JOSEF BARTH

Peter Hustinx, oberster Datenschützer der EU, über die Abbildung der Welt im Internet, Strafen für spionierende Konzerne und Netzverbot für den einzelnen Computer-User. (für profil)

profil: Seit Sie im Amt sind, hat sich die Menge der im Netz gespeicherten Information potenziert. Wie kann ein behäbiger Apparat wie die EU-Kommission bei solch schnellen Entwicklungen ausreichenden Datenschutz gewährleisten?

Hustinx: Ich sage ja nicht, dass es leicht ist. Die Informationstechnologie ändert unser tägliches Leben – und das täglich. Datenschutz wird also definitiv immer wichtiger und auch als Grundrecht im Vertrag von Lissabon verankert. Wir müssen aber sicher viel kreativer werden, wie wir die Dinge hier handhaben.

profil: “Kreativ” ist nicht gerade ein Vokabel, das die Menschen in Österreich mit der Brüsseler Bürokratie verbinden.

Hustinx: Viele Mitgliedsstaaten müssen die Rahmenbedingungen wesentlich verbessern, da haben Sie Recht. Aber wir müssen den Datenschutz global denken und regeln. Google, Microsoft, Intel – das alles sind global agierende Konzerne. Und ein User, der ins Internet einsteigt, kümmert sich ebenso wenig um Grenzen. Man kann diesen Herausforderungen also nicht in jedem Land einzeln begegnen.

profil: Dennoch kochen einige ihr eigenes Süppchen: Frankreichs Staatspräsident Nicolas Sarkozy favorisiert ein Gesetz, das einzelnen Bürgern den Internetzugang kappt, wenn sie zweimal durch den Download eines Lieds oder Bilds gegen mögliche Urheberrechte verstoßen haben. Wird das in der ganzen EU Gesetz?

Hustinx: Das ist ein kritischer Punkt. Ich bin der Meinung, Sanktionen wie diese sollten nicht ohne richterlichen Beschluss gesetzt werden dürfen. Und man muss hier aufpassen: So was bedürfte systematischer und permanenter Überwachung des Surfverhaltens des Einzelnen. Damit würde man Provider dazu verpflichten, jede Sekunde zu scannen, was Sie im Internet machen. Das halte ich für eine bedenkliche Entwicklung. Es produziert einen riesigen Berg an Daten, in dem jede Information jedem einzelnen User irgendwann auf den Kopf fallen kann – auch wenn nichts Widerrechtliches dabei war.

profil: Vor einigen Jahren waren die Menschen mehr besorgt, von staatlichen Institutionen überwacht zu werden als von privaten Konzernen. Nach Fällen von Mitarbeiterbespitzelung wie bei der Kaufhauskette Lidl oder dem Misstrauen gegen Google ist es nun andersrum. Wie wollen Sie solchen Methoden Einhalt gebieten?

Hustinx: Ich hatte nie das Bild von der bösen Regierung und den privaten Saubermännern. Man darf das aber auch nicht umdrehen und glauben, staatliche Behörden würden nur sauber arbeiten. Aber es mangelt immer mehr – und überall – an technischen Kontrollmöglichkeiten, um auszuschließen, dass keine Überwachung vorgenommen wird. Was mir aber immer noch ein Rätsel ist: Obwohl laut Studien 70 bis 80 Prozent der Menschen sich derartige Sorgen machen, verwenden immer mehr Online-Tools oder soziale Netzwerke mit Selbstverständlichkeit – sogar jene, die realisiert haben, dass das gefährlich sein kann. Die Menschen glauben, sie könnten das Risiko kalkulieren, aber das kann man nicht. Ihnen ist nicht klar, dass zu viele Akteure hier zu großen Nutzen davon haben, diese Informationen zu speichern, zu analysieren – und kommerziell zu gebrauchen.

profil: Aber wen wollen Sie verantwortlich halten in sozialen Netzwerken wie Facebook? Den einzelnen – oft im Teenager-Alter befindlichen – User?

Hustinx: Wir sind knapp davor, gesetzlich festzulegen, dass die Betreiber solcher Netzwerke verantwortlich gemacht werden können für alles, was sie tun – oder auch unterlassen. Die meisten Menschen haben ja keine Ahnung von diesen Dingen. Am Beispiel Barack Obama hat man gesehen, wie mächtig solche Netzwerke sein können, wie enorm ihr Potenzial ist.

profil: Der einzelne User wird aber nie wissen, welche Konsequenzen der Besuch einer bestimmten Seite für ihn haben kann. Er ist üblicherweise weder Techniker noch Jurist – schon gar nicht beides. Wie wollen Sie gewährleisten, dass man künftig weiß, worauf man sich einlässt?

Hustinx: Das ist schon richtig. Niemand hat Zeit, vier Seiten Geschäftsbedingungen zu lesen, oder zumindest wird er sie wahrscheinlich nie in ihren ganzen Auswirkungen begreifen. Wir brauchen hier einfacher formulierte Botschaften, wie Sticker oder Logos, die in Zukunft auf Webseiten prangen sollen und sagen: Wollen Sie dieses oder jenes tun? Und: Wenn Sie dieses tun, dann passiert Folgendes … Einfache Informationen für den Einzelnen, während er surft.

profil: Wer soll so was kontrollieren? Die EU-Kommission, die Nationalstaaten, eine neue Behörde?

Hustinx: Wir brauchen mehr Behörden, die Gesetzesverletzungen im Datenschutzbereich verfolgen. Wir sprachen über Lidl: Das ist ein unfassbares Beispiel beispiellosen Verhaltens. Wenn ein Unternehmen wie dieses nach einer derartigen Aktion eine enorme Strafe aufgebrummt bekäme, hätte das abschreckende Wirkung für andere.

profil: Sind die Politiker Ihres Erachtens gut genug über diese sehr neuen Probleme informiert, um vernünftige Entscheidungen zu treffen?

Hustinx: Ich denke schon. Unter den Mitgliedern des EU-Parlaments gibt es eine Hand voll Politiker, die sich auskennen. Und die Diskussionen im Ausschuss für Bürgerrechte, Justiz und innere Angelegenheiten – im Übrigen eine sehr interessante Kombination! – werden durchaus auf vernünftigem Niveau geführt.

profil: Wie würden Sie Österreichs Maßnahmen in puncto Datenschutz bewerten?

Hustinx: Das ist außerhalb meiner Kompetenz. Ich möchte keine österreichischen Politiker bewerten.

profil: Sie standen Googles Street-View-Projekt, mit dem der Konzern versucht, die Welt abzufotografieren und im Internet abzubilden, anfangs kritisch gegenüber. Nun hat Griechenland Google verboten, Athen abzufotografieren. Halten Sie das für richtig?

Hustinx: Ich habe diese Kritik vor etwa einem Jahr geübt. Mittlerweile hat auch Google versichert, Gesichter oder Nummernschilder auf den Bildern unkenntlich zu machen. Es herrscht mittlerweile relativer Konsens auch unter den nationalen Datenschutzexperten, dass Google Street View kein besonderes Problem mehr darstellt. Eine permanente Live-Überwachung per Video wäre etwas anderes: Da würde jeder rund um die Uhr beobachtbar. Aber Google veröffentlicht hier Bilder, die ein einziges Mal gemacht wurden und nicht mehr aktuell sind. Ich will Google nicht loben, aber diesen Unterschied muss man sehen.

profil: Die größte Idee zur systematischen Datenspeicherung kommt dennoch von der EU selbst: Mit der Vorratsdatenspeicherung sollen Telefon- und Internetverbindungsdaten über Monate und Jahre gespeichert werden. Die Diskussion darum ist ein wenig eingeschlafen. Stellt das nun kein Problem mehr da?

Hustinx: Ganz im Gegenteil. Darüber wird noch immer beraten, wie man einen vernünftigen Ausgleich zwischen persönlicher Freiheit und staatlicher Überwachung schaffen soll. Derzeit sehe ich nicht viele Argumente, die mich zugunsten des Staates überzeugen würden. Ich würde gern einmal genau wissen, wie viele Fälle durch die europaweite Speicherung dieser riesigen Datenmengen tatsächlich gelöst wurden. Wenn wir so ein Meer von Informationen speichern, müssen wir nämlich auch die Sicherheitssysteme dafür schaffen, um den Missbrauch zu verhindern. Und das wird wiederum weniger gern diskutiert. Die Situation, die wir sonst schaffen, ist bizarr: Mit dem Argument der Anschläge vom 11. September in New York und später auch in London wollen wir gespeichert wissen, wer wann mit wem gesprochen hat, um mehr Sicherheit für alle zu erzeugen. Mit der Speicherung dieser Daten erzeugen wir aber ein Risiko für alle – nämlich für jeden Einzelnen, dass sie missbräuchlich gegen ihn verwendet werden könnten. Und damit bin ich wirklich noch nicht glücklich.

Interview: Josef Barth

Peter Hustinx, 64

Der ehemalige Richter ist seit 2004 als Europäischer Datenschutzbeauftragter im Amt. Er berät und überwacht die Kommission und andere EU-Organe. Peter Hustinx war bereits Anfang der neunziger Jahre als oberster Datenschützer der Niederlande tätig. Kommende Woche wird er bei der Tagung der Österreichischen Juristenkommission über die Herausforderungen an den europäischen Datenschutz referieren.

Koalition Neu: Arbeitsgruppen, Kommissionen und Bekenntnisse finden sich im Regierungsprogramm zuhauf, Zukunftsstichworte wie Fremdsprachen oder Kommunikationstechnologien leider vornehmlich zweckentfremdet. (für profil)

So gern die neue Regierung die Worte Zukunft (67-mal) und Reform (59-mal) in ihren Regierungspakt schreibt, könnte man meinen, der Verfasser hätte eine Vision (nur 6-mal; und zu zwei Drittel leider als Provision oder Revision).

Doch während sich die Bundesregierung (249) zwar oberflächlich zu vielem bekennt (48), vor allem zu Arbeitsgruppen (18) und Kommissionen (23), die konkrete (9) Inhalte (5) erst erarbeiten (67), bleibt man den Themen (13) der Zukunft (67) gegenüber eher defensiv.

Mehr Kontrolle (36) braucht offensichtlich das frei wuchernde Internet (5): Zweimal wird es mit Kriminalität verknüpft, einmal sollen die von profil einst veröffentlichten “Daten zu Zahlungen für die Land- und Forstwirtschaft”, die nun dort aufscheinen, besser geschützt (149) werden. Die einzige Internet-Offensive (1) findet sich ohnehin nur in Klammer. Dafür darf jedes Ressort die “Erfolge (109) und Fortschritte (3) der EU-Mitgliedschaft” auf seiner Internetseite “regelmäßig darstellen”, selbstverständlich aber keinerlei Probleme (6) oder Misserfolge (0).

Und natürlich soll sich “Österreich (528) in der Spitze (23) der IKT-Nationen positionieren”. Das Kürzel, das für Informations- und Kommunikationstechnologie (6) steht, findet sich aber doppelt so oft (15-mal) in den weniger aufbruchsträchtigen Vokabeln strikt, Edikt, Konflikt und Delikt (in Varianten auch: Alkoholdelikt) als im verbindenden Sinne (nur 7-mal). Online (5) wird lediglich behördlich durchsucht (3-mal) oder bestenfalls ein Antrag auf Arbeitslosenunterstützung eingebracht (1-mal) respektive festgestellt, dass es so etwas wie Online-Medien (1) gibt, die mittels Computer (2) abrufbar sind.

Fremd (19-mal) ist dem Pakt viel – zumeist im Zusammenhang mit Polizei, Gesetzen, Behörden und Tätern. Ebenso fremd: Fremdsprachen für Jugendliche (2-mal; und das im gleichen Satz). Sonst werden diese künftig (33) wohl international (114) nicht sonderlich wettbewerbsfähig (36) sein.

Soll einer Koalition-Neu (187) also nicht eine Vision zero (1) nachgesagt werden, haben die Minister noch viel Arbeit vor sich (399-mal).

Interview. Datenschützer Hans Zeger über Lücken im Datenschutzgesetz und die Ohnmacht des Einzelnen, wenn dem Staat die vertraulichsten Informationen seiner Bürger abhandenkommen. (für profil)

Wenn es um die Weitergabe sensibler Informationen an einen Untersuchungsausschuss geht, schlagen Österreichs Ministerien Alarm – zumindest die ÖVP-geführten. Da verteidigt man geschwärzte Akten und misstraut demokratisch gewählten Abgeordneten. Geht es aber darum, die Rechte der Bürger gegenüber Schlampereien der Behörden zu stärken, sind die Regierenden auffallend still – auch die SPÖ-Minister. Da sollen Betroffene nicht einmal verständigt werden, wenn staatlichen Stellen sensible Informationen abhanden kommen.

Wie profil vergangene Woche enthüllte, sind dem Justizministerium bereits 2005 die Daten tausender Häftlinge abhandengekommen – ohne dass diese jemals davon erfahren hätten (profil 21/08). Die Lücken im bestehenden Datenschutzgesetz sind spätestens jetzt manifest.

Und die geplante Novelle dürfte diese keineswegs schließen. Im Gegenteil: Die Rechte für Videoüberwachung etwa werden ausgeweitet; in Zukunft kann jeder Österreicher die Hauszufahrt des Nachbarn filmen, jeder Lokalbesitzer die Gäste seines Cafés – wenn es ihm vielleicht irgendwann einmal bei der gerichtlichen Durchsetzung seiner Rechte helfen könnte.

Umgekehrt ist noch immer unklar, welche Rechte der Einzelne gegenüber öffentlichen Stellen hat, wenn private Daten in falsche Hände gelangen und sich vielleicht unkontrollierbar übers Internet verbreiten – weltweit und auf alle Zeit. So sind Behörden auch im neuen Gesetz nicht verpflichtet, Betroffene über den Verlust ihrer Daten zu informieren. Und auch amtliche Kontrollinstanzen wie die Datenschutzkommission bleiben mit dem neuen Gesetz zahnlos. Im Fall des Falles hat der Betroffene kaum eine Möglichkeit, sich gegen ein Versagen des Staates zur Wehr zu setzten. Hans Zeger, Obmann der ARGE Daten, wirft der Regierung im Interview vor, keine Sensibilität für diese Probleme zu haben, ja mehr noch: Der gläserne Bürger sei politisch erwünscht.

profil: Sie haben das neue Datenschutzgesetz schon im Vorfeld heftig kritisiert. Warum?

Zeger: Man hat leider aus den Erfahrungen der letzten acht Jahre seit Einführung des Datenschutzgesetzes nichts gelernt. Man will Dinge, die bisher nicht funktionierten, nicht verbessern. Wie zum Beispiel die Durchsetzbarkeit von Entscheidungen der Datenschutzkommission; wie das Informationsrecht für Betroffene, damit man erfährt, wenn Daten verloren gehen oder eventuell widerrechtlich kopiert wurden und in falsche Hände gelangten; wie ein Verbandsklagerecht, damit nicht jeder einzeln klagen muss, sondern eine Einrichtung wie die ARGE Daten oder der Verein für Konsumenteninformation tätig werden kann.

profil: Was kann ich tun, wenn ich das Gefühl habe, dass auf meine Daten unbefugt zugegriffen wurde?

Zeger: Wenn einer Behörde Daten abhandenkommen, kann man sich theoretisch an die Datenschutzkommission wenden. Die bleibt aber auch mit dem neuen Gesetz leider nur eine Art Salzamt. Die Datenschutzkommission stellt bestenfalls fest, dass eine Behörde das Datenschutzgesetz verletzt hat, sie kann aber ihre Entscheidungen nicht durchsetzen. Und das, obwohl die EU für jedes Land eine Behörde vorschreibt, die tatsächliche Kontroll- und Durchsetzungsmöglichkeiten hat.

profil: Aber mit dem Datenschutzgesetz sollte der Staat seine Bürger absichern.

Zeger: Es zeigt sich, dass die Regierenden kein Interesse am effektiven Schutz ihrer Bürger haben. Es könnte sich ja herausstellen, dass ihre Behörden und Beamten Dinge tun, die nicht datenschutzkonform sind. Sogar die Gebührenbehörde des ORF hat mehr Rechte, wenn sie ein unangemeldetes Kofferradio aufspüren will. Chancen hat man nur bei Gericht, wenn die Daten, die verloren gingen, bloßstellenden Charakter haben: also Daten über eine etwaige Verurteilung, wie zuletzt in der Justizaffäre um abhandengekommene Häftlingsdaten. Hier kann Schadenersatz für die Bloßstellung zugesprochen werden.

profil: Dazu muss man aber erst wissen, dass die eigenen Daten in falsche Hände gerieten.

Zeger: Das ist das Hauptproblem. Auch das neue Datenschutzgesetz sieht keine Informationspflicht der Behörden vor, wenn ihnen ein dramatischer Fauxpas unterlaufen ist. Und jeder Einzelne muss selbst klagen. Jemand mit einer CD über tausende Daten sitzt damit am längeren Ast. Heute scheinen immer mehr Informationen über jeden Einzelnen im Internet auf. Und die derzeitigen österreichischen Bestimmungen sagen entgegen dem EU-Recht: Was einmal öffentlich über jemanden verfügbar ist, darf jeder andere für seine eigenen Interessen verwerten. Das ist viel zu weit reichend. Heute könnte jemand eine höhere Versicherungsprämie für sein Auto bezahlen müssen, nur weil die Versicherung im Internet herausgefunden hat, dass er gern Computerspiele mit Autorennen spielt, das wäre formal legal, ist aber offensichtlich diskriminierend. Möglich ist auch, dass jemand einen Job nicht bekommt, weil jemand über ihn im Netz geschrieben hat, dass er unzuverlässig war. Diese Auswüchse muss der Gesetzgeber schon in den Ansätzen abstellen, tut er aber mit dem jetzigen Entwurf nicht.

profil: Aber wie soll man beweisen, dass man aufgrund solcher Informationen diskriminiert wurde?

Zeger: Das ist sicher schwierig. Aber es würde Behörden, Arbeitgeber und andere Unternehmen abschrecken, derlei zu versuchen, wenn klargestellt wäre, dass es sich dabei um einen widerrechtlichen Tatbestand handelt. Vor dem Anti-Diskriminierungs-Gesetz konnte man beispielsweise Frauen oder Menschen anderer Hautfarbe auch einfacher als heute benachteiligen und argumentieren: Warum sollen wir das nicht machen? Es ist ja nicht verboten.

profil: Auf der einen Seite will der Staat immer mehr Daten sammeln, auf der anderen Seite übernimmt er nur in geringem Bereich die Verantwortung, wenn diese in falsche Hände geraten. Sind die Sicherheitsvorkehrungen der Behörden zum Schutz der von ihnen verwalteten Daten derzeit ausreichend, um Missbrauch durch einzelne Beamte zu verhindern?

Zeger: Das ist ja das Kuriose. Der Bürger wird mehr und mehr überwacht, um Straftaten zu verhindern. Hier sagt man, die Abschreckung durch Strafen reiche nicht aus. Der Beamte aber, der die Verantwortung für Daten des Bürgers hat, wird weniger kontrolliert. Hier sagt man, die Androhung einer Strafe bei Missbrauch würde schon ausreichend abschrecken.

profil: Muss man den Beamten misstrauen?

Zeger: Nein, man soll hier nicht per se etwas unterstellen. Aber früher musste ein Beamter beispielsweise überlegen, welche zwölf Zettel er zu einer Bauverhandlung mitnimmt. Der ganze Akt wäre zu groß gewesen. Heute denkt er sich: Wer weiß, welche Teile ich brauche – und speichert sich die ganze Aktensammlung auf einen USB-Stick. Die Gefahr, dass etwas abhandenkommt, ist damit ungleich größer geworden.

profil: Kann der Österreicher überprüfen, was welche Behörde über ihn gespeichert hat?

Zeger: Theoretisch ja, praktisch nein. Jeder darf einmal pro Jahr bei einer Behörde anfragen, welche Daten über ihn gespeichert sind. Wenn die aber – wie oft vorgekommen – unvollständige Auskünfte erteilt, kann man nichts Wirksames dagegen tun. Das Datenschutzgesetz bleibt auch hier mit der Novelle lückenhaft.

profil: Mit dem elektronischen Gesundheitsakt plant die Regierung, die sensibelsten Patientendaten zentral zu verwerten. Würden diese dann sicherer verwaltet?

Zeger: Der elektronische Gesundheitsakt (ELGA) ist jedenfalls ein GAU. Ob Super-GAU oder nur einfacher, wird sich erst zeigen. Die Verantwortlichen haben offensichtlich überhaupt keine Ahnung, welche komplexen Probleme auf sie zukommen.

profil: Wer hat Zugriff auf diese Daten?

Zeger: Diese Akten werden nicht nur Ärzten zugänglich sein, sondern auch Sozialversicherungen, Privatversicherungen und den Spitalserhaltern wie Landesregierungsämtern oder dem Gesundheitsministerium. Wenn ich eine Lebens- oder Krankenversicherung abschließen will, wird die Versicherung meinen gesamten Gesundheitsakt auf etwaige Vorerkrankungen durchblättern wollen. Und die ärztliche Schweigepflicht führt sich ad absurdum, wenn sogar Landesbedienstete Zugriff auf meine Krankengeschichte haben werden.

profil: Lässt sich das technisch nicht gegen Missbrauch absichern?

Zeger: Grundsätzlich ja, wenn man das machen würde, wäre es aber nicht mehr praktikabel. Die bisherigen Systeme wie Melderegister, Strafregister, Datenbanken der Justiz, Sozialversicherungsdaten erlauben einen Zugriff auf alle Daten, sobald man mit seinem Passwort im System ist. Es gibt keine Prüfung, ob eine bestimmte Person auch tatsächlich auf Daten eines Bürgers zugreifen darf, das öffnet Missbrauch Tür und Tor. Gäbe es eine derartige detaillierte Zugriffskontrolle, bei der auch geprüft wird, warum man jetzt auf einen Akt zugreift, wäre der Aufwand so hoch, dass die Verwaltungsersparnis wieder weg wäre. Automatisierte Bürgerverwaltung lässt sich nur ohne Datenschutz der Bürger effizient organisieren. Die Aufhebung bestehender Datenschutzregeln fordert im Übrigen auch die ELGA-Machbarkeitsstudie.

profil: Was würde beispielsweise passieren, wenn ein Krankenpfleger ein paar tausend Patientendaten herunterlädt und einer Pharmafirma verkauft?

Zeger: Wenn nicht beweisbar ist, dass ihn die Firma dazu angestiftet hat, nicht viel. Der Krankenpfleger würde wohl verurteilt werden, für die Firma wäre das aber nur eine Verwaltungsübertretung mit einer Strafobergrenze von 18.890 Euro, und auch das nur im Wiederholungsfall. Gegenüber der Firma könnte jeder Geschädigte bestenfalls auf Unterlassung klagen. Aber wer tut sich das an? Welchen multinationalen Konzern schreckt das ab? Und: Vermutlich würde man nie draufkommen.

Hans Zeger, Obmann der ARGE Daten, der Österreichischen Gesellschaft für Datenschutz. Der Verein äußert sich immer wieder zu aktuellen Entwicklungen und Gesetzesvorhaben im Datenschutzbereich und vertritt auch Betroffene in gerichtlichen Verfahren. Seit 1996 ist der Magister der Mathematik und Doktor der Philosophie auch Mitglied des Datenschutzrates im Bundeskanzleramt.