Reinhard Vetter Transrhenaniae

CORPS: Herr Vetter, Sie sind Jurist und seit 1994 Bayerischer Landesbeauftragter für den Datenschutz. Welches sind Ihre Aufgaben und welche Befugnisse haben Sie?

Reinhard Vetter Transrhenaniae: Der Landesbeauftragte für den Datenschutz tritt für den Schutz des Rechts der Bürger ein, selber zu bestimmen, wer was über ihn weiß und was dieser mit diesem Wissen anfängt. In dieses Recht darf nur durch klare Gesetze im überwiegenden Interesse der Allgemeinheit eingegriffen werden. Meine Aufgabe ist es, dafür zu sorgen, dass diese Grenzen eingehalten werden.

Nach dem Bayerischen Datenschutzgesetz – entsprechende Landesdatenschutzgesetze haben alle deutschen Länder – kontrolliere ich die öffentlichen Stellen des Freistaates Bayern regelmäßig, nach Stichproben oder auch auf Grund von Bürgereingaben. Ich kontrolliere mit Hilfe meiner rund 25 Mitarbeiterinnen und Mitarbeiter, ob bei der Verarbeitung personenbezogener Daten die Bestimmungen des Bayerischen Landesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz, zum Beispiel Regeln für die Polizei, den Verfassungsschutz, die Meldebehörden, eingehalten werden.

Weiter zu meinem Zuständigkeitsbereich gehören auch die Organisationen privatrechtlicher Natur, die öffentliche Aufgaben durchführen und an denen öffentliche Stellen des Freistaates Bayern beteiligt sind. Ich habe das Recht, jede Behörde zu betreten, ich kann die Vorlage von Akten verlangen, die Behörden sind verpflichtet, mich in jeder Weise zu unterstützen. Stelle ich Mängel in der Datenverarbeitung fest, so fordere ich deren Beseitigung. Bei erheblichen Mängeln spreche ich eine förmliche Beanstandung aus. Wird dieser Beanstandung nicht Rechnung getragen, benachrichtige ich die Aufsichtsbehörden der beanstandeten Stellen, letztlich die Bayerische Staatsregierung und den Bayerischen Landtag.

Als mindestens genauso wichtig sehe ich die vorbeugende Beratung der datenverarbeitenden Stellen an. Als Beispiele nenne ich die Beratung von Universitäten für Forschungsvorhaben oder von Polizeibehörden für die Einrichtung polizeilicher Datensysteme.

Ich lege alle zwei Jahre einen Bericht über meine Tätigkeit der Öffentlichkeit, dem Landtag und der Staatsregierung vor.

CORPS: Haben Individuen heutzutage überhaupt noch eine Chance, vollständig zu erfahren, welche Daten über Sie von wem gespeichert wurden?

Reinhard Vetter: Ein Kernpunkt der Bürgerrechte ist das Auskunftsrecht gegenüber den datenverarbeitenden Stellen. Da es eine zentrale Speicherung aller Daten eines Bürgers bei einer bestimmten Stelle gerade aus Datenschutzgründen aber nicht gibt, gibt es keine Möglichkeit, von einer solchen zentralen Stelle Auskunft über alle gespeicherten Daten zu erhalten. Dazu kommt, dass nach den Datenschutzgesetzen und den speziellen Gesetzen für die Sicherheitsbehörden diese die Möglichkeit haben, Auskünfte zu verweigern, wenn ihre Arbeit durch eine solche Auskunft beeinträchtigt würde.

Für den Bürger ist es so heute nur sehr schwer möglich zu erfahren, wer alles Daten über ihn verarbeitet. Es bleibt ihm nichts anderes übrig, als sich an die einzelnen datenverarbeitenden Stellen zu wenden, von denen ich einige oben erwähnt habe.

Um so wichtiger ist es, dass die Bestimmungen nach der EGDatenschutzrichtlinie eingehalten werden, wonach grundsätzlich jeder von der erstmaligen Verarbeitung seiner Daten zu benachrichtigen ist. Diese Bestimmungen gelten allerdings wiederum nicht für den Sicherheitsbereich.

CORPS: Neben dem Staat erhebt auch die Wirtschaft vielfältige Daten zum Beispiel über Kunden oder Versicherte. Was ist dabei eigentlich zulässig und welche Kontrollen der Datensammlungen der Wirtschaft gibt es?

Reinhard Vetter: Die Datenverarbeitung durch die Wirtschaft ist durch pauschalere Bestimmungen des Bundesdatenschutzgesetzes in Verbindung mit den jeweiligen vertraglichen Vereinbarungen geregelt. Die EG-Datenschutzrichtlinie hat allerdings eine gewisse Annäherung zwischen öffentlichem und privatem Bereich gebracht, da sie grundsätzlich nicht zwischen beiden Bereichen unterscheidet. Die Datenverarbeitung ist nach dem Bundesdatenschutzgesetz unter anderem zulässig, wenn es „der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichem Vertrauensverhältnis mit dem Betroffenen dient“.

Zulässig ist die Datenverarbeitung auch zum Beispiel für Zwecke der Werbung, Markt- und Meinungsforschung. Für letzteres muss es sich um zusammengefasste Daten über Angehörige einer Personengruppe handeln die sich auf weniger sensible Daten beschränken, wie Namen, Titel, Akademische Grade, Anschrift und Geburtsjahr. Weiter darf „kein Grund zu der Annahme bestehen“, dass schutzwürdige Interessen entgegenstehen. Schließlich darf der Betroffene nicht widersprochen haben. Die Datensammlungen der Wirtschaft werden durch die Datenschutzaufsichtsbehörden im privaten Bereich kontrolliert, die in den Bundesländern unterschiedlich angesiedelt sind.

CORPS: Die Regelungen zum Datenschutz sind weltweit durchaus verschieden. Gibt es Bestrebungen, diese Regelungen zu vereinheitlichen?

Reinhard Vetter: Datenverarbeitung ist weltweit, und deswegen muss Datenschutz auch weltweit sein. Diese Forderung ist leider nicht in vollem Umfang verwirklicht, in weiten Bereichen noch nicht einmal in Ansätzen. Einen ganz wichtigen Schritt hat die EGDatenschutzrichtlinie mit ihren Vorschriften zur Übermittlung personenbezogener Daten in Drittländer getan. Im Grundsatz sieht sie vor, dass diese Übermittlung nur zulässig ist, wenn in dem Drittland ein „angemessenes Datenschutzniveau“ herrscht.

Diese Forderung hat in den Vereinigten Staaten von Amerika zu heftigen Diskussionen und zu intensiven Verhandlungen zwischen dem Amerikanischen Handelsministerium und der Europäischen Gemeinschaft geführt. Ergebnis dieser Verhandlungen sind die „Safe Harbour“-Grundsätze, wonach für solche Stellen in den Vereinigten Staaten ein angemessenes Datenschutzniveau anzunehmen ist, die sich diesen Grundsätzen unterwerfen. Diese sehen unter anderem Informations-, Einverständnis- und Widerspruchsrechte, Sicherheitsvorkehrungen und Prüfbefugnisse vor. In ihrer Wirksamkeit sind sie umstritten, es gibt auch immer wieder Bestrebungen in Amerika, sie aufzuweichen. Das geringere Datenschutzniveau in anderen Staaten stellt also durchaus ein erhöhtes Risiko für den Einzelnen dar.

CORPS: „Datenschutz ist Täterschutz“ war auch in Deutschland nach dem Anschlag auf das World Trade Center am 11. September 2001 nicht selten zu hören. Was hat sich für das Recht auf informelle Selbstbestimmung seit diesem Datum in Deutschland verändert?

Reinhard Vetter: Der 11. September 2001 ist zu einer erheblichen Belastung des Rechts auf informationelle Selbstbestimmung geworden. In erster Linie sehe ich diese Belastung in einer geänderten Einstellung führender Politiker gegenüber dem Datenschutz. Die Stimmen der Datenschutzbeauftragten des Bundes und der Länder, dass Begrenzungen von Befugnissen von Sicherheitsbehörden und Strafverfolgungsbehörden im Wesen des Rechtsstaates liegen, dass die Einhaltung dieser Grenzen notwendig ist, wenn der Rechtsstaat als solcher erhalten bleiben soll, die Forderung nach Verhältnismäßigkeit und die Hinweise auf die bereits gegebenen umfangreichen Datenverarbeitungsbefugnisse der Sicherheitsbehörden haben es demgegenüber nicht immer leicht. Immerhin konnten im Terrorismusbekämpfungsgesetz wesentliche Leitplanken eingezogen werden, die den Befugnissen der Sicherheitsbehörden Grenzen setzen. Zum Teil waren diese Befugnisse auch schon vorher angelegt, wenn auch noch nicht in solch konkretisierter Weise. Die wesentliche Änderung nach dem 11. September sehe ich aber in der oben genannten geänderten Einstellung.

In dem Bundesratsvorschlag für eine Verpflichtung der Internetund Telekommunikationsprovider zur zwangsweisen Vorratsspeicherung ihrer Kundendaten, sehe ich bei seiner Realisierung einen ganz massiven Eingriff in das Recht auf informationelle Selbstbestimmung. Was hätte es für einen Aufschrei gegeben, wenn vor Zeiten die Deutsche Post verpflichtet worden wäre, rein vorsorglich alle Adressen und Absender sämtlicher Briefe und Postkarten zu speichern, die sie befördert. Nichts anderes wäre diese geplante Vorratsdatenspeicherung. Im Gegenteil, sie ist wegen der viel größeren Aussagekraft zum Beispiel von Internetnutzungsdaten noch viel gravierender.

Die Fragen stellte Michael Schur Cherusciae, Joanneae