„Ausrede für eigenes Versagen“

Baden-Baden (naf) – Willkommener Buhmann: Die Datenschützerin Bianca Pettinger spricht im BT-Interview über den Datenschutz und sein schlechtes Ansehen in der Corona-Krise.

Praktisch, aber auch sicher? Digitale Angebote zum Speichern von Gesundheitsdaten sollten immer auch mit Vorsicht betrachtet werden. Foto: Stefan Puchner/dpa

© picture alliance/dpa

Praktisch, aber auch sicher? Digitale Angebote zum Speichern von Gesundheitsdaten sollten immer auch mit Vorsicht betrachtet werden. Foto: Stefan Puchner/dpa

Irgendwie scheint er immer im Weg zu sein. Vor allem in Zeiten der Krise. Der Datenschutz musste in den vergangenen Monaten einige Kritik wegstecken, von fordernden Politikern sowie vom wütenden Nachbarn nebenan. Warum der Schutz der eigenen Daten aber gerade auch in Krisensituationen nicht unter den Tisch fallen sollte, darüber hat sich BT-Redakteurin Nadine Fissl mit der Juristin Bianca Pettinger unterhalten.

BT: Frau Pettinger, wie bewerten Sie die momentane Corona-Situation mit Blick auf den Datenschutz?
Bianca Pettinger: Was mir wichtig ist zu sagen: Corona ist eine Ausnahmesituation. Es ist klar und steht überhaupt nicht infrage, hier ist der Gesundheitsschutz sehr wichtig und da muss man auch hin und wieder mal irgendwo Abstriche machen. Man muss aber auch bedenken, dass der Datenschutz ein Grundrecht ist, das man nicht einfach abschaffen kann. Darum müssen Gesundheitsschutz und Datenschutz so weit wie möglich beides verwirklicht werden. Nur weil wir jetzt Corona haben, kann man den Datenschutz nicht einfach über Bord werfen, wir sind ja nicht in China. Aber ich verstehe auch, dass man die Abstriche irgendwo machen muss. Beispiel Homeschooling: Da haben Schüler eben irgendwelche US-amerikanischen Videotools benutzt, die jetzt datenschutzrechtlich vielleicht nicht so toll sind. Aber was hätten sie sonst machen sollen?

BT: Solche Abstriche sollten aber zeitlich begrenzt sein, oder?
Pettinger: Genau. Ich habe immer die Befürchtung, dass man in Notsituationen wie der Corona-Krise zwei Schritte mehr in die Überwachung geht und den Datenschutz auf lautlos stellt oder sogar zum Buhmann macht. Und dann gewöhnt man sich daran und geht nur noch einen Schritt zurück.

BT: Was stellen Sie sich unter diesem „Schritt mehr“ vor?
Pettinger: Mittlerweile ist es ja Usus, überall seinen digitalen Impf- oder Genesenennachweis vorzuzeigen, auch wenn es nur darum geht, auf den Weihnachtsmarkt zu gehen. Auch wenn eine reine Sichtkontrolle nicht unbedingt eine Datenverarbeitung im Sinne der DSGVO darstellt, denken die Leute: „Ist doch nicht so schlimm.“ Das könnte ausgenutzt werden, um so ein System permanent zu installieren. Wenn wir uns einmal über das Grundrecht hinwegsetzen, gibt es irgendwann vielleicht auch kein Zurück mehr. Und gerade Gesundheitsdaten sind sehr sensible Daten, die man jetzt auch nicht unbedingt im Internet stehen haben will. Vor Corona hätte niemand seinem Arbeitgeber seine Impfnachweise vor die Nase gehalten. Darf er irgendwann auch Auskünfte über Krankheiten verlangen?

BT: Auch in unserem Gesundheitssystem spielt sich mehr und mehr digital ab. Welche Risiken birgt das?
Pettinger: Wenn alles digital läuft, ist ja irgendwann alles zu ihrer Gesundheit in einem Profil digital zusammengefasst. Sie können sich vorstellen, dass es Menschen gibt, die ein großes Interesse daran haben, solche Profile zu sehen. Krankenkassen oder der Arbeitgeber zum Beispiel. Und was passiert bei einem Hackerangriff? Die Uniklinik Düsseldorf konnte 2020 deshalb fast zwei Wochen lang nicht mehr an der Notfallversorgung mitwirken. Wenn alles ins Internet verlagert wird, machen wir uns außerdem abhängig von einzelnen Anbietern. Meistens wird für solche Apps die Technologie von Apple, Facebook oder Google genutzt und dann gehen die ganzen Daten mit hoher Wahrscheinlichkeit auch noch in die USA.

BT: Welche datenschutzrechtlichen Probleme sehen Sie beim digitalen Impfpass?
Pettinger: Die Corona-Warnapp und die CovPass-App sind datenschutzrechtlich nicht so bedenklich. Die Entwicklung der Corona-Warnapp ist ja auch vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit begleitet worden. Schwieriger ist es mit der Luca-App. Es gab auch schon einen Fall, bei dem die Polizei Daten aus der Luca-App beim Gesundheitsamt erfragt und sie bei einer Ermittlung genutzt hat. So etwas zeigt: Bei all der Sicherheit, die diese Apps geben, muss man auch den menschlichen Faktor dahinter betrachten. In dem Fall hat sich ein Gesundheitsamt-Mitarbeiter unter Druck setzen lassen. Der macht dann dieses ganze System kaputt. Wir sind als Datenschützer nicht gegen die Digitalisierung, wir fordern einfach, dass sie eben rechtskonform funktioniert. Und wenn wir so was hören, kriegen wir natürlich eine Gänsehaut.

In guter Absicht erstellt und später missbraucht

BT: Könnte man das Anlegen eines Impfregisters dann nicht auch datenschutzrechtlich begleiten?
Pettinger: Wenn wir das Wort Register hören, bekommen wir Datenschützer prinzipiell ja erst mal Schnappatmung. Register sind schon sehr gefährlich. Sie können in guter Absicht erstellt worden sein und dann werden sie später für einen anderen Zweck missbraucht. Auch da kann es diesen menschlichen Fehlerfaktor geben. Die Zugriffsberechtigung muss dann auf jeden Fall beschränkt werden. Die Daten dürfen auch nicht zentral an einem Ort gespeichert sein, damit da kein Hacker etwas abgreifen kann. Denn ist das einmal im Internet veröffentlicht, kriegst du das nicht mehr raus.

BT: Warum muss die Berechtigung so klar geregelt sein?
Pettinger: Wenn zum Beispiel eine Corona-Demo in der Stadt angemeldet wurde und die Polizei wissen will, wer höchstwahrscheinlich dort mitläuft. Sie könnte dann einfach in das Impfregister schauen. Derjenige, der trotz drei Einladungsschreiben noch immer nicht geimpft ist, läuft vermutlich eher mit als ein dreifach Geimpfter. Für diesen Zweck ist das Register aber nicht geschaffen worden.

Die wichtigste Frage ist aber: Braucht es ein Register überhaupt? Im Datenschutz gilt das Prinzip der Datenminimierung und der Erforderlichkeit. Wenn ich ein Jahr brauche, um so ein Register zu erstellen, vielleicht ist die Pandemie bis dahin vorbei oder es gibt mildere Mittel, wie zum Beispiel Stichprobenkontrollen. Trotzdem muss ich betonen: Wenn man es richtig macht, ist das Impfregister datenschutzrechtlich nicht unzulässig.

Hat ihre Leidenschaft für Datenschutz während des Referendariats entdeckt: Juristin Bianca Pettinger. Foto: B. Pettinger

© pr

Hat ihre Leidenschaft für Datenschutz während des Referendariats entdeckt: Juristin Bianca Pettinger. Foto: B. Pettinger

BT: Kann so eine Zugriffsberechtigung nachträglich geändert werden?
Pettinger: Wenn Daten erhoben werden, dürfen sie nur für einen bestimmten Zweck verarbeitet werden. Für jeden weiteren brauchen Sie eine neue Rechtsgrundlage, die im Fall von Corona zum Beispiel im Infektionsschutzgesetz verankert werden muss. Eine neue Rechtsgrundlage wird für die Verarbeitung zum neuen Zweck nur dann nicht benötigt, wenn der neue und der ursprüngliche Zweck vereinbar, also ähnlich sind. Immer wieder neue Gesetze zu schaffen, um die Daten der Bürger für andere Dinge zu verwenden, fördert ja nicht gerade das Vertrauen in die Politik. Aber die Vergangenheit zeigt: Wenn die Daten einmal da sind, dann werden sie auch irgendwann genutzt. Zum Beispiel für Forschungszwecke oder weil Krankenversicherungen für die Anpassung der Beiträge herausfinden wollen, wie hoch die Impfquote wirklich ist.

BT: Welche Spannungen zwischen Datenschutzgesetz und Infektionsschutzgesetz gibt es?
Pettinger: Das Problem am Infektionsschutzgesetz ist, dass es teilweise sehr schwammig formuliert ist. Als im November beispielsweise die 3G-Kontrollen am Arbeitsplatz eingeführt wurden, standen unsere Telefone nicht mehr still. Stellen Sie sich vor, Sie sind ein Handwerksbetrieb um die Ecke und sollen den 3G-Status Ihrer Mitarbeiter überprüfen. Sie wissen ja gar nicht, wie das überhaupt abläuft, ob man da jetzt irgendwas speichern oder den Impfnachweis kopieren darf. Da sagt der Gesetzgeber: Eine Sichtkontrolle reicht und dann muss nur dokumentiert werden, dass irgendein G erfüllt ist. Welches, das ist komplett irrelevant – ob der jetzt geimpft, genesen oder getestet ist, darf quasi gar nicht aufgeschrieben werden ohne Einwilligung. Der Gesetzgeber macht es sich also sehr einfach, dass er irgendwelche Anforderungen aufstellt und das Unternehmen dann komplett alleine damit lässt. Wenn Sie bei solchen Einwilligungserklärungen als Arbeitgeber einen Fehler machen, dann haftet ja das Unternehmen.

Einen anderen Aufreger gab es beim dritten Bevölkerungsschutzgesetz. Da hat man das RKI zur zentralen Sammelstelle der Daten aus den Gesundheitsämtern und Laboren gemacht. Da wurden immer mehr Daten gesammelt und man hat sich überhaupt keine Gedanken darüber gemacht, ob es das überhaupt braucht. Und dann kam noch dazu, dass der Bundesdatenschutzbeauftragte Ulrich Kelber erst kurz vor Schluss in Kenntnis gesetzt wurde. Das ist ja ein Riesen-Gesetz, da braucht man etwas länger, um das bewerten zu können – und in diesem Fall konnte er bei den kurzen Stellungnahmefristen dann nicht mehr wirklich etwas daran ändern. Und wenn dann später so ein Gesetz gekippt wird, heißt es wieder, der Datenschutz sei schuld.

Keine einzige Maßnahme verhindert

BT: Ist da denn etwas dran? Es wird ja oft behauptet, dass der Datenschutz bei der Bewältigung der Krise im Weg stehen würde.
Pettinger: Es gibt nicht eine Corona-Maßnahme, die durch den Datenschutz verhindert worden wäre, das sagt auch der Bundesdatenschutzbeauftragte. Dass der Datenschutz ein Hindernis wäre, ist also nicht wahr. Wenn das behauptet wird, ist es einfach eine Ausrede für eigene Inkompetenz und eigenes Versagen. Ich glaube, den Entscheidungsträgern ist das auch ganz recht, so einen Sündenbock in der Hand zu haben.

BT: Der Datenschutz ist ja in gewisser Form auch ein Schutz gegenüber der Regierung.
Pettinger: Genau, der Datenschutz geht auf das Recht für informationelle Selbstbestimmung zurück. Damit ist er ein Grundrecht. Und Grundrechte sind Abwehrrechte gegenüber dem Staat, wenn dieser zu übergriffig wird. Dafür haben sich frühere Generationen ja auch eingesetzt und gekämpft, damit man diese Rechte hat. Wenn die Politik etwas durchsetzen will, ist der Datenschutz für sie oft natürlich lästig, weil er eben im Weg ist. Darum wird er als Hindernis dargestellt. Aber es würde ja auch niemand zum Steuerberater sagen, „ich halte mich jetzt nicht ans Steuerrecht, weil das ein Hindernis ist“. Der Staat ist an Recht und Gesetz gebunden, also auch daran. Bei drohenden Gefahren bleibt das natürlich immer eine Abwägung und auch die Grundrechte der bedrohten Personen müssen gewahrt werden. Sie können aber nicht alle Bürger bewachen und quasi in digitale Haft stecken, weil irgendwo vielleicht ein Terrorist rumrennt. 100 Prozent Sicherheit gibt es nicht. Wenn ich das haben will, muss ich – sei es digital oder physisch – alle irgendwie einsperren.

BT: Was entgegnen Sie auf den berühmten Satz: „Ich habe nichts zu verbergen“?
Pettinger: Es gibt sehr viele, die so was sagen. Man muss aber sagen, dass wir da etwas bequem geworden sind, weil wir gar nicht mehr wissen, wie es anders überhaupt ist. Es ist noch nicht so lange her, da hatten wir noch die DDR und die Menschen dort hätten sich gewünscht, dass man das respektiert, dass sie etwas zu verbergen haben. Und dass man etwas zu verbergen hat, das merkt man immer erst dann, wenn einem die Entscheidung genommen wird, es zu verbergen. Wenn ich Ihnen befehle, Ihre Tagebücher online zu stellen, würden Sie das ja auch nicht machen. Wir sind einfach zu faul geworden, um uns damit auseinanderzusetzen, dass diese Rechte uns eben auch schützen vor einem übergriffigen Staat und vor Monopolunternehmen. Wir haben diese Rechte und wir müssen uns für sie einsetzen. Tun wir das nicht, werden wir das irgendwann bereuen.

Zur Person

Bianca Pettinger hat Jura an der Universität Passau studiert und ihre juristische Ausbildung mit zwei Staatsexamina beendet. Während sie die Wahlstation des Referendariats beim Datenschutzbeauftragten einer öffentlich-rechtlichen Rundfunkanstalt absolvierte, entdeckte sie ihre Begeisterung für das Thema. Mittlerweile arbeitet die 29-Jährige bei der intersoft consulting services AG und berät Unternehmen in Sachen Datenschutz. Außerdem schreibt sie auf dr-datenschutz.de, dem Internet-Blog ihres Arbeitgebers, über aktuelle Entwicklungen auf dem Gebiet.


Kommentare können für diesen Artikel nicht mehr erfasst werden.