Eine neue Entwicklung der Kriminalität: Straftaten beim Umgang mit persönlichen Daten haben zugenommen; skandalöse Vorfälle empören mit Recht Bankkunden und Verbraucher. Angaben über Bankverbindungen vieler Tausend Kunden sind rechtswidrig verbreitet und zu unberechtigten Abbuchungen missbraucht worden. Telefonnummern und Adressen, die ein Unternehmen weitergegeben hat, werden zu aggressiver Werbung per Telefon genutzt.
Hans Peter Bull
(Foto: Foto: oH)Freilich ist es nicht neu, dass es zu den Methoden von Callcentern gehört, beliebige Mitmenschen unangemeldet anzurufen und ihnen alles Mögliche zu versprechen. Solche cold calls sind von den Gerichten schon seit längerem verboten worden. Wir hören jetzt aber - nicht zuletzt infolge der verdienstvollen Recherchen von Günter Wallraff - immer mehr Einzelheiten, etwa dass den Angerufenen unnütze oder weit überteuerte Leistungen und Lieferungen angeboten werden und dass nicht selten ein Vertragsabschluss nur behauptet wird, die Betrogenen sich aber gegen die unbegründeten Rechnungen nicht wehren. Derartige Praktiken müssen mit den Mitteln des Strafrechts verfolgt und streng geahndet werden, zumal die Opfer zum großen Teil alte und hilfsbedürftige Menschen sind.
Wie bei jedem spektakulären Ereignis wird auch hier sogleich nach den Versäumnissen von Politik und Verwaltung gesucht. Macht unser Recht es den Tätern zu leicht? Müssen die Gesetze geändert werden, damit ihnen schon die Gelegenheit zur Tat verwehrt oder wenigstens erschwert wird?
Wer unberechtigt Geld von einem fremden Konto abbuchen lässt, ist ein Betrüger und kann zu hoher Freiheits- oder Geldstrafe verurteilt werden. Strafbar sind auch das Ausspähen und das Abfangen fremder Daten, die Manipulation von Computern und der "Computerbetrug". Wer "nur" unbefugt personenbezogene Daten verarbeitet oder sich verschafft, begeht eine Ordnungswidrigkeit nach dem Bundesdatenschutzgesetz (BDSG), die mit einer Geldbuße bis zu 250.000 Euro geahndet werden kann; wer aber solche Datenschutzverstöße "gegen Entgelt oder in der Absicht" begeht, "sich oder einen anderen zu bereichern oder einen anderen zu schädigen", ist wiederum ein Straftäter und wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Allerdings werden Datenschutz-Straftaten nur auf Antrag verfolgt; antragsberechtigt sind der Betroffene (also die Person, um deren Daten es geht), die verantwortliche Stelle, der Bundesbeauftragte und die Landesbeauftragten für den Datenschutz sowie die übrigen Datenschutzaufsichtsbehörden. Es muss also jemand aktiv werden, damit die Strafjustiz ihres Amtes walten kann. Bisher ist dies nur ganz selten geschehen, jetzt sind Strafanträge gestellt worden, etwa im Falle der CD mit 17.000 sensiblen Daten von Bundesbürgern vom schleswig-holsteinischen Datenschutzbeauftragten.
Der Bundesbeauftragte Peter Schaar fordert die Erhöhung der Geldbuße für BDSG-Verstöße. 250.000 Euro seien nicht genug; die Unternehmen könnten solche Beträge "aus der Portokasse" bezahlen. Aber ist das wirklich so? Zwar floriert der Adressenhandel, die Umsätze addieren sich zu Milliardenbeträgen, aber sie verteilen sich auf viele - auch kleine - Firmen, und die einzelne Adresse oder Telefonnummer ist in der Regel nur einige Cent wert.
Es braucht keine schärferen Gesetze
Den Strafrahmen "drastisch anzuheben", wie nun Politiker fordern und wie gewiss viele meinen, hilft wenig, wenn die Taten nicht angezeigt werden oder die Richter - wie meist - diesen Strafrahmen nicht ausschöpfen. Auch aus anderen Kriminalitätsbereichen wissen wir ja längst , dass der Grad der Abschreckung kaum von der angedrohten Strafe abhängt, sondern allenfalls vom Entdeckungs- und Verfolgungsrisiko.
"Das vorrangige Problem sind nicht die Gesetze, sondern deren mangelnde Umsetzung", stellt denn auch der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert in seinem jüngsten Bericht fest. Es fehle den Unternehmen häufig "an Kenntnis der Regeln und an der Bereitschaft, Datenschutz als gesetzliche Verpflichtung zu beachten", und: "Die Aufsichtsbehörden können mangels personeller Ausstattung nicht den notwendigen Kontrolldruck aufbauen", heißt es weiter.
Aber sollte man den Handel mit persönlichen Daten nicht einfach ganz verbieten? Eben das will die Bundestagsabgeordnete Ulrike Höfken von den Bündnis-Grünen. Viele werden ihr zustimmen; der Adressenhandel gilt weithin als Sünde wider den Datenschutz, und dass unsere Briefkästen so manches Mal mit Reklame verstopft werden, finden viele ärgerlich. Besser ist es jedoch, zwischen riskanten und harmlosen Methoden der Datenverwendung zu unterscheiden und nur diejenigen zu unterbinden, die wirklich relevante Gefahren für Individualrechte begründen. Der gesetzeskonforme Adressenhandel gehört nicht dazu. Bei bloßer Adressenweitergabe für Zwecke der Werbung oder des Marketings ist das Risiko der Adressaten minimal; die Missbrauchsgefahr allein rechtfertigt kein Totalverbot einer an sich sozialverträglichen Praxis.
Die Wirtschaft oder zumindest einige Wirtschaftszweige meinen, auf die gezielte, scheinbar persönliche Ansprache potentieller Kunden nicht verzichten zu können. Künftig sollte jedoch gelten, dass diese Daten ausschließlich mit Einwilligung der Betroffenen weitergegeben werden dürfen (und nicht mehr nach den zu pauschalen Generalklauseln des BDSG). Niemand ist genötigt, in Werbesendungen einzuwilligen. Sie schaden niemandem, solange sich die Adressaten rational verhalten und nicht auf jedes obskure Angebot hereinfallen. Ungerechtfertigte Abbuchungen kann man rückgängig machen. Wer aber an die Versprechungen riesiger Gewinne glaubt und dafür sein Geld hergibt, ist selbst schuld.
Bei aller berechtigten Empörung über die aktuellen Skandale sollte klar sein: Nicht mehr, sondern bessere Gesetzgebung ist nötig. Der Gesetzgeber bemüht sich immerhin. In dem Entwurf einer BDSG-Novelle, den die Bundesregierung Anfang dieses Monats beschlossen hat, werden zwar die Regelungen über den Adressenhandel nicht verschärft, aber andere wichtige Gegenstände wie die Datenverarbeitung der Auskunfteien und die automatisierte Kreditwürdigkeitsprüfung (das "Scoring") neu geregelt. Die neuen Vorfälle werden hoffentlich dazu beitragen, dass diese Novelle des Datenschutzgesetzes besonders kritisch beraten wird.
Hans Peter Bull war von 1978 bis 1983 der erste Bundesdatenschützer, von 1988 bis 1995 war er Innenminister Schleswig-Holsteins. Bis 2002 arbeitete er als Professor für Öffentliches Recht.