Information und Schadensersatz bei Datenschutzpannen

In seiner Rede fordert Jan Korte, dass Unternehmen, denen Datenschutzpannen unterlaufen, die Pflicht haben sollen, die Öffentlichkeit darüber zu informieren. Darüber hinaus sind aber Regelungen zur Bußgeldern bei Fahrlässigkeit und Schadensersatz nötig.

Herr Präsident,
liebe Kolleginnen und Kollegen,

um es gleich vorweg zu sagen: Ich finde diesen – zugegebenermaßen etwas kleinteiligen – Antrag der Grünen unterstützenswert. Angesichts spektakulärer Datenschutzpannen in der Vergangenheit ist eine Informationspflicht für Unternehmen absolut notwendig. Es handelt sich dabei selten um Kavaliersdelikte oder Bagatellen, sondern wir haben es mit der hoch technisierten und automatisierten Datenverarbeitung, die auch schon kleinste Unternehmen betreiben, mit einem Kernbereich schutzwürdiger Belange von Bürgerinnen und Bürgern zu tun. Auf der einen Seite geht es um das Vertrauen, dass ich als Kunde meine Daten in gute Hände gebe. Auf der anderen Seite geht es um das Recht auf informationelle Selbstbestimmung, also das Recht, selbst entscheiden zu können, welche Informationen ich öffentlich mache und wie ich damit in der Öffentlichkeit wahrgenommen werden will.

Vor diesem Hintergrund ist es beispielsweise bedenklich, dass das Berliner Verwaltungsamt mit den Abrechnungen von Pensionären sensible Daten anderer Pensionäre verschickte. Ursache war eine Computerpanne.

In Kiel warfen Mitarbeiter eines Klinikums ärztliche Atteste, Anschriften von therapierten Kindern, interne Dokumente mit Patientendaten und ganze Krankheitsverläufe in eine öffentlich zugängliche Mülltonne, anstatt diese Unterlagen zu schreddern.

2001 konnten Sparkassenkunden, die sich in das Online-Banking einloggten, gleich die Kontodaten zahlreicher anderer Kunden betrachten.

Die Protokolle einer Notenkonferenz mit Hinweisen wie »Wolfgang kriegt keinen ordentlichen Satz zu Papier» oder »Fritzchen stand kurz vor dem Selbstmord» fanden sich auf einem ungesicherten Laufwerk einer Schule und wurden als Pausengag auf dem Schulhof verteilt.

Im Microsoft-Fanshop konnte man im Jahr 2000 durch kleine Änderungen in der Browserzeile auf Daten anderer Kunden des Shops zugreifen.

Erst im April geriet der DSL-Anbieter »DSL on Air» in die Kritik, weil selbst technisch unbegabte Menschen auf komplette Kundendaten einschließlich Auftragsstatus und Bankverbindung nicht nur zugreifen, sondern auch Änderungen vornehmen konnten.

Diese Beispiele zeigen, dass die mit treuen Augen abgegebenen Versprechen vieler Unternehmen, sorgsam und verantwortungsbewusst mit Kundendaten umzugehen, oft das Papier nicht wert sind, auf dem sie geschrieben sind. Vor diesem Hintergrund scheint es mir sinnvoll, analog zu den gerade diskutierten Regelungen in Sachen Gammelfleisch, Kunden und die allgemeine Öffentlichkeit nicht darüber in Unkenntnis zu lassen, wer fahrlässig mit den ihm anvertrauten Daten umgeht.

Wie beim Gammelfleisch kann eine solche Informationspflicht jedoch nur eine Seite der Medaille sein, weil dann das Kind sozusagen schon in den Brunnen gefallen ist. Wir müssen dafür Sorge tragen, dass der Datenschutz nicht als lästiges Hindernis auf dem Weg zu Gewinnen angesehen wird, sondern als Teil der Qualitätsphilosophie und der Verantwortung den Partnern des Unternehmens gegenüber. Daher bedarf es noch weiterer Schritte.

Schlampigkeit wie Vorsätzlichkeit muss nicht nur bußgeldbewährt sein. Es müssen auch klare und vor allem weiter gehende Regelungen zu Schadensansprüchen und Haftung getroffen werden. Die einschlägigen Regelungen im TMG reichen bei weitem nicht aus, wie der Fall eines Frauenhauses in der Nähe von Tübingen zeigte. Dort hatte die Telekom die Anschrift des Frauenhauses trotz Sperrvermerk im Telefonbuch veröffentlicht und die Daten an zahlreiche Adresshändler verkauft. Das Frauenhaus musste schließen, die Bewohnerinnen und ihre Kinder wurden kurzerhand in städtische Wohnungen und andere Frauenhäuser umquartiert. Der Verein stand darauf hin vor dem Aus, weil der Schaden, den die Schlampigkeit der Telekom verursachte, deutlich in den sechsstelligen Bereich ging. Natürlich weigerte sich die Telekom, Schadensersatz zu leisten, weil man der Meinung war, dass der Verrat von Kundengeheimnissen zum Lebensrisiko gehört. Ein Telekommanager ließ sich sogar damit zitieren, dass es doch ganz gut sei, wenn das Frauenhaus nun bekannter sei. In solch gravierenden Fällen muss nicht nur ein Schadenersatz fällig sein, sondern auch eine saftige Strafe.

Es gibt also noch viel zu tun. Das Problem ist doch, dass die Novelle des Datenschutzrechts 2001 in einem guten Ansatz stecken geblieben ist. Gerade von den Kolleginnen und Kollegen der Grünen-Fraktion würde mich mir da das eine oder andere selbstkritische Wort wünschen. Wir brauchen das Auditgesetz, wir brauchen eine Vernetzung der Kontrollinstanzen, die Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, das Arbeitnehmerdatenschutzgesetz und vieles andere mehr.

Was wir aber vor allem brauchen, ist die Einsicht der Bundesregierung, dass nicht nur für private Stellen, sondern auch und gerade für staatliche Stellen der Umgang mit Daten sensibel ist und dass der Datenschutz eine hohe Wertschätzung verdient. Tatsächlich ist der Staat aber die übelste Datenkrake von allen. Im Falle des Lauschangriffs, des neues Reisepasses oder der Anti-Terror-Datei ist es Vorsatz. Bei der Vorratsdatenspeicherung treffen sich Vorsatz und Schlampigkeit. Im Falle der skandalösen Datenschutzlücken beim Arbeitslosengeld II und der Software A2LL ist es schlicht Schlampigkeit, gepaart mit einer ordentlichen Portion Ignoranz. Mit der Volkszählung wird die Koalition dem ganzen vermutlich noch die Krone aufsetzen.

Was wir also brauchen, ist die Einsicht, dass Daten schützenswert sind und dass man den Datenschutz nicht einfach unter der Überschrift »Bürokratieabbau» über Bord wirft, wie es die große Koalition gerade tut. Leider kann der Deutsche Bundestag eine solche Einsicht nicht beschließen. Aber wir sollten uns wenigstens an unsere eigenen Beschlüsse erinnern. Wie zum Beispiel die Drucksache 14/9490 (Entschließung zum 18. Tätigkeitsbericht des Bundesdatenschutzbeauftragten), Drucksache 14/9709 (Beschluss »Umfassende Modernisierung des Datenschutzes») oder die Entschließung zum 19. Tätigkeitsbericht des Datenschutzbeauftragten auf Drucksache 15/4597.

Dann müssten wir hier nicht zu später Stunde kleinteilige Anträge diskutieren, sondern schafften ein modernes Datenschutzrecht, das diesen Namen auch verdient, indem es den Datenschutz im Steuerrecht, in der Gentechnik und den Arbeitnehmerdatenschutz realisiert, datenschutzgerechte Technik fördert und vor allem gleiche Schutzniveaus in allen Bereichen herstellt. Schauen Sie dazu einfach mal in den 20. Tätigkeitsbericht des Bundesdatenschutzbeauftragten. Auf Seite 22 sind die bekannten Vorschläge alle aufgelistet. Aber wie ich hörte, gibt es im Innenausschuss schon Mitglieder, die diesen Tätigkeitsbericht nicht mal diskutieren wollen, weil er schon so lange zurückliegt, der neue bald kommt und man ja nicht für nichts und wieder nichts die Auseinandersetzung mit diesem Bericht behindert haben will.

Sie sehen, teil des Problems sind also nicht nur die Unternehmen, sondern auch der Staat selbst, der nicht nur nicht mit guten Beispiel voran geht, sondern sich selbst als Datenschleuder betätigt. Auch in diesem Sinne bin ich dafür, nicht nur privatwirtschaftliche Sünder zu benennen, sondern beispielsweise Innenminister Schäuble in einer wöchentlichen Datenschutzbeichte so lange öffentlich auftreten zu lassen, bis auch der letzte verstanden hat, dass wir mit dem Datenschutz endlich in die Pötte kommen müssen.

Vielen Dank.