Der Datenschutz steckt erkennbar in einer Krise. Diese ist nicht zuletzt der hohen Innovationsgeschwindigkeit im Datenverarbeitungssektor geschuldet. Aber das ist noch kein Grund, ihn komplett verloren zu geben. Selbst in den USA werden mittlerweile die Rufe nach einem umfassenderen Recht auf Privatsphäre laut. Hier einige Vorschläge für neue Standards bei der Regulierung. Ein Beitrag zur Debatte um Privatsphäre und Post-Privacy von Konstantin v. Notz und Nils Leopold.

Die Veränderungen der Informationstechnologie, der damit einhergehende soziale Wandel und die Folgen sind bislang noch weitestgehend unverstanden. Aus vormaligen Informationsempfängern, deren Techniken individueller Suche nach Inhalten im Netz sich laufend verfeinern, sind zugleich auch Sender und datenschutzrechtlich Verantwortliche geworden.

Preisgegeben haben sie ihr Verhalten bereits zuvor in einem überwiegend rezeptiven Internet, in welchem ihre «click streams» durch das sogenannte «tracking» auswertbar waren und sind. Doch diese Möglichkeit der Erstellung von Profilen potenziert sich im Social Web zu weitaus umfangreicheren Bewegungs-, Bekanntschafts-, Kommunikations- und Verhaltensprofilen. Denn die Nutzer veröffentlichen selbst Inhalte, kommunizieren voll beobachtbar mit Dritten und machen dabei Aussagen über sich und ihre Umwelt.

Datenschutzrechtlich weitaus relevanter sind die Geschäftsmodelle der großen Web-Anbieter. Einige Unternehmen beherrschen den Markt derzeit quasimonopolistisch. Sie verfügen über äußerst detailreiche Informationen ihrer Kunden, oft seitenübergreifend. Daneben entwickeln sich Foren und Bewertungsplattformen, deren Gegenstand konkrete Personen (Lehrer, Ärzte, Handwerker usw.) sind und die oftmals Konflikte provozieren.

Daten entziehen sich zunehmend den Verfügungsbereichen Privater, von Unternehmen oder auch von Nationalstaaten. Mit den Geschäftsmodellen des «cloud computing» wird eine Lokalisierung der Datenverarbeitung oft unmöglich und damit die gesetzliche Bindung der Datenverarbeitung erschwert. Schließlich werfen auch Anwendungen des Ubiquitous Computing zahlreiche datenschutzrechtliche Fragen auf.

Dieser rasante Wandel der Angebote des Internets sowie der damit einhergehenden Datenverarbeitungen führt zu Verunsicherungen. Soziologisch betrachtet kann man den diesen Entwicklungen entgegengehaltenen Datenschutz als eine Form gesellschaftlicher Problemverarbeitung verstehen. Funktional besehen schafft er Akzeptanz und Vertrauen für einen als überwältigend neu und übermächtig empfundenen Technikwandel.

Datenschutz in .de und .eu

Normativ gesehen handelt es sich beim Datenschutz um ein Grundrecht. Ziel ist die Freiheit, grundsätzlich selbst zu entscheiden, was mit den einen selbst betreffenden Daten und Informationen geschieht. Die Datenschutzdebatte ist bereits seit gut 40 Jahren ein lebendiger Bestandteil staatlicher Handlungsüberlegungen wie auch des Rechts. Weil der Datenschutz europäischer Prägung übergreifend gesetzlich ausgeformt wurde, betrifft er «mitlaufend» praktisch alle Lebensbereiche und sowohl staatliche als auch nicht-staatliche Datenverarbeitungen.

In Europa, besonders in Deutschland finden sich die wohl differenziertesten Aussagen zu Inhalten als auch Grenzen des Datenschutzes. Mitte der 1990er-Jahre machte sich die Europäische Union große Teile des bundesdeutschen Datenschutzprogramms durch Inkorporation in die Europäische Datenschutzrichtlinie 95/46 zu eigen. Die Mitgliedstaaten regeln den Umgang mit personenbezogenen Daten und Informationen übergreifend und systematisch.

No Privacy – Der amerikanische Weg

Die USA mit ihrem deutlich abweichenden Verständnis von Privatheit prägen nach wie vor das uns bekannte Internet. Facebooks Marc Zuckerberg und Googles Eric Schmitt stehen mit ihrer Rede vom Ende der «privacy» in einer schon längeren Tradition von Äußerungen US-amerikanischer Unternehmenschefs, die nur vor dem Hintergrund des US-amerikanischen Privacy-Verständnisses überhaupt verständlich sind.

Einerseits sind die USA eine Spitze der Datenschutzbewegung. Bereits 1969 kam es dort zu einer breiten Bewegung gegen staatliche Volkszählungspläne. Andererseits hat diese frühe Auseinandersetzung unter dem Begriff «privacy» einen ganz anderen Verlauf genommen als in Europa. Eine unmittelbare Anerkennung eines allgemeinen «right to privacy» durch den Supreme Court erfolgte nie. Es blieb bei einer rudimentären Rechtsprechung, die sich nicht auf Privatwirtschaft erstreckt. Dort bleibt es fast ausschließlich beim Deliktsrecht.

Inhaltlich fällt auf, dass die US-Debatte und das Verständnis von «privacy» einerseits nach wie vor stark von Konstrukten wie «Privatheit versus Öffentlichkeit » oder durch die vom «supreme court» geprägte Formel von der «vernünftigen Erwartbarkeit von Privatheit» geprägt wird. Erst in jüngster Zeit finden sich zumindest wissenschaftliche Beiträge (so z.B. von D. Solove, M. Ryan Calo und H. Nissenbaum), welche komplexere Schutzmodelle anbieten, die starke Ähnlichkeiten mit Grundprinzipien des europäischen Datenschutzes aufweisen.

Die Krise des Datenschutzes

Das Regelungsdefizit liegt zum Teil im Regelungsgegenstand selbst begründet. Mit der Datenverarbeitung wird ein innovatives Feld erfasst, das auch den Gesetzgeber unter ständigen Veränderungs- und Nachbesserungsdruck stellt. Er muss seine Instrumente laufend anpassen, um ein Leerlaufen seiner Regelungen zu vermeiden. Das Vollzugsdefizit ist teilweise hausgemacht. Überbürokratische und nicht unabhängige Aufsichtsbehörden in einigen Ländern verhindern eine effektive Aufsicht.

Zum Teil aber liegt die Krise an einer ideologischen Aufladung der Diskussion. Datenschutz hat sich parallel zum Diskurs sogenannter innerer Sicherheit entwickelt und ist mit ihm eng verwoben. Der sogenannte Kampf gegen den Terrorismus, aber auch die Bekämpfung organisierter Kriminalität sowie der Kriminalität im Allgemeinen haben zu einem steten Ausbau der Sicherheitsbehörden sowie ihrer Aufgaben und Befugnisse geführt. Von Grundrechtswie Bürgerrechtskundigen wurde dies von Beginn an mit großem Unbehagen beobachtet und kritisiert. Hier gibt es verhärtete Fronten zwischen Befürwortern und Gegnern des Datenschutzes.

Im Bereich der nicht staatlichen Datenverarbeitung sieht es anders aus. Obwohl es allgemeine gesetzliche Regeln gibt, rangiert insbesondere die Regulierung der Datenverarbeitung bei Privatunternehmen bis heute deutlich hinter den Anstrengungen bei der staatlichen Datenverarbeitung. Zum Teil liegt dies daran, dass die Grundrechte im Verhältnis zwischen Privaten (und damit auch zwischen Bürgern und Unternehmen) nur mittelbar gelten sollen. Diese juristische Fiktion allgemeiner Ebenbürtigkeit wirkt besonders dann schräg, wenn es Verbrauchern schlicht an Alternativen mangelt und ihnen strukturell deutlich überlegene Vertragspartner in Gestalt großer Unternehmen gegenübertreten und die Nutzungsbedingungen diktieren. Erst die Datenskandale der vergangenen Jahre haben außerdem das erhebliche Vollzugsdefizit bei den Gummiparagraphen des Bundesdatenschutzgesetzes zutage treten lassen. Sie haben damit den Schutzbedarf des Privatbereichs offenbart, ohne dass der Gesetzgeber bis heute diesen Missstand angegangen ist.

Blinde Flecke der Datenschutzkritik

Die Debatte um den Datenschutz nimmt im Internet einen ganz eigenen Verlauf. Einerseits handelt es sich häufig um gelungene, oft autodidaktische Aneignungen und Aufbereitungen einer komplexen Materie, die zuvor allein noch einem begrenzten Fachpublikum überlassen blieben. Die Veröffentlichungsformen des Internets bewirken damit in gewissem Umfang eine Re-Demokratisierung durch die Rückkehr in den allgemeinen politischen Diskurs. Der Nachteil liegt andererseits darin, dass gelegentlich grundlegendes Fachwissen unberücksichtigt bleibt und Debatten in einigen Bereichen auch hinter den wissenschaftlichen Erkenntnisstand zurückfallen.

Die Debatte des Sommers 2010 um Google Street View polarisierte, denn eine Mehrheit der Bundesbürger stand den Bildveröffentlichungen kritisch gegenüber. Google Street View spitzte den Konflikt zwischen einem US-amerikanischen Verständnis von «privacy» und dem europäischen Konzept der «data protection» zu.

Nach der US-Doktrin sind in der Öffentlichkeit anfallende Daten von vornherein nicht schutzwürdig, denn sie sind dort allgemein wahrnehmbar. Ähnlich der in Deutschland bereits überwundenen Sphärentheorie des Privatrechts bleiben Bürger innerhalb der sogenannten öffentlichen Sphäre datenschutzrechtlich deshalb weitgehend ohne Schutz. Ein kategorialer Unterschied durch die systematische Veröffentlichung und weltweite Abrufbarkeit im Internet, verbunden mit der Möglichkeit der Verknüpfung mit weiteren personenbezogenen Daten, wird dabei nicht gesehen. Es gab deshalb von Beginn an starkes Befremden seitens der «netizens» gegenüber den Plänen der Politik, in diesem Bereich zu regulieren. Die Mehrheit der Bevölkerung bestätigte jedoch das bundesdeutsche Datenschutzverständnis und die zuständige Aufsichtsbehörde. Diese handelte eine Widerspruchsmöglichkeit gegen die Veröffentlichung des eigenen Hauses im Internet aus, weil es eindeutig auf die darin lebenden Personen verweisen kann und mit weiteren personenbezogenen Daten verknüpfbar erscheint. Ganz unstreitig war, dass erfasste Gesichter und KFZ-Kennzeichen gepixelt werden müssen.

Wenn es um das Internet geht, erleben wir die Auferstehung der Ethiken. Von Beginn an war da etwa die sogenannte Netiquette, ein Gespenst, über das viel geschrieben wurde, ohne dass man es je in Aktion sah. Der Plural der Ethiken muss heute betont werden, denn da ist einiges vertreten: Das Bundeskanzleramt etwa forderte jüngst eine «Ethikoffensive für das Internet», und mspro, ein bekannter Blogger, fordert die radikale Abkehr von der individuellen Verantwortungsethik, wie sie zu guten Teilen auch dem Grundgesetz zugrunde liegt. Stattdessen sollen die Informationsinteressen des «Anderen» – in Anlehnung an das Konzept eines französischen Philosophen – im Mittelpunkt stehen. Dabei werden, ganz unbeeindruckt von der Komplexität der realen Datenschutzdebatte, unterschiedlichste Verarbeitungsverhältnisse (Staat und Bürger, Bürger und Unternehmen, Arbeitgeber und Beschäftigte) in einen Topf geworfen.

Mit solchen Forderungen einher geht der Verzicht auf die Formulierung von bürgerrechtlichen Normen und die Beschränkung des Datenschutzes auf reduzierte Schutzprogramme, maximal auf rote Linien. Umgekehrt fordern hingegen radikale Netzpessimisten, oftmals deutlich technikfeindlich angetrieben, «klare Internetgesetze», um dem ruchlosen Treiben des «rechtsfreien» Internets gleich auf ganz vielen Ebenen endlich ein Ende zu setzen. Auch hier ist der Datenschutz zumeist Gegner, und es entstehen merkwürdige Allianzen aus Sicherheitspolitikern, Technikfeinden und Gegnern von Meinungsfreiheit.

Einen Anlass zu einer pauschalen Absenkung der Datenschutzstandards mit Blick auf das Internet gibt es aber nicht. Im Gegenteil: In dem Maße, in dem sich das Internet zum zentralen Kommunikationsraum der Menschen entwickelt, bedarf es auch und gerade aus grundgesetzlicher Perspektive zeitgemäßer Schutzvorkehrungen, um eine weitestgehend autonome Gestaltung der Möglichkeiten der vertraulichen Kommunikation zu gewährleisten.

«Privacy by obscurity» bietet keine rechtlich akzeptable Lösung. Und der allgemeine «free flow of information» ist als Grundsatz nicht ansatzweise konkret genug entfaltet, um den Grundrechten der Einzelnen tatsächlich entgegenzustehen. Dies gilt ebenso für allgemeine Thesen wie «The internet wants to be free», die in ihrer Allgemeinheit bedeutungslos bleiben. Vielmehr stellen sich auch im Kontext des Internets die Fragen eines verfassungsgemäßen Datenschutzes ganz konkret. Es bedarf zahlreicher Unterscheidungen von Datenverarbeitungen im Internet, die ganz unterschiedliche Bewertungen erfahren können. Dies entspricht dem im bundesdeutschen Datenschutzrecht spätestens seit der Volkszählungsentscheidung maßgeblichen Grundsatz des Verwendungskontextes, der letztlich über den konkreten Schutzbedarf entscheidet.

Zum Teil wird der Erfolg des Web 2.0 von Kritikern des Datenschutzes auch als Beweis fehlender Erwartungen der Menschen hinsichtlich ihrer «privacy» herangezogen. Bereits die Nutzung unzureichend datenschutzrechtlich abgesicherter sozialer Netzwerke etwa wird als der Nachweis eines massenhaften Grundrechtsverzichts gewertet. Auch diese Argumentation überzeugt wenig. Nicht nur bei uns, auch in den USA begleitet den Datenschutz in sozialen Netzwerken vielmehr von Beginn an eine kritische Debatte.

Der Schluss, den Menschen fehle es an Interesse hinsichtlich des Schutzes ihrer Daten, scheint insgesamt gewagt angesichts der fehlenden Handlungsoptionen für die User. Die Intransparenz der im Hintergrund ablaufenden Datenverarbeitungen kommt hinzu. Auch Umfragen deuten immer wieder darauf hin, dass sehr wohl eine große Nachfrage besteht, aber die Nutzer eben die derzeitigen Umstände eher duldend hinnehmen, da es an Alternativen mangelt. Und zuletzt darf auch eine entsprechende – unterstellte – massenhafte «Null-Erwartung» den Gesetzgeber nicht aufhalten. Dieser ist vielmehr grundrechtlich gebunden, wesentliche Teile eines die möglichst autonome Nutzung eröffnenden Schutzprogramms zur Anwendung zu bringen, wenn er strukturelle Ungleichheiten zwischen Nutzern und Anbietern für gegeben hält.

Soweit der individuelle Kontrollverlust als unvermeidliche Folge der technischen Entwicklung angesehen wird und daraus das Ende des Datenschutzes folgen soll, so verfehlt diese These in jedem Falle die normative Ebene. Denn aus einem Sein lässt sich kein Sollen ableiten. Und: Der wirkliche Kontrollverlust tritt erst dann ein, wenn der Gesetzgeber seinen Steuerungsanspruch und seine Schutzverantwortung aufgibt. Denn einen Schutz erreicht man, neben Maßnahmen auf Seiten der Grundrechtsträger, besonders durch Bindungen auf der Seite derjenigen, die Daten und Informationen verantwortlich verarbeiten. Vermeintliche Ausweglosigkeiten beruhen häufig auf einem verkürzten Verständnis von Datenschutz, oftmals wird darunter fälschlich auch noch ein eigentumsanaloges Verfügungsrecht über Daten verstanden.

Zum Teil rührt die Kritik am Datenschutz im Kontext des Internets von «netizens», die sich vom Internet immer noch die «ganz andere Zukunft» versprechen. Nicht selten kommt es dabei zu einer Vermengung mit der Debatte um die Postmoderne, um den Abschied vom Subjektbegriff der Aufklärung, von einem als repressiv verstandenen Vernunftbegriff usw. Das Internet verknüpft sich dann mit einer zumeist vage bleibenden Gesellschaftsutopie der vernetzten Gesellschaft, als deren oberstes Ziel die Transparenz aller Daten und Informationen steht. Entsprechende Beiträge wirken oftmals politikfern und realitätsentrückt. Es wirkt zumindest befremdlich, dass sich auch die Gründer der heute dominierenden Unternehmen der Datenwirtschaft in einer durchaus unheiligen Mischung aus kommerziellem Interesse und persönlicher Überzeugung ebenfalls auf diese Utopien berufen. Ihre Unternehmen sind zumeist zentrale Treiber einer Datensammelei, die gerade für die Nutzer bis heute fast völlig intransparent bleibt. Auffällig und totalitär erscheint, wenn Webevangelikale unitarische Erlösungsmodelle anbieten, bei denen sich Spannungsverhältnisse zwischen Einzelnen und der Gesellschaft zum gedachten Ende hin vollständig auflösen sollen. In der optimalen Allokation aller Informationen entwirren sich die Probleme der Welt – mit magischer unsichtbarer Hand – zum Wohle aller? Dieses Heilsversprechen wirkt angesichts einer weiter zunehmenden Komplexität der Lebenswelten wenig überzeugend. Aus bürgerrechtlicher Sicht fehlen die politische Erdung und der Bezug auf die Grund- und Menschenrechte.

Was ist zu tun?

Den eingangs beschriebenen zentralen Herausforderungen des Internets sind die bundesdeutschen Datenschutzgesetze nicht mehr gewachsen. Sie sind nicht internetfähig und gehören deshalb reformiert. Das Schutzprogramm muss so angepasst werden, dass ein hoher Schutzstandard für die Grundrechte auch und gerade im Internet erhalten werden kann. Mit nationalen Alleingängen ist es nicht getan.

Die gerade eröffnete Reformdiskussion zur EG-Datenschutzrichtlinie 95/46 geht in die richtige Richtung. Darüber hinaus bedarf es weiterer internationaler Impulse, um der globalen Dimension gerecht zu werden. Dazu zählen aussagekräftige Datenschutzabkommen der EU mit den USA sowie etwa die Neuverhandlung des Safe-Harbor-Abkommens, das bislang inhaltlich leer läuft, aber auch internationale Abkommen.

Damit ist der nationale Gesetzgeber nicht entlastet. Er muss ebenfalls seine Hausaufgaben machen. Selbstregulierungen genügen nicht, wenn diese als Gelegenheit zur Absenkung von Schutzstandards dienen. Reformvorschläge existieren bereits seit den unvollendet gebliebenen rot-grünen Modernisierungsbemühungen von 2000. Jüngst haben die Datenschutzbeauftragten in einem Eckpunktepapier wichtige Elemente bereits benannt. Dazu zählen eindeutige Regelungen zur Profilbildung, Verbesserungen des Selbstdatenschutzes, der Transparenz sowie der unabhängigen Datenschutzaufsicht. Bei einzelnen Problemlagen bedarf es konkreter Einzelregelungen, um möglichst konkrete und sachgerechte Interessenausgleiche zu erzielen.

Insgesamt muss sich der Datenschutz noch deutlicher in Richtung eines Mehr-Ebenen-Ansatzes entwickeln, bei dem neben das «klassische» Ordnungsrecht mittelbare Steuerungsanreize wie das Gütesiegel- und Auditierungsmodell, aber auch Privacy by Design als zumindest für bestimmte Branchen verpflichtende Vorgabe treten. Innovative Steuerungsmodelle sind zu entwickeln, um ein hohes Schutzniveau zu erhalten und damit den Bürgern eine weitestgehende Autonomie hinsichtlich der Daten und Informationen zu erhalten, die sie betreffen oder betreffen könnten.

Dieser Beitrag erschien im Band „#public_life – Digitale Intimität, die Privatsphäre und das Netz“, den die Heinrich-Böll-Stiftung pünktlich zur re:publica 2011 herausgegeben hat.  Darin versammelt die Stiftung Beiträge, welche die Bedeutung von Privatheit und Öffentlichkeit vor dem Hintergrund der Digitalisierung der Gesellschaft betrachten und auch kontrovers diskutieren. Ihr könnt ihn auf boell.de kostenlos herunterladen oder gedruckt bestellen.

Das Heft und der vorliegende Text stehen unter einer Creative Commons-Lizenz.

Category
Tags

Comments are closed

Archive