlichen für diese Spionageaktivitäten zu identifizieren. Sie erinnern sich vielleicht an den markanten Satz des außerirdischen Hauptdarstellers E.T.: „Nach Hause telefonieren“. Ähnlich verhalten sich Systeme, die Informationen über die Nutzung von Hard- und Software- in der Regel ohne Wissen des Nutzers - an Dritte, oftmals den Hersteller, weitergeben. Zu Recht spricht man deshalb von „E.T.- Software“. Ein Beispiel dieser für den Nutzer weitgehend intransparenten Systeme bildet TCPA. Damit können zwar zum Schutze des Nutzers Änderungen an der Software festgestellt werden; mit ihr sind jedoch noch ganz andere Möglichkeiten verbunden und das wohl nicht nur theoretisch. Da ist von der Wahrung von Urheberrechten die Rede und der Möglichkeit, den Einsatz von Software zu kontrollieren und ggf. auch zu beenden, ob es dem Nutzer nun passt oder nicht.

Auch hier gibt es erhebliche Durchsetzungsdefizite für den Datenschutz; nicht einmal bei allen renommierten Anbietern ist gewährleistet, dass die Betroffenen von der Kontaktaufnahme und vom Datentransfers erfahren, geschweige denn, dass sie ihn verhindern könnten.

? Öffentlich umstritten ist in letzter Zeit die sog. RFID- Technologie. Noch werden die Funkchips überwiegend nicht direkt mit personenbezogenen Informationen verknüpft, sondern sie dienen nur der Produktkennzeichnung, z.B. zur Markierung von Containern in der Logistik. Mit der breiten Einführung von gekennzeichneten Waren im Einzelhandel entsteht jedoch die Gefahr, dass Verknüpfungen zwischen den Waren und deren Käufern hergestellt und auch gespeichert werden. Auch könnte dieser Personenbezug unbemerkt über Ausweispapiere, Kundenkarten oder Zahlungsmittel mit RFID- Chips hergestellt werden. Die Funktransponder sind so klein, dass der Verbraucher sie kaum erkennen kann und eine explizite Kennzeichnungspflicht gibt es bisher nicht. Außerdem werden die Chips aktiv, sobald sie in die Reichweite eines passenden Lesegeräts gelangen: Dann werden die gespeicherten Daten preisgegeben. ausgetauscht.

Ab Herbst 2005 sollen biometrische Daten mittels RFID- Chips in Reisepässen gespeichert werden. Auch Medikamentenpackungen und die Eintrittskarten zur Fußball-WM 2006 sollen - so die Diskussion - mit RFID- Technologie ausgestattet werden. Es ist sogar daran gedacht, RFID auf Geldscheine aufzubringen. Mit der „ersten intelligenten Arzneiverpackung“ soll jede Entnahme eines Medikaments gezeichnet und mit einer Zeitmarke versehen werden. Die Technik kann mit einem elektronischen Tagebuch und Erinnerungen durch akustische Signale ergänzt werden. Hier geht es um sensible personenbezogene Daten und man kann sich vorstellen, was geschieht, wenn diese in die falschen Hände geraten. Diese Beispiele zeigen, dass es bei dem Einsatz der RFID- Technologie nicht allein um Logistikkontrolle und Diebstahlschutz geht. Auch wenn derzeit diese Zwecke noch im Vordergrund stehen, ist die Gefahr durchaus real, dass durch die fortschreitende Verbreitung dieser Technologie eine ganz neue Dimension des „gläsernen Kunden“ entstehen kann. Auch hier besteht erheblicher gesetzlicher Steuerungsbedarf, damit zumindest die Transparenz und Entscheidungsfreiheit der Kunden als Betroffene gewährleistet werden.

Ich bin mir nicht sicher, ob die Biometrie oder die anderen hier angesprochenen Technologien das halten können, was sich manch einer von ihnen verspricht. Ich wende mich auch nicht grundsätzlich gegen den Einsatz entsprechender Verfahren, solange die datenschutzrechtlichen Prinzipien wie Datensparsamkeit, Datensicherheit, Transparenz, strikte Zweckbindung, Erforderlichkeit und Verhältnismäßigkeit, um nur die wichtigsten zu nennen, beachtet werden.

Auch darf es zu keinen zentralen Referenzdateien kommen, mit denen an verschiedenen Stellen und zu verschiedenen Zwecken erhobene Daten abgeglichen werden. Eine solche Entwicklung würde technisch den Weg zur Überwachung jeden einzelnen Bürgers frei machen und eine Vielzahl von Missbrauchsmöglichkeiten eröffnen. Zumindest was die Reisepässe betrifft, zeichnet sich ein datenschutzrechtlicher Teilerfolg ab. Ich erwarte, dass die datenschutzrechtliche Ablehnung biometrischer Zentraldateien durch das Europäische Parlament unterstützt wird.

Ich habe Ihnen, meine sehr geehrten Damen und Herren, einige Beispiele genannt, nach denen der einzelne Bürger durchleuchtet und kontrolliert werden kann und die teilweise bereits zu diesem Zweck eingesetzt werden. Aber warum besteht heutzutage das anscheinend dringende Bedürfnis, jeden, mit dem man es zu tun hat, möglichst genau einschätzen zu können; möglichtst genau prognostizieren zu können, wer er ist, wie er ist und ob im Endeffekt von ihm eine Gefahr ausgehen kann, sei es tatsächlicher oder aber kreditorischer Art?

Ich denke, dies hat nur zum Teil etwas mit den aktuell diskutierten Sicherheitsrisiken zu tun. Vielmehr handelt es sich um einen generellen Trend, mit empfundenen und tatsächlichen Risiken und Gefahren umzugehen. Terroranschläge, Stagnation der Wirtschaft und Umbau des Sozialsystems lassen die Tatsache, dass wir in einer Risikogesellschaft leben, ins allgemeine Bewusstsein gelangen. In dieser Gesellschaft versucht jeder, sein persönliches Risiko der wie auch immer gearteten Schädigung so gering wie möglich zu halten. Das Bedürfnis nach Kontrolle der Anderen ist vor diesem Hintergrund durchaus rational. Da die traditionellen „Kontrollnetze“, ich meine hier insbesondere das familiäre Umfeld, Nachbarschaften und andere Sozial“netze“ in der individualisierten Gesellschaft nicht mehr voll funktionieren, sind technische Kontrollen, Datenabgleiche, Online-Abfragen und Scoringsysteme – zumindest in gewissem Umfang – ein Ersatz für verlorene Sicherheiten.

Diese Entwicklung wird durch neue Techniken gefördert, mit denen Daten und Informationen immer einfacher, umfassender und billiger erhoben und verarbeitet werden können. Diese neuen Möglichkeiten wecken beinahe automatisch Begehrlichkeiten. Nur muss man sich den Preis dafür vor Augen halten, den Preis für den Einzelnen und damit auch für unsere ganze Gesellschaft:

Es besteht die Gefahr, dass sich der Einzelne überwacht und durchleuchtet fühlt und damit in seinem Verhalten unfrei wird. Er bekommt nicht nur keinen Kredit, sondern er weiß nicht einmal, warum er den Kredit nicht bekommt oder Probleme mit dem Finanzamt hat. Er kann sich nicht erklären, warum er einen bestimmten Arbeitsplatz nicht bekommt und nicht als Mieter in Frage kommt – waren etwa unbedachte Äußerungen in einer Newsgroup, die er als Jugendlicher gemacht hat, dafür ursächlich?

Er kann sich nicht dagegen wehren, da er nichts nachweisen kann. Er weiß nicht, was wer über ihn weiß und wie dieses Wissen bewertet wird, ob es überhaupt zutreffende Fakten sind, die der Bewertung zu Grunde liegen. Auch völlig unbescholtene Bürger sind nicht davor gefeit, unter Verdacht zu geraten. Ganz im Gegenteil: Gerade die „Unauffälligkeit“ macht den Einzelnen wieder verdächtig, denn mancher wahre Täter benimmt sich gerade nicht auffällig, da er sich ja vom Unbescholtenen nicht unterscheiden will. Ein Bürger, der sich nichts zu Schulden kommen lässt, seine Rechnungen pünktlich zahlt und sich auch im täglichen Leben nicht auffällig verhält, könnte gerade deshalb in den Focus z.B. von Behörden geraten. Ein paradoxes Szenario. Dass dies nicht abwegig ist, dafür sprechen Begriffe wie „Schläfer“, die gerade in jüngster Zeit wieder aktuell geworden sind und die Rasterfahndungen (eigentlich nichts anderes, als eine Art staatliches Data Mining), mit denen versucht wird, den Schläfern auf die Spur zu kommen. Diese Entwicklung darf nicht so weitergehen. Der einzelne Bürger darf nicht das Gefühl haben, anonymen Mächten ausgeliefert zu sein und die Kontrolle darüber verloren zu haben, wer was über ihn weiß, in seinem Verhalten vielfältig ausgespäht, kontrolliert, bewertet und schließlich manipuliert zu sein. Er muss wieder in die Lage versetzt werden, aktiv und selbstbestimmend über seine personenbezogenen Daten zu verfügen, gleichberechtigter Widerpart der Daten sammelnden und verarbeitenden Stellen zu sein, der seine Rechte kennt und gegebenenfalls auch durchsetzen kann. Kurz: Er muss verstärkt zum Subjekt der Selbstverantwortung werden.

Dass bedeutet nicht, dass auf jegliche Kontrolle individuellen Verhaltens verzichtet werden könnte; auch das hält keine Gesellschaft auf Dauer aus. Aber sie muss eine auf das erforderliche Maß beschränkte und vor allem für das Individuum transparente Kontrolle sein.

Information, Transparenz und Selbstbestimmung über die eigenen Daten müssen bereits bei der Gestaltung neuer Technologien eine bedeutende Rolle spielen. Ich will an dieser Stelle noch einmal auf das Beispiel der RFID- Technologie zurückkommen: Ein offener und transparenter Erhebungsvorgang, d.h. eine Kennzeichnung von Produkten mit RFID- Chips; die Möglichkeit, die mittels des Chips gespeicherten personenbezogenen Informationen einzusehen und schließlich die Option, den Chip nach Abschluss des Zahlungsvorgangs zu deaktivieren – die Erfüllung dieser Voraussetzungen würde die Technik datenschutzgerecht gestalten. Der Einzelne bliebe Souverän seiner Daten.

Der Wirtschaft ist zuzumuten, gewisse Risiken zugunsten eines fairen und gleichberechtigten Umgangs mit ihren Kunden hinzunehmen, zumal ja auch die Kunden nicht in der Lage sind, sich vollständig gegen Risiken abzusichern, die ihnen durch unredliche Geschäftspraktiken drohen. Im Endeffekt zahlt sich auch hier ein generelles Misstrauen nicht aus. Zum einen kann man auch durch die ausgefeiltesten Scoringverfahren Bonitätsrisiken nicht völlig vermeiden und zum anderen wächst das Bewusstsein des einzelnen Kunden dafür, wie mit seinen Daten umgegangen wird. In einer Wirtschaftswelt, in der die Kunden unter einer großen Zahl von Anbietern gleicher oder ähnlicher Dienstleistungen wählen können, gewinnen immaterielle Aspekte wie Datenschutz an Bedeutung und datenschutzgerechte Verfahren werden zu einem Wettbewerbsvorteil. An den Staat geht der Appell, wieder mehr auf die Selbstverantwortung der Bürger zu setzen, anstatt immer umfangreichere Kontrollen zu installieren. Ein größeres Vertrauen in die Rechtschaffenheit der Bürger täte Not, wobei bereits in der Phase der Gesetzgebung und der Planung technischer Systeme Datenschutzanforderungen berücksichtigt werden müssen. Ich würde sogar noch weiter gehen: Wirksame Prävention muss schon dort beginnen, wo Verhaltensnormen gebildet und vermittelt werden. Ich meine hier nicht nur das persönliche Umfeld und die Schule, sondern auch die Wirtschaft. Wenn, wie mir betriebliche Datenschutzbeauftragte berichten, Verstöße gegen datenschutzrechtliche Vorschriften in einzelnen Unternehmen vom Management lediglich als betriebswirtschaftliches Risiko betrachtet und in Kauf genommen werden, muss man sich nicht wundern, dass dieses Beispiel auch anderweitig Schule macht.

Wir leben nicht in einer autoritären Diktatur, wie sie Orwell gezeichnet hat. Wir leben in einer Demokratie und deshalb darf man auch in schwierigen wirtschaftlichen Zeiten oder gar Zeiten der Bedrohung gesellschaftliche Wertvorstellungen – dazu gehört der Schutz der Privatsphäre – nicht abschaffen oder unverhältnismäßig einschränken. Insofern macht es Hoffnung, dass in Folge der Erfahrungen mit dem ostdeutschen Überwachungsstaat der Datenschutz in die Verfassungen der neuen Bundesländer aufgenommen wurde. Mit Hoffnung erfüllt mich auch der europäische Verfassungsprozess, der an verschiedenen Punkten den Datenschutz berücksichtigt, vor allem bei den Grundrechten der EU-Bürger. Schließlich geben auch verschiedene höchstrichterliche Entscheidungen - nicht nur die Lauschangriffsentscheidung des BVerfG - Anlass, positiv in die Zukunft zu sehen.

Entscheidend wird es aber vom bürgerschaftlichen Engagement abhängen, in welche Richtung sich unsere Gesellschaft und die von ihr verwendete Technologie entwickeln werden. In diesem Sinne sind wir alle gefordert – als Kunden, Wähler oder als Unternehmer, Manager, Beamte, Politiker und Journalisten und als professionelle Datenschützer die an der Gestaltung der Gesellschaft der Zukunft mitwirken.