Noch in dieser Legislatur könnte es in Deutschland ein neues Instrument des Datenschutzes geben: den Datenbrief. Die Idee: Behörden und Unternehmen müssen einmal im Jahr ihre Kunden darüber informieren, welche Daten sie von ihnen speichern und verarbeiten. Was einfach klingt, ist in der Praxis mühsam umzusetzen und birgt einige Risiken.

Daten- und Verbraucherschützer halten ihn trotzdem für eine gute Idee, der zuständige Bundesinnenminister scheint nicht abgeneigt, auch wenn er ihn offiziell lediglich "ergebnisoffen" prüft, nur die Wirtschaft ist nicht begeistert. So ungefähr lässt sich der Stand der Debatte um den Vorschlag zusammenfassen, der vom Chaos Computer Club stammt.

Noch gibt es keine konkreten Pläne, das vorweg. Gleichzeitig aber wirkt es, als sei man auf dem Weg zu einem Kompromiss, mit dem viele leben können. Am Donnerstag traf sich im Innenministerium erstmals eine Arbeitsgruppe dazu, bereits Ende Mai sollen ihr Vorschläge zur Umsetzung vorgelegt werden. Egal wie die Debatte darum letztlich ausgeht, es ist das erste Mal, dass die Politik einen Vorschlag des CCC – immerhin lange als kriminelle Vereinigung geschmäht – aufgreift und ernsthaft diskutiert.

Kritik kommt vor allem von Vertretern der Wirtschaft. Um die Datenbriefe verschicken zu können, müssten Daten zusammengeführt werden, die besser getrennt blieben. Bislang habe man aus Gründen des Datenschutzes gerade verhindern wollen, dass Informationen über Kunden und Bürger zentral gesammelt würden. Das aber sei nötig, wenn man über alle gespeicherten Daten informieren wolle. Noch dazu müssten Daten erneut verarbeitet werden, die vielleicht schon seit Jahren niemand mehr brauche.

Außerdem argumentieren die Unternehmen, es gebe jetzt schon Informationspflichten und wer wolle, könne überall erfahren, welche Daten über ihn vorliegen. Ähnlich äußert sich auch die CSU. Man solle doch lieber diese Auskunftsrechte stärken, erklärte die CSU-Landesgruppe im Bundestag, als eine solche "immense Mehrbelastung für die Unternehmen" aufzulegen, die noch dazu gegen "das Gebot der Datensparsamkeit" verstoße. 

Für Frank Rieger, einen der Sprecher des CCC und Mitinitiator des Projektes, stellt das kein Problem dar. "Es geht darum, dass die Menschen überhaupt mitgeteilt bekommen, dass Daten von ihnen verarbeitet werden." Dazu müssten Firmen sie nicht neu speichern oder sammeln. Der Brief könne auch lediglich allgemein aufführen, dass Daten verschiedener Kategorien vorhanden seien. Wer dann noch mehr wissen wolle, könne sich an die Verarbeiter wenden, sagt Rieger. Der gewünschte Effekt werde trotzdem erzielt.

Dieser besteht neben der Aufmerksamkeit bei den Verbrauchern vor allem darin, dass Datenverarbeiter zu Sparsamkeit angeregt werden und löschen sollen, was sie nicht mehr benötigen.

 

In der Ursprungsfassung der Idee war daher noch vorgesehen, den Betroffenen mit dem Brief alle vorhandenen Daten zu übersenden. Inzwischen findet auch Rieger, dass das nicht praktikabel sei. Etwa wegen der Gefahr, den Falschen sehr private Informationen zu schicken. Fehlzustellungen könnten nicht ausgeschlossen werden.

Das Argument der unnützen Zentralisierung aber will Rieger nicht gelten lassen. Auch jetzt schon müssten die Daten gesammelt werden, wenn jemand Auskunft wolle. Dazu fragten die betrieblichen Datenschutzbeauftragten – und nur diese – die Datenbanken der Firma ab. Bei dem Brief wäre das Vorgehen das gleiche.

Bleibt noch die Fehlzustellung, wenn Herr Peter Müller versehentlich die Daten von Herrn Peter Mueller erhält oder der Brief an eine alte Adresse geht. "Die Wahrscheinlichkeit ist gering", sagt Rieger. Es gelte der Grundsatz, dass die Unternehmen den Kommunikationsweg nutzen könnten, den sie ohnehin zum Kunden hätten. Wer beispielsweise mit seinem Versandhaus nur per Mail redet, bekomme dann eben eine Mail zurück. Veraltete Adressen seien dabei nicht so häufig, meint Rieger, die Unternehmen würden falsch adressierte Rechnungen ja zurückbekommen. Im Zweifel müsse die Adresse eben vor Versand des Briefes noch einmal verifiziert werden.

Verbrauchervertreter halten viel von dem Datenbrief. Auch wenn einzelne Punkte noch nicht geklärt seien, sei die Grundidee gut, heißt es bei der Verbraucherzentrale Bundesverband. Allerdings sei sie nur eine Notlösung. Denn Datenbriefe brauche es nur so lange, wie es keine generelle Verpflichtung für ein Opt-in gebe – die Pflicht also, jeden explizit und jedes Mal zu fragen, bevor Daten von ihm verarbeitet werden dürfen. Eine solche Regelung aber will die Industrie noch viel weniger. Zumindest wurde sie bei der letzten Novelle des Bundesdatenschutzgesetzes mit großem Lobbyaufwand verhindert.