Tag Archives: Kunsturhebergesetz

Vier Wochen DSGVO – Plädoyer für einen konstruktiven Dialog

Von Peter Schaar

Dieser Beitrag erschien zuerst in der Zeitschrift BvD-News 2/2018

Der Start des neuen Europäischen Datenschutzrechts verlief holprig, zumindest in Deutschland. Der Datenschutz schaffte es sogar auf die Titelseiten auflagenstarker Tageszeitungen, allerdings vorwiegend mit negativen Schlagzeilen. In kaum einem Lokalblatt fehlten Leidensmeldungen örtlicher Vereinsvorstände, Handwerker und Unternehmer über den mit der Umsetzung verbundenen Aufwand. Auch in Social Media wurden hatten die Kritiker rein zahlenmäßig die Oberhand. Schließlich beschäftigte sich der Deutsche Bundestag genau drei Wochen nach dem Wirksamwerden der Datenschutzgrundverordnung mit der Materie – und auch hier gab es viel Kritik. Irgendetwas ist hier offenbar grundlegend schief gelaufen. Was sind die Ursachen dafür, dass sich jetzt viele überfordert fühlen? Und wie könnte eine Abhilfe aussehen?

Kommunikationsprobleme

Immer wieder hört man die Behauptung, die DSGVO sei am 25. Mai 2018 „in Kraft getreten“. Tatsächlich ist das Regelwerk aber schon seit mehr als zwei Jahren in Kraft, seit Mai 2016. Die Falschaussage belegt, dass sich die wenigsten Entscheidungsträger in der Politik, der Wirtschaft und Gesellschaft rechtzeitig ernsthaft mit dem Datenschutz beschäftigt hatten. Viele Rechtsanwender haben die zweijährige Anpassungszeit bis zum Wirksamwerden der DSGVO ungenutzt verstreichen lassen, wie Umfragen des Digitalverbandes Bitkom belegen. Die wenigsten Unternehmen hatten ihre Vorbereitungen auf das neue Datenschutzrecht fristgerecht abgeschlossen, manche hatten damit sogar erst unmittelbar vor dem 25. Mai begonnen. Noch erheblich gravierender war die Situation in Vereinen, Handwerksbetrieben, Selbstständigen und kleinen Betrieben: Vielfach nahmen Vorstände und andere Verantwortliche erst nach dem Wirksamwerden die Neuregelungen wahr. Umso größer war die Verunsicherung, ja Empörung bei Manchen, denen sehr spät klar wurde, dass sie sich nun ernsthaft mit der Materie auseinandersetzen müssen.

Die vielfach sehr späte Beschäftigung mit den neuen datenschutzrechtlichen Anforderungen ist großen Teils Ergebnis eines gravierenden Kommunikationsproblems: Die Bundesregierung hat dem Thema in ihrer Öffentlichkeitsarbeit kein besonderes Interesse gewidmet. So hat das für den Datenschutz zuständige Bundesinnenministerium erst im April 2018 ein Dokument zu einigen Grundfragen der neuen Datenschutzregeln auf seine Website gestellt, das aber ansonsten sehr allgemein bleibt. Zudem hat das Ministerium einige wenige Informationsveranstaltungen für interessierte Verbände durchgeführt, aber auch diese erst zu einem sehr späten Zeitpunkt.

Auch die Öffentlichkeitsarbeit der unabhängigen Datenschutzbehörden über die Neuregelungen war kein Ruhmesblatt. Die immerhin 18 deutschen Behörden haben zwar einige gemeinsame Positions- und Kurzpapiere zu wichtigen Fragen veröffentlicht. Auf den Websites der Bundes- und Landesdatenschutzbeauftragten findet man darüber hinaus eine zunehmende Zahl von Leitfäden, Handreichungen und Anwendungshilfen. Sie haben allerdings den Nachteil, dass sie vielfach nicht abgestimmt sind und sich in einzelnen Punkten sogar widersprechen. Im Vergleich zu den Informationen, Tools und Medieninformationen der Datenschutzbehörden anderer Mitgliedsstaaten — etwa der britischen ICO oder der französischen CNIL — nimmt sich die Öffentlichkeitsarbeit der deutschen Datenschutzbehörden zum neuen Datenschutzrecht aber eher bescheiden aus.

Interpretationsspielräume

Die DSGVO enthält eine Vielzahl von allgemeinen Rechtsbegriffen und auslegungsbedürftigen Regelungen. Zudem hatten die Regierungen der Mitgliedsstaaten gegenüber der Europäischen Kommission und dem Europäischen Parlament zahlreiche Öffnungsklauseln durchgesetzt, die durch nationales Recht gefüllt werden können oder sogar müssen. Damit wurde das wichtigste Ziel der Neuregelung in Frage gestellt, ein einheitliches Datenschutzrecht in der gesamten EU. Was zu befürchten war, ist inzwischen eingetreten: Die in nationalen Anpassungs- und Umsetzungsgesetze fallen sehr unterschiedlich aus. Dies hat zur Konsequenz, dass sich grenzüberschreitend tätige Unternehmen, anders als versprochen, weiterhin mit den Besonderheiten des nationalen Rechts auseinandersetzen müssen. Für große Unternehmen mit leistungsstarken Rechtsabteilungen ist das kein großes Problem, für kleinere Unternehmen und StartUps schon.

Bei näherem Hinsehen liefert das im Sommer 2017 beschlossene BDSG vor allem zusätzliche Spielräume für die staatliche Datenverarbeitung und schränkt Betroffenenrechte und Kontrollbefugnisse der Datenschutzbehörden ein. Dort, wo konkrete Regelungen erforderlich sind, bleibt das BDSG aber wenig konkret – etwa beim Datenschutz im Beschäftigungsverhältnis. Oder sie fehlen völlig – etwa beim gebotenen Ausgleich von Meinungsfreiheit und Datenschutz. Letzteren wollte die Bundesregierung allem Anschein nach  völlig den Ländern überlassen, obwohl es hier durchaus Regelungsnotwendigkeiten im Bundesrecht gibt. Erst als daran Kritik aufkam, insbesondere im Hinblick auf den Umgang mit digitalen Fotografien, äußerte sich das Bundesinnenministerium dahingehend, dass das Kunsturhebergesetz weiterhin anwendbar sei. Zwar ist diese Klarstellung durchaus vertretbar, sie lässt allerdings weite Aspekte der Nutzung von Social Networks offen. Zudem wäre es durchaus möglich und sinnvoll gewesen, das betagte Gesetz — es stammt aus dem Jahr 1907 — im Sinne der Abwägung der widerstreitenden Grundrechte an die Vorgaben der Datenschutzgrundverordnung anzupassen.

Regelungslücken gibt es auch bei den in Deutschland besonders zahlreichen bereichsspezifischen Gesetzesbestimmungen zum Datenschutz. Eine Reihe davon wurde zwar im letzten Jahr novelliert — aber ohne die gebotene gründliche parlamentarische Beratung. Wie beim BDSG konzentrierte sich die Große Koalition auch hier vor allem darauf, bestehende Befugnisse zur behördlichen Datenverarbeitung abzusichern. Die Chance zu einer echten inhaltlichen Weiterentwicklung wurde verpasst.

Äußerst unklar ist die Rechtslage beim Datenschutz im Internet. So ist fraglich, inwieweit das Telemediengesetz (TMG) noch gilt, denn es ist umstritten, in welchem Verhältnis die Vorgaben der nach wie vor gültigen europäischen E-Privacy-Richtlinie und die Bestimmungen der DSGVO stehen. Die Datenschutzbehörden des Bundes und der Länder vertreten die Position, dass die zentralen TMG-Regelungen zur Zulässigkeit der Verarbeitung nicht mehr angewendet werden dürfen. Vermutlich werden wir auf verbindliche Antworten bis zu einem Beschluss über die diskutierte E-Privacy-Verordnung warten müssen — wenn sie denn überhaupt kommt. Der Brüsseler Trilog darüber verläuft offenbar sehr zäh.

Auch bei der Datenschutzaufsicht bei Telekommunikationsunternehmen besteht große Unsicherheit. Da das Telekommunikationsgesetz (TKG) noch nicht novelliert wurde, stellt sich die Frage nach der Zuständigkeit für die Datenschutzaufsicht und deren Sanktionsbefugnissen. Die Aufgabenzuweisung für die Datenschutzkontrolle an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dürfte zwar Bestand haben. Anders sieht es jedoch in Bezug auf die Verfolgung von Ordnungswidrigkeiten und die Verhängung von Bußgeldern aus, die bisher der Bundesnetzagentur (BNA) oblagen. Angesichts der klaren Vorgaben der DSGVO stehen diese Befugnisse seit dem 25. Mai 2018 allein der BfDI zu, denn nur sie ist eine unabhängige Datenschutzbehörde. Sollte die BNA gleichwohl Datenschutzverstöße mit Bußgeldern belegen, würde dies mit einem erheblichen rechtlichen Risiko verbunden sein.

Föderalismus

 Die vom Grundgesetz vorgegebene föderale Struktur Deutschlands wirkt sich auch auf den Datenschutz aus. Dies muss nicht unbedingt schlecht sein, denn die Landesbehörden, denen neben der Datenschutzkontrolle der öffentlichen Stellen der Länder auch die Aufsicht über die Wirtschaft obliegt, sind näher an den Bürgerinnen und Bürgern und an den lokalen Datenverarbeitern, als es eine Bundeszentralbehörde sein könnte. Angesichts der durch die DSGVO bewirkten signifikanten Ausweitung der Aufgaben, zusätzlicher Befugnisse und enger Bearbeitungsfristen sind aber die Nachteile des föderalistisch organisierten Datenschutzes nicht mehr zu übersehen.

Dass die Landesgesetze zum Datenschutz unterschiedliche Vorgaben beinhalten, ist nicht neu. Die DSGVO hätte zum Anlass genommen werden können, diese Differenzen abzubauen oder zu beseitigen. Leider hatten sich die zuständigen Landesministerien aber nicht einmal auf einen Musterentwurf verständigen können. Zudem ist der Gesetzgebungsprozess in den Ländern sehr erst recht spät in Gang gekommen, so dass bis zum 25. Mai 2018 ein Teil der Landesdatenschutzgesetze nicht novelliert war. Das ist ein Problem, denn die alten, als Vollregelungen ausgelegten Gesetze sind nach dem Wirksamwerden der DSGVO zum Teil nicht mehr anzuwenden.

Bei den bereichsspezifischen Bestimmungen der Länder sieht es kaum besser aus. Zwar wurden durch den 21. Rundfunkänderungsstaatsvertrag einige medienrechtliche Regelungen upgedatet, jedoch erfolgte das in einer Weise, die den Vorgaben der DSGVO kaum gerecht zu werden vermochte. Der von der DSGVO erteilte Gesetzgebungsauftrag, für einen Ausgleich zwischen Datenschutz und Informations- und Meinungsfreiheit zu sorgen, wurde von den Ländern einseitig dahingehend interpretiert, den redaktionell-journalistischen Bereich weiterhin pauschal von den wichtigsten Vorgaben des  Datenschutzrechts auszunehmen. In vielen anderen Bereichen haben sich die Länder nicht einmal auf gemeinsame Vorgaben einigen können, etwa im Presserecht. Damit bleibt das Patchwork unterschiedlicher Datenschutzbestimmungen auch hier erhalten.

So stellt sich die Frage, ob das wichtigste zugunsten unterschiedlicher Datenschutzbestimmungen angeführte Argument überhaupt greift: Ein Wettbewerb der Länder um den besten Datenschutz („kompetitiver Föderalismus“). Schon in den letzten zwei Dekaden musste man solche datenschutzrechtlichen Innovationen mit der Lupe suchen. Angesichts der durch die DSGVO eingeschränkten Regelungskompetenzen der Länder werden die Spielräume für  eine kreative Weiterentwicklung des Datenschutzes jedenfalls noch geringer.

Die DSGVO versieht die Datenschutzbehörden mit stärkeren Durchsetzungs- und Sanktionsbefugnissen. Um eine einheitliche Aufsichtspraxis zur gewährleisten, enthält das neue Recht zudem detaillierte Vorgaben zur gegenseitigen Kooperation und zur Kohärenz ihrer Entscheidungen. Eine zentrale Stellung nimmt dabei der Europäische Datenschutzausschuss (EDSA) ein, der von den nationalen Datenschutzbehörden beschickt wird. Es liegt auf der Hand, dass es großer Anstrengungen bedarf, um die Positionen der Vertreter der Aufsichtsbehörden der 28 Mitgliedsländer unter einen Hut zu bringen. In Deutschland mit seinen 18 unabhängigen Datenschutzbehörden — Bundesbeauftragte, Landesbeauftragte und LDA Bayern — (hinzu kommen die Datenschutzbeauftragten der Kirchen und der Landesrundfunkanstalten) besteht zusätzlich die Notwendigkeit zur Vereinheitlichung auf nationaler Ebene.

Die BfDI vertritt Deutschland im EDSA und ist „zentrale Anlaufstelle“ für grenzüberschreitende Datenschutz-Angelegenheiten. Ihre Stellvertreter/in ist vom Bundesrat aus dem Kreis der Leiter/innen der Landesdatenschutzbehörden zu wählen. Leider hat der BR jedoch den bzw. die Ländervertreterin nicht gewählt, so dass die BfDI Deutschland bis auf weiteres allein im EDSA vertritt, aber in Fragen, die in Länderzuständigkeit liegen, an das Votum der Landesdatenschutzbehörden gebunden ist.

Das neue BDSG erklärt die Regelungen der DSGVO für die Zusammenarbeit der Aufsichtsbehörden im EDSA für sinngemäß für die Kooperation der deutschen Datenschutzbehörden untereinander für anwendbar erklärt, allerdings nur, soweit es um Angelegenheiten geht, die im EDSA verhandelt werden. Dies bedeutet, dass die Konferenz der   unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erheblich aufgewertet wurde und Entscheidungen zur Datenschutzaufsicht per Mehrheitsbeschluss treffen kann. Ob dies generell zu einer Vereinheitlichung der Datenschutzaufsicht in Deutschland führt, bleibt abzuwarten. Absehbar ist aber schon jetzt, dass das zweistufige Verfahren der Meinungsbildung – auf nationaler und auf europäischer Ebene – erheblichen Aufwand erzeugt und die Möglichkeiten Deutschlands, auf die Entscheidungen des EDSA einzuwirken, erheblich einschränkt.

Was jetzt zu tun ist

Angesichts der verbreiteten Verunsicherung brauchen wir zunächst eine Kommunikationsoffensive der Bundesregierung und der Datenschutzbehörden. Es ist Sache insbesondere des Bundesinnenministeriums, den Kenntnisstand in der Bevölkerung über die Bedeutung, die Prinzipien und konkreten Regelungen zum Datenschutz zu verbessern. Besonders gefragt sind die Datenschutzbehörden: Sie müssen unmissverständliche Antworten auf die zentralen Auslegungsfragen geben. Auch wenn sich wirkliche Rechtssicherheit erst mittelfristig einstellen wird, wenn sich eine gefestigte Rechtsprechung herausgebildet hat, brauchen die Bürgerinnen und Bürger, Vereine und Unternehmen und auch die öffentlichen Stellen klare Aussagen der Datenschutzbehörden darüber, wie sie die Rechtsvorschriften verstehen und woran sie sich in ihrer Aufsichtspraxis orientieren werden. Die 19 von der Datenschutzkonferenz bisher veröffentlichten „Kurzpapiere“ sind zwar ein guter Ausgangspunkt, ausreichend sind sie bei weitem nicht. Notwendig sind abgestimmte, zielgruppenorientierte Anwendungshinweise, Musterformulare und elektronische Tools. Statt das Rad immer wieder neu zu erfinden, sehe ich die dringende Notwendigkeit zu gemeinsamen Positionierungen. Wenn nötig, sollte die DSK auch hier mit Mehrheit entscheiden.

Die Gesetzgebung muss auf Bundes- und Landesebene zügig vorangebracht werden. Dies gilt sowohl für die Landesdatenschutzgesetze als auch für die spezialgesetzlichen Datenschutzbestimmungen. Angesichts der verbreiteten Verunsicherung – etwa bei der Benennungspflicht von Datenschutzbeauftragten bei nicht-öffentlichen Stellen – sollte hier eine Präzisierung erfolgen, ebenso hinsichtlich der Bestimmungen zum Ausgleich von Meinungsfreiheit und Datenschutz und beim Datenschutz im Internet und Sozialen Netzwerken. Notwendig sind auch Gesetzeskorrekturen im Wettbewerbsrecht, die sicherstellen, dass Missbräuche von Abmahnmöglichkeiten unterbunden werden.

Schließlich müssen die Datenschutzbehörden besser ausgestattet werden. Die Ausstattung der Datenschutzbehörden mit Personal und Sachmitteln ist in manchen Bundesländern so schlecht, dass sie die vielen ihnen zugewiesenen Aufgaben nicht ansatzweise erfüllen können. Dies hat zur Konsequenz, dass ihre Aufsichtstätigkeit nicht effektiv wahrnehmen können und auch nicht über die notwendigen Beratungskapazitäten für Bürger, Vereine, Unternehmen und Kommunen verfügen.

Es bleibt zu hoffen, dass alle Beteiligten möglichst bald in einen konstruktiven Dialog kommen und die notwendigen Schritte unternehmen, damit das neue Europäische Datenschutzrecht seine zentrale Aufgabe erfüllt: Die datenschutzrechtliche Flankierung der Digitalisierung, die ohne entsprechende Leitplanken sehr schnell zu einer Sackgasse werden könnte. Datenschutz und informationelle Selbstbestimmung sind zentrale Grundrechte des Informationszeitalters – das dürfen wir bei aller Kritik an dieser oder jener Regelung nicht aus dem Auge verlieren!

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.