Eine neue Runde beim Datenschutz

Mit Wirkung vom 24. Oktober 1995 verabschiedeten das Europäische Parlament und der Rat der Europäischen Union (EU) eine Richtlinie, die eine Anpassung der nationalen Datenschutzgesetze nach sich ziehen muß. Wie sehr sich damit etwa das deutsche Bundesdatenschutzgesetz zu verändern hat, hängt von der Deutung dieser Richtlinie ab. Richtlinien der EU belassen nämlich den nationalen Gesetzgebern im Prinzip Spielräume.

Von den verschiedenen Verbänden, deren Mitglieder als empirische Sozialforscher von Veränderungen beim Datenschutz betroffen sind, erfuhr als erste Organisation Esomar, die Europäische Vereinigung der Marktforschungsinstitute, von den Richtlinien. Die von Esomar alarmierte Vereinigung von Marktforschungsinstituten in Deutschland, die ADM, konnte dann vom deutschen Innenministerium die Zusendung des Referentenentwurfes erreichen, mit dem die Richtlinie in deutsches Recht umgesetzt werden sollte. Nach Prüfung des Textes durch einen sachkundigen Rechtsanwalt entstanden bei Esomar und ADM erhebliche Bedenken, daß gegenüber dem Bundesdatenschutzgesetz die Umfrageforschung eingeengt werden könnte. Darauf hin wurde ich Ende 1997 von der ADM über den damaligen Stand der Dinge unterrichtet.

Mit Brief vom 20. Januar 1998 bat ich die zuständige Referentin im federführenden Ministerium des Inneren, Frau Dr. Weber, um Information und Anhörung. Diese Bitte richtete ich an das Ministerium im Namen der ASI, der GESIS und der Deutschen Gesellschaft für Soziologie.

Bis in den März hinein erhielt ich keine Antwort.

Auf meine erneute Anfrage mit Schreiben vom 6. März 1998 wurde schließlich vom Ministerium mit Brief vom 30. März 1998 reagiert. In der Antwort hieß es: „Zu Recht weisen Sie in Ihrem Schreiben vom 20. Januar darauf hin, daß das Bundesministerium des Inneren es versäumt hat, die Markt- und Sozialforschungsinstitute ausreichend über die geplante Gesetzgebung zu informieren. Ich hoffe, daß Ihnen die nachträgliche Information ausreichend Gelegenheit gibt, umfassend zu dem Entwurf zur Änderung eines Bundesdatenschutzgesetzes Stellung zu nehmen.“ Der Bitte um Anhörung wurde nicht entsprochen; eine weitere Erklärung der ministeriellen Absichten gab es ebensowenig wie ein Übersenden des Entwurfs.

Ich habe mich dann über die Vernachlässigung der Sozialwissenschaft bei den ministeriellen Überlegungen nicht mehr weiter beschwert, nachdem mir aus verschiedenen Stellen in Bonn signalisiert wurde, der Referentenentwurf werde nicht mehr innerhalb der vom Europäischen Parlament und dem Rat der EU gesetzten Frist bis zum 24. Oktober 1998 verabschiedet. Nach den Geschäftsordnungen in Bonn muß nach Ablauf einer Legislaturperiode ein Gesetzentwurf wieder neu eingebracht werden. Spätere Erkundigungen ergaben, daß Frau Dr. Weber ihren Entwurf unverändert neu in das Verfahren eingeben wird. Dabei betont sie aber, daß sie die Haltung einer neuen Regierung natürlich nicht voraussagen könne.

Ich habe den Hergang genauer geschildert, weil aus dem Verlauf zwingend abzuleiten ist, daß ohne eigene Initiativen sozialwissenschaftliche Belange völlig unberücksichtigt bleiben würden. Von seiten des Referates Datenschutz (Abteilung VII/6) ist ein Verständnis dafür, daß Sozialwissenschaften eventuell nachteilig betroffen würden, nicht zu erwarten. Dieselbe Gleichgültigkeit gegenüber sozialwissenschaftlichen Belangen zeigte das Innenministerium unter der Verantwortung von Minister Kanther (CDU) auch bei der Entscheidung, die von der EU für das Jahr 2001 geforderte Volkszählung auszusetzen. Statt dessen wurde das Statistische Bundesamt angewiesen, anstelle einer Volkszählung mit Befragung die Auswertung der Einwohnermelderegister nach deren Zusammenfügung mit weiteren Registern, in denen personenbezogene Daten gespeichert sind, zu planen. Hiergegen wurden im Namen der Sozialwissenschaften bereits auf dem letzten Soziologentag in Freiburg am 17. September 1998 und auf dem diesjährigen Statistikertag am 7. Oktober 1998 in Lübeck von mir kritische Vorträge gehalten.

Das Problem Verzicht auf Volkszählung, dafür aber Registerabgleich ist Ausdruck der gleichen Geisteshaltung wie bei der Bearbeitung des Datenschutzes; dies aber wird in einer anderen Publikation dargestellt. Möglicherweise ändert sich die wenn nicht wissenschaftsfeindliche, so doch wissenschaftsfremde Grundhaltung mit einem neuen Minister Schily (SPD). Ich werde mich jedenfalls entsprechend an ihn wenden.

Inhaltlich ist gegenüber dem deutschen Referentenentwurf u.a. folgendes vorzubringen:

In der Veränderung des Bundesdatenschutzgesetzes wird nicht nur die Verarbeitung (also die Analyse insbesondere mit EDV) geregelt. Die Reglementierungen werden ausgedehnt auf den Vorgang der Erhebung selbst. Das soll nach schriftlicher Mitteilung durch Frau Dr. Weber nach der Richtlinie Artikel 2 (b) und Artikel 7 (b) zwingend erforderlich sein. Das sehe ich nach Lektüre des englischen Originaltextes so nicht. Die Bezugnahme auf den Artikel 7 (b) ist mir sowohl in der deutschen Übersetzung als auch im englischen Original nicht nachvollziehbar.

Die englische Fassung des Artikels 2 (b) ist lediglich eine Begriffsbestimmung, die m. E. unterschiedlich deutbar ist. Diese Originalfassung lautet: „'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction.“

Ich interpretiere diese Passage so, daß unter der Verarbeitung auch verstanden wird, sich Datensätze aus anderen Quellen zu beschaffen, aber nicht das Entstehen eines Datensatzes selber. Diese Deutung leite ich auch ab aus den Absichtserklärungen, die der eigentlichen Richtlinie vorausgehen, z.B. den Erklärungen 15, 29 und 36. Abgesehen von diesen Verweisen auf Texte scheint es mir völlig unsinnig, eine Erhebung im Sinne einer Befragung als einen Teil der Verarbeitung zu verstehen. Diesem Unsinn bin ich lediglich in Gesprächen mit deutschen Datenschützern begegnet, insbesondere dem vormaligen hessischen Datenschützer Simitis. Der erklärte mir in der Tat, er wolle auch den Vorgang der Erhebung reglementiert wissen, weil ihm als Person, die als unmittelbar Betroffene das Regime der Obristen in Griechenland erfuhr, das Entstehen immer weiterer Datensätze zuwider sei; der beste Schutz gegen Mißbrauch sei die Verhinderung des Entstehens von Datensätzen.

Die Referentin Dr. Weber erklärte dann die Erweiterung des Dateibegriffs gegenüber dem Bundesdatenschutzgesetz (§ 3, Abs. 2) auf Akten als notwendig aufgrund des Art. 3, Abs. 1 der Brüsseler Richtlinie. An dieser Erweiterung des Bundesdatenschutzgesetzes führt möglicherweise jetzt kein Weg mehr vorbei, weil die Grundkonzeption des Brüsseler Gesetzes eine andere als die des deutschen ist. Hierüber anschließend.

Es bleibt aber doch anzumerken, daß auch hier wiederum von deutschen Datenschützern die Sprache vergewaltigt wird, wenn das neue Kunstwort „Datei“ aus der Datenverarbeitung zum neuen Oberbegriff für alle geordneten Aufzeichnungen wird. Solch geordnete Aufzeichnungen, die nicht maschinenlesbar sind, nennt man bisher im Deutschen immer noch „Kartei“ oder ggf. auch „Akte“.

Eine Änderung des § 30, Abs. 4 wird von Frau Dr. Weber mit Verweis auf den Artikel 13 der Richtlinie begründet. Den lese ich nun im englischen Original völlig anders. Erstens einmal zwingt er keinen der Nationalstaaten zu einer Änderung seines Gesetzes, sondern stellt ihm lediglich eine solche Änderung frei. Solche Änderungen können begründet werden mit dem, was wir sonst „übergeordnete Interessen“ nennen. Wissenschaftler könnten bei einer solchen Änderung berücksichtigt werden, „when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics“. Ich lese den Artikel als eine Möglichkeit der Freistellung von Reglementierungen, mit denen wissenschaftliche Nutzung privilegiert wird.

Unser Bundesdatenschutzgesetz war bei seiner Entstehung als ein Gesetz zur Regelung des Datentransportes konzipiert. Anfang der siebziger Jahre wurden die technischen Möglichkeiten zum Erstellen von Dossiers aufgrund der maschinellen Zusammenführung personenbezogener Daten aus verschiedenen Dateien erkennbar. Vielleicht ist noch erinnerlich, daß dies durch die Einführung einer universellen Nummer für jeden Bürger erleichtert werden sollte; dazu kam es wegen des Widerstandes in der Bevölkerung nicht mehr. Der aus diesen Möglichkeiten und Absichten folgenden zusätzlichen (!) Gefährdung der Privatsphäre von Bürgern sollte durch das allgemeine Verbot, Daten aus einer Datei in eine andere personenbezogen zu transportieren, begegnet werden. Da Daten in der Sozialforschung allgemein nicht personenbezogen gespeichert und verarbeitet werden, brachte das Bundesdatenschutzgesetz für alle anonymisierten Daten keine Einschränkung.

Es gibt jedoch Formen der Erhebung, bei denen vorübergehend Daten personenbezogen aufbewahrt bzw. mit solchen Ordnungsnummern versehen werden, daß sie personenbeziehbar sind. Panelerhebungen sind hier das wichtigste Beispiel, wenn über mehrere „Wellen“ hinweg die Daten über eine Person zusammengeführt werden müssen. Hier wurde mit den Datenschützern, die unter der Federführung des bayerischen Datenschützers Schweinoch mit uns verhandelten, ein Einverständnis erzielt, für das sich in der Literatur dann später der Name „functional separation“ durchsetzte. Unter „functional separation“ wird eine getrennte Aufbewahrung der Daten einer Person lediglich unter Verwendung einer Kennziffer einerseits sowie der Verbindung von Kennziffern mit einem Namen andererseits verstanden. Das letztere Verzeichnis ist sofort zu vernichten, sobald der Forschungszweck erfüllt ist.

Werden Daten über numerisch kleine Populationen erhoben - etwa der Führungsschicht einer kleinen Gemeinde oder im Mikrozensus Daten über Personen mit extrem seltenen Berufen oder der Führungsschicht in einer Branche mit dominierenden Großbetrieben -, so kann ein Insider mit „Zusatzwissen“ auch anonymisiert gespeicherte Daten entanonymisieren. In der Literatur zum Datenschutz wird in solchen Fällen von „Entanonymisierbarkeit“ bzw. von „Personenbeziehbarkeit“ gesprochen. Mit den Datenschützern haben wir bisher eine „Datentreuhänderschaft“ vereinbaren können, bei der die datenspeichernde Stelle - etwa ein Forschungsinstitut oder das Zentralarchiv - besonderen Aufsichtspflichten bei der Analyse der Daten genügen muß. Dies geschieht beispielsweise durch Vergröberung der demographischen Beschreibung der Fälle.

Die Richtlinie aus Brüssel beschränkt sich nicht auf personenbezogene Daten, sondern gilt auch für personenbeziehbare Daten. Was als „personenbeziehbar“ zu gelten hat, wird dann von den Aufsichtsgremien für die Einhaltung des Datenschutzes - wie bisher auch - zu entscheiden sein (Ziffer 62 der Absichtserklärungen sieht die Einrichtung solcher Kontrollstellen vor). Solche Gremien sind von den Mitgliedsstaaten für die Geltung in ihrem Staatsgebiet einzuberufen. Es ist zu hoffen, daß sich für Deutschland diese Kontrollstellen den Interpretationen anschließen, die bisher von seiten der Datenschützer zumindest für die Bundes- und Länderebene in Deutschland gelten.

Das gilt auch für das Gebot der „Zweckbindung“ für die Datenverarbeitung in der Richtlinie. Gemeint ist damit, daß Daten nur für den Zweck ausgewertet werden sollen, für den sie erhoben wurden. In der Umfrageforschung bedeutet das durchweg keine Einschränkung könnte aber bei wissenschaftsfremder Interpretation durch Kontrollstellen die Sekundäranalyse behindern. Für sozialpsychologische und psychologische Untersuchungen könnte es aber öfters Probleme geben. Würde beispielsweise einem Probanden erklärt, der folgende Test gelte der Ermittlung, ob er als Versuchsperson vielleicht latenter Antisemit sei, dann würde mit Sicherheit der Untersuchungszweck des jetzt zu administrierenden Tests gestört. Auch hier gab es bisher in der Forschungspraxis keine Probleme mit dem Datenschutz - falls nämlich nachgewiesen wurde, daß für den Probanden aus der Teilnahme an einem Test keine Nachteile entstünden.

Das Gebot der Zweckbindung ist überhaupt erst aus der Medizin auf die Datenverarbeitung in der Sozialforschung übertragen worden. In Kliniken ist die Teilnahme an einem Versuch mit neuen Medikamenten nicht selten risikohaft für den Patienten als Teilnehmer. Dies haben in der Vergangenheit öfters Ärzte dem Patienten verschwiegen und falsche Erklärungen für Verabreichung von Testmedikamenten gegeben. Daraus leiteten amerikanische Gerichte das Erfordernis des „informed consent“ ab, was in Deutschland vorübergehend zu einem Konflikt zwischen Datenschützern und Sozialforschern über die Frage führte, ob daraus die Forderung nach Einwilligung zu einem Interview nur in Schriftform abzuleiten sei. Das ist inzwischen ausdiskutiert, weshalb bei vernünftiger Anwendung der Richtlinie eigentlich für die Sozialforschung kein Problem entstehen sollte.

Generell ist an der Richtlinie deren doppelte Zwecksetzung ein Problem. Wie das deutsche Datenschutzgesetz berufen sich auch die Verfasser der Richtlinie auf die Notwendigkeit, den Datentransport zu regeln (siehe die Ziffern 5 und 7 bis 10 der Absichten). Damit soll verhindert werden, daß insbesondere durch Wirtschaftsunternehmen Daten jeweils in diejenigen Länder verbracht werden, in denen der großzügigste Umgang mit personenbezogenen Daten erlaubt ist. Dieses ist bereits Praxis. So kann man aus Schweizer Quellen Verzeichnisse bestellen für alle Personen in besonders günstiger wirtschaftlicher Situation, mit bestimmten Berufen usw. Mit der Richtlinie wollen das Europäische Parlament und der Rat erreichen, daß es keine solchen „Oasen großer Freizügigkeit beim Umgang mit personenbezogenen Daten“ mehr geben wird. Dagegen ist im Prinzip überhaupt nichts einzuwenden, wenngleich einzelne Passagen bei unverständiger Interpretation hier zu Problemen bei internationalen Vergleichen bzw. internationalen Auswertungen führen könnten.

In seinen Konsequenzen weitreichender und auch kaum in den Wirkungen zu prognostizieren ist eine zweite Zielsetzung, die m.E. insbesondere durch die französischen Konzeptionen für Datenschutz beeinflußt ist. Hier ist von vornherein von Datenschutz als einem Teil des Persönlichkeitsschutzes ausgegangen worden. Daß dieser durch das deutsche Datenschutzgesetz ungenügend geregelt ist, ist inzwischen eine verbreitete Klage von Datenschützern bzw. ein verbreiteter Einwand bei der Kritik an denselben. In der Begründung des Volkszählungsurteils des Bundesverfassungsgerichts wird mit dem auf Ernst Benda zurückgehenden Begriff der „informationellen Selbstbestimmung" ein Schritt in die Richtung des französischen Gesetzes getan. In der jetzt vorliegenden Richtlinie wird allgemein Persönlichkeitsschutz verstanden als Schutz der Privatsphäre.

Den eigentlichen Richtlinien sind 72 „Absichten“ bzw. Begründungen vorangestellt. In der Nr. 2 dieser Absichten heißt es, die Datenverarbeitungssysteme hätten die Privatsphäre natürlicher Personen zu achten. Im französischen Recht war daraus eine Kasuistik „sensibler Daten“ geworden. Das ist eine problematische Einengung, die einerseits die Forschung erheblich behindert und andererseits die betroffene Person ungenügend schützt: Für sich genommen „harmlose“ Daten können bei entsprechender Zusammenführung von Dateiangaben zu Dossiers sehr problematische Folgen haben.

Die Brüsseler Richtlinien sind in zwei Hinsichten zu loben, die nach meiner Kenntnis noch keinen Eingang in die deutsche Novellierung gefunden haben. Das Prinzip des Schutzes einer Person wird wie in den Vereinigten Staaten ergänzt durch die Pflichten zur Information bei einer für den Schutz der Privatsphäre problematischen Speicherung von Daten sowie durch das Recht des Individuums auf Dateneinsicht (siehe Ziffer 41 der Absichten). Hier hat offensichtlich der amerikanische Freedom-of-Information-Act gewirkt, der bisher in Deutschland noch nicht Vorbild wurde.

Die Nr. 29 der Absichten lese ich als eine Berücksichtigung der von der deutschen Sozialforschung geltend gemachten Unterscheidung zwischen solchen Daten, deren Kenntnis bei Dritten für die jeweilige Person keine Nachteile zur Folge hat, und solchen, die wir als „Interventionswissen“ bezeichnen. Die Nr. 29 der Absichten kann gedeutet werden als Wunsch, besondere Garantien für solche Daten zu bewirken, die „für Maßnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden“.

Der Originaltext ist selbstverständlich in Juristenenglisch formuliert, was für jeden, der nicht angelsächsisches Recht in der Anwendung kennt, auch bei vollem Verständnis des Wortlautes für die spätere Praxis schwierig zu deuten ist. Wie in entsprechenden deutschen Dokumenten auch gibt es eine Menge unbestimmter Rechtsbegriffe, die wahrscheinlich aber eher bei der Nutzung von Daten für Erwerbszwecke bedeutsam sind als für die Sozialforscher. An den spezifischen Schwulst öffentlich-rechtlicher Dokumente in Englisch ist die Gewöhnung schwierig.

Das deutsche Datenschutzrecht sollte unter dem Gesichtspunkt des Persönlichkeitsschutzes entweder nochmals überdacht werden oder um ein solches Gesetz ergänzt werden. Hier sehe ich eine Lücke in unseren Schutzrechten. Insofern ist die Richtlinie auch als ein Gewinn für den Schutz von Bürgerrechten in unserem Land zu verstehen. Irritierend ist allerdings die große Zahl von Ausnahmen, wenn es um staatliche Belange geht. Hier ist das deutsche Recht vorzuziehen. Aus unseren Kontakten mit dem Ministerium ist es allerdings nicht möglich zu entscheiden, ob jetzt das deutsche Datenschutzgesetz nicht nur für Sozialforscher Einschränkungen bringt, sondern unter dem Gesichtspunkt der Bürgerrechte zugleich bedenkliche Aufweichungen zur Folge hat.

Es ist sehr zu hoffen, daß das Ministerium in Zukunft in den Sozialwissenschaftlern nicht nur ärgerliche Bittsteller sieht, sondern auch fachlich nützliche Gesprächspartner, die auf Schwachstellen aufmerksam machen können. Eine solche Geringschätzung der Wissenschaft wie durch Mitarbeiter im Innenministerium habe ich dagegen im Umgang mit Behörden in Bonn jedenfalls noch nicht erlebt. Eine Umgangsweise wie hier beschrieben hätte sich das Ministerium mit einem „Fachverband der Streichhölzer“ oder der „Interessengemeinschaft für Möbelbeschläge“ mit Sicherheit nicht geleistet.

Korrespondenzanschrift:
Prof. Dr. Erwin K. Scheuch, Arbeitsgemeinschaft Sozialwissenschaftlicher Institute e.V. (ASI), Lennéstr. 30, 53113 Bonn