Schon wieder ein Datenskandal, dachte man angesichts zentimetergroßer Überschriften: „Post soll Arbeitslosen-Briefe öffnen“, tönte es von der Titelseite eines Boulevardblattes. Vor dem geistigen Auge rammt ein zynisch schauender Postzusteller seinen Brieföffner ohne Rücksicht auf Recht und Anstand in die Kuverts vertraulicher Korrespondenz mit sensiblen Daten. Spontan denkt der Datenschutzrechtler nicht nur an unzulässige Datenverarbeitung, sondern auch an einen (stets strafbaren) Verstoß gegen das Postgeheimnis (§ 206 StGB).
Erst beim Weiterlesen erweist sich der vermeintliche Skandal als Sturm im Wasserglas. Aufhänger für das hektische Hyperventilieren im Blätterwald ist lediglich das ebenso vielfach praktizierte als auch grundsätzlich zulässige Auslagern von Geschäftsprozessen an externe Dienstleister: Die Bundesagentur für Arbeit möchte ihre Eingangspost von Arbeitslosen- und Kindergeldempfängern künftig elektronisch erfassen; das vorhandene Archiv aus immerhin 22 Millionen Arbeitslosen- und 13 Millionen Kindergeldakten soll zugleich eingescannt werden. Mit der Postbearbeitung und dem Einscannen soll ein Tochterunternehmen der Deutschen Post AG beauftragt werden, das derartige Leistungen bereits seit Jahren weltweit und zuverlässig erbringt. Das ist weder neu noch aufregend und aus rechtlicher Sicht alles andere als skandalträchtig. Mehr noch: Die ebenso unbegründete wie reflexhafte Hysterie erweist sich als Bärendienst für berechtigte datenschutzrechtliche Anliegen.
Denn auch die aktuelle Berichterstattung folgt einem sattsam bekannten Muster: Das (datenschutzrechtlich mehr oder weniger bewandte Medium) meint, auf einer Welle tatsächlicher oder vermeintlicher „Datenskandale“ zu schwimmen. Diese haben sich in den letzten zwei bis drei Jahren gehäuft (eine Übersicht z.B. hier), wobei die datenschutzrechtliche Zulässigkeit der jeweiligen Erhebung, Verarbeitung oder Nutzung in vielen Fällen tatsächlich fragwürdig oder nicht vorhanden war. Auf diesem Nährboden hat sich jedoch die bedauerliche Tendenz entwickelt, auch aus datenschutzrechtlichen Mücken standardmäßig einen Skandal-Elefanten zu generieren. Im Fall der Bundesagentur für Arbeit schrumpfte der Elefant aufgrund sachgerechter Recherche auf das objektiv angemessene Maß: Einzelne technische Details sind nach Auffassung des Bundesbeauftragten für den Datenschutz noch zu klären; Anzeichen für eine grundsätzlich Unzulässigkeit ergeben sich nicht. In gleicher Weise mussten auch andere „Skandal!“-Rufer einräumen, dass die von ihnen aufgedeckte „große Daten-Schieberei“ bei der elektronischen Gesundheitskarte von den gesetzlichen Vorschriften ausdrücklich vorgesehen ist.
Um Missverständnissen vorzubeugen: Die gestiegene öffentliche Aufmerksamkeit für Fragen von Datenschutz und Datensicherheit dient der Sache – gerade weil der Schutz personenbezogener Daten auch in der Hand der Nutzer und Betroffenen liegt: Diese haben den Datenschutz (etwa durch die aktive Nutzung vorhandener Privatsphäre-Einstellungen bei sozialen Netzwerken oder aufmerksame Prüfung vor Erteilung von Einwilligungen) teilweise selbst in der Hand. Und das verantwortungsvolle und compliancebewusste Unternehmen begreift Datenschutz nicht lediglich als lästige Pflicht zur Erfüllung gesetzlicher Vorgaben, sondern als wichtigen Aktivposten des Verbraucher- und Kundenvertrauens. Der standardisierte Skandal!-Schrei erweist der berechtigten Sache aber einen Bärendienst – wer zu oft warnt, wird am Ende bei den wirklich kritischen Fällen kaum mehr gehört.
Für datenverarbeitende Unternehmen ergibt sich aus der Existenz der unverbesserlichen Skandal!-Rufer eine wichtige Erkenntnis: Die datenschutzkonforme Gestaltung von Geschäftsprozessen und insbesondere von Outsourcing-Projekten ist möglicherweise nur die halbe Miete – gerade wenn es um eine Vielzahl von Betroffenen und/oder sensible Daten geht. Gut beraten ist, wer ein derartiges Konzept zuvor mit der zuständigen Aufsichtsbehörde abgestimmt hat und in seiner Kommunikationsstrategie auch auf unbegründete öffentliche Diskussionen vorbereitet ist.
