03.09.2010 · Sie ist zwar im Koalitionsvertrag angekündigt, aber noch immer nicht zum Leben erwacht. Die Regierung belässt es bei vagen Absichtserklärungen. Dabei gäbe es dringliche Aufgaben zuhauf für eine effektive Stiftung Datenschutz.
Von Constanze Kurz
© dpa
Was genau die Stiftung Datenschutz prüfen soll, ist auch nach vielen Monaten noch unklar
Haben Sie schon von der „Stiftung Datenschutz“ gehört? Nein? Sie wissen nichts über den Stiftungszweck, finden aber, das klingt eigentlich recht ansprechend? Dann haben Sie etwas gemeinsam mit den Bundesregierenden. Denn die nahmen die Stiftung Datenschutz in ihren Koalitionsvertrag auf, um „den Selbstdatenschutz durch Aufklärung“ zu verbessern. Seither haben sie es allerdings unterlassen, das Konzept mit Leben zu füllen.
Was genau die Stiftung prüfen soll, wie sie dem Bürger mehr Überblick im Datendschungel verschaffen kann, wann die Stiftungsarbeit beginnen wird – das alles ist auch nach vielen Monaten noch unklar. Es sollen Gütesiegel vergeben werden, ließ das Justizministerium durchblicken. Der Innenminister sprach in seiner netzpolitischen Grundsatzrede vage von „Vergleichstests“, die erstellt werden sollen.
Das Gütesiegel- und Zertifizierungsunwesen beim Thema Computer und Netz hat in Deutschland eine lange Tradition, seit Jahren schon werden bunte Stempel, Engelchen und blaue Punkte vergeben. Für ein paar tausend Euro kann sich der geneigte IT-Anbieter sogar bei einem TÜV-Ableger bestätigen lassen, dass alles schön sicher ist – mit Brief und Siegel. Peinlich nur, wenn ein paar Wochen später die Passwort-Liste des als sicher bezeichneten Systems im Internet kursiert, weil der TÜV nur eine Checkliste am Schreibtisch durchgegangen ist und gar nicht die tatsächliche Sicherheit getestet hat. Dafür gibt es schlicht weder Geld noch Veranlassung, denn die Prüfung dient einzig dem Erwerb des „Alles schön sicher“-Siegels für die Webseite.
Stiftung Datenschutz - Eine neutrale Instanz
Was aber könnte eine Stiftung Datenschutz leisten? Angesichts der bisher zur Schau getragenen Hilflosigkeit der Regierung beim Errichten gesetzgeberischer Leitplanken für die digitale Datenwelt und ihrer Neigung, die Interessen der Wirtschaft deutlich höher zu gewichten als die der durch allerhand Datenpannen gebeutelten Bürger, kann man nicht viel erwarten. Dass sie gar wirklich unabhängig sein könnte, scheint reines Wunschdenken jener Wenigen, die erkannt haben, dass die neue globale Währung Daten heißt.
Eine Stiftung Datenschutz sollte jedoch gerade deshalb eine neutrale Instanz sein, weil es um viel Geld geht. Um nicht in die Gütesiegelfalle zu tappen, muss der Umgang mit privaten Informationen in Unternehmen nach einerseits juristischen und andererseits praktischen, transparenten Kriterien beurteilt werden. Und zwar nicht nur nach dem Buchstaben der Datenschutzgesetze, sondern vergleichend, wertend, die Interessen des Bürgers vertretend. Es reicht nicht, nur die gesetzlichen Anforderungen zu erfüllen, die Transparentmachung des Datengebarens muss im Vordergrund stehen, schon deshalb, weil das Datenschutzrecht kaum mehr überschaubar und hoffnungslos veraltet ist.
Die Stiftung sollte daher regelmäßig und übersichtlich Informationen zusammenstellen: Sind die Einwilligungs- und Datenschutzklauseln von Anbietern unscharf und auslegbar? Kann der Nutzer klar erkennen, was mit seinen Daten passiert? Wird unzweideutig kommuniziert, welche Erkenntnisse daraus gewonnen werden, wozu sie gespeichert sind, wohin sie weitergereicht werden? Gibt es hinreichende Sicherheitsvorkehrungen nach dem aktuellen Stand der Technik? Wie verhält sich das Unternehmen konkret bei Datenpannen? Welche Personen tragen Verantwortung für angehäufte Daten?
Windelweiche Gütesiegel helfen nicht weiter
Bei der Gelegenheit könnte die Regierung ein weiteres Versprechen des Koalitionsvertrages einlösen: „Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.“ Man müsste jedoch zunächst vor der eigenen Türe kehren: Denn beim Abwälzen von Risiken auf die Endanwender geht das Innenministerium beispielhaft voran. Die ab November an das Volk verschenkten Billig-Personalausweislesegeräte bieten keinen Schutz vor Trojanern. Der Bürger soll seinen PC gefälligst absichern, dann wäre auch die digitale Identität per neuem elektronischen Ausweis sicher, hieß es beim Ministerium. Ein leuchtendes Vorbild für zukünftige Ausreden der Industrie bei Fragen der Haftung!
Sinn der Stiftung Datenschutz sollte mittelbar die Freisetzung von Marktkräften sein. Das könnte prinzipiell die mitregierende FDP freuen. Doch geht es um ganz andere Marktkräfte als sonst üblich. Diejenigen, deren private Daten und Menschenprofile als Währung gehandelt werden, könnten in die Lage versetzt werden, ihr Daten-Geld zu Unternehmen zu tragen, die transparenter damit umgehen. Dazu wäre auch eine Negativliste erwischter Datensünder von Nutzen sowie die systematische Nennung von Unternehmen, die in Datenskandale verwickelt waren. Entsprechend kann eine Positivliste den Wettbewerb befeuern und Datenschutz zum Image-Faktor für Firmen aufwerten.
Windelweiche Gütesiegel aber helfen nicht weiter. Wenn niemals Negativurteile vergeben werden, wenn Art und Umfang der Prüfung von Anfang an so angelegt sind, dass kein Unternehmen etwas zu fürchten hat, kann man die Zertifizierung gleich seinlassen. Wie wäre es mit ein wenig brutaler Ehrlichkeit? Keine süßlich-unverbindlichen Formulierungen, sondern die Datenverbrecher, aber auch die positiven Vorbilder wirklich beim Namen nennen? Mag sein, dass sich ein Teil der Kunden nicht darum schert, doch aufgeklärte Verbraucher könnten endlich informiert entscheiden.
