"Die Schäden sind ganz real"

Herr Schaar, Sie haben in Ihrer jüngsten Unterrichtung zur NSA-Affäre festgestellt, die Gremien PKGr oder G10-Kommission seien nicht in der Lage, die Geheimdienste umfassend zu kontrollieren. Wo hapert es Ihrer Meinung nach da vor allem?

Alle Einrichtungen zur Geheimdienstkontrolle auf Bundesebene sind zwar direkt vom Bundestag autorisiert, sie sind aber zu wenig miteinander verzahnt. So hat die G10-Kommission nur Kontrollrechte für Daten, die bei Telekommunikationsüberwachungsmaßnahmen von Nachrichtendiensten erhoben worden sind. Wenn diese Daten aber für andere Maßnahmen weiterverwendet werden, wie eine Fahndung im Rahmen des Schengen-Informationssystems, dann endet die Zuständigkeit der G10-Kommission. Denn für die datenschutzrechtliche Kontrolle derartiger polizeilicher Systeme bin ich zuständig und meine Mitarbeiter haben schon erlebt, dass sie Fahndungsausschreibungen nicht richtig prüfen konnten, weil ihnen geschwärzte Unterlagen vorgelegt wurden. Da sehe ich eine Kontrolllücke, die dringend geschlossen werden muss.

Aber es ist doch auch eine Frage der Kompetenzen.

Richtig, die Zuschnitte und Kooperationsstrukturen müssen optimiert werden. Dabei liegt es mir fern, den Bundesdatenschutzbeauftragten zu einer "Überkontrollbehörde" zu machen, wie es mir der Bundesinnenminister Hans-Peter Friedrich (CSU) fälschlicherweise vorgeworfen hat. Die Arbeit der Kontrollgremien muss aber so verzahnt werden, dass eine lückenlose Kontrolle stattfinden kann.

Geheimdienste, zumal ausländische, umfassend kontrollieren zu wollen, ist doch mit der Entwirrung des gordischen Knotens vergleichbar.

Das internationale Recht muss angesichts weltweiter Datenströme garantieren, dass Grundrechte nicht nur im Inland gelten. Nur so kann man im globalen Netz überhaupt ein Mindestniveau an Datenschutz gewährleisten. Soweit es sich bei den ausländischen Staaten um parlamentarische Demokratien handelt, ist eine Kooperation der Kontrollinstitutionen sehr sinnvoll, um gemeinsame Standards durchzusetzen. Unabhängig davon brauchen wir Vorkehrungen im technischen und organisatorischen Bereich, die es den Überwachern aus aller Welt schwerer machen.

Aber auch die neuesten Verschlüsselungstechniken werden früher oder später wieder geknackt…

Leider ja - die Standards müssen deshalb dynamisch weiterentwickelt werden. Wichtig ist mir auch, dass die Öffentlichkeit viel stärker erfährt, was Nachrichtendienste tun. Ich habe den Eindruck, dass auch in den USA in den letzten Monaten das Bewusstsein für Transparenz größer geworden ist.

Transparenz und Geheimnis, ist das nicht ein widersprüchliches Begriffspaar?

Nun, Geheimdienste sind kein Selbstzweck. Geheimdienste sind, jedenfalls im Bezug auf das Verhältnis Bürger-Staat, eigentlich die Ausnahme. Normalerweise tritt der Staat dem Bürger mit offenem Visier gegenüber und seine Handlungen sind, wenn er in Grundrechte eingreift, gerichtlich nachprüfbar. Auch und gerade Institutionen, die ihrer Natur nach im Geheimen arbeiten, bedürfen daher einer sehr strikten Kontrollstruktur, die letztlich die gleiche Qualität aufweist wie die gerichtliche Kontrolle der Verwaltung. Und dazu gehört auch, dass ihr Handeln öffentlich diskutiert wird - es geht nicht ohne Transparenz.

Was überrascht Sie im Zuge der NSA-Debatte vor allem? Denn natürlich weiß jeder, dass wir noch nie in einer spionagefreien Welt gelebt haben.

Was mich am meisten stört, ist die anlasslose Massenüberwachung. Das Kanzlerinnen-Handy zu überwachen ist nicht in Ordnung, skandalös ist aber vor allem die massenhafte, anlasslose und geheime Überwachung ganzer Bevölkerungen weltweit.

Wie bewerten Sie die Ankündigung eines No-Spy-Abkommens zwischen Deutschland und den USA?

Da muss man sehr genau hinschauen: Ist das eine Verabredung zwischen den Geheimdienstchefs oder ein völkerrechtlicher Vertrag? Auch wäre sicher nicht ausreichend, wenn letztlich nur vereinbart würde, die jeweilige Staatsspitze nicht auszuspionieren. Was wir brauchen, ist eine verbindliche, völkerrechtliche Vereinbarung zum Verzicht auf eine massenweise, anlasslose Überwachung der ganz normalen Kommunikation.

Datenschutz wird oft eine Blockadehaltung zugewiesen. Wie definieren Sie Datenschutz für das 21. Jahrhundert?

Mein Wunsch ist, dass man die wirtschaftliche Chance erkennt, die ein guter Datenschutz bietet. Die Zertifizierung von datenschutzkonformen Diensten, auch von IT-Sicherheit, wird in Zukunft eine immer größere Rolle spielen und die deutsche Wirtschaft ist da ziemlich gut aufgestellt. Denken Sie an sichere Cloud- oder E-Mail-Dienste, die auch weltweit Beachtung finden könnten. Da ist tatsächlich eine Win-Win-Situation gegeben, nur wurde sie noch nicht von allen erkannt.

Zur Demokratie gehört die Freiheit der Bürger. Aber kann man noch von Freiheit reden, wenn man nicht sicher sein kann, dass man unbeobachtet kommunizieren kann?

Nein. Es besteht ein Anpassungsdruck, gerade wenn man sich bewusst wird, dass man auf Schritt und Tritt Datenspuren hinterlässt. Wir sind zunehmend mit Geschäftsmodellen konfrontiert, bei denen das Verhalten immer detaillierter erfasst wird. So wollen zum Beispiel die Krankenversicherungen möglichst risikoarme Mitglieder haben und versuchen, risikobehaftete Mitglieder loszuwerden oder erst gar nicht aufzunehmen. Oder denken Sie an die individualisierte Medizin, wo in Zukunft bestimmte Medikamente möglicherweise nur noch gegeben werden, wenn man sich einem Gentest unterzieht. Hier befürchte ich eine zunehmende, auf der Datenauswertung basierende Kontingentierung in einem essentiellen Lebensbereich. Datenschutzverstöße sind nicht länger opferlos, zunehmend gibt es ganz reale Schäden und Nachteile für den Einzelnen.

Was halten Sie von der Forderung nach einem digitalen Grundrechteschutz?

Ich halte das für absolut gerechtfertigt. Wir müssen die Grundrechte in das Informationszeitalter transformieren. Dazu gehört das informationelle Selbstbestimmungsrecht oder auch das sogenannte Computergrundrecht. Wichtig ist auch das berühmte Recht auf Vergessenwerden, das auf europäischer Ebene kontrovers diskutiert wird.

Glauben Sie, dass die Verhandlungen über eine Neufassung der EU-Datenschutzverordnung auf Grund der NSA-Affäre schneller vorankommen werden?

Ich hoffe es und rate dringend, noch in dieser Legislaturperiode des Europäischen Parlaments die Datenschutzreform abzuschließen. Die ersten drei Monate des kommenden Jahres werden darüber entscheiden, ob dieses Reformpaket gelingt. Wenn es in dieser Legislaturperiode nichts wird, dann bin ich sehr skeptisch, ob man das nach den Europawahlen einfach wieder aufsetzt. Das muss vorher in trockene Tücher kommen.

Letztendlich wird es ein Kompromisspapier werden. Welche Punkte dürften aus Ihrer Sicht dabei auf keinen Fall unter den Tisch fallen?

Zentral ist für mich erstens das Marktortprinzip, das heißt, dass auch Anbieter mit Sitz in Drittstaaten an europäisches Recht gebunden sind, wenn sie in der EU ihre Geschäfte machen. Zweitens müssen wir zu einem gemeinsamen Rechtsrahmen in Europa kommen. Drittens brauchen wir eine Stärkung der Datenschutzaufsichtsbehörden. Ich habe in meinem Amt ja keine direkten Sanktionsmöglichkeiten. Insofern ist schon mit einem gewissen Recht von einem zahnlosen Tiger gesprochen worden. Viertens brauchen wir eine frühzeitige Verankerung des technischen Datenschutzes bereits bei der Entwicklung von Systemen und nicht erst in der Prüfungsphase durch die Aufsichtsbehörden.

Viele Bürger gehen sehr freigiebig mit ihren Daten um. Was hat sich verändert im Vergleich zu der Empörung über die Volkszählung vor 30 Jahren?

Es gibt so etwas wie einen Gewöhnungseffekt. Wenn überall Videokameras hängen, regen sich immer weniger Menschen darüber auf oder freuen sich vielleicht sogar darüber, dass bestimmte Bereiche überwacht werden. Aber der Gewöhnungseffekt darf nicht dazu führen, dass wir die Überwachung auf Schritt und Tritt akzeptieren. Zudem werden bei Facebook und anderen Web 2.0-Anwendungen auch hinter dem Rücken der Nutzer viele Daten erhoben. Das kann der Einzelne oftmals gar nicht beeinflussen und deshalb brauchen wir klare gesetzliche Vorgaben. Es wäre zu kurz gesprungen, hier einfach alles an die Betroffenen zu delegieren.

Sie haben kürzlich die Anbindung des Bundesdatenschutzbeauftragten an das Bundesinnenministerium kritisiert. Was wäre die Alternative?

Europarechtlich ist heute schon festgeschrieben, dass die Datenschutzbehörden in völliger Unabhängigkeit handeln müssen. Das lässt sich mit einer Dienstaufsicht durch einen Minister und einer Rechtsaufsicht durch die Bundesregierung nicht vereinbaren. Ein Alternative könnte sein, dass man die Position des Datenschutzbeauftragten aufwertet, ihn quasi zu einer obersten Bundesbehörde macht. Die andere Möglichkeit wäre, dass man ihn stärker an das Parlament bindet.

Und was ist mit den Kompetenzen?

Die Datenschutzbehörden brauchen mehr Durchsetzungs- und Sanktionsmöglichkeiten - sonst werden sie zum Papiertiger. Wir haben da gerade auf Bundesebene ein großes Defizit, das jedem, der sich mit der Materie beschäftigt, klar ist.

Was erwarten Sie von den derzeit laufenden Koalitionsverhandlungen?

Ich würde mich natürlich freuen, wenn dort klare Aussagen zu einem verbesserten Datenschutz enthalten wären. Zum Beispiel im Hinblick auf die europäische Datenschutzreform, den Beschäftigtendatenschutz und die Stellung des Bundesdatenschutzbeauftragten. Aber unabhängig davon, was im Koalitionsvertrag stehen wird, bin ich mir sicher: Diesen Themen wird niemand ausweichen können.