Prof. Dr. Spiros Simitis, Frankfurter Rechtswissenschaftler von internationalem Rang und Datenschützer der ersten Stunde, über die Steuerbarkeit des Einzelnen und die Zukunft der Privatsphäre im Internet – ein Gespräch mit Bernd Frye.

Frye: Herr Professor Simitis, Sie sind, ich zitiere, »Pfadfinder des Datenschutzes«, »Vater des Datenschutzes« und »Doyen des Datenschutzes« – oder einfach »Prof. Dr. Datenschutz«. Erkennen Sie sich in diesen Zuschreibungen wieder?

Simitis: Doch. Ich erkenne mich deshalb wieder, weil ich von Anfang an dabei gewesen bin und weil ich in all den Jahren an der Entwicklung des Datenschutzes mitbeteiligt war und versucht habe, auf sie Einfluss zu nehmen.

Frye: Die Einflussnahme darf als geglückt gelten. Heribert Prantl schrieb anlässlich Ihres 80. Geburtstages im Oktober vergangenen Jahres in der »Süddeutschen Zeitung«: »Wenn man den Namen einer Maßeinheit für Datenschutz sucht: Sie müsste ›Simitis‹ heißen. Er hat ihn weltweit entwickelt und geprägt.«

Simitis: Ich kann es Ihnen, wenn Sie wollen, genau erzählen.

Frye: Ich bitte darum.

Simitis: Ende der Sechziger Jahre wurden in der Bundesrepublik an verschiedenen Stellen neue Krankenhäuser gebaut. Und auch in Hessen hatte man sich dazu entschlossen. Das war ein Projekt, das von der Hessischen Landesregierung und dem damaligen Ministerpräsidenten Zinn außerordentlich ernst genommen wurde. Weil es um Krankenhäuser ging, die ja über eine Vielzahl von Daten – besonders zu Patienten – verfügen müssen, kam die Entwicklung der automatisierten Verarbeitung gerade zum rechten Zeitpunkt. In diesen Krankenhäusern sollten die Daten zusammengestellt werden, um – so wie es hieß – effizienter diagnostizieren und behandeln zu können.

Frye: Hessen gehörte damals bundesweit zu den Vorreitern bei der sogenannten Verwaltungsautomation mit zentralen Sammlungen und einer breiten Verfügbarkeit von Bevölkerungsdaten.

„Nur so lange, wie der Einzelne weiß, wer mit seinen oder ihren Daten was wann tut, kann er oder sie sich an der gesellschaftlichen Entwicklung so beteiligen, wie eine demokratische Gesellschaft es erfordert.“Simitis: Richtig, und die Krankenhäuser waren ein erster, zentraler Baustein einer immer stärkeren öffentlichen Debatte, an der ich mich auch beteiligte. Vor genau diesem Hintergrund wurde ich vom Hessischen Ministerpräsidenten angerufen. Wir haben uns dann ausführlich über die sich abzeichnende Entwicklung sowie die möglichen Konsequenzen einer immer intensiveren Verarbeitung personenbezogener Daten unterhalten. Nur wenig später wurde ich erneut angesprochen, diesmal von der Landesregierung, mit der Bitte, eine Regelung vorzuschlagen. Der von der Regierung überprüfte und an einigen Stellen modifizierte Entwurf wurde dem Landtag vorgelegt, der ihn gleich verabschiedete. Das erste Datenschutzgesetz der Welt war damit entstanden.

Frye: Das Gesetz ist 1970 in Kraft getreten. Von 1975 bis 1991 waren Sie Hessischer Landesbeauftragter für den Datenschutz. In diese Zeit fiel das sogenannte Volks- zählungsurteil. Im Dezember 1983 formulierte das Bundesverfassungsgericht darin das Grundrecht auf informationelle Selbstbestimmung. Welchen Stellenwert hat dieses Urteil heute – gut 30 Jahre später – noch?

Simitis: Es hat eine unverändert wichtige Stellung. Denn das Bundesverfassungsgericht hat an den Anfang seiner Überlegung eine Aussage gestellt, die bis heute jede Reflexion über den Datenschutz bestimmen sollte. Es hat sinngemäß gesagt, dass der Umgang mit den Daten auch Maßstab für die Existenz einer demokratischen Gesellschaft ist. Nur so lange, wie der Einzelne weiß, wer mit seinen oder ihren Daten was wann tut, kann er oder sie sich an der gesellschaftlichen Entwicklung so beteiligen, wie eine demokratische Gesellschaft es erfordert.

Frye: Warum ist die Privatsphäre für unsere Gesellschaftsform so wichtig?

Simitis: Weil Sie immer vor Augen haben müssen, dass es bei der Privatsphäre, und nicht nur bei ihr, auch und gerade um personenbezogene Daten geht. Wenn man aber mithilfe der modernen Technologien die personenbezogenen Daten immer mehr verarbeitet, veröffentlicht und für unterschiedliche Zwecke einsetzt, wird auch klar, wie steuerbar der Einzelne ist.

Frye: Worin besteht diese Steuerbarkeit? Besteht sie – zumindest auch – darin, das eigene Verhalten aus Vorsicht anzupassen? Im Urteil des Bundesverfassungsgerichts heißt es: »Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.«

„Selbstverständlich müssen im Kampf gegen den Terrorismus auch personenbezogene Daten verwendet werden. Aber man muss erstens sagen, in welchem Zusammenhang und mit welchen Daten.“ Simitis: Eine ebenso umfassende wie systematische Verarbeitung personenbezogener Daten vermittelt zugleich eine immer präzisere Information über die jeweils betroffenen Personen. Sie ist, so gesehen, der gleichsam ideale Ansatzpunkt, um das Verhalten eben dieser Personen nicht nur besser zu beurteilen, sondern es auch und gerade zu beeinflussen. Begünstigt und gefördert wird auf diese Weise ein Umgang mit den Daten, dessen zentrale Aufgabe es ist, das individuelle Verhalten zu registrieren und die damit verbundenen Erkenntnisse zu nutzen, um Einfluss darauf zu nehmen. Genau das ist mit der »Steuerbarkeit « gemeint. In dem Maße jedoch, in dem dies geschieht, verringert sich die Chance der Betroffenen, selbst zu entscheiden und weicht einer Anpassung an die jeweiligen Erwartungen Dritter.

Frye: Staatliche Stellen begründen ihre Datensammlungen heute mit einem Kampf gegen den internationalen Terrorismus. In Deutschland gibt es Diskussionen über die Wiedereinführung der Vorratsdatenspeicherung, also die generelle Speicherung sämtlicher Telefon- und Internetdaten und den umfassenden staatlichen Zugriff darauf. Wie sehr darf man die Freiheit der Bürger begrenzen, um ihre Sicherheit zu garantieren?

Simitis: Ich will’s anders angehen: Die Grundlage allen Datenschutzes ist die Forderung, dass personenbezogene Daten immer nur für einen bestimmten Zweck verarbeitet werden dürfen, und dass sie nur so lange in Anspruch genommen werden dürfen, wie dieser Zweck es erfordert. Also: Die Verarbeitung ist zweckgebunden und vorläufig. Wenn Sie das jetzt bedenken, handelt es sich bei Aussagen wie: »Es geht um den Kampf gegen den Terrorismus« oder Aussagen, die in derselben kategorischen Art formuliert sind, um die Verleugnung genau dessen, was ich gesagt habe. Selbstverständlich müssen im Kampf gegen den Terrorismus auch personenbezogene Daten verwendet werden. Aber man muss erstens sagen, in welchem Zusammenhang und mit welchen Daten. Und zweitens muss feststehen, dass es, gleichviel ob mit oder ohne Vorratsspeicherung, nur für einen genau festgelegten Zweck ist. Man bleibt also begrenzt, muss begrenzt bleiben, und nur dann ist es zulässig.

Frye: Trotz der staatlichen Maßnahmen im »Kampf gegen den Terrorismus« sehen manche Beobachter in der Kommerzialisierung der Daten im Internet eine noch größere Gefahr. Der Publizist Evgeny Morozov meint, »der Datenkonsum« sei »eine sehr viel größere Bedrohung für die Demokratie als die NSA«. Und nach den Worten des Soziologen Harald Welzer arbeiten »Google und Co.« an der »Abschaffung des Privaten«. Es drohe, so Welzer, »ein Totalitarismus ohne Uniform«.

Prof. Dr. Spiros Simitis im Gespräch mit Bernd Frye, Pressereferent am Pressereferent am Exzellenzcluster »Die Herausbildung normativer Ordnungen«

Prof. Dr. Spiros Simitis im Gespräch mit Bernd Frye, Pressereferent am Exzellenzcluster »Die Herausbildung normativer Ordnungen«

Simitis: Gefährlich ist beides. Deshalb ist auch beides – staatliche wie kommerzielle Nutzung – an den Grundsatz gebunden, dass personenbezogene Daten eigentlich unzugänglich sind. Wenn sie also zugänglich sein sollen, dann nur unter klaren Bedingungen. Das heißt, dass die Steuerbarkeit des Einzelnen, die etwa von Sicherheits-, Gesundheitssowie Sozialbehörden für sich in Anspruch genommen wird, sich auch genauso wiederholt, wenn Unternehmen Daten verarbeiten, die im privaten Bereich Daten verwendet werden. Kurzum, es ergibt keinen Sinn, solche Gegenüberstellungen zu machen.

Frye: Man kann mit der Preisgabe seiner Daten auch ganz handfeste persönliche Vorteile erzielen – sagen die, die die Daten haben wollen. Was zum Beispiel wäre schlimm daran, wenn meine Versicherung meinen Lebensstil protokollieren dürfte und ich dafür einen günstigen Tarif bekäme? Wäre das wirklich schon eine »Aushöhlung des Solidarprinzips«? So formuliert es etwa Harald Welzer, und er sagt weiter: »Die Individualisierung aller Problemlagen liegt völlig diametral zu dem, wofür wir Rechtsstaaten und Demokratie erfunden haben.«

Simitis: Recht hat er. Denn Sie müssen es sich so überlegen: Wenn die Versicherung immer mehr und immer neue Daten haben möchte, weil sie die technischen Möglichkeiten hat, diese Daten zu verarbeiten, und weil sie im Sinne ihrer unternehmerischen Ziele genau das machen möchte, ist die nächste Frage, die Sie sich stellen müssen: Wie wirkt sich das auf mein Verhalten aus? Denn je mehr ich über Sie weiß, desto mehr kann ich Ihnen auch Vorgaben machen, wie Sie sich zu verhalten haben, und desto weniger haben Sie Chancen, etwas dagegen zu unternehmen, wenn man Ihnen die erhoffte Leistung verweigert. Das heißt, es gibt keine Erweiterung der Daten ohne Folgen in ihrer Verwendung.

Frye: Und wenn man seinen Fahrstil überwachen lässt, um weniger für seine Autoversicherung zu bezahlen?

Simitis: Wissen Sie, wir könnten jetzt ein Wettspiel beginnen, welche Strategien heute alle so entwickelt werden. Natürlich, die Versicherung sagt sich, dass es aus ihrer Perspektive ganz entscheidend darauf ankommt, dass Sie sich für den Preis, den Sie bezahlen, so verhalten, dass es nicht zum Versicherungsfall kommt. Dieses Interesse haben Sie auch, und Sie werden, vielleicht, vorsichtiger fahren, um dieses Ziel zu erreichen. Der Einzelne kann also gewisse Vorteile haben. Aber auch hier ist die Frage: Sind diese Vorteile mit ihren Rückwirkungen auf sein weiteres Leben so hinzunehmen, oder führt das Ganze zu einer Steuerbarkeit, die man nicht akzeptieren muss?

Frye: … zu einem »Totalitarismus ohne Uniform«.

Simitis: Richtig. Ich würde sagen, wenn gegen diesen Totalitarismus tatsächlich Reaktionen erfolgen sollen, dann heißt das, dass man in allen diesen Fällen immer wieder die Frage stellt: Wie wirkt sich das auf das spätere Verhalten und die Reaktionen des Einzelnen aus? Was bleibt von ihm als Person noch übrig?

Frye: Die Begehrlichkeiten richten sich nicht nur auf die Erhebung neuer, sondern auch auf die Verarbeitung vorhandener Daten. Die Kreditauskunftei Schufa wollte im Jahr 2012 mit einem Forschungsprojekt untersuchen lassen, inwiefern sich Daten aus sozialen Netzwerken zur Beurteilung der Bonität eignen. Nach öffentlichen Protesten, nicht zuletzt von Datenschützern, hat das mit dem Projekt beauftrage Hasso-Plattner- Institut für Softwaresystemtechnik, das privat finanziert ist und mit der Universität Potsdam kooperiert, den Forschungsvertrag gekündigt.

Simitis: Forschungsprojekte zur Bonität vermitteln Information über einen für die Betroffenen besonders kritischen Punkt. So sehr sie daher im Interesse einer Kreditauskunftei liegen mögen, so offenkundig ist ihre Gefährlichkeit für die Handlungs- und Entscheidungsmöglichkeiten der Betroffenen. Aus eben diesem Grunde war seinerzeit der drastische Protest aufgekommen. Und es ist nach wie vor geboten, sich energisch damit auseinanderzusetzen, zumal dann, wenn eine Kreditauskunftei dahintersteht und die unmittelbaren Konsequenzen für die Betroffenen abzusehen sind.

Frye: Wer auch immer solche Daten zu welchem Zweck verarbeitet – es handelt sich ja zunächst und in den meisten Fällen um freiwillige Angaben. Allein Facebook hat in Deutschland rund 28 Millionen aktive Mitglieder. Das macht den Schutz der Privatsphäre ja nicht unbedingt einfacher.

Simitis: Das Internet modifiziert – so viel steht mittlerweile unzweifelhaft fest – die Kommunikationsbedingungen von Grund auf. Sie zeichnen sich auch und vor allem durch ein bislang nie erreichtes Maß an Öffentlichkeit aus, die zudem der Beteiligung der Betroffenen besonders zu verdanken ist. Eben deshalb ist der Zeitpunkt eindeutig erreicht, an dem gründlich untersucht werden muss, wie ein wirklich funktionsfähiger Datenschutz dann aufrechterhalten werden kann, wenn eine weite Veröffentlichung der Daten zur Regel wird. Noch gibt es gar keine genauen Vorstellungen darüber. Je mehr allerdings eine Reaktion verschoben wird, desto deutlicher gerät der Datenschutz zur Fiktion.

Frye: Aber man kann die Menschen nicht daran hindern, zu viel von sich preiszugeben – oder?

Simitis: Nein, das kann und soll man nicht. Wohl aber gilt es, nachhaltig zu versuchen, ein entsprechendes Bewusstsein zu wecken. Denn der Datenschutz ist nicht nur eine Frage der Normen, die den Umgang mit den Daten regeln, sondern zunächst und vor allem ein Appell an die Betroffenen: Es geht um Eure Daten! Der zweite Ansatz parallel dazu ist, darüber nachzudenken: Wer will die Daten haben, und wie wird damit umgegangen? Und wir sind – ich sage das mal sehr bewusst – an einem Punkt angelangt, wo es für den Datenschutz nicht gut aussieht.

Frye: Warum?

Simitis: Die Technologie hat einen Punkt erreicht, wo tendenziell alle Daten gespeichert und verarbeitet werden können. Gleichzeitig habe ich es als Einzelner mit Kommunikationsmethoden zu tun, bei denen ich immer mehr Daten offenbare. Aber keiner kümmert sich ernsthaft darum, was im Internet damit geschieht und wo die Grenzen daher verlaufen.

Prof. Dr. Dr. h.c. Spiros Simitis gilt als »Vater des Datenschutzes«

»Vater des Datenschutzes«

Prof. Dr. Dr. h.c. Spiros Simitis, 80, ist emeritierter Professor für Arbeitsrecht, Bürgerliches Recht und Rechtsinformatik, insbesondere Datenschutz, an der Goethe-Universität. Der gebürtige Athener, der in Marburg studiert hat, war von 1975 bis 1991 Datenschutzbeauftragter des Landes Hessen. Simitis bekleidete zahlreiche Positionen in der Politikberatung und in Gremien. So war er von 2001 bis 2005 Vorsitzender des Nationalen Ethikrates. Zudem war Simitis von 2008 bis 2012 Wissenschaftlicher Direktor des Forschungskollegs Humanwissenschaften an der Goethe-Universität.

Als Datenschutzexperte ist sein Rat nach wie vor auf europäischer Ebene gefragt, in jüngster Zeit beriet er vor allem das Parlament. Der Jurist ist Herausgeber eines Kommentars zum Bundesdatenschutzgesetz, der 2014 in achter Auflage erschienen ist. Zusammen mit Prof. Dr. Indra Spiecker leitet er die von ihm gegründete Forschungsstelle Datenschutz an der Goethe-Universität. Zu ihren Aufgaben gehören die Koordination von Forschungsprojekten, die Anfertigung aktueller Gutachten und die Unterstützung bei datenschutzrechtlichen Promotionsvorhaben.

Frye: Was bedeutet das für die Zukunft des Datenschutzes?

Simitis: Die weitere Entwicklung des Datenschutzes muss unverändert im Vorzeichen jener Bedingungen stehen, die vom Bundesverfassungsgericht nachdrücklich betont wurden. Der Umgang mit personenbezogenen Daten ist eine der Grundvoraussetzungen einer demokratischen Gesellschaft. Konsequenterweise muss es nach wie vor das Vorrecht des Einzelnen sein, zu bestimmen, wer wann und wofür seine Daten verwendet. Ebenso deutlich ist deshalb auch, dass die Daten nur unter jederzeit nachvollziehbaren und kontrollierbaren Bedingungen verarbeitet werden dürfen.

Frye: Bereits seit einigen Jahren wird auf EU-Ebene über neue, den veränderten Bedingungen angepasste Regelungen diskutiert. 2012 hat die Kommission einen Vorschlag zu einer sogenannten Datenschutz- Grundverordnung vorgelegt. Im März 2014 hat das Parlament einer von ihm weiterentwickelten Version zugestimmt. Eine Einigung auf eine gemeinsame Fassung, unter Einbeziehung des Ministerrats, wird frühestens Ende 2015 erwartet. Das endgültige Gesetz würde dann nach zwei Jahren Übergangszeit in allen EU-Mitgliedsstaaten gelten. Wie haben Sie den bisherigen Prozess wahrgenommen?

Simitis: Anders als bisher ist die Grundverordnung keine Vorlage für den nationalen Gesetzgeber. Sie greift vielmehr unmittelbar in die betroffenen Mitgliedsstaaten ein und schreibt eine verbindliche Regelung vor. Eben deshalb hat die Debatte im Europäischen Parlament eine besondere Rolle gespielt und wirklich die Chance gegeben, entscheidende Verbesserungen am ursprünglichen Entwurf anzubringen. Dem Parlament ist es durchaus gelungen, den Datenschutz weiter zu festigen, aber auch auszubauen, wie sich gerade an den gegenwärtigen Widerständen der nationalen Regierungen und ihren Korrekturforderungen zeigt. Wie schwer die Reform fällt, kann man im Übrigen ebenso der ungewöhnlich langen Frist bis zum Inkrafttreten der Neuregelung entnehmen. Datenschutz ist als Reaktion auf eine sich ständig weiterentwickelnde und verfeinernde Informationstechnologie entstanden. Eben deshalb hätte eine möglichst unmittelbare Anwendung der neuen Vorschriften angestrebt werden müssen. So wie es aber jetzt ist, riskiert die Reform, schon teilweise sichtlich überholt zu sein, wenn sie zuerst umgesetzt wird.

Frye: Noch erlassen die Mitglieds- staaten der Europäischen Union ihre eigenen Gesetze anhand der Europäischen Datenschutzrichtlinie von 1995, die damals unter Ihrer maßgeblichen Mitwirkung zustande gekommen ist. Kritiker befürchten eine Verschlechterung des derzeitigen Datenniveaus durch die neue Datenschutz-Grundverordnung. Dabei geht es vor allem um Aspekte des Prinzips der Zweckbindung. Teilen Sie die Befürchtungen?

Simitis: Die Zweckbindung ist in der Datenschutz-Grundverordnung, wie sie das Parlament beschlossen hat, durchaus beibehalten und klar vorgeschrieben worden. Wenn es aber jetzt immer mehr Zweifel gibt, ob sie tatsächlich respektiert wird, hängt das mit den gerade im Sicherheits- und Gesundheitsbereich immer nachdrücklicheren Überlegungen zur Vorratsdatenspeicherung zusammen. Nicht anders ist es bei der durchaus üblichen Praxis einer gleichsam präventiven Sammlung von Daten im Arbeitsbereich, nicht zuletzt im Hinblick auf künftige Beschäftigungen. Gerade deshalb muss, auch und vor allem im Zusammenhang mit der neuen Regelung, intensiv über die sich gleichsam täglich verdichtenden Bemühungen einer Vorratsdatenspeicherung diskutiert werden.

Frye: Sie prägen und begleiten den Datenschutz jetzt seit fast 50 Jahren. Stimmt es eigentlich, dass Sie sich mit dem Begriff zunächst gar nicht anfreunden konnten?

Simitis: Den Begriff »Datenschutz« habe ich in der Tat zunächst nicht besonders gemocht, weil er nicht erkennen lässt, was der eigentliche Gegenstand der angestrebten Regelung ist: eben nicht der Schutz der Daten, vielmehr der Schutz des Einzelnen sowie der Respekt vor seinen Grundrechten in einer Gesellschaft, in der gerade die Informationstechnologie mehr und mehr die Chance bietet, ihn zu instrumentalisieren.

Der Interviewer Bernd Frye, 51, ist Pressereferent am Exzellenzcluster »Die Herausbildung normativer Ordnungen« und freier Autor.