Spiros Simitis gilt als der juristische Vater des Datenschutzes in Deutschland. Als Hessen 1970 das weltweit erste Datenschutzgesetz verabschiedete, wurde er Datenschutzbeauftragter des Bundeslandes - und blieb es 16 Jahre lang. Er leitete die Datenschutzkommission des Europarates, von 2001 an war er Vorsitzender des Nationale Ethikrates; heute ist er Mitglied im Deutschen Ethikrat. Der Frankfurter Jura-Professor ist international gefragt, der 74-Jährige lehrte und lehrt in Berkeley, Philadelphia, Paris und Yale.
Spiros Simitis gilt als der juristische Vater des Datenschutzes in Deutschland.
(Foto: Foto: Reuters)SZ: Der Datenschutz ist so gut im Gespräch wie seit 25 Jahren nicht mehr. Haben Sie dafür schon ein Dankschreiben an Mehdorn, Lidl und die Telekom geschickt?
Spiros Simitis: Davon habe ich bislang abgesehen. Auch und vor allem deshalb, weil gerade die jüngsten Erfahrungen, so seltsam es zunächst klingen mag, einer Bankrotterklärung des Datenschutzes gleichkommen. So offenkundig neuerdings die öffentliche Sensibilität ist, so deutlich fehlt es an der Bereitschaft, den geltenden gesetzlichen Anforderungen zu genügen.
Es fehlt an einer wirklich überzeugenden Initiative, die Mängel des Datenschutzes zu korrigieren. Den privaten Unternehmen müssen zwingende gesetzliche Vorgaben gemacht werden, die von vornherein die Verwendung personenbezogener Daten klar einschränken und die eine nachhaltige Kontrolle der Verarbeitung sicherstellen. Das alles existiert bisher nicht.
SZ: Die Bahn hat doch zwei unabhängige Ermittler eingesetzt. Ist das nichts?
Simitis: Nichts gegen zusätzliche Versuche der Bahn, den Datenschutz zu gewährleisten. Aber: Es handelt sich um einen Vorstoß des Aufsichtsrates, der als Organ des Unternehmens zuvörderst verpflichtet ist, das Unternehmensinteresse zu beachten. Man muss also schon genau fragen: Können die Ermittler alles veröffentlichen, was sie erfahren?
Haben sie zu jeder Unterlage uneingeschränkt Zugang? Oder muss letztlich das alles wieder über den Aufsichtsrat laufen? Die Erfahrungen zeigen jedenfalls, wie sehr immer wieder versucht wird, Einfluss auf die Ermittlungsergebnisse und besonders auf ihre Publikation zu nehmen.
SZ: Was soll die Bahn tun?
Simitis: Sie soll sich an den Berliner Datenschutzbeauftragen wenden. Sie soll ihm keine Hindernisse in den Weg legen, und sie soll ihm die Möglichkeit einräumen, alles nachzuholen, was bislang an Kontrolle versäumt wurde. Er ist die primäre Instanz, ohne ihn gibt es weder eine richtige Kontrolle noch eine öffentliche Unterrichtung.
SZ: Ist das eine kleine Misstrauenserklärung gegenüber den Sonderermittlern Gerhart Baum und Herta Däubler-Gmelin?
Simitis: Keineswegs. Ich habe nichts gegen externe Experten, die sich so intensiv mit dem Datenschutz beschäftigt haben. Aber ich hätte es begrüßt, wenn der Aufsichtsrat zuallererst an die Adresse des Berliner Datenschutzbeauftragten gesagt hätte: Wir haben es Ihnen schwer gemacht, von nun an können Sie so vorgehen, wie Sie es für richtig halten.
SZ: Und was soll der Gesetzgeber tun?
Simitis: Er soll uns ein wirkliches anwendbares und effizientes Gesetz geben. Die Kontrolle der Privatfirmen und Privatpersonen muss der Kontrolle staatlicher Stellen voll angeglichen werden. Das heißt: Die Kontrolle muss dem unabhängigen Datenschutzbeauftragten übertragen werden. Dieser braucht einen uneingeschränkten Zugang zu allen Unterlagen. Nur auf diese Weise lässt sich die Hauptaufgabe des Datenschutzes erfüllen - Verstößen vorzubeugen.
"Datenschutz muss auch im Internet greifen"
SZ: Es gibt interne Datenschutzbeauftragte in den Betrieben. Taugen die nichts?
Simitis: Haben Sie von dem internen Beauftragten der Bahn oder der Telekom irgendwas gehört? Sind die von ihrem Unternehmen unterrichtet worden? Sind sie überhaupt gefragt worden? Haben sie ihre Zweifel der externen Instanz, also dem Berliner Datenschutzbeauftragten zum Beispiel oder dem Bundesbeauftragten, weitergegeben?
SZ: Innenminister Schäuble hat sich schon öffentlich zu einem Arbeitnehmer-Datenschutz bekannt.
Simitis: Bekenntnisse reichen nicht, ein Gesetz ist überfällig. Wir haben über den Arbeitnehmer-Datenschutz schon in den achtziger Jahren intensiv debattiert. Der Bundestag hat ihn wiederholt gefordert, die Bundesregierung mehrfach erklärt, selbstverständlich würde sie einen Entwurf vorlegen.
Geschehen ist nichts, obwohl es keinen Zweifel mehr gibt, dass allgemeine Vorschriften nicht ausreichen. Nur gesetzliche Vorgaben, die sich an konkreten Verarbeitungsfällen orientieren (Verwendung von Patientendaten, Speicherung durch Polizeistellen, Zugriff der Arbeitsämter), können die entscheidenden Probleme ansprechen und den notwendigen Schutz bieten.
SZ: Was ist, wenn ein Arbeitnehmer in seinem Arbeitsvertrag der Verwendung seiner Daten zustimmt?
Simitis: Ein echter Arbeitnehmerdatenschutz muss zunächst die Bedeutung bedenken, die der Arbeitsplatz für die Beschäftigten hat. Es kann nicht sein, dass der Verzicht auf Datenschutz der Preis ist für den Arbeitsplatz. Konsequenterweise darf es keine Einwilligung geben, die praktisch ein Generalschlüssel zu faktisch jeder vom Arbeitgeber gewollten Verarbeitung ist.
Bei besonders sensitiven Daten, wie etwa genetischen Angaben, braucht man Sonderregelungen, da muss die Verwendung auf ein absolut unverzichtbares Mindestmaß beschränkt werden. Und schließlich: Arbeitnehmerdatenschutz ist immer gebunden an klar formulierte Kontroll- und Mitbestimmungsrechte der Arbeitnehmervertretungen.
SZ: DGB-Chef Sommer hat ja ein generelles Verbot der Überwachung von Arbeitnehmern gefordert. Wäre ein solches Verbot sinnvoll?
Simitis: Das geht sicherlich so nicht. Es kann durchaus Situationen geben, in denen sich Kontrollen nicht vermeiden lassen. Aber die umfassenden, totalen Kontrollen, wie sie bei der Bahn vorgenommen worden sind, gehen unter gar keinen Umständen. Sie verstoßen offen gegen die elementarsten Datenschutzprinzipien. Noch so nachdrückliche Hinweise auf "Korruption" befreien nicht von der Verpflichtung, sich am jeweiligen konkreten Sachverhalt auszurichten und nur die damit im Zusammenhang stehenden Beschäftigten einzubeziehen.
SZ: An der Kasse des Supermarkts gibt es Herzchen, Happy Digits. Damit und mit den Kundenkarten werden Daten abgegriffen.
Simitis: Die Mehrzahl aller Informationen wird heute im nichtöffentlichen Bereich gesammelt. Der Staat ist deshalb immer weniger darauf angewiesen, Daten selbst zu erheben. Er braucht nur auf die von Privaten eingerichteten Datenbanken zurückzugreifen. Wer sich deshalb, sei es auch nur an der Kasse, mit der Speicherung seiner Daten einverstanden erklärt, unterstützt damit den Aufbau einer Datenbank, die keineswegs nur für das Unternehmen bestimmt, sondern genauso eine potentielle Informationsquelle für den Staat ist.
Nehmen Sie die Vorratsdatenspeicherung als Beispiel: Der Staat greift die von den Telekommunikationsunternehmen erhobenen Daten ab, ja er veranlasst sie, ihre Datenbanken nach seinen Vorstellungen zu ergänzen.
SZ: Bahnmitarbeiter mussten erfahren, dass sie mindestens fünf Mal gerastert wurden. Auch Lidl-Mitarbeiter wurden überwacht. Muss der Bürger damit rechnen, dass auch andernorts heimlich seine E-Mails gelesen werden und seine Privatadressen ins Blaue hinein gerastert werden?
Simitis: Schon. Heimlich ist es freilich sehr oft nicht, weil immer wieder viel zu allgemein formulierte und deshalb beliebig interpretierbare Einwilligungen vorliegen. Vor allem im Internet geben die Leute Daten und Einverständniserklärungen routinemäßig und ohne jede weitere Überlegung ab. Exemplarisch dafür ist die Einwilligung der Betroffenen bei Facebook: Sie ist "unwiderruflich". Spätestens hier wird aber auch klar: Wenn der Datenschutz noch einen Sinn haben soll, muss das Internet einbezogen werden.