Zur Intensivierung des Datenschutzbewusstseins im Einzelnen: Das, was wir alles preisgeben im elektronischen Datenverkehr, ist nicht rückholbar. Was einmal im Netz ist, ist für immer dort drin. Keiner von uns würde sich vorstellen, sich mit einem Schild um den Hals, das alle seine persönlichen Daten enthält, hier im Parlament oder auf der Straße, auf einem öffentlichen Platz hinzustellen. Aber genau das machen wir, wenn wir uns im Internet bewegen, wenn wir nicht die entsprechenden Sicherungen technischer Natur oder wenn wir nicht die entsprechende Vorsicht als Verbraucher walten lassen. Im Gegenteil, es wäre noch unschädlicher, sich hier draußen mit einem Schild hinzustellen, weil das nur die sehen können, die mich sehen können. Im Internet kann man überall in der Welt meine Daten ansehen und im Zweifelsfall auch missbrauchen.
Zur verstärkten Selbstkontrolle in den Unternehmen: Es geht um die Eigenverantwortlichkeit der datenverarbeitenden Stellen, und es geht um die Arbeit der unternehmenseigenen Datenschutzbeauftragten. Ich sage Ihnen: Je qualifizierter, je engagierter und manchmal je unbequemer ein Datenschutzbeauftragter ist, desto geringer ist das Risiko datenschutzrechtlichen Fehlverhaltens.
Zur wirksamen Ahnung von Verstößen will ich nur so viel sagen: Der bestehende Bußgeldrahmen muss stärker als bisher ausgeschöpft werden. Bisher gibt es einen Bußgeldrahmen von bis zu 250 000 €. Ich kann mir nicht vorstellen, dass dieser Rahmen ganz ernsthaft ein großes Unternehmen abschreckt, datenschutzrechtliche Bestimmungen nicht einzuhalten. Für besonders schwerwiegende Verstöße - dieser Auffassung bin ich auch - könnte die bisherige Strafandrohung erhöht werden.
Meine sehr verehrten Damen und Herren! Was ist gesetzgeberisch möglicherweise zu tun? - Voraussichtlich noch vor der Sommerpause wird die Bundesregierung einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes mit Sonderregelungen zu Auskunftsdateien und Scoring-Verfahren einbringen. In Vorbereitung sind Regelungen zu Geodaten. Geprüft wird, ob zusätzlicher Gesetzgebungsbedarf zum Einsatz von Kundenkarten, zur RFID-Technik besteht. Gegenwärtig setzt die Bundesregierung bei Letzterem noch auf die Selbstverpflichtung und Selbstbeschränkung der Wirtschaft. Zum Gendiagnostikgesetz nur so viel: Es wird Regelungen über die Erhebung und Verarbeitung genetischer Daten im Arbeitsleben enthalten.
Meine sehr verehrten Damen und Herren! Trotz aller Vorschläge zur Rechtsintensivierung und Schaffung neuer Vorschriften müssen wir uns gerade im Datenschutz davor hüten, Überreglementierungen gelten zu lassen. Wir dürfen die Wirtschaft einerseits nicht über Gebühr einengen, sie andererseits allerdings auch durch staatliche Vorsorge nicht aus ihrer Verantwortung entlassen. Beides gehört zusammen. Zusätzliche Regelungen sind dort entbehrlich, wo bestehendes Recht ausreicht und es nur ordentlich vollzogen werden muss.
Zur Intensivierung der Tätigkeit der Aufsichtsbehörden hat Kollege Rothe einiges ausgeführt. Ich will nur so viel sagen: Die Aufsicht in Sachsen-Anhalt funktioniert. Spektakuläre Datenschutzverstöße hat es bisher - ich hoffe, dass es so bleibt - nicht gegeben. Von den aktuellen Fällen war Sachsen-Anhalt nur am Rande betroffen. Die Aufsicht greift. Trotzdem, was gut ist, kann immer auch noch besser werden. Von daher lassen Sie uns auch darüber beraten, wie wir die Aufsichtsfunktionalität und die Aufsichtswirksamkeit in Sachsen-Anhalt noch verbessern können. - Vielen Dank.
Vielen Dank, Herr Minister, für Ihren Beitrag. Sie haben noch einmal richtig in das Thema eingeführt. - Wir steigen jetzt in die Debatte ein, heute erstmals eine Dreiminutendebatte. Zuerst erteile ich der FDP das Wort. Herr Kosmehl, bitte schön.
Herr Präsident! Meine sehr geehrten Damen und Herren! Eine Vorbemerkung: Ich glaube, die parlamentarischen Geschäftsführer müssen sich noch einmal darauf verständigen, ob bei Dreiminutendebatten für die Parlamentarier wirklich eine so ausführliche Einbringung durch den Minister erfolgen kann, weil man gar nicht mehr auf alles eingehen kann, was Sie gesagt haben, Herr Minister. Sie haben das heute ja auch wieder pressemäßig begleitet. So will ich ganz kurz und etwas schneller reden als sonst, um alle Punkte auf den Weg zu bringen.
Meine sehr geehrten Damen und Herren! Fast könnte man denken - das ist keine Unterstellung -, der Staat oder staatliche Behörden hätten ein bisschen darauf gewartet, dass es endlich auch mal einen Datenschutzverstoß größeren Ausmaßes in Unternehmen gibt, damit man endlich sagen kann: Es ist nicht immer nur der Staat, es sind die bösen Unternehmen, die Wirtschaft. Damit kann man etwas ablenken von dem Druck, unter dem man selber jeden Tag steht.
Verstöße in Unternehmen müssen geahndet werden. Ich gebe Ihnen durchaus Recht, dass man jede Firma, die so etwas macht und die mit ihren Mitarbeitern so umgeht, wie wir das in den letzten Wochen und Monaten erkennen mussten, auch entsprechend zur Verantwortung ziehen muss.
Meine sehr geehrten Damen und Herren der SPD, das ist nun schon die dritte oder vierte Debatte in dieser Sitzungsperiode, in der Sie versuchen, die Unternehmen und die Unternehmenskultur infrage zu stellen und einseitig zu unterstellen, dass die Unternehmer insgesamt nur noch Fehler machen. Ja, Frau Budde, das ist so.
Meine sehr geehrten Damen und Herren! Ich will noch einmal an zwei Punkten einhaken. Herr Minister, ich hätte mir gewünscht, dass Sie etwas zur Firma HSH sagen, zu der Frage, wie es sein kann, dass Daten von Meldebehörden von mehr als 500 000 Bürgerinnen und Bürgern in Deutschland bis zum 20. Juni im Internet abrufbar waren, weil in den Kommunen Fehler unterlaufen sind. Da wären Sie wieder beim Versagen von staatlichem Datenschutz gewesen. Dazu hätten Sie heute durchaus etwas sagen können. Das gehört, wenn man das schon so einleitet, wie Sie das getan haben, auch zur Wahrheit dazu.
Dann möchte ich etwas zu der Frage sagen: Wie gehen wir mit dem nicht-öffentlichen Datenschutz um? - Herr Kollege Rothe, Sie haben zu Recht darauf hingewiesen, dass wir dazu einen Selbstbefassungsantrag gestellt und im Innenausschuss darüber beraten haben. Ich habe mir das Protokoll noch einmal angeguckt: keine einzige Frage der Koalitionsfraktionen. Wir hätten das bereits besprechen können. Wir hätten auch sagen können, wir erklären den Selbstbefassungsantrag nicht für erledigt, sondern wir bleiben an dem Thema dran.
Aber Sie hatten keinen Informationsbedarf. Sie wollten nichts fragen, Sie wollten nicht diskutieren, wollten sich nicht über den nicht-öffentlichen Datenschutz unterhalten. Und dann kommen Sie plötzlich mit einem solchen Antrag und wollen dieses Thema für sich reklamieren und behaupten, dieses Thema in die Diskussion eingebracht zu haben. Das finde ich ein Stück weit - entschuldigen Sie den Ausdruck - unredlich. Ich meine, wir hätten hier weiter sein können, wenn wir den Antrag der FDP im Ausschuss weiter beraten hätten. - Vielen Dank.
Vielen Dank, das war schon fast toll eingehalten. - Wir kommen zum zweiten Debattenbeitrag. Herr Madl von der CDU-Fraktion nimmt jetzt das Wort. Bitte schön.
Herr Präsident! Meine sehr verehrten Damen und Herren! In Anbetracht der Kürze der Zeit will ich auf meine Vorredner nicht eingehen. Ich möchte einfach nur einige Behauptungen in den Raum stellen, über die wir dann im Ausschuss unter anderem im Rahmen der Berichterstattung diskutieren können. Ich möchte an einem Beispiel aufzeigen, wie die informationelle Selbstbestimmung, also das Recht auf die Preisgabe und Verwendung perso
nengebundener Daten, von dem Einzelnen eigentlich gar nicht beeinflusst werden kann, diese nicht freizugeben.
Erst einmal zu den Behauptungen. Ich behaupte: Es gibt keinen hundertprozentigen Datenschutz und Datenschutz ist auch nicht hundertprozentig realisierbar. Ich glaube, dass jeder von uns unwissentlich oder unbewusst fast täglich gegen datenschutzrechtliche Regelungen verstößt.
Zweitens. Datenschutz unterliegt einem dynamischen Prozess durch sich ständig ändernde Bedingungen; insbesondere im technischen Bereich und im Informationsbereich läuft der Datenschutz dieser Entwicklung hinterher.
Drittens. Datenschutz und die Schaffung, Einhaltung und Kontrolle datenschutzrechtlicher Regelungen wird damit ebenfalls zum dynamischen Prozess, der in vielen Lebens- und Gesellschaftsbereichen der Entwicklung nicht standhalten kann.
Ich möchte ein Beispiel nennen. Es ist schon gesagt worden, dass viele Firmen gegen den Datenschutz verstoßen. Sie haben vielleicht, wie auch ich, einen Brief über die so genannte RFID-Technik, also Radio Frequency Identification, bekommen. Das sind Transponder, die heute schon in Massen eingesetzt werden, vor allen Dingen im Handel.
Die Gefahr der RFID-Technik liegt zum Beispiel im Verlust der informationellen Selbstbestimmung. Das heißt, die einzelne Person hat durch die versteckten Sender keinen Einfluss mehr darauf, welche Informationen preisgegeben werden. Deshalb ist der bevorstehende massenhafte Einsatz von RFID-Transpondern unter Gesichtspunkten des Datenschutzes problematisch.
Um dem zu entgehen, schlagen manche Kritiker die Zerstörung der RFID-Transponder nach dem Kauf vor. Dies könnte, ähnlich wie bei der Deaktivierung der Diebstahlsicherung, an der Kasse geschehen. Ein Nachweis, dass ein Transponder wirklich zerstört bzw. sein Speicher wirklich gelöscht wurde, ist für den Verbraucher in der Regel nicht möglich.
Weiterhin ist die Integration zusätzlicher, nicht dokumentierter Speicherzellen oder Transponder denkbar. Für den Verbraucher wird ein RFID-Transponder so zur Blackbox, weshalb manche eine lückenlose Überwachung des gesamten Produktionsprozesses fordern.
Angesichts des Umstandes, dass wir uns über Firmen unterhalten haben: Im Jahr 2003 hatte der Metro-Konzern einen Teil seiner Kundenkarten mit RFID-Transpondern ausgestattet, ohne seine Kundinnen und Kunden darauf hinzuweisen. Der Konzern hatte daraufhin den Negativpreis Big-Brother-Award erhalten. Microsoft war übrigens einer der ersten, die diesen Preis für Verstöße gegen den Datenschutz angenommen haben. Im Jahr 2007 erhält die Deutsche Bahn AG den Big-BrotherAward, weil sie, ohne die Kunden zu informieren, die Bahncard 100 mit diesen Chips ausstattet hat.
Die Textquelle, die ich gefunden habe, enthält natürlich auch Angriffs- und Schutzszenarien. Das wird für den einen oder anderen spaßig klingen, aber es ist doch ernsthafter Natur. Ich will das vielleicht kurz im Telegrammstil vortragen.
Herr Kosmehl hat es gesagt. Drei Minuten für ein solches Thema sind natürlich sehr knapp. Wie gesagt, im Telegrammstil:
Man kann zu verhindern versuchen, dass die Transponder ihre Energie erhalten. Dazu kann man beispielsweise die Batterie herausnehmen oder die Transponder in einen Faradayschen Käfig stecken, also spätestens im Auto haben Sie gute Chancen, dass er nicht mehr senden kann. Wenn Transponder induktiv auf tiefen Frequenzen um 100 kHz ankoppelt werden, sollte man eine Abschirmung aus magnetisierbaren Materialien wie Eisen oder MU-Metall verwenden. Wenn Sie also noch einen alten Röhrenoszillator zu Hause haben, können Sie die Schirmung beim Einkauf verwenden, damit sind Sie auch geschützt.
Bei hohen Frequenzen über 1 MHz genügt Umwickeln mit dünner Alufolie. Sie können natürlich auch die Antenne beschädigen, das geht aber nur bei großen Transpondern, dazu benötigt man ein Röntgenbild, um die Spiralen der Antenne zu erkennen. Oder Sie nutzen einen elektromagnetischen Impuls.
Herr Madl, meine herzliche Bitte: Kommen Sie langsam zum Ende, sonst ist die Festlegung der drei Minuten - - Wir werden auswerten, ob das wirklich sinnvoll ist. Bringen Sie Ihren Vortrag bitte jetzt zu Ende.
Sie sehen, wie umfangreich und schwierig dieser ganze Prozess ist. Das ist ein Bereich, der unser tägliches Leben betrifft und in dem wir als Verbraucher oder als Einzelner keinen Einfluss darauf haben, hier datenschutzrechtlich über unsere Daten selbst zu bestimmen.
Ich freue mich auf eine Bratung im Innenausschuss und kann dort vielleicht meine Ausführungen fortsetzen. - Danke schön.
Herzlichen Dank, Herr Madl. Ich bitte um Nachsicht, aber wenn etwas vereinbart worden ist, dann muss es auch durchgesetzt werden. - Wir kommen zu dem Beitrag der Fraktion DIE LINKE. Frau Tiedge, vielleicht gelingt es Ihnen, aber ich schaue dann ein bisschen - -
Mit Sicherheit gelingt uns dieser Anspruch, bei drei Minuten zu bleiben; denn es wurde von uns angeregt, eine Dreiminutendebatte zu diesem Thema zu führen. Nicht weil wir das Thema nicht für wichtig erachtet hätten, aber die Beispiele, die auch im Antrag genannt werden, haben uns genauso aufgeschreckt. Wir mussten mit Sorge die Verstöße zur Kenntnis nehmen, die hinsichtlich der Verletzung von Datenschutz im nicht-öffentlichen Bereich in jüngster Vergangenheit vonstatten gegangen sind.
Weswegen wir gesagt haben, es reicht eine Dreiminutendebatte zu diesem Thema, waren der Zeitpunkt der Einbringung und der Inhalt des Antrages. Diesbezüglich muss ich auf das zurückkommen, was Herr Kosmehl schon ansprach. Am 12. Juni 2008 haben wir einen Selbstbefassungsantrag der FDP im Innenausschuss beraten, in dem es um den Bericht zum Datenschutz im nicht-öffentlichen Bereich ging.
Staatsekretär Herr Erben hat sehr umfangreich im Innenausschuss zu diesem Thema Bericht erstattet. Herr Kosmehl hat einige Nachfragen gehabt und dann war Ruhe. Nicht eine einzige Frage aus den Reihen der Koalitionsfraktion. Der Antrag wurde dann für erledigt erklärt.
Nun sagt Herr Madl heute: ein sehr kompliziertes Thema und drei Minuten Redezeit reichen nicht aus. - Wir hätten eine ganze Sitzung des Innenausschusses Zeit gehabt, über dieses Thema zu reden.