Datenschützer mit Samthandschuhen

Bundesdatenschützer Joachim Jacob stellt seinen Tätigkeitsbericht vor

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der Bundesdatenschutzbeauftragte Joachim Jacob hat gestern seinen Tätigkeitsbericht für die Jahre 1999 und 2000 vorgestellt. Dabei hält er sich in der Beurteilung von Enfopol und Echelon äußerst zurück. Ein zahnloser Tiger will er aber dennoch nicht sein.

Jacob stellte fest, dass in den letzten Jahren "die Sensibilität der Bürger für ihr Persönlichkeitsrecht gewachsen ist". So wollen immer mehr Leute wissen, wie mit ihren Daten umgegangen wird, wo sie zwischengespeichert werden, wer auf sie zugreifen kann und welche Missbrauchsmöglichkeiten bestehen. Gleichzeitig sei jedoch die private Wirtschaft nicht sehr an Transparenz und Aufklärung ihrer Kunden interessiert.

Der Bericht, der alle zwei Jahre vorgestellt wird, ist immer Anlass, das Vergangene kritisch Revue passieren zu lassen und entsprechend neue datenschutzpolitische Forderungen zu stellen. So auch in diesem Jahr: Jacob fordert die Bundesregierung auf, das neue Bundesdatenschutzgesetz schnell zu verabschieden und noch in dieser Legislaturperiode die zweite Reformstufe einzuläuten. Es setzt die europäische Richtlinie um, die zum Stichtag 24. Oktober 1998 nur Italien, Griechenland, Schweden, Portugal und Großbritannien rechtzeitig umgesetzt hatten.

Bis heute haben neben Deutschland die Niederlande, Luxemburg, Irland und Frankreich ihre Datenschutzgesetze nicht angepasst. Am 11. Januar 2000 leitete die Europäische Kommission deshalb die dritte Stufe des Vertragsverletzungsverfahrens gegen die fünf Länder ein. Sie besteht in der Anrufung des Europäischen Gerichtshofs. Um einer Verurteilung zu entgehen, müssen die Mitgliedsstaaten die Richtlinie zügig umsetzen. Deutschland dürfte inzwischen das peinliche Schlusslicht bilden.

Zum Forderungskatalog des Bundesdatenschutzbeauftragten: Künftig will Jacob heimliche Bildaufnahmen sowie die heimliche Analyse des Genoms eines Anderen unter Strafe gestellt wissen. Er fordert die Einführung eines Arbeitnehmerdatenschutzgesetzes sowie, in der Debatte um die Stasi-Abhörprotokolle, den Opferschutz verstärkt zu berücksichtigen.

Abhörkontrollen

Schließlich will Jacob die Berichtspflichten bei den Überwachungsmaßnahmen von Polizei und Geheimdiensten ausgebaut wissen. Eine Forderung, die Jahr für Jahr von den Datenschützern nahezu vergeblich erhoben wird. Auch in diesem Jahr fordert Jacob also wieder einen Bericht, der wie die Wire-Tap-Reports in den USA folgende Angaben enthält:

  1. Anzahl der abgehörten Gespräche und die Anzahl der Gespräche, die mit dem Ermittlungsverfahren in Zusammenhang stehen,
  2. die Art der betroffenen Räume,
  3. die Anzahl und Dauer der angeordneten Verlängerungen der Maßnahme
  4. die Zahl der Verhaftungen, Anklageerhebungen und Verurteilungen, zu denen die Maßnahme beigetragen hat.

Immerhin stieg die Zahl der Überwachungsanordnungen in den letzten fünf Jahren unverdrossen an: Von 4.674 in 1995 auf 12.651 im Jahr 1999. Dies ist ein Anstieg um über 170 Prozent. Dabei liegen bis heute keine empirischen Untersuchungen dazu vor, ob dieses Strafverfolgungsinstrument auch tatsächlich effektiv eingesetzt wird. Eine entsprechende Studie, die das Bundesjustizministerium in Auftrag gegeben hat, soll seinen Informationen nach erst zum Jahreswechsel 2001/2002 vorliegen. Noch vor wenigen Wochen hieß es, dass die Studie schon im Herbst fertig sei.

Internetfahndung des BKA

Nach Ansicht von Jacob ist es rechtlich nicht zulässig, wenn sich das Bundeskriminalamt bei der anlassunabhängigen Recherche im Internet auf das Telekommunikationsgesetz beruft, um bei einem Zugangsprovider die Identität eines Nutzers zu ermitteln. Jacob:

"Der Bezugnahme auf das TKG liegt die irrige Auffassung zugrunde, dass der Zugangsprovider hier einen Telekommunikationsdienst anbietet."

Der Zugangsprovider sei jedoch Telediensteanbieter und somit gegenüber Dritten nicht zu einer Auskunft verpflichtet. Allerdings sei es akzeptabel, den Provider mit dem Hinweis auf ein bevorstehendes Ermittlungsverfahren im Einzelfall um die Speicherung der entsprechenden Daten zu bitten.

Ob dieser Grundsatz auch auf die Telekommunikationsüberwachungs-Verordnung anzuwenden ist, lässt sich dem Bericht nicht entnehmen. Auf der Anhörung im Bundeswirtschaftsministerium sagte jedenfalls ein Vertreter der Behörde, dass Internet-Provider durchaus in bestimmten Fällen wie Email oder Chat als Telekommunikationsdienste auftreten.

Zögerliche Kontrollen in Europa

1999 nahm das europäische Polizeiamt Europol seinen Betrieb auf, ebenfalls die so genannte gemeinsame Kontrollinstanz GKI, in der Jacob gemeinsam mit dem Landebeauftragten für Datenschutz aus Sachsen-Anhalt vertreten ist. Die GKI kann Kontrollbesuche, aber auch Anhörungen bei Errichtungsanordnungen durchführen.

Eine erste datenschutzrechtliche Kontrolle wurde bei Europol erst im November 2000 durchgeführt. Sie bezog sich vor allem auf Fragen der Datensicherheit. Der Kontrollbericht liegt allerdings noch nicht vor. In diesem Jahr soll eine umfangreichere Kontrolle bei Europol durchgeführt werden.

Ebenfalls erst vor kurzem, im Oktober 2000, wurde eine gemeinsame Geschäftsstelle für die Kontrollinstanzen von Schengen und Europol beschlossen. Sie wird auf Initiative von Italien am 1. September 2001 ihre Arbeit aufnehmen. Hintergrund war, dass die verschiedenen komplexen Informationssysteme wie SIS und Europol in der Praxis nur noch schwer zu kontrollieren waren.

Innere Sicherheit

Auch um die eigene, innere IT-Sicherheit kümmern sich die Datenschützer. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder beschlossen das Verschlüsselungsprogramm PGP für die Kommunikation zwischen den Dienststellen zu nutzen. Beim Landesdatenschutzbeauftragten des Saarlandes liegt sogar der Quelltext der eingesetzten Version vor. Die Datenschutzbeauftragten haben ihre öffentlichen Schlüssel ausgetauscht, beziehungsweise auf ihrer Homepage im Internet veröffentlicht. Damit können auch Bürgerinnen und Bürger mit den Datenschutzbeauftragten verschlüsselt kommunizieren.

Beim Einsatz von Intrusion-Detection-Systemen ergeben sich nach Ansicht von Jacob unter Umständen Datenschutzprobleme. Er empfiehlt deshalb, personenbezogene Auditdaten nur so lange wie absolut notwendig zu speichern und umgehend zu löschen. Nutzungsdaten sollen unbedingt pseudonymisiert werden. Zudem sei die Authentizität der Audit-Nutzungsdaten sicher zu stellen. Dies könne zum einen durch die Zertifizierung des Systems erfolgen, zum anderen durch den Einsatz sicherer Hardware und digitalen Signaturen.

Zudem müsste die Anwendung von der Systemadministration entkoppelt werden. So müsse das Intrusion-Detection-System auf einer abgesetzten Hardware mit einer eigenen Administration laufen. Falls das System intern missbraucht wird, muss der Umgang damit in einer Dienstanweisung berücksichtigt werden. Auch eine Personalvertretung beziehungsweise der Betriebsrat muss beteiligt werden.

Enfopol

Auch zu Enfopol 19 äußerte sich Jacob äußerst diplomatisch: Seiner Ansicht nach handelt es sich beim Entwurf der Ratsentschließung mit der Dokumentenbezeichnung Enfopol-19 lediglich um eine "bloße Empfehlung". Die politischen Implikationen deutet Jacob lediglich an, ohne dabei klar Stellung zu nehmen: "Ihre Verabschiedung könnte jedoch zur Folge haben, dass die Bundesrepublik Deutschland ihre gesetzlichen Voraussetzungen zur Durchsetzung des Fernmeldegeheimnisses neu durchdenken muss."

Die ursprünglich für Ende Mai 1999 vorgesehene Verabschiedung ist bis heute nicht erfolgt. Die Abhör-Harmonisierungs-Initiative wurde von keiner der EU-Präsidentschaften wieder aufgegriffen. Das Bundesinnenministerium bekundet zwar weiterhin Interesse an der Empfehlung, werde aber nach eigener Auskunft von sich aus nicht initiativ.

Echelon

Zu Echelon äußerte sich Jacob ebenfalls äußerst zurückhaltend: Er rät, durch "Information und Transparenz" den Eindruck zu vermeiden, dass mit Echelon in elementare Persönlichkeitsrechte von Bürgern eingegriffen werde. Doch scheinen auch ihm Zweifel gekommen zu sein, dass mit einer reinen Öffentlichkeitsarbeit die Sache aus der Welt zu bringen ist: "Dringend" stelle sich "die Frage nach der Legitimität dieses Systems". Ein erster wichtiger Schritt wäre seiner Ansicht nach eine objektive Bestandsaufnahme, die an die Stelle von Spekulationen, Mutmaßungen und Widersprüchen gesicherte Fakten setze. Danach sei die Frage nach klaren gesetzlichen Regelungen für nachrichtendienstliche Lauschaktionen auf europäischer Ebene zu stellen.

Diese Überlegung ist zwar richtig, doch die bereits bekannten Fakten hätten Jacob durchaus zu einer klareren Stellungnahme bewegen können. Die rechtliche Situation des britischen Geheimdienstes ist eindeutig: Er darf genauso wie sein US-Partner ausdrücklich Wirtschaftsspionage betreiben - es gehört zu seinem gesetzlichen Auftrag.

nach oben