Vortrag bei der BvD-Herbstkonferenz Datenschutz am 27.10.2021 in München
Heute möchte ich sprechen über Datenschutz. Datenschutz in der Pandemie. Welche Lehren können wir aus den letzten zwei Jahren ziehen?
Ich werde darüber sprechen, dass der Datenschutz im Jahre 2021 zwei Gesichter hat. Eines der Gesichter ist eher jung und unauffällig, der Datenschutz als Bestandteil des Compliance-Baukastens, als Verbraucherschutz in einer digitalen Welt. Das andere Gesicht ist ziemlich alt und markant, der Datenschutz als Bürgerrecht, als Menschenrecht und Bollwerk gegen einen übergriffigen Staat.
Ich werde darüber sprechen, dass der Datenschutz beide Gesichter braucht. Und ich werde mit einem gewissen Nachdruck daran erinnern, dass der Datenschutz Teil einer Familie ist – die Familie der Bürgerrechte. Denn ich bin fest davon überzeugt, dass der Datenschutz keine „Inselbegabung“ ist. Jedem Datenschützer müssen die Bürgerrechte – alle Bürgerrechte – am Herzen liegen. Eine gute, ernsthafte und ernst zu nehmende Datenschützerin wird stets zugleich eine Bürgerrechtlerin sein.
- Datenschutz ist ein Bürgerrecht. Und weil Datenschutz ein Bürgerrecht ist, dürfen Datenschützer nicht schweigen, wenn Bürgerrechte massiv eingeschränkt werden.
Warum schützen wir Daten? Wir schützen Personendaten nicht um ihrer selbst willen. Datenschutz ist kein Selbstzweck. Jeder von uns weiß dies.
Datenschutz ist ein Bürgerrecht. In Deutschland leitet sich dies aus der allgemeinen Handlungsfreiheit und aus der Menschenwürde ab, aus dem allgemeinen Persönlichkeitsrecht. Auch nach der europäischen Grundrechtecharta ist der Datenschutz ein eigenes Grundrecht. Der Datenschutz ist zudem eine Ausprägung des durch die Europäische Menschenrechtskonvention geschützten Menschenrechts auf Privatsphäre. Datenschutz ist ein Menschenrecht.
Seit März 2020 erleben wir Einschränkungen der Bürgerrechte, die sich die meisten von uns nie vorstellen konnten. Betriebe mussten schließen, Bürger durften nur noch „aus triftigem Grund“ das Haus verlassen, für Demonstrationen gelten scharfe Auflagen. Und wenn der Staat derartig tief in Grundrechte eingreift, macht es vor dem Datenschutz keinen Halt. Wie möchte man erklären, dass Theater aus Sorge vor Ansteckung geschlossen bleiben, die Polizistin aber nicht wissen darf, dass der Mann, den sie verhaften soll, mit Corona infiziert ist? Wie will man begreiflich machen, dass Corona-Warn-Apps nur unter strengsten datenschutzrechtlichen Auflagen betrieben werden dürfen, wenn Schülerinnen zur Vermeidung von Infektionen zu Hause bleiben müssen? Wie ist es zu rechtfertigen, dass man als Gastronom aus Gründen des Datenschutzes sorgsam mit den Kontaktdaten seiner Gäste umgehen muss, wenn zugleich jeder Gast überall Impfnachweise vorzeigen und Gesundheitsdaten preisgeben muss?
Geeignetheit, Erforderlichkeit, Angemessenheit – der Dreiklang der Verhältnismäßigkeit. Fragen, die sich unter den Vorzeichen des Datenschutzes stellen. Aber auch weit darüber hinaus. Wer fragt eigentlich, ob die Kontaktdaten, die wir alle bei Besuchen von Hotels und Restaurants, von Kneipen und Fitnessstudios, von Bordellen und Fetischclubs hinterlassen, tatsächlich von den Gesundheitsämtern abgerufen und benötigt werden? Wer fragt, ob es angemessen ist, im Zeichen von 2G Ungeimpfte abzuweisen, obwohl sie negativ getestet sind? Wer fragt, ob von einem getesteten Ungeimpften tatsächlich mehr Gefahr ausgeht als von einem ungetesteten Geimpften?
Datenschützer dürfen nicht schweigen, wenn Im Zeichen des Infektionsschutzes immer mehr Gesundheitsdaten erhoben, gesammelt, verarbeitet werden. Daher ist es richtig, dass Stefan Brink jüngst seine Stimme erhob, als die baden-württembergische Landesregierung ernsthaft plante, den Mund-Nasen-Schutz in Gastronomiebetrieben ausschließlich für Geimpfte abzuschaffen. Wenn jeder Gast sehen kann, welche Mitarbeiterinnen ungeimpft sind, drohen Stigmatisierung und sozialer Druck. Vor beidem soll uns das Grundrecht auf informationelle Selbstbestimmung bewahren.
- Bei der Corona-Politik geht es um die klassische Balance zwischen Freiheit und Sicherheit. Datenschützer sind die Verteidiger der Freiheit. Sie dürfen nicht wegsehen.
Zum 20. Mal jähren sich dieses Jahr 9/11 und die daraufhin verabschiedeten Anti-Terror-Gesetze – die „Schily-Pakete“ – zum 20. Mal. Vor genau 20 Jahren – vom 24. bis 26.10.2001 – tagte die Datenschutzkonferenz – die 18 Bundes- und Landesdatenschutzbeauftragten – und forderte laut ihrer Pressemitteilung „Hausaufgaben von (Innenminister Otto) Schily“ ein:
„Bettina Sokol – Landesbeauftragte für den Datenschutz in Nordrhein-Westfalen und derzeitige Vorsitzende der Konferenz: ‚Viele Vorschläge sind noch unausgewogen und lassen eine sachliche und verantwortungsbewusste Abwägung mit den Freiheitsrechts- und Persönlichkeitsrechten der Einzelnen vermissen.‘ Es werde ohne Rücksicht auf das grundrechtliche Übermaßverbot alles vorgeschlagen, was technisch möglich erscheint, ohne zu prüfen, was wirklich zur Terrorismusbekämpfung erforderlich und geeignet ist – so die Kritik aller Datenschutzbeauftragten. Sie fordern die sicherheitspolitisch Verantwortlichen eindringlich auf, Persönlichkeitsrechte nicht vorschnell und ohne die gebotene sorgsam abwägende Prüfung einzuschränken. Der Ausnahmezustand dürfe nicht zur Norm erhoben werden.
Alle neu erwogenen Maßnahmen müssen sich daran messen lassen, ob sie für eine wirkungsvolle Bekämpfung des Terrorismus wirklich geeignet und erforderlich sind. Einseitiges Streben nach einer umfassenden Sicherheit dürfe nicht den bisherigen gesellschaftlichen Konsens über die Bedeutung bürgerlicher Freiheits- und Persönlichkeitsrechte überlagern.“
Klare und präzise Forderungen und deutliche Mahnungen. Im Jahre 2001 war die Datenschutzkonferenz noch ein Gremium der Bürgerrechtlerinnen und Bürgerrechtler. Lässt sich dies heute noch über die DSK sagen?
Was haben die Schily-Pakete und der 11. September mit Corona gemein? Damals wie heute herrschte Angst – vor Terrorismus wie vor der Pandemie. Damals wie heute gab es eine „Fraktion Sicherheit“, eine „Fraktion Vorsicht“, die einen „starken Staat“ forderte. Damals wie heute reagierte die Politik mit Gesetzespaketen, die die Bürgerrechte einschränkten, um uns alle vor Terror, Tod und Krankheit zu schützen. Damals wie heute war der Datenschutz unbequem. Wer biometrische Ausweispapiere und allgegenwärtige Fragen nach dem „Impfstatus“ ablehnte und ablehnt, steht unter Verdacht, Täter zu schützen, unsolidarisch zu sein und dem Gemeinwohl, dem Gesundheitsschutz im Wege zu stehen.
Im Ringen zwischen Freiheit und Sicherheit – ob bei Terrorgesetzen oder beim Infektionsschutz – steht der Datenschutz stets im Lager der Freiheit. Dies ist allerdings heute nicht mehr ganz so selbstverständlich, wie dies noch vor 20 Jahren der Fall war. Im Jahre 2001 waren gerade einmal 18 Jahre seit dem Volkszählungsurteil des Bundesverfassungsgerichts vergangen. Heute liegt die Geburt des Grundrechts auf informationelle Selbstbestimmung fast 40 Jahre zurück.
Seit der NS-Zeit sind mittlerweile 75 Jahre, seit dem Mauerfall 30 Jahre vergangen. Die historische Erinnerung wird schwächer, und das Misstrauen gegenüber einem allwissenden und allmächtigen Staat wird geringer. Unter Kanzlerin Angela Merkel ist das Gesicht des Staates in den Augen vieler Bürgerinnen und Bürger freundlicher geworden. Datenschutz wird nicht mehr als Schutzschild des Bürgers gegen den übergriffigen Staat gesehen, sondern als Instrument des Verbraucherschutzes und als Compliance-Thema. In Datenschutzdebatten geht es um amerikanische Internetriesen, um Cookies und Schufa-Einträge und nur noch selten um datenhungrige Behörden. Daher überrascht es nicht, dass man in der Corona-Krise nur wenig Kritisches von Datenschützerinnen und Datenschützern hörte.
- Es war stets unbequem, Bürgerrechte in unsicheren Zeiten in Schutz zu nehmen. Datenschützer müssen unbequem sein.
Wenn es Datenschützerinnen schweigend hinnehmen, dass jedes Bordell und jede Selbsthilfeeinrichtung zur Sammlung von „Kontaktdaten“ verpflichtet wird, leisten sie dem Datenschutz einen schlechten Dienst. Wenn Datenschützer Ausgangssperren befürworten, können sie nicht mehr glaubhaft erklären, weshalb es beim Transfer jedes Personendatums in die USA um Menschenrechte gehen soll.
Datenschützerinnen und Datenschützer stehen von Berufs wegen auf der Seite der Freiheit. Als Bürgerrecht dient Datenschutz der Freiheit, nicht der Sicherheit. Und als Verteidiger der Freiheit dürfen Datenschützerinnen nicht nur dann unbequem sein, wenn es um die beliebten Apps und Tools amerikanischer Internetriesen geht. Wir dürfen nicht nur nerven, indem wir Cookies, personalisierte Werbung und Facebook-Fanpages kritisieren. Wir müssen auch dann unbequem sein, wenn uns der Staat vor Terror und Gewalt schützt und unsere E-Mails überwacht. Wir müssen auch dann wachsam sein, wenn man uns per App unserer Kontakte nachverfolgen möchte. Wir dürfen uns nicht damit zufriedengeben, dass die Gesundheit ein hohes Gut ist und der gute Zweck die Mittel heiligt.
- Datenschutz ist mehr als Verbraucherschutz und Compliance. Datenschutz ist ein Bollwerk des Bürgers gegen den übergriffigen Staat.
Wir alle sind Verbraucher. Und uns allen liegt der Verbraucherschutz am Herzen. Daher leuchtet es auch uns allen ein, dass es eine gute Sache ist, wenn Verbraucherinnen in Datenschutzbestimmungen, in „Privacy Policies“ erfahren, was mit ihren Daten geschieht. Uns leuchtet ein, dass Datenschutzbehörden darüber wachen, dass Unternehmen keinen Schindluder mit Verbraucherdaten treiben. Wir finden es richtig, dass Unternehmen unsere E-Mail-Postfächer nicht mit unerwünschter Werbung bombardieren dürfen. Und wir sind uns einig, dass personalisierte Werbung reguliert werden muss.
Viele von uns verdienen ihr Geld mit Compliance. Mit umfangreichen Regelwerten für den Umgang mit Personendaten in Unternehmen und Behörden. Mit Richtlinien, Anweisungen, Datenschutzinfos. Mit Löschkonzepten, Folgeabschätzungen und Meldeverfahren. Compliance ist das bürokratische Gesicht des Datenschutzes, die Welt der Kästchen und Schubladen.
Datenschutz ist mehr als Verbraucherschutz und Compliance. Datenschutz ist ein Bollwerk des Bürgers gegen den übergriffigen Staat. Daher ist Datenschutz immer auch politisch. Datenschützerinnen und Datenschützer, die ernst genommen werden möchten, dürfen es sich nicht in den Compliance-Abteilungen der Unternehmen und in der Komfortzone des Verbraucherschutzes gemütlich machen. Sie müssen das Wort ergreifen, wenn der Staat an der Überwachungsschraube dreht. Datenschützerinnen und Datenschützer müssen sich am gesellschaftlichen Diskurs der Bürgerrechtler beteiligen.
- Die Prinzipien des Datenschutzes gelten auch dann, wenn Daten zu einem „guten Zweck“ verarbeitet werden. Verhältnismäßigkeit unterscheidet nicht zwischen „guten“ und „weniger guten“ Zwecken.
Der Zweck heiligt die Mittel nicht. Und der Datenschutz kennt keine Hierarchie der Verarbeitungszwecke. Wenn Gesundheitsdaten zu Zwecken des Infektionsschutzes verarbeitet werden, gelten dieselben Kriterien, die für die Datenverarbeitung zu Werbezwecken gelten. Die Ergebnisse der Abwägungen mögen divergieren, die Kriterien und Prinzipien bleiben immer gleich.
Datenminimierung, Speicherbegrenzung, Zweckbindung: All bleibt ist bei pandemischen Zwecken der Datenverarbeitung selbstverständlich relevant. Und daher war es richtig, dass Stefan Brink und Barbara Thiel nicht die Augen verschlossen, als sie hörten, dass Polizisten im Einsatz bei den Gesundheitsämtern nachfragten, ob dort positive Corona-Tests einzelner Bürgerinnen und Bürger bekannt waren. Es ist notwendig, darauf zu achten, dass Kontakt-, Test- und Impfdaten nicht einfach vorsorglich und auf Vorrat, sondern zu konkret formulierten Zwecken erhoben und zeitnah gelöscht werden. Es ist richtig, dass eine Corona-App nichts schon deshalb als datenschutzkonform gilt, weil ein bekannter Künstler sie bei Anne Will vorstellt und Tage später die ersten Landesregierungen Lizenzen kaufen und die App in den landeseigenen Schutzkonzepten fest verankern. Und wir alle werden darauf achten müssen, dass sich Datensammelgesetze nicht verselbstständigen. Mit dem Ende der „pandemischen Notlage“ muss auch Schluss sein mit der allgegenwärtigen Sammlung von Kontakt- und Gesundheitsdaten.
Ich komme zu meinem letzten Punkt:
- Der Datenschutz ist der ewige Sündenbock der Digitalisierung. Dies hat mehrere Gründe, liegt aber auch daran, dass das Datenschutzrecht so kompliziert ist, dass es von Otto Normalverbraucher nicht verstanden wird.
Sündenbock Datenschutz. Wenn Mitglieder eines Stadtrates Zuschauerinnen und Zuschauer als eher störend empfinden, legen sie ein Veto gegen das Streamen ihrer Sitzungen ein. Datenschutz. Wenn Behördenvertreter lästige Presseanfragen über eine Amtsträgerin nicht beantworten möchten, verweigern sie mit Bedauern eine konkrete Antwort. Datenschutz. Wenn Beamte auf eilige Fragen nur per Briefpost und nicht per Mail reagieren, zucken sie die Schultern. Datenschutz. Wenn staatliche Einrichtungen auf das gewohnte Faxgerät nicht verzichten wollen, wenn Ämter ihre Software nicht umstellen oder weiterhin lieber auf Papier arbeiten möchten: Stets heißt es „Datenschutz“.
In der Pandemie zeigten sich bei den Gesundheitsämtern, beim Robert-Koch-Institut und an vielen anderen Stellen, dass Prozesse noch analog-schwerfällig funktionieren. Digitalisierung steckt an vielen Stellen des Gesundheitswesens noch in den Kinderschuhen. Und was hört man von den Verantwortlichen? Ja, man würde ja gerne – aber „Datenschutz“.
Der Datenschutz als Sündenbock. Mancher berufsmäßige Datenschützer ist daran nicht unschuldig. Wenn der Thüringer Datenschutzbeauftragte Lutz Haase in Zeitungsinterviews über die datenschutzrechtliche Zulässigkeit von Namen auf Wohnungs-Klingelschildern sinniert, bestätigt er ein ungutes Gefühl zahlreicher Laien: Datenschutz ist kompliziert und bürokratisch, nicht immer erschließt sich der Sinn, und oft macht der Datenschutz den Alltag unnötig schwer.
Als jüngst bekannt wurde, dass ein thüringischer Lehrer Post von der Datenschutzbehörde bekommen hatte, weil er Schülerinnen und Schüler nach ihrer Impfbereitschaft (nicht etwa nach dem Impfstatus!) fragte, berichtete ein Bildungsmagazin:
„Er (Lutz Haase) gab zu bedenken, dass es bei der Abfrage der Schülerinnen und Schüler möglicherweise auch um weltanschauliche Daten gegangen sein könnte. Auch dafür sei – je nach Alter der Schüler – gegebenenfalls eine Einwilligung der Eltern nötig.“
„Würdest Du Dich impfen lassen?“ Lutz Haase hat Phantasie, denn ich wäre bei dieser Frage nicht so schnell auf die Idee eines Bezugs zu einem Glauben oder einer Weltanschauung gekommen.
Dem Ansehen des Datenschutzes ist mit derartigen Einwänden und Assoziationen nicht gedient. Dass sich indes Schlüsse aus dem Datenschutzrecht weit herholen lassen, liegt auch an den Geburtsfehlern der DSGVO. Man konnte sich aus lauter Sorge vor „Schlupflöchern“ nicht dazu durchringen, Alltagskommunikation – Klingelschilder, Klassenfotos, Glückwunschlisten – von dem umfassenden datenschutzrechtlichen Verbotsprinzip klipp und klar auszunehmen. Man mochte nicht zwischen harmloser Alltagskommunikation und der Sammlung hochsensibler oder gar intimer Daten unterscheiden. Man nähte doppelt und dreifach und schuf ein hochkompliziertes Gesetzeswerk mit – allein in Deutschland – rund 15 Kommentaren, die – auf Tausenden von Seiten – Schneisen durch das Dickicht schlagen sollen. Die einzigen klaren Profiteure der DSGVO sind wir: die Anwältinnen und Anwälte, die Beraterinnen und Berater, die Kommentatorinnen und Dozenten, die von der DSGVO gut und gerne leben.
Die Akzeptanz des Datenschutzes wird auf mittlere Sicht mit der Bereitschaft stehen und fallen, das Regelwerk zu vereinfachen. Die Komplexität bleibt eine Achillesferse, die es zulässt, dass der Datenschutz zum Sündenbock wird, um von eigenen Versäumnissen abzulenken – bei der Digitalisierung und bei der Transparenz staatlichen Handelns, aber auch bei der Gesundheitsvorsorge und der effizienten Eindämmung einer Pandemie.
Datenschutz ist und bleibt ein Bürgerrecht, das uns allen am Herzen liegt. Als Bürgerrecht ist der Datenschutz untrennbar verbunden mit vielen anderen Rechten der Bürgerinnen und Bürger – unter der Meinungsfreiheit und der Versammlungsfreiheit, dem Persönlichkeitsschutz, der Vereinigungsfreiheit, der Freizügigkeit und dem Schutz des Wohnraums. Wer für den Datenschutz brennt, darf nicht schweigen, wenn Bürgerrechte beschnitten werden. Die engagierte Datenschützerin ist stets auf der Seite der Freiheit, wenn es um die Balance zwischen Freiheit und Sicherheit geht. Datenschutz kennt keine Komfortzonen und muss unbequem bleiben.