Datenschutz in der amtlichen Statistik
Plädoyer für eine Geheimhaltung mit Augenmaß am Beispiel der Bevölkerungsstatistiken
Bei der Erhebung und Auswertung von Daten müssen in der amtlichen Statistik verschiedene Rahmenbedingungen beachtet werden, darunter die statistische Geheimhaltung. Sie besagt, dass Einzelangaben über persönliche und sachliche Verhältnisse, die für eine Bundesstatistik gemacht werden, geheim zu halten sind, soweit durch besondere Rechtsvorschrift nichts anderes bestimmt ist.1 Um dieser Anforderung gerecht zu werden, betreibt die amtliche Statistik einen relativ hohen Aufwand, obwohl dies nach Einschätzung von Prof. Dr. Georges Als, dem früheren Leiter des Statistischen Amtes von Luxemburg, zumindest nicht im praktizierten Umfang erforderlich ist. Er bezweifelt, ob ein statistisches Amt überhaupt über »persönliche Geheimdaten« verfügt.2
Um diese – sicherlich rigide – Einschätzung zu bewerten, soll im folgenden Beitrag zunächst ein Überblick über die datenschutzrechtlichen Vorgaben sowie die Geheimhaltungspraxis in der amtlichen Statistik gegeben werden. Daran anschließend wird ein Vorschlag skizziert, der im Einklang mit dem hier maßgeblichen Volkszählungsurteil von 1983 und dem Bundesdatenschutzgesetz (BDSG) einerseits sowie vor dem Hintergrund des gesellschaftlichen Wandels andererseits einen Datenschutz »mit Augenmaß« proklamiert. Der Fokus liegt hierbei nicht auf der (elektronischen) Verarbeitung, sondern auf der Veröffentlichung der Daten.
Das »Volkszählungsurteil« von 1983
»Freie Entfaltung der Persönlichkeit« setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ergibt sich daher aus dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG). Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.3 Mit diesem Wortlaut begründete das Bundesverfassungsgericht in seinem »Volkszählungsurteil« aus dem Jahr 1983 das Grundrecht auf informationelle Selbstbestimmung als besondere Ausprägung des allgemeinen Persönlichkeitsrechts. Die daraus resultierende statistische Geheimhaltungspflicht wurde für die amtliche Statistik – als Pendant zur Auskunftspflicht4 – wie folgt in § 16 Abs. 1 Satz 1 Bundesstatistikgesetz (BStatG) umgesetzt:
»Einzelangaben über persönliche und sachliche Verhältnisse, die für eine Bundesstatistik gemacht werden, sind von den Amtsträgern und Amtsträgerinnen und für den öffentlichen Dienst besonders Verpflichteten, die mit der Durchführung von Bundesstatistiken betraut sind, geheim zu halten, soweit durch besondere Rechtsvorschrift nichts anderes bestimmt ist«.
Das bedeutet, dass beim Umgang mit vertraulichen statistischen Daten besondere Sorgfalt erforderlich ist, um zu verhindern, dass konkrete Rückschlüsse auf einzelne Erhebungspflichtige gezogen werden können.5
Die Praxis der statistischen Geheimhaltung im Überblick …
Mit § 16 Abs. 1 Satz 1 BStatG werden also Vorgaben bezüglich der Geheimhaltung von Einzelangaben bei Veröffentlichungen gemacht. Die Regelung enthält jedoch keine Hinweise zur methodischen Umsetzung dieser Geheimhaltungsvorschrift.6 Deshalb können Maßnahmen zur Gewährleistung der Geheimhaltung beim Ausgangsmaterial (den Mikrodaten) einer Statistik ansetzen oder sich auf die aggregierten Ergebnissen einer statistischen Aufbereitung beziehen. Im ersten Fall wird von einer Anonymisierung des Ausgangsdatenmaterials, im zweiten Fall von Tabellengeheimhaltung gesprochen. Bei der Tabellengeheimhaltung wird die »Unterdrückung« dieser Tabellenfelder als »primäre Geheimhaltung« bezeichnet.7
Zusätzlich zur primären Sperrung von Tabellenfeldern müssen in der Regel zusätzliche Werte sekundär gesperrt werden, um eine Aufdeckung der primär gesperrten Zellen im Rahmen von Gegenrechnungen (zum Beispiel einfache Differenzbildung bei Zwischensummen aufweisenden Tabellen) zu verhindern. Dagegen müssen Mikrodaten, wie sie beispielsweise von den Forschungsdatenzentren für die wissenschaftliche Nutzung angeboten werden (»Scientific Use Files«), durch gezielte Veränderungen (zum Beispiel durch Weglassen, Vergröbern oder Vertauschen von Merkmalen) zumindest »faktisch anonymisiert« werden. So wird sichergestellt, dass die ausgewiesenen Einzelfälle vor »De-Anonymisierung« durch die Datennutzer geschützt sind.8
Die folgenden Ausführungen beschränken sich auf die Handhabung der primären Geheimhaltung im Rahmen der Tabellengeheimhaltung.9 Eine verbreitete Regel zur Identifizierung von kritischen Fällen stellt die Mindestfallzahlregel dar. Diese bestimmt, dass die in einem Tabellenfeld ausgewiesene Häufigkeit in der Regel nicht geringer als 3 sein darf.10 Die (korrekte) Anwendung dieser Regel kann aber – wie im Folgenden gezeigt werden soll – zu Ergebnissen führen, die den Zielen des Datenschutzes widersprechen.
… und anhand eines fiktiven Beispiels
Die Tabellen 1a und 1b sollen eine fiktive Bevölkerung in einem Randgebiet einer kleinen Gemeinde11 nach Familienstand und Altersgruppen darstellen.12 Das Gebiet umfasst jeweils eine Gruppe von neun Personen, die sich aber ganz unterschiedlich zusammensetzt. Im ersten Fall verteilen sich die Personen so, dass in den einzelnen belegten Feldern jeweils maximal zwei Personen vorkommen. Im zweiten Fall weisen alle Personen den Familienstand »geschieden« auf und konzentrieren sich auf die Altersgruppen 40 bis unter 50 Jahre bzw. 50 bis unter 65 Jahre. In diesem zweiten Fall ist damit eindeutig, dass jede dieser Personen geschieden und zwischen 40 und 64 Jahre alt ist. Damit müsste eigentlich dieser Sachverhalt geheim gehalten werden. Dagegen kann im ersten Fall keine Person ohne weiteres Zusatzwissen identifiziert werden. Dennoch würden nach der in den Bevölkerungsstatistiken praktizierten Mindestfallzahlregel alle Felder der ersten Tabelle mit Ausnahme der Einwohnerzahl insgesamt und keine der zweiten Tabelle geheim gehalten.13
Kein schrankenloses Recht auf »informationelle Selbstbestimmung«
Wird in den Bevölkerungsstatistiken daher nicht das »Falsche« geheim gehalten? Wäre aber das vermeintlich »Richtige« überhaupt geheim zu halten, in unserem fiktiven Beispiel also die Situation, dass aus der Tabelle unmittelbar erkennbar ist, dass jede der Personen geschieden und zwischen 40 und 64 Jahre alt ist? Die Beantwortung dieser Frage soll zunächst zurückgestellt werden. Zuvor soll geprüft werden, ob die derzeit gültigen restriktiven Geheimhaltungsregeln unter allen Umständen aus dem Volkszählungsurteil folgen. Konkret: Ergibt sich aus dem Urteil des Bundesverfassungsgerichts zwingend die »strenge« Ausgestaltung des § 16 Abs. 1 Satz 1 BStatG, wonach Einzelangaben nicht veröffentlicht werden dürfen und zwar unabhängig von der Qualität der Daten?14 Oder aber ist auch eine differenziertere Auslegung möglich? Und welche Rolle könnte das Bundesdatenschutzgesetz bei einer entsprechenden Bewertung spielen?
Kernaussage des Volkszählungsurteils des Bundesverfassungsgerichts war, dass gewährleistet sein muss, dass der Einzelne grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen kann. Jedoch hat das höchste deutsche Gericht klar zum Ausdruck gebracht, dass der Einzelne eben nicht ein Recht im Sinne einer absoluten, uneingeschränkten Herrschaft über »seine« Daten hat und er deshalb Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen muss.15 Beschränkungen müssen aber den Grundsätzen des Rechtsstaatsprinzips, das heißt vor allem dem Grundsatz der Verhältnismäßigkeit entsprechen und bedürfen einer gesetzlichen Grundlage.16 Die eigentumsanalog formulierte Befugnis, über die Verwendung der Daten zu bestimmen, ist damit »ersichtlich zu weit«.17
Hinzu kommt ein Weiteres: Das Volkszählungsurteil unterschied bei der Frage, ob ein Datum geheim zu halten ist, nicht explizit danach, ob es sich um sensible oder um nicht sensible Einzelangaben handelt. Vielmehr gäbe es unter den Bedingungen der automatischen Datenverarbeitung kein »belangloses« Datum mehr.18 Damit würde aber im Umkehrschluss für den Bereich der nicht automatisierten Datenverarbeitung sehr wohl die Existenz »belangloser« Daten eingeräumt.19
Unabhängig davon, ob das BVerfG im nicht automatisierten Bereich der Datenverarbeitung tatsächlich »belanglose« Daten für möglich hält,20 hat das höchste deutsche Gericht zumindest »Daten verschiedener Art« mit unterschiedlichen Beschränkungsmöglichkeiten des informationellen Selbstbestimmungsrechts anerkannt.21 Nur bei Daten mit Sozialbezug und unter Ausschluss intimer Angaben und von Selbstbezichtigungen kann das Recht auf informationelle Selbstbestimmung beschränkt werden.22 Die »intimen« Daten genießen damit einen besonderen Schutz. Damit kann als Zwischenfazit festgehalten werden, dass das Volkszählungsurteil durchaus Raum für eine abgestufte datenschutzrechtliche Regelung zulässt.
Differenzierte Regelungen im Bundesdatenschutzgesetz …
Diese differenzierte Regelung des Volkszählungsurteils fand im Bundesdatenschutzgesetz seinen Niederschlag.23 In § 46 Nr. 14 des neuen Bundesdatenschutzgesetzes (BDSG-neu), das ab Mai 2018 gelten soll und das durch die Novellierung an die europäischen Vorgaben der Datenschutz-Grundverordnung24 angepasst wurde, sind nämlich abschließend »besondere Kategorien personenbezogener Daten« genannt.25 Diese sind:
- Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten und
- Daten zum Sexualleben oder zur sexuellen Orientierung.26
Das Bundesdatenschutzgesetz nennt damit besonders schutzwürdige Daten, wodurch der Gesetzgeber sehr wohl nach der »Qualität« der Daten unterscheidet.27 Er trägt somit dem Grundsatz Rechnung, dass das Selbstbestimmungsrecht abgestuft wirken sollte: Je mehr der innerste Schutzbereich berührt ist, umso mehr sollen die Gemeinschaftsinteressen zurücktreten; je größer der Sozialbezug, umso schwächer soll der Individualschutz ausfallen. Oder mit anderen Worten: Der Gesetzgeber hat dann einen speziellen Schutz zu gewähren, wenn der Kern des allgemeinen Persönlichkeitsrechts berührt ist.28
… fanden im Bundesstatistikgesetz keinen Niederschlag
Eine solche Differenzierung der Schutzbedürftigkeit wurde dagegen nicht in das BStatG übernommen, das als spezialgesetzliche Regelung den allgemeinen Datenschutzgesetzen vorgeht.29 Somit ist die in § 16 Abs. 1 BStatG geregelte statistische Geheimhaltung »strenger« als dies die allgemeinen Datenschutzregelungen erfordern. Damit wäre – auch wenn die Sonderregelung im BStatG durchaus nachvollziehbar ist30 – eine Anpassung der datenschutzrechtlichen Bestimmungen für die amtliche Statistik durchaus möglich, die sowohl mit den Vorgaben des Volkszählungsurteils als auch mit denjenigen des Bundesdatenschutzgesetzes im Einklang stünden.
Doch wäre eine solche Anpassung nicht nur rechtlich möglich, sondern würde diese auch gesellschaftlich akzeptiert? Diese Frage ist aus Sicht des Autors eindeutig zu bejahen. Die Einstellungen der Bevölkerung haben sich nämlich in den vergangenen 35 Jahren erheblich verändert, nicht zuletzt die Einschätzung dessen, was tatsächlich privat gehalten werden sollte, hat sich gewandelt. Was früher »privat« war, wird heute oftmals sehr offen in den sozialen Netzwerken wie Facebook, Twitter, Instagram oder Xing kommuniziert. Deshalb dürfte es heutzutage auch einen weitgehenden Konsens darüber geben, dass es nicht mehr notwendig ist zu verhindern, dass beispielsweise das Alter oder der Familienstand einer Person »entschlüsselt« werden könnte. Insofern ist die oben gestellte Frage, ob in unserem fiktiven Beispiel der Sachverhalt, dass jede Person, die geschieden und zwischen 40 und 64 Jahre alt ist, geheim zu halten ist, zu verneinen.
Diese geänderte Einschätzung, was datenschutzrechtlich geboten ist, hat auch im wirtschaftlichen Geschehen seinen Niederschlag gefunden: Vergleichende Werbung ist seit dem Jahr 2000 erlaubt. Außerdem gibt es mittlerweile Bewertungsportale für fast alle Bereiche, so für Hotels, Restaurants, Handwerker, Anwälte oder Ärzte.31
Schließlich ist es vor dem Hintergrund dieser gesellschaftlichen Entwicklungen zweifelhaft, ob das Bundesverfassungsgericht heute noch sein Volkszählungsurteil wie damals formulieren würde.32 Das Bundesverfassungsgericht hat das Recht auf informationelle Selbstbestimmung als Eingriffsabwehrrecht konstruiert. Das »passt« aber heute nicht mehr, weil es neue Gefährdungen durch private Akteure wie Facebook oder Google gibt; die Figur der Eingriffsabwehr gilt aber grundrechtsdogmatisch nicht für Privatrechtsbeziehungen.33 Hans-Jürgen Papier, früherer Präsident des Bundesverfassungsgerichts, sorgt sich deshalb mehr darum, »dass wir uns zu einer privaten Überwachungsgesellschaft internationalen Ausmaßes verwandeln und dies weitgehend auch noch völlig freiwillig.«34 Kritisch wird das Volkszählungsurteil beispielsweise auch von Claudio Franzius gesehen, der von einer »Überdehnung« des Rechts auf informationelle Selbstbestimmung spricht.35
Wie könnte ein »Datenschutz mit Augenmaß« für die Statistik ausgestaltet werden?
Grundgedanke für eine Novellierung der datenschutzrechtlichen Bestimmungen in der amtlichen Statistik ist die These von Georges Als, dass Gesetze über den Datenschutz den spezifischen Charakter der Statistik berücksichtigen sollten.36 Ansatzpunkte für eine entsprechende Differenzierung bieten somit insbesondere die in §16 Abs. 1 BStatG angegebenen Begriffe
»Einzelangaben« sowie
»soweit durch besondere Rechtsvorschrift nichts anderes bestimmt ist.«
Die erste Möglichkeit zur Novellierung ergibt sich daraus, dass der Begriff »Einzelangaben« im BStatG differenziert wird, dass also zwischen sensiblen Daten, die einen besonderen Schutz genießen müssen, und nicht sensiblen Daten unterschieden wird. Doch was sind »sensible« und was »nicht sensible Daten«? Hierzu könnte auf § 46 Nr. 14 BDSG-Neu (siehe oben) abgestellt werden, in dem »besondere Kategorien personenbezogener Daten« definiert sind. Allerdings sollte der Kreis dieser »sensiblen« Daten erweitert werden, weil sicherlich weitere Einzelangaben insbesondere zu wirtschaftlichen Verhältnissen ebenfalls als sensibel einzuordnen sind.37 Ein »neuer« § 16 Abs. 1 Satz 1 BStatG könnte somit wie folgt lauten:
»Einzelangaben, die zu den besonderen Kategorien personenbezogener Daten nach § 46 Nr. 14 BDSG-Neu zu zählen sind, sowie Einzelangaben zu den wirtschaftlichen Verhältnissen, die für eine Bundesstatistik gemacht werden, sind geheim zu halten, (…).«
Bei der zweiten genannten Möglichkeit müsste § 16 BStatG nicht geändert werden. Vielmehr könnte auf die Formulierung in § 16 Abs. 1 BStatG (»…, soweit durch besondere Rechtsvorschrift nichts anderes bestimmt ist.«) zurückgegriffen und in der jeweiligen Bundesstatistik eine gesonderte Regelung zur Geheimhaltung aufgenommen werden. Diese könnte danach unterscheiden, ob es sich bei den Erhebungsmerkmalen um sensible oder aber nicht sensible Daten handelt. Im Bevölkerungsstatistikgesetz38 könnte dies beispielsweise wie folgt geregelt werden:
»Einzelangaben dieses Gesetzes über persönliche und sachliche Verhältnisse, die zu den besonderen Kategorien personenbezogener Daten nach § 46 Nr. 14 BDSG-Neu zu zählen sind, sind geheim zu halten.«
Damit würden – unabhängig davon, welche der beiden Regelungsmöglichkeiten umgesetzt würde – beispielsweise folgende Angaben nicht mehr unter den Datenschutz fallen:
- In der Gemeinde A lebt ein 96-jähriger Mann.
- In der Gemeinde B hat eine 17-jährige Frau ein Kind zur Welt gebracht.
- In der Gemeinde C sind zwei 70-jährige Männer verstorben.
- In der Gemeinde D hat sich ein Paar nach 40-jähriger Ehe scheiden lassen.
- Aus der Gemeinde E sind zwei 80-Jährige fortgezogen.
Betont werden soll, dass es bei einer solchen Neuregelung selbstverständlich nicht darum geht, Personen namentlich zu nennen. Das Interesse der amtlichen Statistik gilt nicht Individuen sondern gesellschaftlichen Phänomenen!39 Davon abgesehen würde diese Möglichkeit, namentliche Ergebnisse zu veröffentlichen, beispielsweise in den Bevölkerungsstatistiken bereits daran scheitern, dass diese Angaben den statistischen Landesämtern gar nicht übermittelt werden.40 Vielmehr ist es das Ziel der vorgeschlagenen Neuregelung, dass bei nicht sensiblen Daten seitens der amtlichen Statistik keine Anstrengungen mehr unternommen werden müssten, um zu verhindern, dass diese Daten einer konkreten Person zugeordnet werden könnten.
Die oben genannten Beispiele lassen schließlich auch vermuten, dass sich mit der vorgeschlagenen Neuregelung am »Bekanntwerden« von einzelnen, konkreten Personen zuordenbaren Fällen faktisch nichts ändern wird. Bislang werden Fallzahlen kleiner 3 geheim gehalten. Solche wie die beispielhaft genannten Einzelfälle wird es aber wohl ganz überwiegend nur in sehr kleinen Kommunen geben. Damit ist aber davon auszugehen, dass diese Sachverhalte schon in der Gemeinde bekannt sein dürften. Falls diese Mindestfallzahlregel im Falle nicht sensibler Daten aufgegeben würde, ist es schwer vorstellbar, dass dann anhand entsprechender Veröffentlichungen der amtlichen Statistik versucht würde, diese eher trivialen Sachverhalte konkreten Personen zuzuordnen.
Fazit: »Das Pendel des Datenschutzes ist zu weit ausgeschlagen«
Unbestritten ist, dass die Gewährleistung der Geheimhaltung, aber auch der Datensicherheit41 fundamentale Aufgaben der statistischen Ämter des Bundes und der Länder sind. Nur dadurch kann die für die Aussagefähigkeit der Daten die unabdingbare Vertrauensbasis geschaffen und erhalten werden.42 Allerdings ist der Umfangs dieses Schutzes – wie gezeigt – nicht grenzenlos, sodass eine Abwägung zwischen den einzelnen Interessen erforderlich ist. Nach Einschätzung von Georges Als wurde in Deutschland bei dieser Abwägung zwischen Verwaltungserfordernissen und den Datenschutzinteressen stets letzteren der Vorzug gegeben. »Das Pendel des Datenschutzes ist zu weit ausgeschlagen.«43
Diese Einschätzung des früheren Leiters des Statistischen Amtes von Luxemburg wird vom Autor geteilt. Deshalb wurde mit diesem Beitrag versucht, einen Weg zu skizzieren, wie eine Geheimhaltungspraxis in der amtlichen Statistik Deutschlands aussehen könnte, ohne fundamentale individuelle Interessen zu beschneiden. Es geht also keinesfalls darum, »schwedische Verhältnisse« zu schaffen. In diesem skandinavischen Land hat nämlich jede Bürgerin und jeder Bürger beispielsweise sogar ein Recht darauf zu erfahren, wie viel sein Nachbar verdient (i-Punkt).
Es geht vielmehr darum, den enormen Aufwand im Zusammenhang mit der Geheimhaltung nicht sensibler Daten zu verringern und gleichzeitig den gesellschaftlichen Nutzen dieser Daten zu optimieren. Bereits ein Vergleich mit den allgemeinen Datenschutzbestimmungen macht deutlich, dass der in der amtlichen Statistik praktizierte Datenschutz in diesem Umfang nicht zwingend erforderlich ist – zumal die Bestimmungen im BDSG-Neu gelockert wurden.44 Eine entsprechende Berücksichtigung des Charakters einer Statistik und damit eine Differenzierung der Daten nach ihrer Qualität, also insbesondere danach, ob es sich um sensible und nicht sensible Daten handelt, ist deshalb geboten.
Für Hans-Dieter Bull, den früheren Bundesbeauftragten für Datenschutz, bleibt nach allem für die Datenschutz-Reformpolitik vorrangig die mühevolle Aufgabe, die Konflikte zwischen Individualinteressen an Informationen und zwischen diesen und den Interessen der Allgemeinheit an Informationsnutzung in den relevanten Einzelbereichen zu klären, sozialadäquate und praktikable Lösungen zu erarbeiten und auf die Einhaltung der geltenden Regeln zu achten. Geboten sei also Datenschutz mit Augenmaß.45 Und Claudio Franzius sieht die Aufgabe der Wissenschaft darin, »die Beharrungskräfte der Rechtsprechung auf ihre Stimmigkeit zu überprüfen, die Folgen zu überdenken und Neukonzeptionen in die Diskussion über das eigentümliche Recht auf informationelle Selbstbestimmung einzuspeisen.«46 In diesem Sinne ist der vorliegende Beitrag ein Versuch, eine entsprechende Diskussion nicht zuletzt innerhalb der amtlichen Statistik anzustoßen.