OBSCHON DER KLEBER «Bitte keine Werbung» unseren Briefkasten wappnet, scheint dieser eine geradezu magische Anziehungskraft auf Post auszuüben, deren Inhalt eben doch der Kategorie Werbung zuzurechnen ist. Höchstpersönlich werden wir da von mehr oder minder caritativen Absendern zum neuzeitlichen Ablasshandel eingeladen oder von kommerziellen Anbietern in unserer Konsumlust gekitzelt. Die wundersame Vermehrung dieser zweifelhaften postalischen Gunstbezeugungen ist ein deutliches Indiz dafür, dass Personendaten ein begehrtes Gut sind auf dem Werbemarkt.
Mögen wir die täglichen Bettel- und Reklamebriefe als zwar lästig, aber nicht weiter von Belang beiseite legen, so wird es uns kaum ganz kalt lassen, wenn unsere Adresse nicht auf Grund öffentlich zugänglicher Daten - etwa aus dem Telefonbuch - auf die Mailing-Liste gekommen ist. Cleveren Marketingstrategen ist nämlich nicht entgangen, dass sich zum Beispiel mit den Informationen über unseren Kreditkarteneinsatz mehr machen lässt als bloss die monatliche Kartenabrechnung. Daraus, was wir wo mit unserer Kreditkarte bezahlen, lassen sich Rückschlüsse über unser Konsumverhalten ziehen.
Für die Kreditkartenunternehmen selbst sind die Informationen über die Vorlieben ihrer Kunden von beschränktem direktem Nutzen. Sie können sie jedoch an Dritte verkaufen - Kaufhäuser und Dienstleistungsanbieter -, für die sie von um so grösserem Interesse sind. Mit diesen Daten in der Hand können diese die Rasterfahndung nach dem idealen Konsumenten einleiten. Hochpotente Rechner werden mit den Einkaufsdaten gefüttert und mit weiteren Daten zur Person (Alter, Zivilstand, Hausbesitz), die sie aus anderer Quelle beziehen. Aus deren Verknüpfung - «Data-Mining» oder «Profiling» heisst es im Fachjargon - können dann jene Kunden herausgesiebt werden, die zur gewünschten Zielgruppe gehören.
Richtig, da gibt es doch noch Datenschutzgesetze. In der Tat läuft der Verkauf von Kundendaten - das Beispiel stammt aus den USA - auf Kollisionskurs mit den in Europa geltenden Datenschutz-Standards. Das schweizerische Datenschutzgesetz - vergleichbar mit dem Datenschutzrecht der EU, wenn auch zum Teil etwas milder - sieht einige Sicherungen vor. Sie dürften allerdings all jenen, die keine Schriftgelehrten in Sachen Datenschutz sind, reichlich verklausuliert vorkommen. Anhand abstrakter Grundsätze müssen die Schranken für den konkreten Anwendungsfall herauskristallisiert werden.
So gebietet der Buchstabe des Gesetzes, dass Personendaten nur zu jenem Zweck benutzt werden, der den Betroffenen angegeben worden ist. Überdies hat jeder ein Auskunftsrecht gegenüber Inhabern von Datenbanken. Besonders schützenswerte Personendaten oder Persönlichkeitsprofile (die Einkaufs- und Personendaten des Kreditkartenkunden) darf der Inhaber der Datenbank (die Kreditkartenfirma) nicht ohne sogenannten Rechtfertigungsgrund Dritten (Versandhäusern, Dienstleistungsanbietern) bekanntgeben. Als Rechtfertigungsgrund gilt etwa die Zustimmung des Karteninhabers. Mit anderen Worten: Nur wenn das Kreditkartenunternehmen seine Kunden darüber informiert, in welchem Umfang es Daten über sie an andere Firmen weitergeben möchte, und nur wenn die Kunden dem ausdrücklich zugestimmt haben, darf das Unternehmen die Daten weiterverkaufen. Bisher genügte eine Blankovollmacht in Form einer diffusen Generalklausel im Kleingedruckten des Kartenantrags.
SO WEIT, SO GUT. Nun öffnet sich aber im Datenschutz eine Schere zwischen der Rechtswelt in Europa und jener in den Vereinigten Staaten. In den USA gibt es - ausser gewissen Regeln für Kreditbüros - so gut wie keine staatliche Regulierung für private Datenbanken. Dort herrscht eine Art utilitaristische Weltsicht: Wenn es denn wirklich eine Regulierung brauche, dann höchstens eine «self regulation» auf privatwirtschaftlicher Basis, lautet der Tenor. Entsprechend reserviert verhalten sich die USA gegenüber der internationalen Datenschutz-Koordination und -Kooperation. Gemäss der zivilisatorischen Faustregel, dass alles aus der Neuen Welt früher oder später auch in der Alten Welt Fuss fasst, und angesichts der weltweiten elektronischen Vernetzung werden die hiesigen Datenschützer das Thema nicht so bald ad acta legen können.
Der Rechtsprofessor Rainer J. Schweizer, der zu den Gründervätern des 1992 in Kraft gesetzten schweizerischen Datenschutzgesetzes gehört, ist jedenfalls skeptisch. Er attestiert vielen Schweizer Firmen, anfänglich grosse Anstrengungen in Sachen Datenschutz unternommen zu haben. Doch heute beobachtet er ein Abflauen des Engagements und eine laschere Praxis. Die Haltung, dass der wirtschaftliche Zweck die Mittel heiligt, scheint salonfähig zu werden. Wer sich in seiner Privatsphäre verletzt fühlt, soll sich selbst wehren.
ALLEIN, SO EINFACH ist das für den Einzelnen nicht. Das Datenschutzgesetz verweist ihn auf den Weg des Zivilprozesses. Das heisst, dass er die Beweislast trägt für die von ihm behauptete Verletzung seiner Persönlichkeitsrechte, dass er das volle Risiko für einen unter Umständen teuren Prozess auf sich nehmen muss. Gewiss, auch der eidgenössische Datenschutzbeauftragte kann sich einschalten, indem er «Empfehlungen» abgibt. Aber weil er nicht direkt einschreiten kann, ist er ein Hund, der bellt, aber nicht beisst. Kommt nach dem Abebben der staatlichen Fichen-Manie - wir hoffen, den Beteuerungen der Behörden Glauben schenken zu dürfen - nun also eine private Fichen-Manie auf uns zu? So fragt man sich angesichts der hochleistungsfähigen modernen Wirtschafts- und Kreditauskunftssysteme.
Wie funktioniert ein solches System? Jemand betreibt eine Datenbank mit Wirtschafts- und Kreditinformationen. Abonnenten sind Banken, Versicherungen, Handelsunternehmen; sie können Auskünfte über Zahlungsfähigkeit und -moral abrufen, etwa wenn ein Kunde sie um Kredit ersucht. Gespeist wird die Datenbank einerseits aus öffentlichen Quellen, vom Handelsregisterauszug bis zum Pressebericht, andererseits auch aus Angaben der Benützer.
Das System funktioniert also nach dem Prinzip der Gegenseitigkeit: Die Benützer beziehen Auskünfte und geben selber Informationen über ihre Erfahrungen mit Kunden ein, einschliesslich beispielsweise von Betreibungsämtern eingeholter Angaben. Es liegt auf der Hand, dass bei einem grossen Abonnentenkreis damit eine ungeheure Informationsdichte erreicht wird. Im «Idealfall» lassen sich äusserst aussagekräftige Persönlichkeitsprofile erstellen - über Private wie über Unternehmen.
Blenden wir nun wieder zu den Regeln des Datenschutzgesetzes zurück: Persönlichkeitsprofile sind laut Gesetz gegen die Bekanntgabe an Dritte geschützt. Wer auf diese Daten zugreifen will, braucht einen Rechtfertigungsgrund. Den erachtet das Datenschutzgesetz ausdrücklich als gegeben, wenn es um die Abklärung der Kreditwürdigkeit geht. Sie muss aber «in unmittelbarem Zusammenhang» mit der Abwicklung eines Geschäfts stehen. Nur wer in Verhandlungen mit einem (möglichen) Geschäftspartner steht, darf Kreditinformationen abrufen. Die Abonnenten des Auskunftssystems werden vertraglich darauf verpflichtet; zudem müssen sie zusichern, die Informationen nicht an Dritte weiterzugeben.
Eine Frage bleibt: Wie kann das Einhalten dieser fragilen Sicherung im Alltag kontrolliert werden? Bei Odilo Guntern, dem Datenschutzbeauftragten des Bundes, sind weniger als 30 private Adress- oder Direktmarketing-Datenbanken registriert. Laut Gunterns Pressesprecher muss es aber viel mehr Datenbanken dieser Art geben.
«BESONDERS SCHÜTZENSWERTE PERSONENDATEN» sind die medizinischen Informationen über einen Menschen. So sagt es das Datenschutzgesetz. In bezug auf den Schutz dieser Informationen klaffen aber zwei offene Flanken. Im Bereich der medizinischen Forschung spricht die zuständige Expertenkommission schlicht von einem Vollzugsnotstand in Sachen Datenschutz.
Worum geht es? Seit 1993 präzisiert ein Artikel im schweizerischen Strafgesetzbuch den Umgang mit Patientendaten. Danach dürfen sie für die medizinische Forschung offenbart werden, falls der Patient dies nicht ausdrücklich untersagt hat oder falls die zuständige Expertenkommission die Bewilligung dazu erteilt hat. Die Kommission hat jene Fälle zu beurteilen, in denen es unmöglich wäre, die Einwilligung der Patienten einzuholen, zum Beispiel, weil diese schon verstorben sind. In solchen Situationen muss das Expertengremium abwägen, ob das Interesse der Forschung jenes der Geheimhaltung überwiegt.
Das Gros der Ärzte scheint sich aber im Alltag kaum um diese Patientenrechte zu kümmern. Es ist gängige Praxis, Patientendaten ohne weiteres der Forschung zufliessen zu lassen. Einen anderen Schluss lassen die bis jetzt vorliegenden Bewilligungszahlen gar nicht zu: Ende 1997 waren bei rund 500 forschenden Kliniken in der Schweiz gerade deren 8 Inhaber einer generellen Bewilligung zur Nutzung bestimmter Krankengeschichten, und innerhalb von vier Jahren waren bei der Expertenkommission ganze 55 Gesuche eingegangen. Sie erachtet mittlerweile die Schonfrist als abgelaufen und beginnt der Ärzteschaft mit dem Strafrecht (unbefugtes Offenbaren eines Berufsgeheimnisses) zu drohen.
Die zweite offene Flanke ist die Weitergabe von Patientendaten an Krankenversicherer. Rechtens ist zwar, dass die Krankenkassen jene Gesundheitsdaten erhalten, die nötig sind, um die Abrechnung des Spitals zu überprüfen. Die Kombination von Statistik und elektronischer Datenverarbeitung bewirkt nun aber, dass in Tat und Wahrheit automatisch - meist ohne Wissen der Betroffenen - zusätzliche Patienteninformationen von den Spitälern zu den Krankenversicherern fliessen.
Die Versicherer verlangen von den Spitälern nämlich, dass die Patientendaten in der Form des sogenannten ICD-10-Diagnosecodes geliefert werden. Hinter diesem technokratischen Kürzel verbirgt sich ein von der Weltgesundheitsorganisation ausgeklügeltes Klassifikationssystem für Statistik- und Forschungszwecke. Für die offiziellen Gesundheitsstatistiken wird es - mit anonymisierten Daten - auch in der Schweiz verwendet. Die privaten Krankenversicherer machen sich nun dieses System für ihre Zwecke zunutze - mit nichtanonymisierten Datensätzen. Dabei umfasst der ICD-10-Code über 10 000 mögliche Positionen.
Da dieser Code hauptsächlich der Statistik zu dienen hat, figurieren unter den 10 000 Codierungen auch solche, die herzlich wenig mit der Diagnose von Krankheiten zu tun haben, als da wären: «antisoziale Persönlichkeit», «oppositionelles Verhalten» bei Jugendlichen, «Erziehungsfehler der Eltern», «Konflikte mit Vorgesetzten», «gesteigertes sexuelles Verlangen» und was der Dinge mehr sind. Die nationale Datenschutzkonferenz hat festgestellt, dass die systematische Weitergabe von ICD-10-Diagnosecodes an Versicherer unverhältnismässig ist und das Patientengeheimnis verletzt. Die Versicherer erhalten mehr Informationen, als sie zur Überprüfung der Spitalrechnung wirklich brauchen. Das Seilziehen zwischen Datenschützern und Versicherungen ist noch im Gange. Verschiedentlich haben Kantonsregierungen interveniert (zum Beispiel der Kanton Zürich) und die öffentlichen und subventionierten Spitäler angewiesen, nur noch weniger detaillierte Diagnosen an die Versicherer weiterzugeben.
Unnötig zu sagen, dass jeder Kanton sein eigenes Datenschutzrecht und seinen eigenen Datenschutzbeauftragten hat. Die öffentlichen Spitäler - unter der Hoheit der Kantone - müssen sich danach ausrichten. Privatspitäler fallen hingegen unter das Datenschutzgesetz des Bundes, sind aber wegen ihres privatrechtlichen Charakters keiner direkten Intervention des eidgenössischen Datenschutzbeauftragten zugänglich.
Zum Datenschutz-Föderalismus gehört auch, dass zwischen den verschiedenen Kantonen in der Umsetzung des Datenschutzes ein grosses Gefälle besteht. In dieses Bild passt der oft allzu offenherzige Umgang von Gemeindeverwaltungen mit sensiblen Daten. Die Zeitschrift «Beobachter» hat im Januar dieses Jahres Recherchen darüber angestellt, wie fahrlässig-naiv manche Gemeinden mit Personendaten umgehen. Da wird bei Adressänderungen zusätzlich zur neuen Postadresse auch Höchstpersönliches an ortsansässige politische Parteien, Schützenvereine und Raiffeisenkassen mitgeliefert: Angaben zum Zivilstand, zur Konfession, Meldungen über Kirchenaustritte, Arbeitslosigkeit und Aufenthaltsbewilligungen.
BESONDERS BRISANT wird das Thema Datenschutz im Gesundheitswesen mit Blick auf die wachsenden Möglichkeiten der Medizin, konkret der Gentests. Genomanalysen, aus denen sich Informationen über das Erbgut ablesen lassen, halten zusehends Einzug in den medizinischen Alltag. Mit solchen Gentests kann prädiktiv - also zum voraus, wenn noch keinerlei Symptome aufgetreten sind - festgestellt werden, ob jemand Träger einer Erbkrankheit ist. Möglich sind solche Diagnosen heute bei monogenen Erbkrankheiten wie Chorea Huntington oder zystischer Fibrose, also Krankheiten, für die ein einziges Gen verantwortlich ist.
Nach Einschätzung von Genforschern werden in einigen Jahren auch Gentests für komplexere Krankheiten zur Verfügung stehen. Dannzumal werden wohl auch Untersuchungen über eine erhöhte Anfälligkeit auf Krebs, Alzheimer, Diabetes usw. durchgeführt werden. Die (Horror-)Vision vom gläsernen Menschen wird damit noch beängstigender. Strikter Datenschutz muss hier gewährleisten, dass die ureigenste Privatsphäre einer Person nicht verletzt wird. Informationen über Gendefekte könnten bei der Arbeitssuche oder beim Abschluss von Versicherungen schwerwiegende Nachteile zur Folge haben.
Ein totaler Geheimnisschutz wäre allerdings ebenso problematisch. Er würde das System der Privatversicherung aus den Angeln heben. An der Knacknuss einer für beide Teile fairen Lösung beisst sich in der Schweiz gegenwärtig eine Expertenkommission die Zähne aus. Sie arbeitet am Entwurf eines Bundesgesetzes über die Genomanalyse. Die Bewährungsprobe für den Datenschutz hat eben erst begonnen.
Martin Breitenstein ist Inlandredaktor der NZZ.