Zum Tod von Spiros Simitis: Über die Errungenschaften eines großen Datenschützers
Gerade jetzt hätte ich Spiros Simitis gerne nach seiner Meinung gefragt. Denn aktuell stehen wir vor einem gewaltigen Umbruch im Umgang mit unseren Daten: Es geht um Gesundheitsdaten. Daten, die etwas über unseren psychischen und körperlichen Zustand aussagen. Es gibt kaum noch persönlichere Daten. Doch sie sollen künftig ohne unsere Einwilligung für Forschungszwecke zur Verfügung stehen. Vielleicht dürfen wir dem widersprechen. Aber sicher ist das noch nicht.
Das Europäische Parlament debattiert derzeit, ob Bürgerinnen und Bürger den Zugriff der Wissenschaft auf ihre Gesundheitsdaten untersagen dürften. Die EU-Kommission sah in ihrem Vorschlag für den europäischen Gesundheitsdatenraum kein Widerspruchsrecht vor. Warum auch? Die Datenschutzgrundverordnung (DSGVO) verschafft der Forschung einen privilegierten Zutritt.
Konstruktionsfehler in der Datenschutzgrundverordnung
Im Moment sieht alles danach aus, dass es ein Opt-out geben wird. Das heißt: Grundsätzlich werden alle Daten der Forschung zur Verfügung gestellt, man darf widersprechen – wenn man sich das traut. Das sieht auch ein Vorschlag von Bundesgesundheitsminister Karl Lauterbach für die Elektronische Patientenakte (ePA) vor.
Wird auf europäischer Ebene das Opt-out für die höchst sensitiven Daten etabliert, wird das als Präzedenzfall für alle weiteren geplanten Datenräume gelten. Mobilität steht als Nächstes an, weitere Datenräume werden folgen.
Dass die Datenschutzgrundverordnung den Bürgern kein Widerspruchsrecht, geschweige denn das Recht zur Einwilligung einräumt, war schon während der Verhandlungen im Europäischen Parlament absehbar. Bereits damals war für den Juristen und Datenschutzexperten Spiros Simitis klar, dass dieser Konstruktionsfehler in der DSGVO noch ein Problem werden würde.
Das "Ende einer Ära"
Simitis starb vor wenigen Tagen, am 18. März 2023, nach langer, schwerer Krankheit mit 88 Jahren. Die Datenschutz-Community trauert um ihn. Sein Nachfolger im Amt des hessischen Datenschutzbeauftragten, Alexander Roßnagel, nennt ihn "einen der größten Wegbereiter und Gestalter der informationellen Selbstbestimmung in Hessen, Deutschland und Europa." Das " Ende einer Ära ", erkennt auch die Datenschutzkonferenz von Bund und Ländern(öffnet im neuen Fenster) in ihrer Pressemitteilung zu Simitis Tod.
Simitis prägte die Entwicklung des Rechts auf informationelle Selbstbestimmung in den vergangenen Jahrzehnten wie kaum ein Zweiter. Alles begann damit, dass in den 1960er Jahren die Wissenschaft von der Kybernetik fasziniert war, auch die Juristen entdeckten damals die mathematische Logik. "Es gab die Hoffnung, dass man der politischen Rhetorik mit rational begründeten Aussagen etwas entgegensetzen könne" , erzählte Simitis mir in einem unserer letzten Gespräche.
Kybernetische Steuerungsfantasien des Staates
Was heute unter den Schlagworten Digitalisierung und Transformation diskutiert wird, waren damals die sogenannten kybernetischen Maschinen. Als IBM und Siemens den Vertrieb ihrer ersten kommerziellen Großcomputer starteten, hätten Länder wie Baden-Württemberg und Hessen immer lauter und intensiver darüber nachgedacht, "zentrale Datenbanken zu errichten, in denen möglichst alle Angaben der Bürgerinnen und Bürger sein würden, um besser planen zu können und korrektere Entscheidungen zum Beispiel in der Sozialpolitik treffen zu können" , sagte Simitis in einem Interview(öffnet im neuen Fenster) .
Auch habe man überlegt, ob man, "wenn etwa jemandem ein schrecklicher Unfall passierte, auf der Autobahn," dank seiner Daten sofort herausfinden könne, wie man reagieren müsse.
Die Geburt des Datenschutzrechts
Je intensiver man über die Möglichkeiten der kybernetischen Maschinen auf wissenschaftlicher Ebene sprach, desto mehr "kamen auch die Zweifel auf, was denn der Staat alles mit diesen Daten machen könnte" , erinnerte sich Simitis. Er stand damals auch im Austausch mit dem Journalisten Hanno Kühnert. Dieser veröffentlichte 1969 einen Leitartikel in der FAZ darüber, wie der Staat steuernd in das Leben der Einzelnen eingreifen und ihn dazu bringen könnte, sich bestimmten Maßnahmen zu unterwerfen.
Nur wenige Stunden nach der Lektüre soll der damalige hessische Ministerpräsident Georg-August Zinn den Startschuss zur Erarbeitung einer Regelung gegeben haben, die eine solche kybernetische Übergriffigkeit verhindern sollte.
Daraus wurde das weltweit erste Datenschutzgesetz – maßgeblich konzeptioniert und formuliert von Spiros Simitis, der damals einen Lehrstuhl an der Goethe-Universität Frankfurt hatte. Hier tauchte auch erstmals der Begriff "Datenschutz" auf.
Tatsächlich ging es schon damals nicht um den Schutz von Daten, sondern um das Recht, sich gegen einen überbordenden Steuerungswillen des Staates wehren zu können. Es ging um nichts anderes als um die Freiheit der Bürger und Bürgerinnen.
Geburt des Informationsrechts
Im Hessischen Landtag sprachen sich die großen Parteien einhellig für die neue "Datenschutz"-Regelung aus. Die Opposition ihrerseits forderte ein neues Informationsrecht ein – laut Simitis mit dem Argument: "Wenn die Hypothese stimmt, dass wir zum ersten Mal objektiv entscheiden können, rational vorgehen können und über die notwendigen Grundlagen dafür verfügen, dann muss sich auch das Verhältnis Opposition und Regierung verändern. Dann muss die Opposition die Möglichkeit haben, jederzeit zu allen Daten zu kommen, um ihrerseits ihre Politik definieren zu können."
Die Erosion der Mitwirkungsrechte
Gerne hätte ich Spiros Simitis heute gefragt, was er von den geplanten Opt-out-Regelungen hält, die im Grunde unseren Umgang mit den Daten auf den Kopf stellen. Ich schaue noch einmal in meinen Mitschriften der Gespräche nach, die ich mit ihm führte, als er die Diskussion des Entwurfs der Datenschutzgrundverordnung beratend im EU-Parlament begleitete. Der erfahrene und scharfsinnige Analytiker war damals die erste Adresse für mich und viele andere Journalisten, um eine Einschätzung einzuholen.
Spiros Simitis sah es damals mit großer Sorge, dass nicht von Anfang an "unmissverständlich erklärt wurde, dass die Einwilligung notwendig ist, sondern auf bestimmte Fälle zurückgedrängt wurde."
Damit meinte er auch die großzügigen Privilegien für die Forschung. Er beendete seine – wie immer – sehr sorgfältig formulierten Ausführungen mit einem Seufzer: "Wenn man das sieht, wird einem schlecht."
Wie hätte er es gefunden, wenn die Übermittlung der Daten an die Forschung damit begründet worden wären, dass sie ja pseudonymisiert würden? Mit Blick auf die letztlich schwammig gebliebenen Vorgaben zu "Privacy by Design" sagte er damals, dass man "sich in die Technik flüchte, aber die Normen aus den Augen verliere" – und damit eine "gefährliche Verengung auf die Datensicherung" betreibe.
Konkret bedeutet das für die Gesundheitsdaten heute: Wenn die Datensicherung nicht funktioniert, sowohl bei der Speicherung als auch bei der pseudonymisierten und anonymisierten Zurverfügungstellung, dann ist den Betroffenen letztlich wenig geholfen. Echter Datenschutz, der nicht die Daten, sondern die Betroffenen schützt, sieht nach Simitis anders aus.
Vertrauen auf die Macht der Öffentlichkeit
Simitis hatte auch immer einen wachen Blick darauf, wie die Datenschutzbehörden ihre Aufgaben ausüben: Sie sollten "die Entwicklung beobachten, kritisch analysieren und Vorschläge machen, wie man weiterkommt." Würden sie lediglich die Beschwerden abarbeiten, hätten sie bereits verloren, sagte er.
Wichtig war ihm denn auch immer mit Blick auf die mündigen Bürger, "die Öffentlichkeit einzuspannen, über die öffentliche Diskussion besser reagieren zu können".
Danke, Herr Simitis, für Ihr Vertrauen.