ethnologik.de

Datenschutz — zwischen Überwachung und Schutz der persönlichen Freiheit

Interview: Alexander Grunert, Andreas Höll.

Einen interessanten Einblick in das Spannungsfeld zwischen dem Recht auf informationelle Selbstbestimmung auf der einen und aktueller Sicherheitspolitik auf der anderen Seite, konnten wir in einem Interview mit Herrn Prof. Dr. Möncke gewinnen. Herr Möncke ist Datenschutzbeauftragter an der FH München und war ehemals Vizepräsident dieser Institution. Durch sein Studium der Informatik und Rechtswissenschaften und seine langjährige Lehrerfahrung bietet Herr Möncke einen kompetenten Einblick hinter die Kulissen und stellt seine persönlichen Erfahrungen mit dem komplizierte Thema des behördlichen Datenschutzes dar.

NIM: Herr Möncke, was genau ist ihr Aufgabenbereich als Datenschutzbeauftragter der Fachhochschule in München?

Datenschutz ist generell ein weites Feld. Grundsätzlich muss man den nichtöffentlichen Bereich, wie Kundenbindungssysteme (Kaufhauskarten), Banken und Versicherungen usw. vom öffentlichen Bereich unterscheiden. Ich konzentriere mich auf den öffentlichen Bereich, da eine Hochschule eine Behörde ist. Als solche muss sie einen behördlichen Datenschutzbeauftragten bestellen, der über datenschutzrechtliche Belange zu wachen hat. Wesentliche Aufgabe ist die Freigabe von automatisierten Verfahren, mit denen personenbezogene Daten verwaltet werden. Neben dem „Wachen“ gehört zu meiner Funktion aber auch die Beratung. Vor allem wenn es um die gesetzlichen Grundlagen geht. An einer bayerischen Hochschule ist diese Grundlage neben dem Hochschulgesetz das bayerische Datenschutzgesetz. Es gibt natürlich auch spezielle Fälle, bei denen man, z.B. um Bezüge herzustellen, auf einen Kommentar des Bundesdatenschutzgesetzes zurückgreifen muss. Es ist wichtig zu verstehen, dass es sich hier um zwei unterschiedliche gesetzliche Grundlagen handelt.

Stehen diese beiden Gesetze auch manchmal im Konflikt zueinander?

Ich würde sagen nein. Es gibt zwar immer Subtilitäten, wo hier und dort manches ein bisschen anders gehandhabt wird, aber im Wesentlichen ist es doch gleich. Zwar haben wir in Deutschland den Föderalismus, doch die verschiedenen Datenschutzgesetze werden — und das ist im Laufe der Zeit auch passiert — aneinander angeglichen. Eines muss man allerdings festhalten: Der Datenschutz der nicht öffentlichen Stellen ist im Wesentlichen im Bundesdatenschutzgesetz geregelt. Bei den Behörden jedoch haben wir im Groben drei Rechtsgrundlagen. Erstens gibt es das jeweilige Landesrecht. Bei einer Bundesbehörde ist jedoch grundsätzlich das Bundesdatenschutzgesetz zu konsultieren, das wiederum in zwei Teile unterteilt ist. Ein Teil regelt den Datenschutz für die öffentlichen und ein anderer die nichtöffentlichen Stellen. Darüber hinaus gibt es für den Datenschutz noch eine Unmenge von Spezialgesetzen. Nehmen wir beispielsweise die Terrorismusabwehr. Hier handeln die Behörden aufgrund von Spezialgesetzen. Will beispielsweise ein bayerischer Polizist eine Maßnahme treffen, die in das Recht auf informationelle Selbstbestimmung eingreift, so hat er zwei Möglichkeiten, wie er vorgehen kann. Entweder er beruft sich auf das Bayerische Polizeiaufgabengesetz. Das kann er machen, wenn er zukünftige Straftaten verhindern will. In diesem Fall ist seine Grundlage also ein bayerisches Spezialgesetz. Geht es dem Polizisten allerdings um die Strafverfolgung, d.h. um eine Tat, die schon begangen worden ist, dann beruft er sich auf die Strafprozessordnung. In diesem Fall ist seine Rechtsgrundlage also ein spezielles Bundesgesetz. Sie sehen schon, wir bewegen uns hier in einem komplexen Feld. Daher muss ich immer, wenn ich hier irgendein Problem auf den Tisch bekomme, erst einmal sorgfältig überlegen, nach welchen gesetzlichen Bestimmungen das überhaupt zu beurteilen ist. Das Sicherheitsrecht spielt bei uns allerdings weniger eine Rolle. Die Rasterfahndung wäre der einzige Fall, bei dem ich mir vorstellen könnte, mit Sicherheitsrecht konfrontiert zu werden. Es wäre z.B. möglich, dass von außen Anfragen nach Studentendaten gestellt werden. Das sind aber Ausnahmefälle. Im Regelfall ist für mich vor allem das Hochschulgesetz relevant. Hier sind ebenfalls datenschutzrechtlichen Regelungen enthalten und hier ist festgelegt, was im Rahmen der Immatrikulation gefragt werden darf. Zum Beispiel darf man nicht nach der Religionszugehörigkeit fragen.

Gab es in letzter Zeit Fälle, in denen Sie sagen mussten, hier werden von behördlicher Seite die Gesetze umgangen?

Nein, definitiv nicht! Behörden sind in erster Linie rechts- und gesetzestreu. Man darf nicht an eine Behörde herangehen und von vornherein vermuten, dass diese alles tut, um das Gesetz zu umgehen. Dies ist definitiv nicht der Fall. Außerdem haben wir einen Kanzler, der darüber wacht, dass die Verwaltung die Gesetze einhält.

Nehmen wir doch einmal an, ein Polizist ist bestrebt, einem potenziellen Täter auf die Schliche zu kommen. Könnte es da nicht sein, dass er in diesem Fall auf Daten Zugriff nimmt, bei denen sie als Datenschützer eigentlich sagen müssten, dass es so nicht geht? Ich denke dabei z.B. an Polizeidatenbanken.

Das ist natürlich eine schwierige Frage und sie spielt außerhalb des Hochschulbereichs. Wir haben ja momentan in der Politik eine Diskussion, in der es um die Abwägung zwischen Freiheit, den Freiheitsrechten, — dazu gehört auch das Recht auf informationelle Selbstbestimmung — und Sicherheit geht — d.h. Sicherheit vor Anschlägen, oder Sicherheit vor organisierter Kriminalität. So ist es ganz klar, dass wir hier politisch gesehen ein Konfliktfeld haben. Von der rechtlichen Seite ist das sehr präzise geregelt. Wie sie wohl wissen, wurde in der so genannten „Volkszählungsentscheidung“ des Bundesverfassungsgerichts das Grundrecht auf informationelle Selbstbestimmung festgestellt. So klar war das vor dieser Entscheidung nicht — man hatte zuvor den Datenschutz ausschließlich aus dem so genannten Persönlichkeitsrecht abgeleitet. Da man aber in Grundrechte nur aufgrund von Gesetzen eingreifen kann, braucht der von ihnen angesprochene Polizist erst einmal eine präzise gesetzliche Grundlage, bevor er irgendwelche Daten einsehen kann. Dies gilt übrigens nicht nur für die Polizei, sondern auch für Verfassungsschutz, den Bundesnachrichtendienst und den MAD (Militärischer Abschirmdienst). Verfassungsschutz haben wir im Bund und Land, und so gibt es Bundes- und Landesgesetze zum Verfassungsschutz. Also hat man als Polizist, als Staatsanwalt oder als Mitarbeiter einer Verfassungsschutzbehörde, je nach Maßnahme, Spezialregelungen zu beachten. Bei jedem Eingriff, der von Sicherheitsbehörden vorgenommen wird, muss die jeweilige gesetzliche Grundlage herangezogen werden. Dabei gibt es natürlich auch Grenzen, die erst einmal aufgrund der „Qualität“ eines Delikts gesetzt werden. Sie können nicht wegen eines x-beliebigen Autodiebstahls Telefone abhören. Genauso müssen sie sich an eine bestimmte Verfahrensweise halten und können nicht einfach im Alleingang handeln. Sie brauchen in vielen Fällen einen richterlichen Beschluss.

Wurden diese Grenzen, von denen Sie gerade sprachen, seit dem 11. September gelockert?

Man kann schon sagen, dass seit dem 11. September, oder besser gesagt, seit der Zeit der RAF (Rote Armee Fraktion) in den 70er und 80er Jahren, die Befugnisse durch den Gesetzgeber schrittweise ausgeweitet wurden — ganz klar.

Können Sie Beispiele nennen?

Nehmen wir ein ganz aktuelles Beispiel, dass gerade durch Bundesrat und Bundestag gegangen ist — die Antiterrordatei. Das ist sicherlich eine Erweiterung gegenüber dem Rechtszustand, den wir vorher hatten. Aber es handelt sich hier nur um eine technische Erweiterung. Denn welche Behörde welcher anderen Behörde Daten übermitteln darf, ist von den von mir genannten Gesetzen penibel geregelt. Die Verfassungsschutzgesetze sind –- so gesehen — in Wirklichkeit Datenschutzgesetze. Es geht darin um Datentransfers bzw. um Informationsaustausch. Diese Gesetze sind nach der Volkszählungsentscheidung entstanden, da es notwendig wurde, Grundlagen für die Sicherheitsbehörden zu schaffen. Die Antiterrordatei ändert an dieser Rechtslage nichts. Die betroffenen Behörden können zwar gemeinsame Daten anlegen und auf sie zugreifen, aber an der Substanz, an dem, wer wem was mitteilen darf, hat sich nichts geändert. Man darf in so eine gemeinsame Datei nur das einstellen, was man ohnehin der anderen Behörde per Brief hätte übermitteln dürfen.

Ein Bekannter, der von seinem Recht auf informationelle Selbstbestimmung Gebrauch machen wollte, erhielt von der zuständigen Behörde die Antwort, er solle doch erst einmal begründen, warum er genau diese Auskunft habe möchte. Ist dies zulässig? Warum muss man, um Informationen über sich selbst zu bekommen, erst einmal weitere persönliche Informationen preisgeben?

Grundsätzlich müssen Auskunftsbegehren nicht begründet werden. Nehmen wir z.B. diese Hochschule. Wenn ein Student wissen will, welche Daten über ihn gespeichert sind, dann bekommt er selbstverständlich die gewünschte Auskunft ohne sie weiter begründen zu müssen. Als Datenschutzbeauftragter kann ich ihm sagen, welche Bereiche es da gibt und was in den Dateien steht. Warum es darin steht, legen Gesetze fest. Kritisch wird es allerdings dann, wenn sie eine Auskunft im Sicherheitsbereich haben möchten. Angenommen, man wird von der Polizei in einem konkreten Vorgang als eine „verdächtige“ Person eingestuft. Es ist nahe liegend, dass ihnen ein Auskunftsbegehren abgelehnt wird. Die Polizei will natürlich die Erkenntnisse, die sie hat, nicht einfach so auf den Tisch legen. Aber auch im Bereich der Sicherheitsbehörden — wir nehmen hier einmal an, des Bundes, — hat man die Möglichkeit, über den Datenschutzbeauftragten Auskunft zu bekommen. Vorausgesetzt, man bekommt diese Informationen nicht direkt von den angefragten Behörden, z.B. vom Bundesverfassungsschutz oder Bundesnachrichtendienst. Für das Land, d.h. die Polizei, gibt es ähnliche Regelungen. Diesen Fall kann man an den Datenschutzbeauftragten herantragen, der verpflichtet ist, dies bei der Behörde nachzuprüfen. Er prüft ob die Auskunft zu Recht verweigert wird. Doch zwingen können sie die Polizei, den Verfassungsschutz und den Bundesnachrichtendienst per Auskunftsbegehren nicht, ihnen die Informationen, die über sie gesammelt wurden, auf den Tisch zu legen. Das liegt in der Natur dieser Behörden und ist meiner Meinung nach sinnvoll, da man ja schließlich als Bürger von diesen Behörden auch geschützt werden will.

Wie kam es dazu, dass Sie die Stelle als Datenschutzbeauftragter an der FH München innehaben?

Dass ich diese Stelle innehabe, liegt einerseits daran, dass ich als Informatiker einen gewissen Hintergrund für diese Thematik habe. Außerdem habe ich neben der Informatik Rechtswissenschaften studiert. Natürlich bin ich darüber hinaus auch noch in der Lehre tätig und halte Vorlesungen, das ist meine Hauptaufgabe. Es ist sicher eher selten, dass jemand aus dem Bereich der Lehre eine solche Behördenaufgabe wahrnimmt. Als ehemaliger Vizepräsident dieser Hochschule habe ich aber zudem noch den Vorteil, dass ich mich hier insgesamt sehr gut auskenne — und das hilft.

Was hat sie zu dieser Tätigkeit motiviert?

Es ist ein packendes Thema und ich hoffe, dass ich das ein wenig herüberbringen kann. Es geht um den Ausgleich von jeweils für sich berechtigten Interessen. Ein Beispiel aus dem Hochschulbereich: Interesse der Studenten an guter Lehre und damit auch an Evaluation — Interesse der Professoren, nicht an „einen Pranger“ gestellt zu werden. Generell interessiert mich beim Datenschutz zu Zeit vor allem der Konflikt, der dadurch entsteht, dass es zum einen das Recht auf den Schutz der Persönlichkeit und informationelle Selbstbestimmung gibt, wobei dann auf der anderen Seite der Schutzanspruch des Bürgers gegenüber dem Staat erhoben wird, ihn z.B. vor terroristischen Anschlägen oder Verbrechen zu bewahren. Man muss dazu aber auch sagen, dass dieser Schutzanspruch so nicht in der Verfassung steht, sondern von einigen durchaus ernst zu nehmenden Juristen als verfassungsrechtlicher Anspruch „konstruiert“ wird. Wir hätten dann einen Konflikt, eine Kollision, zwischen zwei Grundrechten und man müsste den Konflikt im Einzelfall durch Abwägung lösen. Unabhängig von den rechtlichen Erwägungen: Der S-Bahn fahrende Bürger fragt natürlich zu Recht, was eigentlich die Aufgabe des Staates ist. Ich gehe davon aus, dass seine Aufgabe darin besteht, den inneren Frieden und auch die innere Sicherheit zu wahren. Natürlich ist damit im Einzelfall noch nicht entschieden, welche Maßnahmen im Detail zulässig sind und welche nicht. Man sieht aber, dass man „Datenschutz“ nicht absolut setzen darf.

Bewegen wir uns da ihrer Meinung nach gerade in der richtigen Balance?

Das ist eine sehr gute Frage. Vom Rechtlichen her ist es so, dass Maßnahmen, die nicht erforderlich und nicht verhältnismäßig sind, auch rechtlich nicht zulässig sind. Hier gibt es schon mal eine Grenze. Eine andere Grenze ist, dass etwas, das zu nichts taugt, auch rechtlich nicht erforderlich ist. Sie dürfen nicht von Seiten einer Sicherheitsbehörde Maßnahmen treffen, von deren Untauglichkeit sie selbst überzeugt sind. So ist es auch nicht. Natürlich sind Mitarbeiter der Sicherheitsbehörden von dem überzeugt, was sie tun. Letztendlich vertraue ich darauf, dass die Grundlagen nicht von den Sicherheitsbehörden alleine entschieden werden können, sondern dass sie die rechtlichen Grundlagen für eingreifende Maßnahmen durch die Parlamente bringen müssen. Wenn man die Politik mit ins Spiel bringt, dann reduziert sich ihre Frage darauf, ob sie den gewählten Vertretern vertrauen. Vom Rechtlichen her kann man nur dafür sorgen, dass die Sicherheitsbehörden nicht im rechtsfreien Raum agieren können. Wie man zu den gesetzlichen Grundlagen kommt, ist politisches Geschäft. Nehmen wir die Debatte zur Antiterrordatei. Die Opposition war, bis auf ein paar Ausnahmen, nicht grundsätzlich dagegen. Ein Gegenargument war z.B., dass hier der Verfassungsschutz und die Polizei miteinander vermengt werden. Das ist ein Einwand, der abstrakt gesehen richtig ist. Doch würde ich es andererseits für Unfug halten, wenn sie aus diesem Grund jegliche Übermittlung zwischen dem Verfassungsschutz und der Polizei ausschließen würden. Dann könnte man die Behörden auch abschaffen. Da sind wir wieder bei der Balance.

Wenn man bedenkt, dass es in Deutschland in den letzten 15 Jahren nicht einen Toten durch Terroranschläge gegeben hat, hat man da nicht das Gefühl, dass gerade der Versuch gemacht wird, mit Hilfe einer gezielten Rhetorik und Darstellungsweise, das Sicherheitsbedürfnis der Bevölkerung zu erhöhen?

Dass die einleitende Feststellung auf die letzten 15 Jahre zutrifft, ist möglich. Aber denken sie doch mal an die ganzen RAF-Attentate zurück. Die RAF hatte mehrere Menschen auf dem Gewissen. Außerdem gab es in letzter Zeit ernstzunehmende Anschlagsversuche, z.B. den auf dem Straßburger Weihnachtsmarkt, der inzwischen vor Gericht abgehandelt wurde. Es gab auch diese beiden Kofferbomber und den „11. September“, — wenn auch nicht bei uns. Klar –, man kann, was das Thema „Gefahr“ angeht, unterschiedlicher Auffassung sein. Ich betreue bei Studierenden, die sich speziell um Datenschutzrecht kümmern, eine Studienarbeit, in der sie den Gefahrenbegriff untersuchen sollen. Der Gefahrenbegriff ist für die Polizei sehr wichtig, denn wenn eine Gefahr für die öffentliche Sicherheit und Ordnung vorliegt, darf die Polizei einschreiten. Hier stellt sich aber die Frage, ab wann denn eine Gefahr vorliegt. Es gibt eine intensive Diskussion um unterschiedliche Begriffe. Zum einen gibt die es die „gegenwärtige“, d.h. gegenwärtig drohende Gefahr. Hier darf die Polizei einschreiten. Zum anderen gibt es noch die Begriffe der „konkreten Gefahr“, der, „abstrakten Gefahr“ und den „Gefahrenverdacht“. Und hier wird es interessant. Darf man auch einschreiten, wenn man nur den Verdacht hat, dass eine Gefahr bestehen könnte oder man diesen Verdacht sogar erst mit der Maßnahme gewinnen will? Das Bundesverfassungsgericht lehnt das für den Fall der Rasterfahndung ab und verlangt, dass eine hinreichend konkrete Gefahr vorliegt. Ich gebe Ihnen Recht, wenn sie behaupten, dass es Fälle gibt, bei denen die Sicherheitsbehörden eher dazu neigen, eine Gefahr zu sehen, die zum Eingriff berechtigt, während die Gerichte davon nicht überzeugt sind.

Ist Bayern nicht viel strikter als andere Bundesländer? Ist es nicht so, dass der Polizei allein schon aus Verdachtsgründen ein viel weiterer Handlungsspielraum eingeräumt wird, als anderswo?

Nein, entschuldigen Sie — ich sage das jetzt nicht, weil ich bayerischer Beamter bin. Aber schauen sie sich doch einmal die Polizeigesetze der anderen Länder an. Es sind auch Polizeigesetze anderer Länder vor dem jeweiligen Landesverfassungsgericht — zumindest in Teilen — „zu Bruch“ gegangen, eben weil es diese Länder, nach Ansicht der Gerichte, überzogen haben. Sicher sind die Bayern eher auf der konservativen Seite, aber wir hatten eine „rot-grüne“ Bundesregierung mit dem Innenminister Otto Schily. Wie man sagt, hat er sich mit dem bayrischen Innenminister, Günther Beckstein, recht gut verstanden. Sie finden parteiübergreifend Personen, die in Sicherheitsfragen wohl eher konservativer sind und andere, die das eher nicht sind. Das ist ein sehr schwieriges Thema, welches man so nicht in Schubladen packen kann.

Aber dieses Schubladendenken ist doch, wenn es um die bayrische Polizeiarbeit geht, weit verbreitet. Ist dies kein Zeichen dafür, dass die Annahme, die bayrische Polizei würde weiter gehen als die in anderen Bundesländern, auf Tatsachen zurückzuführen ist?

Es ist schon wahr. Man hat vor zwei oder drei Jahren in Bayern versucht, zwei sensible Dinge ins Polizeiaufgabengesetz zu bringen. Zum einen wollte man bei der Gefahrenabwehr die Telekommunikationsüberwachung möglich machen, — nämlich dass bei Gefahr das Telefon abgehört werden darf. Hier ging es aber auch um die Überwachung der Berufsgeheimnisträger, wie z.B. Anwälte oder Ärzte. Es ist kritisch, wenn Berufsgruppen, die Berufsgeheimnisse zu wahren haben, abgehört werden dürfen. Aber schließlich hat die CSU-Fraktion selbst diesen Antrag im Landtag nicht weiter verfolgt. Ein anderer Punkt war die automatisierte Überwachung der Kfz-Kennzeichen. Im neuen Polizeiaufgabengesetz ist beides enthalten. Es
wurden aber Einschränkungen bei der Telekommunikationsüberwachung gemacht, d.h. die ursprüngliche Regelung in Hinsicht auf die Berufsgeheimnisträger entschärft und festgelegt, dass die Überwachung abzubrechen ist, wenn der „Kernbereich privater Lebensgestaltung“ betroffen ist. Trotzdem glaube ich, dass sich Bayern insgesamt im „Mainstream“ bewegt.

NIM: Es gibt z.B. in der Staatsbibliothek und der Universitätsbibliothek der LMU München Videokameras. Was halten sie von Videoüberwachung an Hochschulen?

Wir haben dieses Thema hier im Fakultätsrat intensiv diskutiert, weil wir Vorfälle in einigen Labors hatten. Geräte wurden entwendet. Ich habe klar gesagt, dass man eine Videoüberwachung niemals für Zeiten freigeben kann, in denen im überwachten Raum Übungen oder Vorlesungen stattfinden. Zu den Aufgaben des behördlichen Datenschutzbeauftragten gehört auch, wie eingangs erwähnt, Verfahren freizugeben, sobald es sich um personenbezogene Daten handelt — und die Videoüberwachung ist ein solches Verfahren. Entscheidend ist der Gesichtspunkt der Erforderlichkeit. Denn wenn ich mit meinen Studenten in der Veranstaltung einen PC „klauen“ gehe, dann hilft da auch keine Videoüberwachung mehr -– also ist sie für diesen Zeitpunkt auch nicht erforderlich! Also wenn überhaupt Videoüberwachung im Labor, dann nur in einem Zeitraum, wo entweder keiner oder nur wenige Studierende darin arbeiten. Natürlich muss man deutliche Warnhinweise anbringen, so dass jeder weiß, unter welchen Bedingungen er arbeitet. Und die Videoaufzeichnungen dürfen natürlich nur anlassbezogen, d.h. wenn es wirklich einen einschlägigen Vorfall gab, ausgewertet werden und dann auch nur, wenn der Dekan und der Laborleiter das unterschreiben. Außerdem gibt es strikte und kurze Löschungsfristen, nach der eine Aufzeichnung — ohne dass jemand sie zu Gesicht bekommt — automatisch gelöscht wird.

NIM: Gab es da auch schon mal Fälle, bei denen sie ein bestehendes Verfahren freigeben mussten, dem sie eher kritisch gegenüberstanden?

Nein, — ich müsste das nicht freigeben, weil ich als behördlicher Datenschutzbeauftragter dieser Hochschule unabhängig bin. Das ist gesetzlich so geregelt. Selbst die Hochschulleitung kann mich dazu nicht zwingen. Der Konfliktfall ist bisher noch nicht vorgekommen und ich bin davon überzeugt, dass es den auch nicht geben wird. Doch würde es wider Erwarten doch dazu kommen, würde ich und müsste ich den bayrischen Landesbeauftragten für Datenschutz zu Rate ziehen. Als Datenschutzbeauftragter sollte man kein Dogmatiker sein. Man muss die Balance finden zwischen den Extremen „Blockieren“ und „beliebig Zulassen“. Es hängt vom Einzelfall ab, ob man sich mehr für die eine oder andere Seite entscheidet. Die Videoüberwachung ist da ein sehr griffiges Beispiel: Es gibt gewisse gute Gründe, warum man sie machen wollte, doch wenn man dabei ein gewisses Unbehagen spürt, wird man sich eben auf das Notwendigste beschränken oder es ganz lassen. Auch im Datenschutz gibt es Abwägungen und Lösungen, die einen Kompromiss, einen Ausgleich verschiedener Belange darstellen.