JOSEF BARTH

Peter Hustinx, oberster Datenschützer der EU, über die Abbildung der Welt im Internet, Strafen für spionierende Konzerne und Netzverbot für den einzelnen Computer-User. (für profil)

profil: Seit Sie im Amt sind, hat sich die Menge der im Netz gespeicherten Information potenziert. Wie kann ein behäbiger Apparat wie die EU-Kommission bei solch schnellen Entwicklungen ausreichenden Datenschutz gewährleisten?

Hustinx: Ich sage ja nicht, dass es leicht ist. Die Informationstechnologie ändert unser tägliches Leben – und das täglich. Datenschutz wird also definitiv immer wichtiger und auch als Grundrecht im Vertrag von Lissabon verankert. Wir müssen aber sicher viel kreativer werden, wie wir die Dinge hier handhaben.

profil: “Kreativ” ist nicht gerade ein Vokabel, das die Menschen in Österreich mit der Brüsseler Bürokratie verbinden.

Hustinx: Viele Mitgliedsstaaten müssen die Rahmenbedingungen wesentlich verbessern, da haben Sie Recht. Aber wir müssen den Datenschutz global denken und regeln. Google, Microsoft, Intel – das alles sind global agierende Konzerne. Und ein User, der ins Internet einsteigt, kümmert sich ebenso wenig um Grenzen. Man kann diesen Herausforderungen also nicht in jedem Land einzeln begegnen.

profil: Dennoch kochen einige ihr eigenes Süppchen: Frankreichs Staatspräsident Nicolas Sarkozy favorisiert ein Gesetz, das einzelnen Bürgern den Internetzugang kappt, wenn sie zweimal durch den Download eines Lieds oder Bilds gegen mögliche Urheberrechte verstoßen haben. Wird das in der ganzen EU Gesetz?

Hustinx: Das ist ein kritischer Punkt. Ich bin der Meinung, Sanktionen wie diese sollten nicht ohne richterlichen Beschluss gesetzt werden dürfen. Und man muss hier aufpassen: So was bedürfte systematischer und permanenter Überwachung des Surfverhaltens des Einzelnen. Damit würde man Provider dazu verpflichten, jede Sekunde zu scannen, was Sie im Internet machen. Das halte ich für eine bedenkliche Entwicklung. Es produziert einen riesigen Berg an Daten, in dem jede Information jedem einzelnen User irgendwann auf den Kopf fallen kann – auch wenn nichts Widerrechtliches dabei war.

profil: Vor einigen Jahren waren die Menschen mehr besorgt, von staatlichen Institutionen überwacht zu werden als von privaten Konzernen. Nach Fällen von Mitarbeiterbespitzelung wie bei der Kaufhauskette Lidl oder dem Misstrauen gegen Google ist es nun andersrum. Wie wollen Sie solchen Methoden Einhalt gebieten?

Hustinx: Ich hatte nie das Bild von der bösen Regierung und den privaten Saubermännern. Man darf das aber auch nicht umdrehen und glauben, staatliche Behörden würden nur sauber arbeiten. Aber es mangelt immer mehr – und überall – an technischen Kontrollmöglichkeiten, um auszuschließen, dass keine Überwachung vorgenommen wird. Was mir aber immer noch ein Rätsel ist: Obwohl laut Studien 70 bis 80 Prozent der Menschen sich derartige Sorgen machen, verwenden immer mehr Online-Tools oder soziale Netzwerke mit Selbstverständlichkeit – sogar jene, die realisiert haben, dass das gefährlich sein kann. Die Menschen glauben, sie könnten das Risiko kalkulieren, aber das kann man nicht. Ihnen ist nicht klar, dass zu viele Akteure hier zu großen Nutzen davon haben, diese Informationen zu speichern, zu analysieren – und kommerziell zu gebrauchen.

profil: Aber wen wollen Sie verantwortlich halten in sozialen Netzwerken wie Facebook? Den einzelnen – oft im Teenager-Alter befindlichen – User?

Hustinx: Wir sind knapp davor, gesetzlich festzulegen, dass die Betreiber solcher Netzwerke verantwortlich gemacht werden können für alles, was sie tun – oder auch unterlassen. Die meisten Menschen haben ja keine Ahnung von diesen Dingen. Am Beispiel Barack Obama hat man gesehen, wie mächtig solche Netzwerke sein können, wie enorm ihr Potenzial ist.

profil: Der einzelne User wird aber nie wissen, welche Konsequenzen der Besuch einer bestimmten Seite für ihn haben kann. Er ist üblicherweise weder Techniker noch Jurist – schon gar nicht beides. Wie wollen Sie gewährleisten, dass man künftig weiß, worauf man sich einlässt?

Hustinx: Das ist schon richtig. Niemand hat Zeit, vier Seiten Geschäftsbedingungen zu lesen, oder zumindest wird er sie wahrscheinlich nie in ihren ganzen Auswirkungen begreifen. Wir brauchen hier einfacher formulierte Botschaften, wie Sticker oder Logos, die in Zukunft auf Webseiten prangen sollen und sagen: Wollen Sie dieses oder jenes tun? Und: Wenn Sie dieses tun, dann passiert Folgendes … Einfache Informationen für den Einzelnen, während er surft.

profil: Wer soll so was kontrollieren? Die EU-Kommission, die Nationalstaaten, eine neue Behörde?

Hustinx: Wir brauchen mehr Behörden, die Gesetzesverletzungen im Datenschutzbereich verfolgen. Wir sprachen über Lidl: Das ist ein unfassbares Beispiel beispiellosen Verhaltens. Wenn ein Unternehmen wie dieses nach einer derartigen Aktion eine enorme Strafe aufgebrummt bekäme, hätte das abschreckende Wirkung für andere.

profil: Sind die Politiker Ihres Erachtens gut genug über diese sehr neuen Probleme informiert, um vernünftige Entscheidungen zu treffen?

Hustinx: Ich denke schon. Unter den Mitgliedern des EU-Parlaments gibt es eine Hand voll Politiker, die sich auskennen. Und die Diskussionen im Ausschuss für Bürgerrechte, Justiz und innere Angelegenheiten – im Übrigen eine sehr interessante Kombination! – werden durchaus auf vernünftigem Niveau geführt.

profil: Wie würden Sie Österreichs Maßnahmen in puncto Datenschutz bewerten?

Hustinx: Das ist außerhalb meiner Kompetenz. Ich möchte keine österreichischen Politiker bewerten.

profil: Sie standen Googles Street-View-Projekt, mit dem der Konzern versucht, die Welt abzufotografieren und im Internet abzubilden, anfangs kritisch gegenüber. Nun hat Griechenland Google verboten, Athen abzufotografieren. Halten Sie das für richtig?

Hustinx: Ich habe diese Kritik vor etwa einem Jahr geübt. Mittlerweile hat auch Google versichert, Gesichter oder Nummernschilder auf den Bildern unkenntlich zu machen. Es herrscht mittlerweile relativer Konsens auch unter den nationalen Datenschutzexperten, dass Google Street View kein besonderes Problem mehr darstellt. Eine permanente Live-Überwachung per Video wäre etwas anderes: Da würde jeder rund um die Uhr beobachtbar. Aber Google veröffentlicht hier Bilder, die ein einziges Mal gemacht wurden und nicht mehr aktuell sind. Ich will Google nicht loben, aber diesen Unterschied muss man sehen.

profil: Die größte Idee zur systematischen Datenspeicherung kommt dennoch von der EU selbst: Mit der Vorratsdatenspeicherung sollen Telefon- und Internetverbindungsdaten über Monate und Jahre gespeichert werden. Die Diskussion darum ist ein wenig eingeschlafen. Stellt das nun kein Problem mehr da?

Hustinx: Ganz im Gegenteil. Darüber wird noch immer beraten, wie man einen vernünftigen Ausgleich zwischen persönlicher Freiheit und staatlicher Überwachung schaffen soll. Derzeit sehe ich nicht viele Argumente, die mich zugunsten des Staates überzeugen würden. Ich würde gern einmal genau wissen, wie viele Fälle durch die europaweite Speicherung dieser riesigen Datenmengen tatsächlich gelöst wurden. Wenn wir so ein Meer von Informationen speichern, müssen wir nämlich auch die Sicherheitssysteme dafür schaffen, um den Missbrauch zu verhindern. Und das wird wiederum weniger gern diskutiert. Die Situation, die wir sonst schaffen, ist bizarr: Mit dem Argument der Anschläge vom 11. September in New York und später auch in London wollen wir gespeichert wissen, wer wann mit wem gesprochen hat, um mehr Sicherheit für alle zu erzeugen. Mit der Speicherung dieser Daten erzeugen wir aber ein Risiko für alle – nämlich für jeden Einzelnen, dass sie missbräuchlich gegen ihn verwendet werden könnten. Und damit bin ich wirklich noch nicht glücklich.

Interview: Josef Barth

Peter Hustinx, 64

Der ehemalige Richter ist seit 2004 als Europäischer Datenschutzbeauftragter im Amt. Er berät und überwacht die Kommission und andere EU-Organe. Peter Hustinx war bereits Anfang der neunziger Jahre als oberster Datenschützer der Niederlande tätig. Kommende Woche wird er bei der Tagung der Österreichischen Juristenkommission über die Herausforderungen an den europäischen Datenschutz referieren.

Exklusiv. Ein Spitzenbeamter steht im Zentrum eines 60-Millionen-Coups mit Arbeitsamtgeldern. Fast 17 Millionen davon soll er illegal verschoben haben: von Republikskonten, per Telebanking. (für profil)

Am Ende wirkte er erleichtert, sagen Mitarbeiter, als wäre mit einem Schlag ein enormer Druck von ihm abgefallen, der sich über die vergangenen Monate aufgebaut hatte. Mit seiner vorläufigen Suspendierung als Bereichsleiter der österreichischen Bundesbuchhaltungsagentur endete für Wolfgang W. vergangene Woche ein äußerst unangenehmes Kapitel seines Lebens. Sollte sich die momentane Verdachtslage – entgegen der geltenden Unschuldsvermutung – dennoch bewahrheiten, so haben zwar Ausreden, Verschleierungen und Heimlichtuereien ein Ende, doch seine wirklichen Schwierigkeiten dürften jetzt erst beginnen.

Wolfgang W., einer der obersten Vermögensverwalter der Republik, steht im Verdacht, die Drehscheibe eines rund 60 Millionen Euro schweren Coups zu sein, der seit vergangener Woche die Kabinette dreier Ministerien, die Spitzen von Rechnungshof, Arbeitsmarktservice und Hypo Alpe-Adria-Bank sowie den Konkursrichter und – nun auch – die Staatsanwaltschaft Wien beschäftigt.

W. steht im Verdacht, rund 16,5 Millionen Euro von Konten der Republik auf Knopfdruck an private Empfänger verschoben zu haben – ohne entsprechende Belege anführen zu können. Das bestätigte die Buchhaltungsagentur gegenüber profil. Eine vom Rechnungshof beanstandete Sicherheitslücke im System wurde vom Finanzministerium nie geschlossen (siehe Zusatztext unten). Daneben soll W. einem privaten Schulungsinstitut widerrechtlich Forderungsbestätigungen gegen die Republik in Höhe von weiteren 43,3 Millionen ausgestellt haben.

Der Reihe nach. Vergangene Woche klingelt im Büro von AMS-Chef Herbert Buchinger das Telefon. Am anderen Ende der Leitung meldet sich ein misstrauischer Vorstandsdirektor der Hypo Alpe-Adria-Bank, Paul Kocher. Er, Kocher, halte eine Bestätigung in Händen, wonach das Arbeitsmarktservice einem privaten Lerninstitut für die Schulung von Arbeitslosen satte 16,3 Millionen Euro schulde. Amtlich ausgestellt von der Buchhaltungsagentur des Bundes, die die Abrechnung für alle heimischen Ministerien und andere staatliche Stellen verantwortet, vorgelegt vom Betreiber des Schulungsinstituts, Kurt Datzer, der seine angebliche Forderung verkaufen und zu Geld machen wollte.

Buchinger traute seinen Ohren nicht. Zwar hatte das AMS das Erwachsenenbildungsinstitut Venetia einst mit der Abhaltung von Kursen für Arbeitslose beauftragt. Doch da die letzten Forderungen bereits im November 2008 abgerechnet worden waren, “mussten wir das Bestehen einer Anspruchsgrundlage bestreiten”. So hält es Buchinger auch in seiner Anzeige wegen des “Verdachts auf Urkundenfälschung und versuchten Betrugs” fest, die er unverzüglich an die Staatsanwaltschaft Wien übermittelte und die profil exklusiv vorliegt.

Hypo-Banker Kocher war nicht der einzige Bankvorstand, der Erkundigungen einholte. Immer mehr Banker meldeten sich beim AMS-Chef, ob das AMS besagtem Lerninstitut “tatsächlich Millionenbeträge schulde”, schreibt Buchinger. Neben den genannten 16,3 Millionen Euro waren zumindest auch Schuldscheine über dreimal neun Millionen Euro für die kommenden Jahre im Umlauf. In Zeiten wirtschaftlicher Unsicherheit eine optimale Besicherung für eine Bank. Vorgelegt hatte sie stets der Geschäftsführer des Lerninstituts Venetia, Kurt Datzer. Und nicht nur den Banken: Datzer stand mit seiner Venetia vor dem Konkurs. Arbeitslosen-Trainer waren nicht mehr bezahlt, Angestellten kein Gehalt überwiesen worden. Seit mehr als einem Jahr versuchte die Arbeiterkammer die Insolvenz der Venetia durchzusetzen und damit die Ansprüche von 42 ehemaligen Dienstnehmern in Höhe von rund einer halben Million Euro zu sichern. Vergeblich. profil berichtete bereits im August 2008 über die Zustände. Der grüne Sozialsprecher Karl Öllinger misstraute Geschäftsmann Datzer bereits damals und erstattete Anzeige wegen des Verdachts der betrügerischen oder zumindest fahrlässigen Krida.

Behörden ausgetrickst. Und dennoch gelang es Datzer, mit immer neuen Winkelzügen das Verfahren in die Länge zu ziehen. Der Konkursrichter am Handelsgericht Wien gestand ihm immer neue Fristen zu und handelte sich damit Kritik der Betroffenen ein. Nicht zuletzt, weil Datzer eben auch Schuldscheine der Republik über mehrere Millionen Euro vorlegen konnte. Mehr noch: Eine Trainerin versuchte ihre Forderung von schlanken 1800 Euro gegen die Firma Venetia beim Bezirksgericht Hietzing durchzusetzen. Das Gericht bewilligte ihr die Pfändung der Forderung des AMS. Schließlich schulde das Arbeitsamt Herrn Datzer ja noch 16 Millionen Euro.

Schuldscheine in Höhe von rund 40 Millionen Euro, ein maroder Kleinunternehmer und ein führender Mitarbeiter der Bundesbuchhaltungsagentur: Monatelang ließen sich so österreichische Banken und Behörden narren. Gläubiger vertrauten auf Zahlungszusagen, Investoren interessierten sich für den Kauf der Forderungen. Der erfahrene Anwalt und Zessionsspezialist Jürgen Hinterwirth wurde sogar in W.s Büro mit etwaigen Interessenten vorstellig, die die Forderungen kaufen wollten. Selbst auf seine sorgfältigen Erkundigungen über W. erhielt er nur positive Auskünfte. Seit 15 Jahren galt W. als verlässlicher Mitarbeiter: nun in der Bundesbuchhaltungsagentur, davor im Sozialministerium.

Durch seine Verantwortung für den AMS-Bereich dürften sich Datzer und W. auch kennen gelernt haben. Datzer wird von Geschäftspartnern keineswegs als kriminell beschrieben. Vielmehr gilt er als einfacher Geschäftsmann, der seinen Betrieb durch Abwesenheit schleifen ließ, in Schulden schlitterte und nicht mehr weiterwusste. In dieser Phase dürfte W. ihm “die Gefälligkeitsschreiben”, wie es Datzers Anwalt nennt, ausgestellt haben.

Freitag vergangener Woche stürzte das Konstrukt in sich zusammen. Wirtschafts- und Sozialministerium, zwischen deren Zuständigkeiten das AMS gerade wechselt, waren informiert, der Chef der Buchhaltungsagentur hatte den Rechnungshofpräsidenten instruiert, das Handelsgericht den Konkurs verhängt – und die Staatsanwaltschaft nahm die Ermittlungen auf.

Freitagabend, kurz vor Redaktionsschluss, klingelte in der profil-Redaktion noch einmal das Telefon. Kurt Datzers Anwalt, Sebastian Lesigang, hatte von den Recherchen erfahren. Sein Mandant hätte bereits eine Selbstanzeige eingebracht und werde “mit den Behörden umfassend kooperieren”. Dass Datzer die gesamten 16,5 Millionen, die der Republik durch W. abhandenkamen, eingestreift hätte, wollte er nicht bestätigen. Allerdings sei alles, was er durch die Buchhaltungsagentur widerrechtlich erhalten habe, an seine Gläubiger gegangen. Lesigang: “Er hatte gehofft, dadurch Zeit zu gewinnen und dem AMS später alles zurückzuzahlen.” Die Hoffnung hat Kurt Datzer immer noch.

***

Der Systemfehler

Das Finanzministerium wusste um die Sicherheitslücke in der staatlichen Buchhaltung. Sie besteht noch immer.

Das Computersystem HVSAP gilt laut Helmut Brandl als “eines der sichersten der Welt”. Dennoch muss der Chef der Bundesbuchhaltungsagentur einräumen, dass seine Behörde Opfer eines “klaren Kriminalfalls” wurde. Doch man wusste um das Problem.

Schon vergangenes Jahr beanstandete der Rechnungshof bei einer Prüfung der Bundesbuchhaltungsagentur massive Sicherheitslücken im System (siehe Faksimile). Eine davon behob man sofort, die andere besteht bis heute – und wurde von W. genutzt. Denn trotz Vieraugenprinzip und mehreren Gegencheck-Mechanismen können leitende Mitarbeiter mit dem TAN-Code einer zweiten Person Millionen mittels Telebanking verschieben. Auf Knopfdruck – wie jeder Bürger beim eigenen Bankkonto. Wolfgang W. dürfte “das Vertrauen seiner Kollegen ausgenutzt haben” (Brandl) und dadurch in der Lage gewesen sein, Republiksvermögen nach Belieben zu verschieben. So seien auch die 16,5 Millionen Euro abhandengekommen.

Dem Rechnungshof versicherte das Finanzministerium – als Chefbehörde der Buchhaltungsagentur – damals, man werde eine “Reorganisation des Zahlungsverkehrs” starten. Dazu kam es bis heute nicht. Ministeriumssprecher Harald Waiglein: “Die Buchhaltungsagentur muss den Ministerien oft schnell Geld zur Verfügung stellen, um die Liquidität sicherzustellen. Ein hundertprozentig sicheres System gibt es nicht: Menschen in Leitungsfunktion haben immer die Möglichkeit des Missbrauchs.” Man versuche das nun zu ändern. Telebanking wurde sofort gestoppt und liegt derzeit auf Eis.

Interview. Datenschützer Hans Zeger über Lücken im Datenschutzgesetz und die Ohnmacht des Einzelnen, wenn dem Staat die vertraulichsten Informationen seiner Bürger abhandenkommen. (für profil)

Wenn es um die Weitergabe sensibler Informationen an einen Untersuchungsausschuss geht, schlagen Österreichs Ministerien Alarm – zumindest die ÖVP-geführten. Da verteidigt man geschwärzte Akten und misstraut demokratisch gewählten Abgeordneten. Geht es aber darum, die Rechte der Bürger gegenüber Schlampereien der Behörden zu stärken, sind die Regierenden auffallend still – auch die SPÖ-Minister. Da sollen Betroffene nicht einmal verständigt werden, wenn staatlichen Stellen sensible Informationen abhanden kommen.

Wie profil vergangene Woche enthüllte, sind dem Justizministerium bereits 2005 die Daten tausender Häftlinge abhandengekommen – ohne dass diese jemals davon erfahren hätten (profil 21/08). Die Lücken im bestehenden Datenschutzgesetz sind spätestens jetzt manifest.

Und die geplante Novelle dürfte diese keineswegs schließen. Im Gegenteil: Die Rechte für Videoüberwachung etwa werden ausgeweitet; in Zukunft kann jeder Österreicher die Hauszufahrt des Nachbarn filmen, jeder Lokalbesitzer die Gäste seines Cafés – wenn es ihm vielleicht irgendwann einmal bei der gerichtlichen Durchsetzung seiner Rechte helfen könnte.

Umgekehrt ist noch immer unklar, welche Rechte der Einzelne gegenüber öffentlichen Stellen hat, wenn private Daten in falsche Hände gelangen und sich vielleicht unkontrollierbar übers Internet verbreiten – weltweit und auf alle Zeit. So sind Behörden auch im neuen Gesetz nicht verpflichtet, Betroffene über den Verlust ihrer Daten zu informieren. Und auch amtliche Kontrollinstanzen wie die Datenschutzkommission bleiben mit dem neuen Gesetz zahnlos. Im Fall des Falles hat der Betroffene kaum eine Möglichkeit, sich gegen ein Versagen des Staates zur Wehr zu setzten. Hans Zeger, Obmann der ARGE Daten, wirft der Regierung im Interview vor, keine Sensibilität für diese Probleme zu haben, ja mehr noch: Der gläserne Bürger sei politisch erwünscht.

profil: Sie haben das neue Datenschutzgesetz schon im Vorfeld heftig kritisiert. Warum?

Zeger: Man hat leider aus den Erfahrungen der letzten acht Jahre seit Einführung des Datenschutzgesetzes nichts gelernt. Man will Dinge, die bisher nicht funktionierten, nicht verbessern. Wie zum Beispiel die Durchsetzbarkeit von Entscheidungen der Datenschutzkommission; wie das Informationsrecht für Betroffene, damit man erfährt, wenn Daten verloren gehen oder eventuell widerrechtlich kopiert wurden und in falsche Hände gelangten; wie ein Verbandsklagerecht, damit nicht jeder einzeln klagen muss, sondern eine Einrichtung wie die ARGE Daten oder der Verein für Konsumenteninformation tätig werden kann.

profil: Was kann ich tun, wenn ich das Gefühl habe, dass auf meine Daten unbefugt zugegriffen wurde?

Zeger: Wenn einer Behörde Daten abhandenkommen, kann man sich theoretisch an die Datenschutzkommission wenden. Die bleibt aber auch mit dem neuen Gesetz leider nur eine Art Salzamt. Die Datenschutzkommission stellt bestenfalls fest, dass eine Behörde das Datenschutzgesetz verletzt hat, sie kann aber ihre Entscheidungen nicht durchsetzen. Und das, obwohl die EU für jedes Land eine Behörde vorschreibt, die tatsächliche Kontroll- und Durchsetzungsmöglichkeiten hat.

profil: Aber mit dem Datenschutzgesetz sollte der Staat seine Bürger absichern.

Zeger: Es zeigt sich, dass die Regierenden kein Interesse am effektiven Schutz ihrer Bürger haben. Es könnte sich ja herausstellen, dass ihre Behörden und Beamten Dinge tun, die nicht datenschutzkonform sind. Sogar die Gebührenbehörde des ORF hat mehr Rechte, wenn sie ein unangemeldetes Kofferradio aufspüren will. Chancen hat man nur bei Gericht, wenn die Daten, die verloren gingen, bloßstellenden Charakter haben: also Daten über eine etwaige Verurteilung, wie zuletzt in der Justizaffäre um abhandengekommene Häftlingsdaten. Hier kann Schadenersatz für die Bloßstellung zugesprochen werden.

profil: Dazu muss man aber erst wissen, dass die eigenen Daten in falsche Hände gerieten.

Zeger: Das ist das Hauptproblem. Auch das neue Datenschutzgesetz sieht keine Informationspflicht der Behörden vor, wenn ihnen ein dramatischer Fauxpas unterlaufen ist. Und jeder Einzelne muss selbst klagen. Jemand mit einer CD über tausende Daten sitzt damit am längeren Ast. Heute scheinen immer mehr Informationen über jeden Einzelnen im Internet auf. Und die derzeitigen österreichischen Bestimmungen sagen entgegen dem EU-Recht: Was einmal öffentlich über jemanden verfügbar ist, darf jeder andere für seine eigenen Interessen verwerten. Das ist viel zu weit reichend. Heute könnte jemand eine höhere Versicherungsprämie für sein Auto bezahlen müssen, nur weil die Versicherung im Internet herausgefunden hat, dass er gern Computerspiele mit Autorennen spielt, das wäre formal legal, ist aber offensichtlich diskriminierend. Möglich ist auch, dass jemand einen Job nicht bekommt, weil jemand über ihn im Netz geschrieben hat, dass er unzuverlässig war. Diese Auswüchse muss der Gesetzgeber schon in den Ansätzen abstellen, tut er aber mit dem jetzigen Entwurf nicht.

profil: Aber wie soll man beweisen, dass man aufgrund solcher Informationen diskriminiert wurde?

Zeger: Das ist sicher schwierig. Aber es würde Behörden, Arbeitgeber und andere Unternehmen abschrecken, derlei zu versuchen, wenn klargestellt wäre, dass es sich dabei um einen widerrechtlichen Tatbestand handelt. Vor dem Anti-Diskriminierungs-Gesetz konnte man beispielsweise Frauen oder Menschen anderer Hautfarbe auch einfacher als heute benachteiligen und argumentieren: Warum sollen wir das nicht machen? Es ist ja nicht verboten.

profil: Auf der einen Seite will der Staat immer mehr Daten sammeln, auf der anderen Seite übernimmt er nur in geringem Bereich die Verantwortung, wenn diese in falsche Hände geraten. Sind die Sicherheitsvorkehrungen der Behörden zum Schutz der von ihnen verwalteten Daten derzeit ausreichend, um Missbrauch durch einzelne Beamte zu verhindern?

Zeger: Das ist ja das Kuriose. Der Bürger wird mehr und mehr überwacht, um Straftaten zu verhindern. Hier sagt man, die Abschreckung durch Strafen reiche nicht aus. Der Beamte aber, der die Verantwortung für Daten des Bürgers hat, wird weniger kontrolliert. Hier sagt man, die Androhung einer Strafe bei Missbrauch würde schon ausreichend abschrecken.

profil: Muss man den Beamten misstrauen?

Zeger: Nein, man soll hier nicht per se etwas unterstellen. Aber früher musste ein Beamter beispielsweise überlegen, welche zwölf Zettel er zu einer Bauverhandlung mitnimmt. Der ganze Akt wäre zu groß gewesen. Heute denkt er sich: Wer weiß, welche Teile ich brauche – und speichert sich die ganze Aktensammlung auf einen USB-Stick. Die Gefahr, dass etwas abhandenkommt, ist damit ungleich größer geworden.

profil: Kann der Österreicher überprüfen, was welche Behörde über ihn gespeichert hat?

Zeger: Theoretisch ja, praktisch nein. Jeder darf einmal pro Jahr bei einer Behörde anfragen, welche Daten über ihn gespeichert sind. Wenn die aber – wie oft vorgekommen – unvollständige Auskünfte erteilt, kann man nichts Wirksames dagegen tun. Das Datenschutzgesetz bleibt auch hier mit der Novelle lückenhaft.

profil: Mit dem elektronischen Gesundheitsakt plant die Regierung, die sensibelsten Patientendaten zentral zu verwerten. Würden diese dann sicherer verwaltet?

Zeger: Der elektronische Gesundheitsakt (ELGA) ist jedenfalls ein GAU. Ob Super-GAU oder nur einfacher, wird sich erst zeigen. Die Verantwortlichen haben offensichtlich überhaupt keine Ahnung, welche komplexen Probleme auf sie zukommen.

profil: Wer hat Zugriff auf diese Daten?

Zeger: Diese Akten werden nicht nur Ärzten zugänglich sein, sondern auch Sozialversicherungen, Privatversicherungen und den Spitalserhaltern wie Landesregierungsämtern oder dem Gesundheitsministerium. Wenn ich eine Lebens- oder Krankenversicherung abschließen will, wird die Versicherung meinen gesamten Gesundheitsakt auf etwaige Vorerkrankungen durchblättern wollen. Und die ärztliche Schweigepflicht führt sich ad absurdum, wenn sogar Landesbedienstete Zugriff auf meine Krankengeschichte haben werden.

profil: Lässt sich das technisch nicht gegen Missbrauch absichern?

Zeger: Grundsätzlich ja, wenn man das machen würde, wäre es aber nicht mehr praktikabel. Die bisherigen Systeme wie Melderegister, Strafregister, Datenbanken der Justiz, Sozialversicherungsdaten erlauben einen Zugriff auf alle Daten, sobald man mit seinem Passwort im System ist. Es gibt keine Prüfung, ob eine bestimmte Person auch tatsächlich auf Daten eines Bürgers zugreifen darf, das öffnet Missbrauch Tür und Tor. Gäbe es eine derartige detaillierte Zugriffskontrolle, bei der auch geprüft wird, warum man jetzt auf einen Akt zugreift, wäre der Aufwand so hoch, dass die Verwaltungsersparnis wieder weg wäre. Automatisierte Bürgerverwaltung lässt sich nur ohne Datenschutz der Bürger effizient organisieren. Die Aufhebung bestehender Datenschutzregeln fordert im Übrigen auch die ELGA-Machbarkeitsstudie.

profil: Was würde beispielsweise passieren, wenn ein Krankenpfleger ein paar tausend Patientendaten herunterlädt und einer Pharmafirma verkauft?

Zeger: Wenn nicht beweisbar ist, dass ihn die Firma dazu angestiftet hat, nicht viel. Der Krankenpfleger würde wohl verurteilt werden, für die Firma wäre das aber nur eine Verwaltungsübertretung mit einer Strafobergrenze von 18.890 Euro, und auch das nur im Wiederholungsfall. Gegenüber der Firma könnte jeder Geschädigte bestenfalls auf Unterlassung klagen. Aber wer tut sich das an? Welchen multinationalen Konzern schreckt das ab? Und: Vermutlich würde man nie draufkommen.

Hans Zeger, Obmann der ARGE Daten, der Österreichischen Gesellschaft für Datenschutz. Der Verein äußert sich immer wieder zu aktuellen Entwicklungen und Gesetzesvorhaben im Datenschutzbereich und vertritt auch Betroffene in gerichtlichen Verfahren. Seit 1996 ist der Magister der Mathematik und Doktor der Philosophie auch Mitglied des Datenschutzrates im Bundeskanzleramt.