Eine neue Runde beim Datenschutz
Mit Wirkung vom 24. Oktober 1995 verabschiedeten
das Europäische Parlament und der Rat der Europäischen
Union (EU) eine Richtlinie, die eine Anpassung der nationalen
Datenschutzgesetze nach sich ziehen muß. Wie sehr sich
damit etwa das deutsche Bundesdatenschutzgesetz zu verändern
hat, hängt von der Deutung dieser Richtlinie ab. Richtlinien
der EU belassen nämlich den nationalen Gesetzgebern im Prinzip
Spielräume.
Von den verschiedenen Verbänden, deren
Mitglieder als empirische Sozialforscher von Veränderungen
beim Datenschutz betroffen sind, erfuhr als erste Organisation
Esomar, die Europäische Vereinigung der Marktforschungsinstitute,
von den Richtlinien. Die von Esomar alarmierte Vereinigung von
Marktforschungsinstituten in Deutschland, die ADM, konnte dann
vom deutschen Innenministerium die Zusendung des Referentenentwurfes
erreichen, mit dem die Richtlinie in deutsches Recht umgesetzt
werden sollte. Nach Prüfung des Textes durch einen sachkundigen
Rechtsanwalt entstanden bei Esomar und ADM erhebliche Bedenken,
daß gegenüber dem Bundesdatenschutzgesetz die Umfrageforschung
eingeengt werden könnte. Darauf hin wurde ich Ende 1997
von der ADM über den damaligen Stand der Dinge unterrichtet.
Mit Brief vom 20. Januar 1998 bat ich die
zuständige Referentin im federführenden Ministerium
des Inneren, Frau Dr. Weber, um Information und Anhörung.
Diese Bitte richtete ich an das Ministerium im Namen der ASI,
der GESIS und der Deutschen Gesellschaft für Soziologie.
Bis in den März hinein erhielt ich
keine Antwort.
Auf meine erneute Anfrage mit Schreiben
vom 6. März 1998 wurde schließlich vom Ministerium
mit Brief vom 30. März 1998 reagiert. In der Antwort hieß
es: „Zu Recht weisen Sie in Ihrem Schreiben vom 20. Januar
darauf hin, daß das Bundesministerium des Inneren es versäumt
hat, die Markt- und Sozialforschungsinstitute ausreichend über
die geplante Gesetzgebung zu informieren. Ich hoffe, daß
Ihnen die nachträgliche Information ausreichend Gelegenheit
gibt, umfassend zu dem Entwurf zur Änderung eines Bundesdatenschutzgesetzes
Stellung zu nehmen.“ Der Bitte um Anhörung wurde nicht
entsprochen; eine weitere Erklärung der ministeriellen Absichten
gab es ebensowenig wie ein Übersenden des Entwurfs.
Ich habe mich dann über die Vernachlässigung
der Sozialwissenschaft bei den ministeriellen Überlegungen
nicht mehr weiter beschwert, nachdem mir aus verschiedenen Stellen
in Bonn signalisiert wurde, der Referentenentwurf werde nicht
mehr innerhalb der vom Europäischen Parlament und dem Rat
der EU gesetzten Frist bis zum 24. Oktober 1998 verabschiedet.
Nach den Geschäftsordnungen in Bonn muß nach Ablauf
einer Legislaturperiode ein Gesetzentwurf wieder neu eingebracht
werden. Spätere Erkundigungen ergaben, daß Frau Dr.
Weber ihren Entwurf unverändert neu in das Verfahren eingeben
wird. Dabei betont sie aber, daß sie die Haltung einer
neuen Regierung natürlich nicht voraussagen könne.
Ich habe den Hergang genauer geschildert,
weil aus dem Verlauf zwingend abzuleiten ist, daß ohne
eigene Initiativen sozialwissenschaftliche Belange völlig
unberücksichtigt bleiben würden. Von seiten des Referates
Datenschutz (Abteilung VII/6) ist ein Verständnis dafür,
daß Sozialwissenschaften eventuell nachteilig betroffen
würden, nicht zu erwarten. Dieselbe Gleichgültigkeit
gegenüber sozialwissenschaftlichen Belangen zeigte das Innenministerium
unter der Verantwortung von Minister Kanther (CDU) auch bei der
Entscheidung, die von der EU für das Jahr 2001 geforderte
Volkszählung auszusetzen. Statt dessen wurde das Statistische
Bundesamt angewiesen, anstelle einer Volkszählung mit Befragung
die Auswertung der Einwohnermelderegister nach deren Zusammenfügung
mit weiteren Registern, in denen personenbezogene Daten gespeichert
sind, zu planen. Hiergegen wurden im Namen der Sozialwissenschaften
bereits auf dem letzten Soziologentag in Freiburg am 17. September
1998 und auf dem diesjährigen Statistikertag am 7. Oktober
1998 in Lübeck von mir kritische Vorträge gehalten.
Das Problem Verzicht auf Volkszählung,
dafür aber Registerabgleich ist Ausdruck der gleichen Geisteshaltung
wie bei der Bearbeitung des Datenschutzes; dies aber wird in
einer anderen Publikation dargestellt. Möglicherweise ändert
sich die wenn nicht wissenschaftsfeindliche, so doch wissenschaftsfremde
Grundhaltung mit einem neuen Minister Schily (SPD). Ich werde
mich jedenfalls entsprechend an ihn wenden.
Inhaltlich ist gegenüber dem deutschen
Referentenentwurf u.a. folgendes vorzubringen:
In der Veränderung des Bundesdatenschutzgesetzes
wird nicht nur die Verarbeitung (also die Analyse insbesondere
mit EDV) geregelt. Die Reglementierungen werden ausgedehnt auf
den Vorgang der Erhebung selbst. Das soll nach schriftlicher
Mitteilung durch Frau Dr. Weber nach der Richtlinie Artikel 2
(b) und Artikel 7 (b) zwingend erforderlich sein. Das sehe ich
nach Lektüre des englischen Originaltextes so nicht. Die
Bezugnahme auf den Artikel 7 (b) ist mir sowohl in der deutschen
Übersetzung als auch im englischen Original nicht nachvollziehbar.
Die englische Fassung des Artikels 2 (b)
ist lediglich eine Begriffsbestimmung, die m. E. unterschiedlich
deutbar ist. Diese Originalfassung lautet: „'processing
of personal data' ('processing') shall mean any operation or
set of operations which is performed upon personal data, whether
or not by automatic means, such as collection, recording, organization,
storage, adaptation or alteration, retrieval, consultation, use,
disclosure by transmission, dissemination or otherwise making
available, alignment or combination, blocking, erasure or destruction.“
Ich interpretiere diese Passage so, daß
unter der Verarbeitung auch verstanden wird, sich Datensätze
aus anderen Quellen zu beschaffen, aber nicht das Entstehen eines
Datensatzes selber. Diese Deutung leite ich auch ab aus den Absichtserklärungen,
die der eigentlichen Richtlinie vorausgehen, z.B. den Erklärungen
15, 29 und 36. Abgesehen von diesen Verweisen auf Texte scheint
es mir völlig unsinnig, eine Erhebung im Sinne einer Befragung
als einen Teil der Verarbeitung zu verstehen. Diesem Unsinn bin
ich lediglich in Gesprächen mit deutschen Datenschützern
begegnet, insbesondere dem vormaligen hessischen Datenschützer
Simitis. Der erklärte mir in der Tat, er wolle auch den
Vorgang der Erhebung reglementiert wissen, weil ihm als Person,
die als unmittelbar Betroffene das Regime der Obristen in Griechenland
erfuhr, das Entstehen immer weiterer Datensätze zuwider
sei; der beste Schutz gegen Mißbrauch sei die Verhinderung
des Entstehens von Datensätzen.
Die Referentin Dr. Weber erklärte
dann die Erweiterung des Dateibegriffs gegenüber dem Bundesdatenschutzgesetz
(§ 3, Abs. 2) auf Akten als notwendig aufgrund des Art.
3, Abs. 1 der Brüsseler Richtlinie. An dieser Erweiterung
des Bundesdatenschutzgesetzes führt möglicherweise
jetzt kein Weg mehr vorbei, weil die Grundkonzeption des Brüsseler
Gesetzes eine andere als die des deutschen ist. Hierüber
anschließend.
Es bleibt aber doch anzumerken, daß
auch hier wiederum von deutschen Datenschützern die Sprache
vergewaltigt wird, wenn das neue Kunstwort „Datei“
aus der Datenverarbeitung zum neuen Oberbegriff für alle
geordneten Aufzeichnungen wird. Solch geordnete Aufzeichnungen,
die nicht maschinenlesbar sind, nennt man bisher im Deutschen
immer noch „Kartei“ oder ggf. auch „Akte“.
Eine Änderung des § 30, Abs.
4 wird von Frau Dr. Weber mit Verweis auf den Artikel 13 der
Richtlinie begründet. Den lese ich nun im englischen Original
völlig anders. Erstens einmal zwingt er keinen der Nationalstaaten
zu einer Änderung seines Gesetzes, sondern stellt ihm lediglich
eine solche Änderung frei. Solche Änderungen können
begründet werden mit dem, was wir sonst „übergeordnete
Interessen“ nennen. Wissenschaftler könnten bei einer
solchen Änderung berücksichtigt werden, „when
data are processed solely for purposes of scientific research
or are kept in personal form for a period which does not exceed
the period necessary for the sole purpose of creating statistics“.
Ich lese den Artikel als eine Möglichkeit der Freistellung
von Reglementierungen, mit denen wissenschaftliche Nutzung privilegiert
wird.
Unser Bundesdatenschutzgesetz war bei seiner
Entstehung als ein Gesetz zur Regelung des Datentransportes konzipiert.
Anfang der siebziger Jahre wurden die technischen Möglichkeiten
zum Erstellen von Dossiers aufgrund der maschinellen Zusammenführung
personenbezogener Daten aus verschiedenen Dateien erkennbar.
Vielleicht ist noch erinnerlich, daß dies durch die Einführung
einer universellen Nummer für jeden Bürger erleichtert
werden sollte; dazu kam es wegen des Widerstandes in der Bevölkerung
nicht mehr. Der aus diesen Möglichkeiten und Absichten folgenden
zusätzlichen (!) Gefährdung der Privatsphäre von
Bürgern sollte durch das allgemeine Verbot, Daten aus einer
Datei in eine andere personenbezogen zu transportieren, begegnet
werden. Da Daten in der Sozialforschung allgemein nicht personenbezogen
gespeichert und verarbeitet werden, brachte das Bundesdatenschutzgesetz
für alle anonymisierten Daten keine Einschränkung.
Es gibt jedoch Formen der Erhebung, bei
denen vorübergehend Daten personenbezogen aufbewahrt bzw.
mit solchen Ordnungsnummern versehen werden, daß sie personenbeziehbar
sind. Panelerhebungen sind hier das wichtigste Beispiel, wenn
über mehrere „Wellen“ hinweg die Daten über
eine Person zusammengeführt werden müssen. Hier wurde
mit den Datenschützern, die unter der Federführung
des bayerischen Datenschützers Schweinoch mit uns verhandelten,
ein Einverständnis erzielt, für das sich in der Literatur
dann später der Name „functional separation“ durchsetzte.
Unter „functional separation“ wird eine getrennte Aufbewahrung
der Daten einer Person lediglich unter Verwendung einer Kennziffer
einerseits sowie der Verbindung von Kennziffern mit einem Namen
andererseits verstanden. Das letztere Verzeichnis ist sofort
zu vernichten, sobald der Forschungszweck erfüllt ist.
Werden Daten über numerisch kleine
Populationen erhoben - etwa der Führungsschicht einer kleinen
Gemeinde oder im Mikrozensus Daten über Personen mit extrem
seltenen Berufen oder der Führungsschicht in einer Branche
mit dominierenden Großbetrieben -, so kann ein Insider
mit „Zusatzwissen“ auch anonymisiert gespeicherte Daten
entanonymisieren. In der Literatur zum Datenschutz wird in solchen
Fällen von „Entanonymisierbarkeit“ bzw. von „Personenbeziehbarkeit“
gesprochen. Mit den Datenschützern haben wir bisher eine
„Datentreuhänderschaft“ vereinbaren können,
bei der die datenspeichernde Stelle - etwa ein Forschungsinstitut
oder das Zentralarchiv - besonderen Aufsichtspflichten bei der
Analyse der Daten genügen muß. Dies geschieht beispielsweise
durch Vergröberung der demographischen Beschreibung der
Fälle.
Die Richtlinie aus Brüssel beschränkt
sich nicht auf personenbezogene Daten, sondern gilt auch für
personenbeziehbare Daten. Was als „personenbeziehbar“
zu gelten hat, wird dann von den Aufsichtsgremien für die
Einhaltung des Datenschutzes - wie bisher auch - zu entscheiden
sein (Ziffer 62 der Absichtserklärungen sieht die Einrichtung
solcher Kontrollstellen vor). Solche Gremien sind von den Mitgliedsstaaten
für die Geltung in ihrem Staatsgebiet einzuberufen. Es ist
zu hoffen, daß sich für Deutschland diese Kontrollstellen
den Interpretationen anschließen, die bisher von seiten
der Datenschützer zumindest für die Bundes- und Länderebene
in Deutschland gelten.
Das gilt auch für das Gebot der „Zweckbindung“
für die Datenverarbeitung in der Richtlinie. Gemeint ist
damit, daß Daten nur für den Zweck ausgewertet werden
sollen, für den sie erhoben wurden. In der Umfrageforschung
bedeutet das durchweg keine Einschränkung könnte aber
bei wissenschaftsfremder Interpretation durch Kontrollstellen
die Sekundäranalyse behindern. Für sozialpsychologische
und psychologische Untersuchungen könnte es aber öfters
Probleme geben. Würde beispielsweise einem Probanden erklärt,
der folgende Test gelte der Ermittlung, ob er als Versuchsperson
vielleicht latenter Antisemit sei, dann würde mit Sicherheit
der Untersuchungszweck des jetzt zu administrierenden Tests gestört.
Auch hier gab es bisher in der Forschungspraxis keine Probleme
mit dem Datenschutz - falls nämlich nachgewiesen wurde,
daß für den Probanden aus der Teilnahme an einem Test
keine Nachteile entstünden.
Das Gebot der Zweckbindung ist überhaupt
erst aus der Medizin auf die Datenverarbeitung in der Sozialforschung
übertragen worden. In Kliniken ist die Teilnahme an einem
Versuch mit neuen Medikamenten nicht selten risikohaft für
den Patienten als Teilnehmer. Dies haben in der Vergangenheit
öfters Ärzte dem Patienten verschwiegen und falsche
Erklärungen für Verabreichung von Testmedikamenten
gegeben. Daraus leiteten amerikanische Gerichte das Erfordernis
des „informed consent“ ab, was in Deutschland vorübergehend
zu einem Konflikt zwischen Datenschützern und Sozialforschern
über die Frage führte, ob daraus die Forderung nach
Einwilligung zu einem Interview nur in Schriftform abzuleiten
sei. Das ist inzwischen ausdiskutiert, weshalb bei vernünftiger
Anwendung der Richtlinie eigentlich für die Sozialforschung
kein Problem entstehen sollte.
Generell ist an der Richtlinie deren doppelte
Zwecksetzung ein Problem. Wie das deutsche Datenschutzgesetz
berufen sich auch die Verfasser der Richtlinie auf die Notwendigkeit,
den Datentransport zu regeln (siehe die Ziffern 5 und 7 bis 10
der Absichten). Damit soll verhindert werden, daß insbesondere
durch Wirtschaftsunternehmen Daten jeweils in diejenigen Länder
verbracht werden, in denen der großzügigste Umgang
mit personenbezogenen Daten erlaubt ist. Dieses ist bereits Praxis.
So kann man aus Schweizer Quellen Verzeichnisse bestellen für
alle Personen in besonders günstiger wirtschaftlicher Situation,
mit bestimmten Berufen usw. Mit der Richtlinie wollen das Europäische
Parlament und der Rat erreichen, daß es keine solchen „Oasen
großer Freizügigkeit beim Umgang mit personenbezogenen
Daten“ mehr geben wird. Dagegen ist im Prinzip überhaupt
nichts einzuwenden, wenngleich einzelne Passagen bei unverständiger
Interpretation hier zu Problemen bei internationalen Vergleichen
bzw. internationalen Auswertungen führen könnten.
In seinen Konsequenzen weitreichender und
auch kaum in den Wirkungen zu prognostizieren ist eine zweite
Zielsetzung, die m.E. insbesondere durch die französischen
Konzeptionen für Datenschutz beeinflußt ist. Hier
ist von vornherein von Datenschutz als einem Teil des Persönlichkeitsschutzes
ausgegangen worden. Daß dieser durch das deutsche Datenschutzgesetz
ungenügend geregelt ist, ist inzwischen eine verbreitete
Klage von Datenschützern bzw. ein verbreiteter Einwand bei
der Kritik an denselben. In der Begründung des Volkszählungsurteils
des Bundesverfassungsgerichts wird mit dem auf Ernst Benda zurückgehenden
Begriff der „informationellen Selbstbestimmung" ein
Schritt in die Richtung des französischen Gesetzes getan.
In der jetzt vorliegenden Richtlinie wird allgemein Persönlichkeitsschutz
verstanden als Schutz der Privatsphäre.
Den eigentlichen Richtlinien sind 72 „Absichten“
bzw. Begründungen vorangestellt. In der Nr. 2 dieser Absichten
heißt es, die Datenverarbeitungssysteme hätten die
Privatsphäre natürlicher Personen zu achten. Im französischen
Recht war daraus eine Kasuistik „sensibler Daten“ geworden.
Das ist eine problematische Einengung, die einerseits die Forschung
erheblich behindert und andererseits die betroffene Person ungenügend
schützt: Für sich genommen „harmlose“ Daten
können bei entsprechender Zusammenführung von Dateiangaben
zu Dossiers sehr problematische Folgen haben.
Die Brüsseler Richtlinien sind in
zwei Hinsichten zu loben, die nach meiner Kenntnis noch keinen
Eingang in die deutsche Novellierung gefunden haben. Das Prinzip
des Schutzes einer Person wird wie in den Vereinigten Staaten
ergänzt durch die Pflichten zur Information bei einer für
den Schutz der Privatsphäre problematischen Speicherung
von Daten sowie durch das Recht des Individuums auf Dateneinsicht
(siehe Ziffer 41 der Absichten). Hier hat offensichtlich der
amerikanische Freedom-of-Information-Act gewirkt, der bisher
in Deutschland noch nicht Vorbild wurde.
Die Nr. 29 der Absichten lese ich als eine
Berücksichtigung der von der deutschen Sozialforschung geltend
gemachten Unterscheidung zwischen solchen Daten, deren Kenntnis
bei Dritten für die jeweilige Person keine Nachteile zur
Folge hat, und solchen, die wir als „Interventionswissen“
bezeichnen. Die Nr. 29 der Absichten kann gedeutet werden als
Wunsch, besondere Garantien für solche Daten zu bewirken,
die „für Maßnahmen oder Entscheidungen gegenüber
einzelnen Betroffenen verwendet werden“.
Der Originaltext ist selbstverständlich
in Juristenenglisch formuliert, was für jeden, der nicht
angelsächsisches Recht in der Anwendung kennt, auch bei
vollem Verständnis des Wortlautes für die spätere
Praxis schwierig zu deuten ist. Wie in entsprechenden deutschen
Dokumenten auch gibt es eine Menge unbestimmter Rechtsbegriffe,
die wahrscheinlich aber eher bei der Nutzung von Daten für
Erwerbszwecke bedeutsam sind als für die Sozialforscher.
An den spezifischen Schwulst öffentlich-rechtlicher Dokumente
in Englisch ist die Gewöhnung schwierig.
Das deutsche Datenschutzrecht sollte unter
dem Gesichtspunkt des Persönlichkeitsschutzes entweder nochmals
überdacht werden oder um ein solches Gesetz ergänzt
werden. Hier sehe ich eine Lücke in unseren Schutzrechten.
Insofern ist die Richtlinie auch als ein Gewinn für den
Schutz von Bürgerrechten in unserem Land zu verstehen. Irritierend
ist allerdings die große Zahl von Ausnahmen, wenn es um
staatliche Belange geht. Hier ist das deutsche Recht vorzuziehen.
Aus unseren Kontakten mit dem Ministerium ist es allerdings nicht
möglich zu entscheiden, ob jetzt das deutsche Datenschutzgesetz
nicht nur für Sozialforscher Einschränkungen bringt,
sondern unter dem Gesichtspunkt der Bürgerrechte zugleich
bedenkliche Aufweichungen zur Folge hat.
Es ist sehr zu hoffen, daß das Ministerium
in Zukunft in den Sozialwissenschaftlern nicht nur ärgerliche
Bittsteller sieht, sondern auch fachlich nützliche Gesprächspartner,
die auf Schwachstellen aufmerksam machen können. Eine solche
Geringschätzung der Wissenschaft wie durch Mitarbeiter im
Innenministerium habe ich dagegen im Umgang mit Behörden
in Bonn jedenfalls noch nicht erlebt. Eine Umgangsweise wie hier
beschrieben hätte sich das Ministerium mit einem „Fachverband
der Streichhölzer“ oder der „Interessengemeinschaft
für Möbelbeschläge“ mit Sicherheit nicht
geleistet.
Korrespondenzanschrift:
 Prof. Dr. Erwin K. Scheuch, Arbeitsgemeinschaft
Sozialwissenschaftlicher Institute e.V. (ASI), Lennéstr.
30, 53113 Bonn |
