„Zeit für einen Paradigmenwechsel“

Vier Forderungen an einen modernen Datenschutz

Der Original-Artikel erschien in der Frankfurter Allgemeinen vom 25. Mai 2010.

„Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ So begründete das Bundesverfassungsgericht schon 1983 im legendären Volkszählungsurteil das Recht auf informationelle Selbstbestimmung. Diese Entscheidung war damals Ausgangspunkt  für eine grundlegende Novellierung des Bundesdatenschutzgesetzes und bleibt bis heute seine Grundlage. Was vor einem Vierteljahrhundert nicht absehbar war: der Themenkomplex Datenschutz und Privatsphäre ist heute wichtiger und gegenwärtiger als je zuvor.

Längst stellt der Eintrag im Telefonbuch oder das schwarze Brett an der Kaufhalle nicht mehr die für den Normalbürger maximale Publikationsreichweite dar, längst haben das Internet, namentlich soziale Netzwerke, personalisierte Werbung und ortsbasierte mobile Services völlig neue Fragestellungen aufgeworfen. Aber nicht nur Technologien haben sich verändert. Im Zentrum aller Überlegungen zum Datenschutz steht heute eine völlig veränderte Konstellation: Anders als 1983 geht heute nicht mehr vom Staat die größte Gefahr für die informationelle Selbstbestimmung aus. Denn im 21. Jahrhundert ist die Privatsphäre der Menschen wesentlich stärker von privaten Unternehmen berührt als vom Staat– von  Unternehmen, deren Geschäftsmodelle auf der intelligenten Nutzung und Monetarisierung von Daten beruhen, für die Daten  gleichsam zum Rohstoff geworden sind.  Wenn aber nicht mehr das Verhältnis von Staat zu Bürger im Mittelpunkt steht, sondern das von Unternehmen zu ihren Kunden, dann treten andere, neue  Erwägungen in den Vordergrund: Es geht weniger um Grundrechtsschutz, sondern mehr um eine fairen Abwägung von unterschiedlichen Interessen.  Kann dieser dringend nötige Interessenausgleich mit alten Konzepten gelingen?

Daten: Der Rohstoff im 21. Jahrhundert

„Unser Recht passt nicht mehr ins Internetzeitalter“, urteilte kürzlich der baden-württembergische Datenschutzbeauftragte Jörg Klingbeil nach der 79. Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Und tatsächlich: Jeder, der sich in einem Geschäftsfeld bewegt, das den Umgang mit personenbezogenen Daten beinhaltet, weiß von der Unzulänglichkeit des geltenden Datenschutzrechts; das beginnt oft schon bei der Frage, was genau personenbezogene Daten überhaupt sind. So wird zum Beispiel die Frage, ob IP-Adressen personenbezogen sind, kontrovers diskutiert. Besonders problematisch: Niemand weiß sicher, ob bestimmte Praktiken erlaubt sind, oder nicht. Und Rechtsunsicherheit führt nicht zu mehr, sondern im Gegenteil zu weniger Schutz des Bürgers.

Kein Wunder, dass auch  immer mehr Juristen vor der Unzulänglichkeit des deutschen Datenschutzrechtes warnen.. Nie war informationelle Selbstbestimmung im Wortsinne wichtiger als heute, denn im ebenso allgegenwärtigen wie allwissenden Internet definieren die verfügbaren Informationen mehr und mehr die Identität des Einzelnen. Wir brauchen daher einen Paradigmenwechsel des Datenschutzrechtes, um den Bürger und den Konsumenten adäquat zu schützen, aber auch um den Unternehmen Rechtssicherheit zu geben. Dabei geht es nicht um eine Verschlechterung des heutigen Niveaus, erst recht nicht um einen generall laxeren Umgang mit Daten. Es geht um einen intelligenten Datenschutz, der Interessen der Beteiligten wahrt und insbesondere folgende Anforderungen erfüllt:

1. Transparenz  für den Nutzer
2. Klare gesetzliche Regelungen für die Anwender
3. Durchsetzbarkeit auf internationaler Ebene
4. Fairer Interessenausgleich

1. Transparenz: Trotz aller Bemühungen kann von Transparenz für Anwender hinsichtlich der Verwendung ihrer Daten heute in vielen Fällen keine Rede sein. Hier sind nicht zuletzt die Unternehmen gefragt:  Allgemeine Geschäftsbedingungen sind von Natur aus komplexe Regelwerke, eben weil sie vom Gerichtsstand bis zum Haftungsausschluss alle möglichen und denkbaren Szenarien abdecken; ähnliches gilt für die Datenschutzerklärungen der Anbieter. Hier bestehen massive Unterschiede in der Verständlichkeit und Verbindlichkeit der Erklärungen, wie regelmäßig in Medienberichten festgestellt wird. Trotz aller Komplexität müssen die Anbieter in ihren Datenschutzbestimmungen bestmögliche Verständlichkeit für ihre Nutzer schaffen: so ausführlich wie nötig, so eindeutig wie möglich.

2. Gesetzliche Regelungen und entsprechende Institutionen müssen im 21. Jahrhundert ankommen und klare und eindeutige Antworten geben. Der Schutz von Persönlichkeitsrechten und namentlich das Recht auf informationelle Selbstbestimmung sind aktueller denn je – nur müssen die konkreten Ausgestaltungen die tatsächlichen Möglichkeiten und Nutzungen berücksichtigen. Die gegenwärtige Gesetzgebung hält trotz umfangreicher Novellierungen von BDSG und Telemediengesetz in den vergangenen Jahren nicht mit der technischen und folglich gesellschaftlichen Entwicklung mit.

Bereits im Sommer 2008 hat der Schleswig-Holsteinische Landesdatenschutzbeauftragte und Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein Dr. Thilo Weichert auf einige besondere Absurditäten hingewiesen, etwa dass in strenger Auslegung des BDSG das Einstellen von Daten im Netz gar nicht möglich wäre, weil diese auch in fremde Staaten ohne hinreichende Garantien zum Schutz übertragen werden könnten.

Wer ist eigentlich Verantwortlicher bei einer Online-Plattform – der Betreiber der technischen Plattform, der Benutzer, beide? Unklar. Besonders die immer weiter fortschreitende Interkonnektivität und Dezentralisierung von Informationen wirft diese Frage weiter auf, zum Beispiel bei der Synchronisation der auf dem eigenen Mobiltelefon gespeicherten Kontaktdaten mit einem Online-Adressbuch. Besonders hier zeigt sich, dass die Wünsche der Nutzer – allgemeine Verfügbarkeit ihres Netzwerks und ihrer Daten bei gleichzeitig eisern geschützter Privatsphäre – schwer miteinander zu vereinbaren sind.

3. Durchsetzbarkeit, grenzübergreifend:  Die gegenwärtige Situation stellt effektiv eine systematische Benachteiligung deutscher Anbieter und Anwender dar. Anbieter hierzulande halten sich an die strengen Datenschutzbestimmungen, die das „Verbot mit Erlaubnisvorbehalt“ beinhalten, der Status Quo in den USA gibt den Unternehmen unvergleichlich viel mehr Möglichkeiten. Auch deutsche Nutzer sind in der gegenwärtigen Situation benachteiligt, zum Beispiel wenn sie gegenüber einem US-Anbieter die Herausgabe oder die Löschung von Daten beantragen wollen. Das „Safe Harbor“-Abkommen zwischen der Europäischen Union und den USA, das eigentlich ein angemessenes Datenschutzniveau bei den beteiligten US-Unternehmen gewährleisten soll,  steht in der Kritik. Die Verbraucherschutz-Allianz Trans Atlantic Consumer Dialogue verglich den existierenden Safe-Harbor-Datenschutz kürzlich eher mit der Küste am Horn von Afrika als mit einem sicheren Hafen, den das Abkommen eigentlich darstellen soll.

Was offenbar fehlt sind verbindliche internationale Regelungen, die das Vertrauen auf Anwenderseite herstellen  und international vergleichbare Standards schaffen.

4. Fairness. Gerechte Rahmenbedingungen berücksichtigen die Interessen der Bürger und Konsumenten, statten die Anwender mit dem nötigen Schutz und, wichtiger noch, mit Rechten gegenüber datenverarbeitenden Entitäten aus.

Dabei sollten sie jedoch in einem vernünftigen Rahmen bleiben. Eine Authentifizierung aller Mitglieder eines Netzwerks per PostIdent-Verfahren etwa, wie sie mitunter zur Wahrung von Online-Identität und zum Schutz vor Identitätsdiebstahl vorgeschlagen wird, verliehe dem Begriff „Portokasse“ völlig neue Dimensionen. Auch diskutierte Ansätze hinsichtlich eines grundsätzlichen Einwilligungserfordernisses für Cookies, auch wenn diese keine unmittelbar personenbezogenen Daten enthalten, schössen weit über das Ziel hinaus und würden das Online-Erlebnis für Anwender erheblich schmälern. Faire Rahmenbedingungen müssen vernünftige Anwendungsfälle, die unzweifelhaft im Sinne der Anwender stehen, etwa Anwendungen für das einfachere Verwalten von Business-Kontakten, ermöglichen.

Ein Vierteljahrhundert ist es her, dass in Seminaren  und in den Kantinen über Fragebögen zur Ermittlung der demographischen Zusammensetzung der Republik debattiert wurde. Der Umfang der damals in der Volkszählung erhobenen Daten ist aber geradezu lächerlich im Vergleich mit dem, was heute jedes soziales Netzwerk oder auch erst recht eine Suchmaschine weiß.Der  Umgang mit Datenschutz steht vor  ganz neuen Herausforderungen, auf die es Antworten zu finden gilt. Am Ende darf kein laxerer Umgang mit Daten stehen, sondern ein intelligenterer.