Tag Archives: informationelle Selbstbestimmung

Fehlstart! Dorothee Bärs eigenartiges Datenschutzverständnis

„Wir brauchen … endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert.“ Dieser Satz stammt nicht etwa von dem Vertreter einer der viel gescholtenen Datenkraken aus den USA, sondern von Dorothee Bär (CSU), der designierten Staatsministerin „für Digitales“ der neu aufgelegten großen Koalition. Ihr zentrales Projekt besteht offensichtlich darin, die sensibelsten Daten weltweit verfügbar zu machen, etwa Patientendaten: „Und auch im Gesundheitsbereich liegen so viele Chancen! Könnten Daten deutscher Patienten mit weltweiten Datenbanken abgeglichen werden, wäre eine Diagnose oft schneller da, als sie zehn Ärzte stellen können,“ meinte sie in einem Interview mit der Bild-Zeitung vom 5. März 2018.

Auch wenn das nicht so gemeint war: Datenschutz hat etwas zu tun mit grundlegenden Wertvorstellungen, die im 18. Jahrhundert – formuliert wurden und die, müsste man meinen, auch heute noch das Fundament unserer freiheitlichen Gesellschaft bilden: Die von Jean-Jacques Rousseau geprägte Vorstellung von Menschenrechten, bürgerlicher Freiheit und Selbstbestimmung. Sie sind in die im Jahr 1776 in die Bill of Rights von Virginia und von der französischen Nationalversammlung am 26. August 1789 beschlossene Erklärung der Menschen- und Bürgerrechte eingeflossen. Datenschutz ist nichts anderes als die Gewährleistung des Selbstbestimmungsrechts im digitalen Zeitalter. Nicht umsonst billigt das Bundesverfassungsgericht seit seinem Volkszählungsurteil von 1983 jedem Menschen ein „Grundrecht auf informationelle Selbstbestimmung“ zu. Die Grundrechte auf Wahrung der Privatsphäre und den Schutz der personenbezogenen Daten sind zudem durch Art. 7 und Art. 8 der Charta der Grundrechte der Europäischen Union direkt anwendbares Recht in allen Mitgliedstaaten der EU.

In der regierungsseitig offensichtlich angestrebten „smarten Datenkultur“ ist für Bedenkenträgerei von Datenschützern offensichtlich kein Platz. Während sich sogar bei US-Unternehmen, nicht zuletzt aufgrund der Neuregelungen im europäischen Datenschutzrecht, allmählich die Auffassung durchsetzt, ohne Datenschutz ließen sich in Zukunft keine guten Geschäfte mehr machen, gibt es in der Bundesregierung offensichtlich die Tendenz, den Schutz personenbezogener Daten auf dem Altar der Profitabilität zu opfern. Zudem sei daran erinnert, dass sich maßgebliche Vertreter der bisherigen Bundesregierung, allen voran Bundesinnenminister Thomas de Maizière, massiv dafür eingesetzt haben, sämtliche Verarbeitungsmöglichkeiten, die der Wirtschaft zur Verfügung stehen, auch staatlichen Stellen zu erlauben.

Man darf gespannt sein, wie sich der Koalitionspartner der Unionsparteien, die SPD, zu einer derartigen Marschrichtung stellt – schließlich hatte sie sich ja einiges darauf zugute gehalten, in der Koalitionsvereinbarung die eine oder andere Formulierung zum Schutz der Bürger und Verbraucher vor der Datenübermacht durchgesetzt zu haben.

Eine Digitalisierung, die auf der umfassenden Überwachung und maximalen Ausnutzung persönlicher Daten beruht, wäre ein Fluch und kein Segen. China macht das gerade mit der Einführung eines umfassenden Social Scoring Systems vor. Deshalb gilt es, dafür einzutreten, dass sich die grundlegenden Werte einer freiheitlichen Gesellschaft auch in der Digitalstrategie im 21. Jahrhundert wiederfinden. Dazu gehört auch der Datenschutz.

Ihr Peter Schaar

Datenreichtum statt Datensparsamkeit?

Beim diesjährigen „Nationalen IT-Gipfel“, der am 16. und 17. November 2016 in Saarbrücken stattfindet, geht es auch um die Zukunft des Datenschutzes. Zeitgleich mit der Europäischen Datenschutzreform, die den Schutz der Privatsphäre und der personenbezogenen Daten verbessern soll, wird von Politikern und Unternehmensverbänden das im deutschen und europäischen Datenschutzrecht verankerte Prinzip der „Datensparsamkeit“ unter Beschuss genommen.

Schon in den zum IT-Gipfel 2015 vom Bundesministerium für Wirtschaft und Energie zum IT-Gipfel 2015 veröffentlichten „Leitplanken Digitaler Souveränität“ warnte das Bundeswirtschaftsministerium davor, datenbasierte digitale Geschäftsmodelle würden „durch ein unzeitgemäßes Datensparsamkeitsdiktat verhindert … Bisherige Grundprinzipien des Datenschutzes wie Datensparsamkeit und Zweckbindung müssen überprüft und durch Prinzipien der Datenvielfalt und des Datenreichtums ergänzt und ersetzt werden.“

Im Vorfeld des diesjährigen IT-Gipfels sehen manche PolitikerInnen gar den Wohlstand  unserer Gesellschaft gefährdet, sollten wir an dem Konzept der „Datensparsamkeit“ festhalten:. „Wer Datensparsamkeit predigt, riskiert nicht nur wirtschaftlichen Stillstand und gefährdet damit unseren Wohlstand, sondern er verhindert auch neue Entwicklungen zum Wohle der Menschen“, zitiert etwa das Handelsblatt die stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Nadine Schön.

Nun ist der Begriff „Datensparsamkeit“ – genauso wie sein Pendant „Datenreichtum“ – durchaus ambivalent. Zum einen handelt es sich dabei nicht wirklich um Gegensätze, denn die Negationen von Sparsamkeit sind – positiv – Großzügigkeit oder – negativ – Verschwendung. Und das Gegenteil von Reichtum ist Armut. Ob Sparsamkeit eine Tugend ist, wie sie der schwäbischen Hausfrau zugeschrieben wird, oder aber in ihrer übersteigerten Form im Sinne von Geiz  eine der sieben Todsünden, mag dahingestellt bleiben.

Bei genauerer Betrachtung zeigt sich, dass hier ein Popanz aufgebaut wird, um den ohnehin löcherigen Schutz personenbezogener Daten weiter abzusenken. § 3a Bundesdatenschutzgesetz verpflichtet die für die Datenverarbeitung verantwortlichen Stellen dazu, die Ausrichtung der Auswahl, der Gestaltung und des Betriebs von Datenverarbeitungssystemen an der Maxime auszurichten, „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“. Insbesondere sind die Daten zu anonymisieren oder zu pseudonymisieren, „soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“

Datenüberfluss

Das empirisch belegte „Moore’sche Gesetz“, wonach sich die Leistungsfähigkeit der IT-Komponenten alle 18 bis 24 Monate verdoppelt, legt nahe, dass die technologische Realität von immer größeren Datenmengen geprägt ist. Den nächsten Quantensprung bringt das Internet of Things, das unsere Lebensumwelt auch in Bereichen digitalisiert, die bisher durch analoge Techniken geprägt waren. Die Datenverarbeitungsprozesse sind dabei funktional in die Gegenstände, Prozesse und Interaktionen integriert. Daten sind nicht mehr allein „Werkstoff“, sondern sowohl Voraussetzung als auch Ergebnis des Verarbeitungsprozesses, und sie fallen in bislang unbekanntem Umfang an. Insofern stimmt es schon, dass unsere hochtechnisierten Gesellschaften zunehmend „Datenreichtum“ produzieren.

Damit ist allerdings nicht gesagt, dass das Konzept der Datensparsamkeit auf den Müllhaufen der IT-Geschichte gehört. Um im Bild zu bleiben: Es gibt es auch in reichen Gesellschaften durchaus Gründe, sparsam zu handeln, sei es beim Umgang mit natürlichen Ressourcen oder auch als Vorsorge für Notsituationen. Dass materieller Reichtum bisweilen auch zu Lasten wichtiger anderer Güter – etwa der Umwelt – geht oder dass die ihm zu Grunde liegenden Prozesse vielfach Ungleichheit und Ausbeutung voraussetzen oder erzeugen, kann heute niemand mehr bestreiten. Auch bei dem Umfang gespeicherter Daten und der Verfügung über sie muss die Frage erlaubt sein, ob es hier zu vergleichbaren negativen externen Effekten kommt. Sofern man nicht der maßlosen Datenerzeugung das Wort redet, was ich nicht einmal den Befürwortern des „Datenreichtums“ unterstellen würde, stellt sich die Frage des rechten Maßes, und zwar nicht nur in Bezug auf Datenvolumina, sondern auch im Hinblick auf die Rahmenbedingungen ihrer Verarbeitung, der Transparenz der Prozesse und Strukturen und der Verwendung der einzelnen Daten oder der aus großen Datenmengen gewonnenen Erkenntnisse.

Es geht um die sehr bedeutsame Frage, inwieweit es überhaupt wünschenswert ist, Informationstechnik datenschutzgerecht zu gestalten, denn die kritisierten Begriffe stehen im Zusammenhang des übergreifenden Konzepts „Privacy by Design“ (PbD), das heute zu den unbestrittenen Werkzeugen im globalen Datenschutz-Instrumentenkasten gehört und auch die im Jahr 2018 in Kraft tretende EU-Datenschutzgrundverordnung prägt. Wer diese Frage verneint, stellt nicht nur Privacy by Design infrage, sondern den Datenschutz überhaupt. Denn das PbD-Konzept ist letztlich nichts anderes als die Operationalisierung der verfassungsrechtlich begründeten Prinzipien der Erforderlichkeit und der Zweckbindung. Erforderlichkeit und Zweckbindung ergeben nur zusammen einen Sinn, denn ohne Zweckfestlegung lässt sich die Erforderlichkeit der Daten nicht beurteilen. Die Speicherung von Daten ohne vorgegebenen Zweck stellt eine Vorratsspeicherung dar, die nur in besonderen Verarbeitungskontexten überhaupt zulässig sein kann (Statistik, Wissenschaft). Insofern würde mit dem Abgehen von der Zweckbindung zwangsläufig auch der Erforderlichkeitsgrundsatz entsorgt.

Grundrecht auf informationelle Selbstbestimmung

Zweckbindung und Erforderlichkeit sind – ebenso wie der Schutz der Privatsphäre – nicht deshalb überholt, weil sich die Technologie rasant weiterentwickelt. Das Bundesverfassungsgerihct hatte 1983 in seinem Volkszählungsurteil das Konzept eines Grundrechts auf informationelle Selbstbestimmung entwickelt, wonach unter den „Bedingungen der modernen Datenverarbeitung … der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ werde (BVerfGE 65, 1, S.1). Das Grundrecht gewährleiste insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Gerade die potentielle Unbegrenztheit der elektronischen Datenverarbeitung mache den Schutz des Einzelnen erforderlich und verpflichte den Staat zur Gewährleistung der entsprechenden Rahmenbedingungen.
Das Bundesverfassungsgericht folgt einem risikobasierten Ansatz: Je stärker die Gefährdungen, desto höher sind die Anforderungen an den Schutz. Das Gericht hatte dabei im Blick, dass sich die Informationstechnologie weiterentwickelt und immer leistungsfähiger wird. Die Befugnis zur Datenverarbeitung bedürfe „unter den heutigen und künftigen Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes.“ Personenbezogene Daten seien technisch gesehen unbegrenzt speicherbar und könnten jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abgerufen werden und sie „können darüber hinaus – vor allem beim Aufbau integrierter Informationssysteme – mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne daß der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren kann.“ (BVerfG, a.a.O. S. 42)

Big Data

„Big Data“ steht wie kein anderer Begriff für den Übergang zu einem neuen Modell des Umgangs mit Informationen. Der Begriff umschreibt den Umgang mit riesigen Datenmengen, und zwar im wesentlichen im Rahmen einer Zweitverwertung zu anderen als den ursprünglichen Erhebungszwecken. „Big Data“-Ansätze“ folgen dem Paradigma, immer größere Datenberge anzuhäufen in der Hoffnung, durch den Einsatz immer leistungsfähigerer Hard- und Software neue Erkenntnisse zu gewinnen. Gemäß diesem Paradigma handeln auch die erfolgreichen globalen Internetunternehmen, allen voran Google und Facebook. Je umfangreicher die aus dem Nutzungsverhalten gewonnenen Erkenntnisse sind, desto zielgenauer lassen sich Werbebotschaften adressieren und desto genauer passen sich die den Nutzern dargebotenen Informationen deren vermeintlichen oder tatsächlichen individuellen Interessen an. Bezogen auf das jeweilige Nutzerprofil für weniger relevant gehaltene Informationen werden ihnen nicht präsentiert oder nur nachrangig verfügbar gemacht. Je zielgenauer die entsprechende Werbebotschaft platziert wird, desto geringer ist der Streuverlust und desto höher ist der Preis, den der jeweilige Werbetreibende zu bezahlen hat.

Das einzelne Datum, das nach klassischem Datenschutzverständnis danach bewertet wird, ob es für die eigentliche Aufgabenerfüllung erforderlich ist oder eben nicht, verliert aus Sicht der Plattformbetreiber an Bedeutung. Gefragt sind immer größere, möglichst aus unterschiedlichen Quellen und Verarbeitungskontexten stammende Daten, die miteinander korreliert werden und dadurch Hinweise auf Zusammenhänge liefern können.

Die nicht unbedeutenden Kosten der – nur vordergründig kostenlosen – Suchmaschinen, sozialen Netzwerke, und anderer Internetdienste werden zum größten Teil  mit  einer Art Umwegfinanzierung über die werbende Wirtschaft aufgebracht, die ihre Aufwendungen den Kundinnen und Kunden natürlich über den Preis in Rechnung stellt. Auch Vermittlungsplattformen wie Uber oder Airbnb sind für den Nutzer nicht wirklich kostenlos. Letztlich bezahlen sie sogar doppelt: Durch ihre persönlichen Daten, die sie dem Anbieter der Vermittlungsplattform zur Verfügung stellen und durch die in den Kaufpreis eines Produkts oder in die Nutzungsgebühr für kostenpflichtige Dienstleistungen einkalkulierte Vermittlungsprovision. Die genaue Höhe oder auch nur die Größenordnung des durch die Datennutzung erzielten Mehrwerts bleibt dem Verbraucher bzw. Nutzer verborgen. Deshalb ist e auch konsequent, dass Verbraucherschützer hier mehr Transparenz fordern.

 

Anonymisierung und Pseudonymisierung
Datenschützer würden sich  bei dem Versuch überheben, Big Data oder das Internet of Things zu verhindern. Auch um dem falschen Eindruck zu begegnen, sie kämpften als moderne Don Quijotes gegen die informationstechnischen „Windmühlen“ des 21. Jahrhunderts, müssen sie sich auf die Gestaltungsmöglichkeiten von Big Data, Cloud-Diensten und des IoT konzentrieren. Die Herausforderung besteht also darin, die Möglichkeiten einer rechts- und sozialverträglichen Technikgestaltung und -verwendung zu erkennen und zu aktivieren. Bereits jetzt lassen sich eine Reihe von Stellschrauben erkennen, mit denen sich Datenschutzanforderungen auch angesichts neuer Paradigmen der Informationsgewinnung und sich schnell entwickelnder Technologien durchsetzen lassen. Die Sammlung, Aufbereitung und Auswertung der Daten sollte so gestaltet werden, dass sie grundsätzlich ohne Personenbezug erfolgen. Bei einem solchen zeitgemäßen Datenschutzansatz geht also nicht darum, das Datenaufkommen insgesamt zu minimieren, sondern die Menge der auf einzelne natürliche Personen beziehbaren Daten. Dabei  sollte der Charakter der personenbezogenen Daten und ihr Verwendungskontext beachtet werden.

Sowohl die Aussagekraft von Daten als auch die mit ihrer Verwendung verbundenen Risiken hängen vielfach mit der Speicherungsdauer zusammen. Von zentraler Bedeutung bleibt deshalb die Festlegung der entsprechenden Fristen, bei deren Erreichen Daten gelöscht bzw. anonymisiert werden.

Zunächst sollte die Verarbeitung großer Datenmengen so kanalisiert werden, dass der Umfang und die Menge direkt auf einzelne Personen bezogener Daten von Beginn an  so gering wie möglich bleibt. Schon bei der Erhebung sollte stets geprüft werden, ob tatsächlich eine Vollerhebung aller in Frage kommenden personenbezogenen Daten erforderlich ist und für welchen Zeitraum. Dies gilt speziell für die Prozessdaten (Meta Data), die zur Ausführung einer spezifischen Transaktion (Informationsabfrage im Internet, Steuerung eines technischen Geräts, Positionsbestimmung usw.) benötigt werden. Diese Daten weisen zwar im Regelfall bei isolierter Betrachtung eine geringe Sensitivität auf, ermöglichen aber – wenn sie massenhaft gespeichert werden – datenschutzrechlich problematische -detaillierte Persönlichkeitsprofile.

Bei der Speicherung sollten die Identifikationsangaben (Name, Anschrift usw.) von den Nutz- (bzw. Inhalts-)daten getrennt werden. In vielen Anwendungsfeldern lässt sich durch die Absonderung und ggf. Löschung der Identifikationsdaten eine hinreichende Anonymisierung erreichen.

Sofern Daten einer Person, die aus verschiedenen Bereichen oder aus unterschiedlichen Zeitpunkten stammen, für rechtmäßige Zwecke zusammengeführt werden sollen, ist darauf zu achten, dass die Zusammenführung nicht mittels der persönlichen Identifikationsdaten, sondern unter Pseudonym erfolgt. Die Pseudonymisierung führt zwar vielfach nicht zur Aufhebung des Personenbezugs, vermindert aber die Eingriffstiefe in das Recht auf informationelle Selbstbestimmung und das Risiko des Datenmissbrauchs bei unrechtmäßigem Zugriff. Mit der Verwendung kryptographischer Verfahren kann den Risiken für die Vertraulichkeit und Integrität der Daten entgegenwirken.

 

Datenschutz-Empowerment
Schließlich geht es darum, den Einzelnen wieder verstärkt zu befähigen, die Kontrolle über die ihn betreffenden Daten auszuüben. Inwieweit dies gelingt, ist ebenfalls eine Frage der Technikgestaltung. Digitale Systeme, deren Funktionsweise durch Hard- und Software determiniert ist, bestimmen mindestens in demselben Ausmaß wie rechtliche Vorgaben darüber, welche Einflussmöglichkeiten der Einzelne hat, wenn er sie selbst nutzt oder ob er Objekt der Verarbeitung seiner Daten durch Dritte ist.

Dabei kommt Ansätzen, die Nutzerpräferenzen bzw. rechtliche Vorgaben technisch abbilden, besondere Bedeutung zu. Angesichts der Komplexität der technischen Systeme und der tendenziell unbegrenzten Nutzungsmöglichkeiten der Daten läuft das informationelle Selbstbestimmungsrecht leer, wenn letztlich der komplette Datenverarbeitungsprozess allein auf pro forma-Einwilligungen beruht, die den für die Verarbeitung verantwortlichen Stellen de facto freie Hand lassen. Vor diesem Hintergrund sind technische Ansätze wie P3P (Platform for Privacy Preferences) heute notwendiger denn je.

Bei Beachtung dieser Maximen steht der Datenschutz nicht in unauflösbarem Widerspruch zu Geschäftsmodellen, die auf der Auswertung großer Datenmengen beruhen.

Zugleich muss deutlich mehr Augenmerk auf die Verwendung der Daten gelegt werden: Weil Big und Smart Data-Ansätze  – auch bei Verwendung anonymisierter Daten – mächtige Werkzeuge zur Auswertung, Bewertung und Prognose menschlichen Verhaltens zur Verfügung stellen, bedarf es auch hierfür klarer Regeln und Grenzen, die technisch operationalisiert werden müssen. Ansonsten droht eine an vermeintlich objektiven Kriterien orientierte systematische Diskriminierung einzelner Personen und von Gruppen, die allein aufgrund ihres Datenprofils als besonders risikoträchtig angesehen werden. Dies zu verhindern ist eine Aufgabe, die weit über den am Schutz der informationellen  Selbstbestimmung orientierten Datenschutz hinausgeht, die aber ohne zeitgemäße Datenschutztechniken nicht zu bewältigen sein wird.

Brauchen wir ein neues Verständnis von Datenschutz zum Bürgerrechtsschutz? Wie der Anti-Terror-Kampf die informationelle Selbstbestimmung zunehmend herausfordert

Jüngst am 11. August 2016 hat der Bundesinnenminister Thomas de Maizière weitere geplante Maßnahmen zur Erhöhung der Sicherheit in Deutschland angekündigt. Diese neuen Maßnahmenvorschläge reihen sich in die Sicherheitspolitik der letzten Jahre ein, wonach neue behördliche Eingriffsbefugnisse politisch nicht nur gefordert, sondern in zunehmenden Maße auch immer schneller umgesetzt werden. Es steht mehr und mehr zu befürchten, dass die Gesellschaft in eine Situation gerät, wohingegen die Sicherheitsrenaissance nach dem 11. September 2001 vergleichsweise und zunehmend harmlos wirkt. Angetrieben durch die in immer kürzeren Intervallen wiederkehrenden (terroristischen) Anschläge in der Öffentlichkeit wächst scheinbar auch das Bedürfnis nach neuen Lösungen, die ein Mehr an Sicherheit im öffentlichen Raum versprechen. Die Beweggründe von Taten rücken in den Hintergrund, denn aufbereitet durch die medialen Schreckensszenarien scheint die Bedrohung durch den internationalen Terrorismus allgegenwärtig zu sein. Als Ursache wird vor allem die Radikalisierung durch das Internet ausgemacht. Hieraus folgt die entsprechende Feststellung des Innenministers, dass das Internet ein Schutzraum für Cyberkriminelle sei. Dies sei eine fatale Entwicklung, der entgegengewirkt werden müsse. Verschiedene Maßnahmen werden deshalb vorgeschlagen, um dieser „Bedrohung aus dem Cyberraum“ Herr zu werden.

So wird beispielsweise zu Beginn des Jahres 2017 die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) eingerichtet. Diese soll als Forschungsstelle die Sicherheitsbehörden unterstützen und neue Methoden, Produkte und Strategien zur Bekämpfung von Kriminalität und Terrorismus im Internet erarbeiten und bereitstellen. In der finalen Ausbaustufe sollen bei ZITiS 400 Stellen eingerichtet werden, sodass davon auszugehen ist, dass die Forschungsstelle einen erheblichen Einfluss auf zukünftige sicherheitsbehördliche Überwachungsmaßnahmen im digitalen Raum haben wird. Neben der erstmalig in diesem geplanten Umfang stattfindenden bundeseigenen Forschung zur Entwicklung neuer staatlicher Überwachungstechnologien soll darüber hinaus auch die operative Arbeit der Sicherheitsbehörden einen weiteren Ausbau erfahren: So wird eine Gruppe spezialisierter verdeckter Ermittler (so genannte „Cyber-Ermittler“) aufgestellt, um speziell im Darknet rechtswidrige Geschäfte zu unterbinden und die Kommunikation zwischen Terroristen aufzuklären. Einen weiteren Schwerpunkt im neuen Sicherheitspaket bildet der Ausbau der Videoüberwachung, speziell der „intelligenten Videotechnik“, worunter wohl auch Maßnahmen der automatisierten Videoüberwachung fallen können. Daneben sollen die Befugnisse und technischen Fähigkeiten in den Bereichen der automatisierten Kennzeichenlesesysteme, der biometrischen Erkennung sowie der Datenvernetzung, -vereinheitlichung und -harmonisierung polizeilicher Informationsdienste vorangetrieben werden. Insbesondere für letztere ist ein umfassender Ausbau sowohl auf nationaler wie auf europäischer Ebene geplant, um personenbezogene Daten übergreifend zu analysieren und auszuwerten. Dies gilt sowohl für die kürzlich verabschiedete europäische Richtlinie über die Verwendung von Fluggastdaten (PNR) als auch für das geplante zentralisierte Europäische Ein- und Ausreiseregister. Die EU-weite Vernetzung von bestehenden Datenbanken wie dem SIS, VIS und Eurodac soll unter dem Stichwort der „Interoperabilität“ ebenso vorangetrieben werden. Ein verbesserter Informationsaustausch der Sicherheitsbehörden wird nicht nur durch die Vernetzung, sondern auch durch die Zentralisierung von Kompetenzen und Informationen vorangetrieben – man denke hier nur an die Verfassungsschutzreform aus dem vergangenen Jahr, die eine deutliche Stärkung der Zentralstellenfunktion des Bundesamtes für Verfassungsschutz (BfV) zur Folge hatte. Auf europäischer Ebene ist als Bestandteil der aktuellen Zentralisierungsstrategie zuvorderst das bei Europol angesiedelte Europäische Zentrum zur Terrorismusbekämpfung (ECTC) zu nennen, daneben spielen auch die europäische Counter Terrorism Group und das Radicalization Awareness Network eine Rolle, in dessen Rahmen ebenfalls Zentralisierungsbestrebungen stattfinden, um den Informationsaustausch und die Koordination von Maßnahmen in Europa zu vereinfachen. Neben die aktuell geplanten Überwachungs- und Vernetzungsinstrumente treten solche hinzu, die schon in den vergangenen Jahren geschaffen wurden und sich im Sicherheitsbetrieb mittlerweile mehr oder weniger etabliert haben, teils aber auch noch recht neu und erheblicher öffentlicher Kritik ausgesetzt sind: die präventive polizeiliche Rasterfahndung, die Einrichtung behördlicher Verbunddateien wie der Antiterror- und der Rechtsextremismusdatei, Maßnahmen zur Überwachung der digitalen Kommunikation und des Internetdatenverkehrs, die Ermittlung von Standortdaten für Mobilfunkendgeräte, die Funkzellenabfrage, die Infiltrierung von Heimcomputern als Online-Durchsuchung mittels des neuen Staatstrojaners, der Einsatz von Body-Cams bei der Vollzugspolizei, die Durchführung von technisch gestützten Wohnraumüberwachungen und die wieder eingeführte Vorratsdatenspeicherung von Verkehrsdaten für Telefon- und Internetzugangsdienste.

Der Deutsche Anwaltverein (DAV) kritisierte in einer Stellungnahme das neue Sicherheitspaket des Bundesinnenministers als hektischen Aktionismus. So offenbare der stetige und in immer kürzeren zeitlichen Abständen stattfindende Ausbau der Überwachungsmaßnahmen letztlich nur die Hilflosigkeit der Politik gegenüber der aktuellen Sicherheitslage. Allein durch immer neue und schärfere Gesetze könne die Situation nicht geändert werden, vielmehr bedürfe es eines sorgsamen, ruhigen und überlegten Vorgehens, verbunden mit einer Analyse der jeweiligen Gefahrenlagen. Dass dem aber nicht so ist, ist schon seit Längerem bekannt und es steht zu befürchten, dass in den kommenden Jahren der Konflikt zwischen dem Schutz der informationellen Persönlichkeitssphäre und den staatlichen Sicherheitsinteressen in Zukunft immer stärker in den Fokus rücken wird. Rechtspolitisch scheint es schon jetzt vertretbar, den Datenschutz in einem allgemeinen Klima der öffentlichen Unsicherheit gegenüber dem Interesse an einem funktionierenden Gemeinwesen signifikant zurückzustufen. Die informationelle Selbstbestimmung als Grund- und Bürgerrecht wird auf diese Weise argumentativ auf die Wahrnehmung eines vornehmlich egoistischen Interesses reduziert. Deutlich wird dies an der ebenfalls von de Maizière getroffenen Aussage in Bezug auf die Videoüberwachung der nicht-öffentlichen Stellen, die durch die Datenschutzaufsichtsbehörden reguliert wird: „Bei solchen Überprüfungsentscheidungen der Datenschützer [im Hinblick auf die Rechtmäßigkeit der Videoüberwachung durch Private, beispielsweise in Kaufhäusern] müssen aus meiner Sicht Sicherheitsbelange stärker aufgenommen und gewichtiger in die durchzuführende Abwägungsentscheidung eingehen. Bei einer kürzlich erfolgten Bombendrohung in einem Einkaufszentrum in Dortmund hätten dann auch Videoaufzeichnungen zur Aufklärung der Sachlage beitragen können, wenn diese von den Datenschützern nicht untersagt worden wären.“ Eine derart unmittelbar gegen den Datenschutz gerichtete öffentliche politische Äußerung wäre vor einigen Jahren noch undenkbar gewesen.

Wie geht es also weiter mit dem Verhältnis von Freiheit und Sicherheit? Wie können die Bürgerrechte auch in Zukunft noch geschützt werden, wenn wir uns in einer politischen Situation befinden, die der informationellen Freiheit immer weniger Raum belässt? In jedem Falle ist und wird es auf dem politischen Parkett immer schwieriger vertretbar sein, jedwede Form der staatlichen Überwachung abzulehnen, wenn selbst das Bundesverfassungsgericht die Vorratsdatenspeicherung für grundsätzlich zulässig hält. In jüngster Vergangenheit waren entsprechende Versuche der Bürgerrechtler (leider) immer häufiger zum Scheitern verurteilt. Die Moral, weiter am Ball zu bleiben, weitere Aktionen zu planen und durchzuführen, steht auf dem Spiel. Gerade in dieser Zeit wäre es aber fatal, den Glauben an das eigene Ziel zu verlieren. Beispiele wie die „Überwachungsgesamtrechnung“ zeigen ja gerade, dass die Sicherheit die Freiheit zunehmend verdrängt. Ein weiteres Problem liegt in der hohen Innovationsgeschwindigkeit stets neuer Überwachungsmethoden begründet, die dazu führen, dass „alte“ und bereits bestehende Technologien und Praktiken in der Öffentlichkeit zunehmend in Vergessenheit geraten, gleichwohl aber fortbestehen.

Vielleicht ist gerade jetzt aber auch der richtige Zeitpunkt, um ein Umdenken im Datenschutz anzustoßen, damit dieser auch in Zukunft noch angemessen die bürgerlichen Freiheiten schützen kann. Die aktuelle Situation sollte deshalb nicht als Krise, sondern vielmehr auch als Chance zur Innovation begriffen werden. Die EU-Datenschutzgrundverordnung (DS-GVO) führt mit ihren neuen Regelungen vor Augen, dass Datenschutz vornehmlich auch Kontrolle gegenüber den verantwortlichen Datenverarbeitern bedeutet – und eine solche Kontrolle ist gerade auch für die Sicherheitsbehörden verstärkt notwendig. Denn wo einerseits die Bürgerrechtler zunehmend auf verlorenem Posten stehen – nämlich in der vollständigen Verhinderung neuer Überwachungsmaßnahmen – bietet sich andererseits die Möglichkeit, nicht nur durch aktives Mitwirken im Gesetzgebungsverfahren, sondern auch nach der Schaffung weiterer behördlicher Befugnisse dafür zu sorgen, dass wenn schon zwingend neue Überwachungstechnologien eingeführt werden, deren Anwendung kontrolliert, reglementiert und hinreichend transparent erfolgt. Dass gerade hierfür ein erheblicher Bedarf besteht, wurde im Rahmen der Tätigkeit des NSA-Untersuchungsausschusses in den letzten Jahren mehr als deutlich: Eine Situation, in der einem legitimen parlamentarischen Kontrollorgan, dem von Seiten der Bundesregierung nur so wenig Vertrauen entgegengebracht wird, dass den Mitgliedern vornehmlich geschwärzte Dokumente und Zeitungsartikel als Grundlage ihrer Kontroll- und Aufklärungsarbeit zur Verfügung gestellt werden, kann nicht hinzunehmen sein. Der geringe Stellenwert, der dem Ausschuss vonseiten der Exekutive scheinbar eingeräumt wird, zeigt sich aber auch an Äußerungen wie denjenigen des Präsidenten des Bundesamtes für Verfassungsschutz (BVerfSch), Hans-Georg Maaßen, der noch im Juni dieses Jahres bei einer Anhörung feststellte, dass der Bundestagsausschuss die Arbeit seiner Behörde „behindere“. Was es in diesen Zeiten somit braucht, ist ein Daten- und Bürgerrechtsschutz, der vornehmlich auf der Kontrolle und damit auch der Transparenz der Überwachungsorgane basiert. Wo einerseits ständig neue eingriffsintensive Maßnahmen geschaffen werden, muss deren Nutzung andererseits auch mit der notwendigen Schärfe beschränkt und überwacht werden. Der althergebrachte staatsrechtliche Topos „Grundrechtsschutz durch Verfahren“ sollte zum Schutze der informationellen Selbstbestimmung wieder deutlich stärker belebt werden, als es zurzeit noch der Fall ist.

Das aktuelle Urteil des BVerfG zum BKA-Gesetz – eine Nachhilfe in Sachen Verfassungsrecht für Gesetzgeber und Sicherheitsbehörden

Das Urteil des Bundesverfassungsgerichts zum BKAG vom 20. April 2016 (1 BvR 966/09 und 1 BvR 1140/09), in welchem das Gesetz in erheblichen Teilen für verfassungswidrig erklärt wird, beschränkt nicht nur die künftige sicherheitsbehördliche Datenverarbeitung, sondern enthält zugleich auch ausführliche Vorgaben, wie eine solche Datenverarbeitung auf verfassungskonforme Weise zu realisieren ist. An der Entscheidung auffällig ist vor allem der recht lange theoretische Vorbau, in dem das Gericht seine über Jahre hinweg entwickelte Rechtsprechung zur Verhältnismäßigkeit von staatlichen Überwachungsmaßnahmen detailliert und mit zahlreichen Verweisen verbunden zusammenfasst sowie für den Bereich der Datenübermittlung an ausländische Behörden teils ergänzt. Diese Ausführungen kommen in ihrer Ausführlichkeit einer an den Gesetzgeber und an die Sicherheitsbehörden gerichteten Nachhilfe in Sachen Verfassungsrecht gleich. Sinnvoll ist es deshalb, die gemachten Vorgaben nochmals in aller Kürze zu rekapitulieren.

Ausgangspunkt der vom Bundesverfassungsgericht angestellten Erwägungen ist der aus dem Rechtsstaatsprinzip folgende Grundsatz der Verhältnismäßigkeit, aus dem sich verschiedene Anforderungen ableiten lassen, die für den Fall einer heimlich stattfindenden elektronischen Datenverarbeitung nochmals qualifiziert sind. Speziell für verdeckte Überwachungsmaßnahmen lassen sich darüber hinaus aus dem Menschenwürdegrundsatz des Art. 1 Abs. 1 GG besondere Anforderungen entwickeln, die durch das Bundesverfassungsgericht konkretisiert werden.

  1. Heimliche Überwachungsmaßnahmen, die mit einem erheblichen informationellen Grundrechtseingriff verbunden sind – wie die Wohnraumüberwachung und der Zugriff auf informationstechnische Systeme –, genügen nur dann dem Gebot der Verhältnismäßigkeit, wenn sie dem Schutz von gewichtigen Rechtsgütern dienen und für deren Gefährdung im Einzelfall belastbare tatsächliche Anhaltspunkte bestehen (BVerfGE 107, 299, 321 ff.; 110, 33, 56; 113, 348, 377 ff; 120, 274, 328; 125, 260, 330). Anknüpfungspunkte im Bereich der Strafverfolgung sind (besonders) schwere Straftaten bzw. solche von erheblicher Bedeutung. Im Bereich der Gefahrenabwehr hingegen kommt es auf das Gewicht der durch die Maßnahme zu schützenden Rechtsgüter an. Zu solchen gewichtigen Rechtsgütern zählen Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes. Verfassungsrechtliche Untergrenze für den staatlichen Eingriff ist das Vorliegen einer hinreichend konkreten Gefahr, sodass lediglich allgemeine Erfahrungssätze, geschweige denn bloße Vorfeldermittlungen für einen Datenzugriff nicht ausreichend sind.
  2. Eng verknüpft mit dem Gefahrenbegriff ist die Frage, gegen welche Personen Eingriffe in ihre informationellen Grundrechte durchgeführt werden dürfen. In besonderem Maße ist dies problematisch für solche Betroffenen, die nicht als Handlungs- oder Zustandsverantwortliche bzw. als Tatverdächtige im Polizei- und Strafrecht in besonderer Verantwortung stehen. Hier sind die rechtlichen Vorgaben gegenüber der Eingriffsschwelle eher weit gefasst. Grundsätzlich darf sich der Eingriff somit zwar nur unmittelbar gegen die verantwortliche Zielperson richten (BVerfGE 109, 279, 351 f.; 120, 274, 329 ff.). Soweit hierbei jedoch Dritte mit erfasst werden, ist dies verfassungsrechtlich zulässig. Ebenso ist die Durchführung einer heimlichen Überwachung auch unmittelbar gegenüber Dritten möglich. Voraussetzung hierfür ist, dass der betroffene Dritte über eine spezifische individuelle Nähe zur aufzuklärenden Gefahr oder Straftat verfügt. Die Nähe muss sich auf gewisse Weise verfestigt haben, so genügt nicht jedweder Austausch zwischen Zielperson und Betroffenem, sondern es bedarf Anhaltspunkte für einen tatsächlichen Kontakt zwischen beiden.
  3. Es muss eine effektive Vorabkontrolle von Überwachungsmaßnahmen durch eine unabhängige Stelle gegeben sein. Genannt wird in diesem Zusammenhang die richterliche Anordnung (BVerfGE 109, 279, 357 ff.; 120, 274, 331 ff.; 125, 260, 337 ff.). Pflicht der Landesjustizverwaltungen ist es dabei, die notwendigen sachlichen und personellen Voraussetzungen für eine solche Kontrolle zu schaffen. Spiegelbildlich trifft die maßnahmendurchführende Behörde ihrerseits die Verpflichtung, die effektive Überprüfung sicherzustellen, indem sie der unabhängigen Stelle alle hierfür benötigten Informationen zur Verfügung stellt.
  4. So wie es einer vorgelagerten Kontrolle bedarf, setzt jedwedes rechtsstaatliche Handeln ebenso Transparenz, Rechtsschutz und aufsichtsbehördliche Kontrolle voraus (BVerfGE 65, 1, 44; 100, 313, 361 ff.; 109, 279, 363 ff.; 125, 260, 334 ff.; 133, 277, 365 ff.). Rechtsschutz und aufsichtsbehördliche Kontrolle stehen dabei in einem engen Verhältnis, denn je weniger der subjektive Rechtsschutz gewährleistet werden kann, zum Beispiel aufgrund der heimlichen Natur einer Maßnahme, umso wichtiger ist deren externe, unabhängige Kontrolle. Diese Kontrolle muss durch eine mit wirksamen Befugnissen ausgestattete Stelle stattfinden; diesen Anforderungen genügt die Bundesdatenschutzbeauftragte, welcher die zur Erfüllung ihrer Aufgabe notwendigen Informationen von den Sicherheitsbehörden zur Verfügung gestellt werden müssen. Die entsprechende Kontrolle ist mindestens alle zwei Jahre durchzuführen. Auch hier ist der Gesetzgeber gefordert, tätig zu werden. Ebenso bedarf es bei heimlichen Ermittlungsmaßnahmen einer größeren öffentlichen Transparenz. Um Rechtsschutz und Transparenz gewährleisten zu können, gehört zuvorderst die nachträgliche Benachrichtigungspflicht des Betroffenen im Anschluss an die Überwachungsmaßnahme, die grundsätzlich vorzusehen ist und von der nur in engen Ausnahmefällen abgewichen werden kann, zum Pflichtenprogramm. Der Gesetzgeber ist hier gefordert, entsprechende Maßnahmen vorzusehen. Neben der Benachrichtigungspflicht sind ebenso Auskunftsrechte zu schaffen, die als Ergebnis einer wohl abgestimmten Interessenabwägung jedoch abbedungen werden können. Nicht zuletzt sind bei der Begründung heimlicher informationeller Eingriffsbefugnisse auch wirksame Sanktionen bei Rechtsverletzungen vorzusehen – hier verfügt der Gesetzgeber aber über einen weiten Gestaltungsspielraum. Abschließend ist zur Förderung von Transparenz und zur Kompensation der Heimlichkeit der Überwachungsmaßnahme durch den Gesetzgeber sicherzustellen, dass regelmäßige und ausreichend substanziierte Berichte zur Tätigkeit des BKA an Parlament und Öffentlichkeit erfolgen. So stellt der demokratische Diskurs über neue Überwachungsmaßnahmen auch eine entscheidende Voraussetzung für deren Legitimität dar.
  5. Durch den Gesetzgeber ist sicherzustellen, dass schon die Ermächtigungsgrundlagen eine Löschungsverpflichtung für die erhobenen Daten enthalten (BVerfGE 65, 1, 46; 133, 277, 366). Damit eng verbunden ist der Zweckbindungsgrundsatz, denn durch die Löschung wird sichergestellt, dass grundsätzlich keine Speicherung auf Vorrat für nicht weiter definierte Ermittlungszwecke stattfindet. Die Datenlöschung ist durch Protokollierung nachzuweisen.
  6. Besonders intensive Überwachungsmaßnahmen stellen auch besonders hohe Anforderungen an den Schutz des Kernbereichs privater Lebensgestaltung als den Bereich höchstpersönlicher Privatheit gegenüber Überwachung (BVerfGE 109, 279, 313; 113, 348, 391 f.; 120, 274, 335; 129, 208, 245 f.). Der Kernbereich beansprucht Geltung gegenüber jedweder Überwachungsmaßnahme durch den Staat, weshalb sein Schutz schon von Gesetzes wegen deutlich gewährleistet sein muss. Es ist verfassungsrechtlich in jedem Falle unzulässig, den Kernbereich als Ermittlungsziel zu definieren, d.h. gezielt Informationen aus der höchstprivaten Sphäre zu verwerten. Freilich ist es in verfahrenstechnischer Hinsicht nicht leicht, einen effektiven Kernbereichsschutz zu gewährleisten. Das Bundesverfassungsgericht verlangt deshalb ein zweistufiges Schutzverfahren, das bei Schaffung der Ermächtigungsgrundlagen schon vom Gesetzgeber zu beachten ist: Erstens ist so weit wie möglich zu verhindern, dass Kernbereichsinformationen den Ermittlern zur Kenntnis gelangen. Zweitens ist, falls dies doch einmal der Fall sein sollte, so weit wie möglich zu vermeiden, dass das unbefugte Eindringen in die Privatsphäre für den Betroffenen negative Folgen nach sich zieht. Speziell für letztgenannte Voraussetzung wird grundsätzlich eine Sichtung der Daten wieder durch eine unabhängige Stelle vorgesehen, um zu auszuschließen, dass die Daten den Sicherheitsbehörden zur Kenntnis gelangen.
  7. Der Menschenwürdegrundsatz bezieht sich nicht nur auf die Intensität der Überwachung, also auf den Kernbereichsschutz, sondern ebenso auf deren Dauer. Unzulässig sind deshalb staatliche Überwachungshandlungen, die sich über einen längeren Zeitraum erstrecken und den gesamten Lebensverlauf des Betroffenen erfassen, sodass hieraus ein umfassendes Persönlichkeitsprofil erstellt werden kann (BVerfGE 109, 279, 323; 112, 304, 319 f.; 130, 1, 24). Insoweit findet hier auch eine Überschneidung mit dem Kernbereichsschutz statt, da sich nicht nur aus einer hinreichend intensiven, sondern auch aus einer hinreichend langanhaltenden, unbemerkten Überwachung bedeutende Gefahren für die engere Persönlichkeitssphäre ergeben (vgl. beispielsweise auch das Verhältnis der Auswertung von Inhalts- und Verkehrsdaten). Das Bundesverfassungsgericht spricht in seinem Urteil zum BKAG von einem „additiven Grundrechtseingriff“.
  8. Der Schutz von besonderen Vertrauensbeziehungen muss durch den Gesetzgeber gewährleistet werden, da diese durch heimliche Informationsbeschaffungen des Staates in besonderer Weise belastet werden können (BVerfGE 129, 208, 262 ff.). Eine Verpflichtung, von vornherein bestimmte Personengruppen von Überwachungsmaßnahmen auszuschließen, besteht grundsätzlich nicht. Vielmehr besitzt der Gesetzgeber einen Gestaltungsspielraum, der aber gleichwohl eine angemessene Interessenabwägung zwischen Schutz- und Eingriffsgütern voraussetzt, die auch die Grundrechte der Berufsgeheimnisträger berücksichtigt.
  9. Entscheidend für die verfassungsrechtliche Beurteilung der sicherheitsbehördlichen Datenverarbeitung ist nicht zuletzt auch die Einhaltung des Zweckbindungsgrundsatzes, das heißt, dass die erhobenen Daten nur für diejenigen Aufgaben genutzt werden dürfen, die der ursprünglichen Erhebung zugrunde lagen. Hier stellt das Bundesverfassungsgericht zutreffend fest, dass die Übermittlung personenbezogener Daten an andere Staaten eine Zweckänderung ist, die der Zweckbindung grundsätzlich zuwiderläuft. Speziell für die Auslandsdatenübermittlung stellt sich daneben das Problem, dass die Gewährleistungen des Grundgesetzes für diese Daten nicht mehr zur Anwendung gebracht werden können. Hier ist der Gesetzgeber deshalb aufgefordert, flankierende Regelungen zu treffen, die dieser doppelten Gefährdungslage hinreichend Rechnung tragen. So ist eine Datenübermittlung in solche Empfängerstaaten untersagt, in denen elementare rechtsstaatliche Grundsätze verletzt werden (BVerfGE 108, 129, 136 f.). Das Bundesverfassungsgericht schreibt für die sicherheitsbehördliche Datenübermittlung in das Ausland vier Grundsätze fest:
  • Die Datenübermittlung ist nur zulässig zur Verfolgung hinreichend gewichtiger Zwecke.
  • Vor der Übermittlung hat eine Vergewisserung hinsichtlich des rechtsstaatlichen Umgangs mit den Daten stattzufinden.
  • Auch bei der Auslandsdatenübermittlung bedarf es einer wirksamen inländischen Kontrolle.
  • Der Gesetzgeber ist aufgefordert, die vorgenannten Anforderungen deutlich im nationalen Recht zu verankern.

Es bleibt zu hoffen, dass all diese detaillierten Vorgaben des Bundesverfassungsgerichts nicht nur im Hinblick auf die Novellierung des BKAG, sondern aufgrund ihres allgemeingültigen Charakters auch für künftige Sicherheitsgesetze berücksichtigt werden.

Hansjürgen Garstka – Big Data: Auf dem Weg in die Datendiktatur?

Tagungsbericht zum Steinmüller Workshop 2015

Zum dritten Mal trafen sich am 27. Mai Freunde und Kollegen des vor zwei Jahren verstorbenen Datenschutzapologeten Wilhelm Steinmüller in der Europäischen Akademie Berlin, um Fragen der Beziehung von Informatik und Gesellschaft zu diskutieren. Das Thema des diesjährigen Workshops „Big Data: Auf dem Weg in die Datendiktatur“ knüpft an einen Begriff an, den Steinmüller in seinem Lebenswerk „Informationstechnologie und Gesellschaft“ als Synonym für die Gefahren der Informatisierung der Gesellschaft geprägt hatte.

Vollständiger Tagungsbericht (pdf)

Das Grundrecht, nicht bewertet zu werden – Privacy by Default

Wie in der realen Welt stoßen auch im virtuellen Raum Interessen aufeinander, die vielfach nicht vereinbar sind. Urheber und Verlage haben andere Interessen als die Betreiber von Suchmaschinen und sozialen Netzwerken. Nutzer interaktiver Dienste haben den Anspruch auf Schutz ihrer Grundrechte und ihres Selbstbestimmungsrechts nicht nur gegenüber dem Staat, sondern auch gegenüber Unternehmen, die ihre Daten in unvorstellbarem Maß einsammeln und zu Geld machen.

Unternehmen und staatliche Stellen erfahren immer mehr über unsere persönlichen Verhältnisse, Interessen und alltägliche Verhaltensweisen. Und sie ziehen aus den angehäuften Daten Schlussfolgerungen, die teils erhebliche Auswirkungen für die Betroffenen haben: Zu welchen Konditionen ihnen bestimmte Produkte angeboten werden, ob sie kreditwürdig sind, welche Versicherungsprämie sie zu zahlen haben oder ob sie an Bord eines Flugzeuges gelassen werden. Dagegen erfahren die so Bewerteten ziemlich wenig darüber, was mit ihren Daten geschieht, wer sie erhält und mit welchen Verfahren automatisierte Werturteile gebildet werden. Das jüngste Urteil des Bundesgerichtshofs zum Auskunftsrecht gegenüber der SCHUFA verdeutlicht, dass es einfach nicht ausreicht, Transparenz auf die gespeicherten Daten zu beschränken. Vielmehr muss gesetzlich garantiert werden, dass die Betroffenen nachvollziehen können, wie mit ihren Daten umgegangen wird. In einer zunehmend von automatisierten Entscheidungen geprägten Welt kann es nicht mehr hingenommen werden, dass das Geschäftsgeheimnis an einem Algorithmus höher gewichtet wird als das Recht des Einzelnen auf informationelle Selbstbestimmung.

Transparenz ist eine notwendige, jedoch keine hinreichende Bedingung des Selbstbestimmungsrechts im Zeitalter ubiquitärer Datenverarbeitung. Auch heute muss der Grundsatz gelten, im Regelfall nicht automatisiert beobachtet, nicht in seinem Verhalten registriert und nicht bewertet zu werden. Das setzt striktere Regeln darüber voraus, wie Technik in unsere Alltagsgegenstände einzieht. Smart TVs, die unseren Fernsehkonsum registrieren, Spielekonsolen, die unseren emotionalen Zustand aufzeichnen und Kraftfahrzeuge, in denen unser Fahrverhalten und unser Aufenthaltsort registriert wird, stellen die informationelle Selbstbestimmung weitaus stärker in Frage als die klassische, überwiegend sichtbare Videoüberwachung. Wer registriert und beobachtet werden will, den sollte man nicht daran hindern, entsprechende Features freizuschalten. Aber die Voreinstellung muss sein: Keine Beobachtung, keine Registrierung. „Privacy by Default“ – voreingestellter Datenschutz ist angesagt. Entsprechende Ansätze im Vorschlag der Europäischen Kommission in der Datenschutz-Grundverordnung  bieten dafür einen guten Anknüpfungspunkt.

Ihr

Peter Schaar