Aufsatz : Wie kommt der Datenschutz aus der Defensive?* : aus der RDV 4/2016, Seite 173 bis 183
Sind die Datenschützer die Spielverderber der Digitalisierung, dieser technologischen Entwicklung, die alle Lebensbereiche durchdringt? Ist das Verteidigen der informationellen Selbstbestimmung des Einzelnen und seiner Privatsphäre heute digital und online nur noch von gestern, aus einer alten Zeit, in der Spießigkeit und Heimlichtuerei weit verbreitet waren und in der den Grundrechten mit ihrer Abwehrfunktion gegenüber staatlichen Eingriffen eine besondere Bedeutung zukam? Ist Datenschutz und Privatsphärenschutz mit dem von einigen Protagonisten verkündeten Post-Privacy-Zeitalter nicht obsolet geworden und einer totalen Transparenz gewichen?
Auch 2016 gilt das Grundgesetz, gelten die Grundrechte in Art. 1 bis 19, und es unterscheidet nicht zwischen digital und analog. Das Internet setzt rechtlich nicht die Grundrechte außer Kraft.
Aber noch nie hat seit der Industrialisierung und Automatisierung eine so umfassende technische Entwicklung stattgefunden, wie es die Digitalisierung ist. Sie führt zu nicht mehr überschaubaren Informationsmassen. Es werden immer mehr Daten der Bürgerinnen und Bürger mit und ohne ihr Wissen erfasst, analysiert, vernetzt und verarbeitet, um das letztendlich auf Werbung basierende Geschäftsmodell vieler global agierender Konzerne zu verfeinern und auszubauen.
Was das tatsächlich für die Arbeitsbedingungen und Arbeitsplätze, für das Autofahren, für das vernetzte und sich selbst vernetzende Home, für die Medizin und Gesundheit und natürlich für die Industrie 4.0. bedeutet, kann heute noch nicht vollständig überblickt werden. Setzen die Algorithmen, setzen die intelligenten Maschinen das Recht außer Kraft? Gibt es einen Wettstreit zwischen Technik und demokratischer Rechtsetzung?
Eric Schmidt, der Vorstandsvorsitzende von Alphabet, der Google Holding, sagt es so:
„ Das Internet ist das größte Anarchismusexperiment aller Zeiten. Die Onlinewelt, in der Hunderte Millionen von Menschen digitale Inhalte produzieren und konsumieren, wird kaum durch Gesetze beschränkt… Das Internet ist der größte unregulierte Raum der Welt“[1]
I. Das Internet ist kein rechtsfreier Raum
Es ist zwar richtig, dass es für die rasante digitale Entwicklung keinen globalen Rechtsrahmen der Vereinten Nationen gibt, also kein weltweites Datenschutzgesetz, aber es ist nicht zutreffend, dass es keinerlei Recht gäbe, das nicht auch die digitale Entwicklung bindet. Das Internet ist natürlich kein rechtsfreier Raum, diese Binsenweisheit müsste inzwischen jedem bekannt sein. Das Recht wird, da häufig national, nur schwerer durchsetzbar.
Dort, wo die digitale Welt eine Abbildung in der analogen Welt findet, kommen wir mit den bestehenden Gesetzen und unserer gewohnten Art und Weise der Gesetzgebung deshalb ganz gut zurecht.
Es fehlt in Deutschland nicht in erster Linie an strafrechtlichen oder nebenstrafrechtlichen Regelungen, auf deren Basis der Staat seiner verfassungsrechtlichen Verpflichtung nachzukommen im Stande ist, die Grundrechte auch vor Beeinträchtigen durch andere zu schützen. Die dennoch zu konstatierenden Effektivitätsdefizite der schutzrechtlichen Dimension der Grundrechte sind vielmehr auf Spezifika der digitalen Kommunikation zurückzuführen, dieeine Anwendung und, vor allem, eine effektive Durchsetzung des bestehenden Rechts erschweren. Denken Sie nur an das Cybermobbing.
Das Recht läuft aber angesichts der Unübersichtlichkeit der Auswirkungen der Digitalisierung zwangsläufig den Entwicklungen in vielen Bereichen hinterher.
1. Disruption als Grundsatz der Digitalisierung
Das der Geschäftspolitik global agierender Konzerne zugrunde liegende Prinzip der Disruption, der Zerstörung des Althergebachten, um etwas Neues, etwas Innovatives aufzubauen – in den Worten von Eric Schmidt ist das der kreative Anarchismus – beinhaltet gerade auch permanente Rechtsverstöße, wie z.B. bei Uber, Airbnb u.a. sehr deutlich geworden ist.
Geht Innovation nur mit Rechtsbruch? Muss, wer die Vision einer virtuellen Welt neben und teilweise anstatt der physischen Welt verfolgt, quasi die Rechtsverletzung billigend in Kauf nehmen?
Wer das bejahen würde, würde den demokratischen Gesetzgeber bewusst missachten und das letzte Vertrauen der Bürgerinnen und Bürger in unseren liberal verfassten Rechtsstaat verlieren. Dann würde wirklich das Recht des wirtschaftlich Stärkeren an die Stelle des Rechts für alle treten. Das wäre die totale Kommerzialisierung des Rechts. Das ist kein Model für Good Old Europe.
Also ist der Gesetzgeber gefordert zu entscheiden, ob er diese auf Big Data, auf Milliarden finanzieller Ressourcen und auf aggressiver Frechheit basierenden Geschäftsmodelle mit allen Mitteln des Rechts bekämpft oder ob er das Recht den neuen technologischen Entwicklungen anpasst.
Da gibt es nur den goldenen Mittelweg: Verstöße gegen die Rechtsordnung müssen geahndet werden, wie das bei Uber und der privaten Ver- bzw Untervermietung von Wohnraum für Touristen in erheblichem Umfang geschieht. Gleichzeitig muss die Politik entscheiden, dass sie den fairen Wettbewerb zwischen den unterschiedlichen Anbietern ermöglichen will, und dann zügig für alle gleich geltende, angepasste Rechtsgrundlagen schaffen.
Eines steht fest: Die digitale Revolution ist unumkehrbar, aber sie ist noch längst nicht abgeschlossen. Die technologische Basis wird immer leistungsfähiger, die Geschwindigkeit der Geräte und die Rechenleistung werden weiter zunehmen. Nach dem Moore`schen Gesetz, einer Faustregel der Technologiebranche, verdoppelt sich die Geschwindigkeit der Prozessoren alle 18 Monate. Demnach wären die Computer im Jahr 2025 etwa 64 Mal schneller als 2013. Speicherkapazitäten kennen also kaum noch Grenzen. Und eine weitere Faustregel sagt, dass sich die Datenmengen, die über die schnellen Glasfaserverbindungen übertragen werden, alle neun Monate verdoppeln.
II. Daten, Daten, Daten
Wie viele nicht müde werden zu betonen, sind Daten das Schmieröl, das Gold oder die Währung der Digitalisierung. Ohne sie wären die Entstehung milliardenschwerer global tätiger Konzerne und die immer neuen Dienstleistungsangebote undenkbar.
Personenbezogene Daten, und das sind die interessanten Daten bei den Geschäftsmodellen der global agierenden ITKonzerne mit zielgenauen Angeboten, gehören der Person, der sie zuzuordnen sind und die unter anderem über ihre Persönlichkeit (Geburtsdatum, Adresse, Geschlecht), ihr Verhalten (Telekommunikationsdaten, Passagierdaten, Kontodaten) und ihre Internetaktivitäten (Online-Shopping, Chatrooms, soziale Medien) Aufschluss geben. Viele Daten sind mit Zusatzwissen rückverfolgbar auf eine Person wie die IP-Adresse.
In den vergangenen zehn Jahren hat sich die Zahl der mit dem Internet verbundenen Geräte auf sechs Milliarden verdreifacht, sie wird sich in den kommenden Jahren noch einmal verdreifachen. Vor allem rücken diese Geräte immer näher an den Menschen heran, vom Computer in der Ecke über den Laptop in der Tasche bis zum Smartphone in der Hand und zu den Gadgets, die als Wearables bezeichnet werden und immer dicht am Körper dabei sind.
Am Beispiel der Gesundheitsdaten sieht man den tiefgreifenden Wandel. Gesundheitsdaten des Einzelnen werden milliardenfach gespeichert – in Arztpraxen, Krankenhäusern, auf Fitness-Plattformen. Inzwischen gibt es weltweit 40 000 Gesundheitsapps. Die Apple Watch soll vielen Menschen helfen, ein gesünderes Leben zu leben. Herz-Kreislauf-Erkrankungen, Diabetes, Bluthochdruck sowie einige Krebserkrankungen sind verantwortlich für mehr als die Hälfte aller Todesfälle. Die häufigsten Ursachen lassen sich an einer Hand abzählen: Mangel an Bewegung, fehlerhafte Ernährung, übermäßiger Alkoholkonsum und Rauchen erhöhen wesentlich das Risiko für die genannten Erkrankungen. Diese Faktoren sind vermeidbar, aber viele Menschen tun sich schwer, ihren Lebensstil entsprechend zu ändern. Das ist der Ansatz für Überlegungen vieler Anbieter, besonders der Krankenversicherungen, mit innovativen Angeboten zu helfen und die Erfassung der Daten attraktiv zu Machen.
Und der Datenumfang ist immens. Ununterbrochen messen Sensoren in der Uhr den Puls des Nutzers, zählen jeden seiner Schritte, errechnen verbrannte Kalorien, Zuckerpegel, Gewichtsveränderungen. Eine Fitness-App sagt jeden Tag, ob der Nutzer sein Soll für das gesunde Leben erfüllt hat. Sämtliche Daten werden in eine Anwendung namens Health App auf dem I-Phone gespeist, die auch Gesundheitswerte aus anderen Apps erfassen und so ein umfangreiches persönliches Vitalprotokoll erstellen kann. Apple will zur zentralen Speicherstelle werden, an der alle Gesundheitsdaten zusammenlaufen. Dazu wird die Health App auf jedem I-Phone vorinstalliert. Dank der Selbstkontrolle per Wearables, Smartwatch und Fitness-App können Versicherungen ihre Kunden mit Bonusleistungen locken, wenn sie sich gesundheitsbewusst verhalten, die nach Umfragen für fast 70 % der Bürgerinnen und Bürger attraktiv sind. Die Generali-Versicherung und der südafrikanische Versicherungskonzern Discovery gehören zu den Anbietern.
Mithilfe dieser riesigen Datenmengen, die zum großen Teil die Betroffenen selbst über die sozialen Medien oder Quantified Self, das sog. Selftracking (pausenlose Körpervermessungsbewegung), geliefert haben, können die Kassen individuelle Risikoprofile erstellen. Wer im Netz stolz über seine neue Leidenschaft „ Fallschirmspringen „ berichtet oder Fotos seiner letzten Sauftour postet, könnte sich mit der Konsequenz konfrontiert sehen, höhere Beiträge zahlen zu müssen. Am Maßstab einer Beitrags- oder Belastungsgerechtigkeit lässt sich gegen eine stärkere individualisierte Zumessung von Risiken wenig einwenden.
Aber Big Data kann und will mehr. Inwieweit führen Risiken, für die ein Individuum nichts kann, zu höheren Prämien? Ob und inwieweit darf Big Data genutzt werden, um Menschen zu kontrollieren und zu manipulieren? Was in an deren Staaten bereits erfolgt, ist wegen der Regelungen zur engen Zweckbindung und des Grundsatzes der Direkterhebung beim Kunden in Deutschland so nicht möglich.
Die Gesundheitsapps, das Auto als rollendes Smartphone, das Smart Home, und online Bankgeschäfte jeglicher Art sind nur einige Aspekte des immer transparenter werdenden Verhaltens der Menschen. Mittels Algorithmen werden die erfassten Daten von global agierenden Konzernen für ihre Geschäftszwecke analysiert und vernetzt. Das betrifft gerade nicht nur statistische, technische Daten, sondern vorwiegend Daten mit Bezug zu Personen, die aus ihrem onlineund Surfverhalten mit und ohne ihr Wissen gewonnen und zu Profilen zusammengeführt werden, um sie dann z.B. zum Angebot gezielter Werbeplätze zu verwenden. Durch angelegte Verhaltensmuster, also Datenraster, künftiges Verhalten vorhersehbar zu machen und damit dem Nutzer ein auf ihn zugeschnittenes Angebot von Produkten und Dienstleistungen präsentieren zu können, gehört zu einem der immer erfolgreicher werdenden Geschäftsmodelle. An diesem Megatrend der kommenden Jahre wollen viele mitverdienen: die internationalen IT-Konzerne, die Energiewirtschaft, die Gesundheitsbranche, die Automobil- und Transportindustrie, die Medien, die Telefonhersteller und die Versicherungen.
III. Informationelle Selbstbestimmung und Grundrechtsschutz
Die Kehrseite dieser Technik und der auf Daten basierenden Geschäftsmodelle ist die Gefahr für die Selbstbestimmung des Einzelnen und für den Schutz seiner Privatsphäre. Wem gehören die Daten und wer darf unter welchen Voraussetzungen über sie zu welchen Zwecken verfügen?
Je mehr personenbezogene Daten aus- und verwertet werden, umso mehr wird die Privatsphäre des Einzelnen eingeschränkt. Auch wenn sich die Grenze zwischen öffentlich und privat durch die Digitalisierung verschieben mag, gehört die Privatsphäre unverzichtbar zur Persönlichkeit eines jeden Menschen. Immerhin messen nach einer repräsentativen Umfrage 56 % der Bürgerinnen und Bürger dem Schutz ihrer Daten und ihrer Privatsphäre in der Digitalisierung große Bedeutung bei. Denn anders als in der analogen Zeit hinterlassen wir digital eine Unmenge an Datenspuren, von denen der Nutzer gar nichts weiß und die vernetzt und analysiert Profilbildungen und Einordnungen zulassen, wie es zu Zeiten der Lochkarten unvorstellbar war.
Privatsphäre und Datenschutz sind in Deutschland Grundrechte und haben deshalb eine große verfassungsrechtliche Bedeutung.
Das Bundesverfassungsgericht hat im Volkszählungsurteil 1983 die grundsätzlichen Kernelemente des Rechts auf informationelle Selbstbestimmung entwickelt. Der Ausgangsfall erscheint rückblickend marginal. Die gesammelten Daten bezogen sich ua auf Wohnungsgrößen, Regionen, aber auch auf eine zentral zu verwendende Personenkennziffer, die ihren Träger, also jedem Menschen in Deutschland, ein Stück gläserner machte.
Das Bundesverfassungsgericht hat mit der Grundsatzentscheidung zur Volkszählung 1983[2] unmissverständlich erklärt, dass zum allgemeinen Persönlichkeitsrecht das Recht des Einzelnen gehört, selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte von ihm preisgegeben werden. Es hat die Gefahren gesehen, die dem Persönlichkeitsrecht unter den Vorzeichen der automatisierten Datenverarbeitung drohen, und reklamiert, dass der einzelne davor besonders geschützt werden muss.
Eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung, in der der Bürger nicht mehr wissen könne, wer was wann und bei welcher Gelegenheit über ihn weiß, ist mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar. Wer unsicher sei, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, werde versuchen, nicht durch solche Verhaltensweisen aufzufallen. …Dies würde nicht nur die individuellen Entwicklungschancen des einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger gegründeten freiheitlichen, demokratischen Grundordnung sei. Hieraus folge: Freie Entfaltung der Persönlichkeit setze unter den modernen Bedingungen der Datenverarbeitung den Schutz des einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz sei daher von dem Grundrecht des Art. 2 Abs.1 GG i.V.m. Art.1 Abs. 1 GG umfasst.
Das Datenschutzrecht wird also aus der Unantastbarkeit der Menschenwürde abgeleitet, die alle staatliche Gewalt bindet und als objektive Wertordnung mittelbar Wirkung im Verhältnis der Bürger untereinander und im Verhältnis zu den Unternehmen entfaltet.[3] Das Grundrecht gewährleistet insoweit die Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.[4]
Ist das eine Entscheidung aus einer anderen Zeit ohne heutige Relevanz? Geht das denn heute überhaupt? Erklärung der notwendigen Einwilligung in die Datenverarbeitung mittels Fax gehören doch in die 90iger Jahre und nicht in das Zeitalter der Digitalisierung.
Weit gefehlt. Damals haben die Richter vorausschauend geurteilt, auch wenn die Dynamik und Dimension der Digitalisierung nicht vorhersehbar war.
Die damals aufgestellten Anforderungen an Eingriffe in das Recht auf informationelle Selbstbestimmung sind heute genauso aktuell, vielleicht sogar noch bedeutsamer. Es geht um die grundgesetzlichen Freiheitsrechte, die die Grundlage unserer Demokratie darstellen und die durch technische Entwicklungen nicht ausgehöhlt werden dürfen. Ihnen liegt das Menschenbild des selbstbestimmten Individuums zu Grunde, das nicht Objekt, sondern Subjekt staatlichen und wirtschaftlichen Handels ist. Wenn manche IT-Firmen die Auffassung vertreten, das sei alles eine alte Idee, die Rechte des einzelnen Bürgers hätten sich überholt, mit der neuen Technik wolle man etwas Neues ausprobieren, was nicht so bürokratisch wie die Demokratie sei, dann wird damit das kantische Menschenbild der Aufklärung aufgegeben. Wenn wir nicht wollen, dass schleichend durch diese technologische Entwicklung unsere fundamentalen Werte ausgehöhlt werden, dann brauchen wir den richtigen Gestaltungsrahmen, um Freiheit im digitalen Zeitalter so leben zu können, dass die Rechte des anderen wie sein Persönlichkeitsrecht, sein Recht auf Schutz der Privatsphäre, sein Selbstbestimmungsrecht nicht unverhältnismäßig eingeschränkt werden.
Wie kann dieses Recht durchgesetzt werden? Ist der Gesetzgeber gefordert, sind es die Gerichte oder ist es nicht zu allererst Aufgabe des Nutzers, alles zu tun, um seine eigenen Rechte zu schützen? Verschlüsselung, weniger Posts und Tweets, kein Unterzeichnen der Datenschutzerklärungen der Konzerne? Ist das die Antwort?
Die Antwort ist ein auch ausländische Konzerne bindender europäischer Gestaltungsrahmen, das sind verbindliche Datenschutzstandards und die Stärkung der Grundrechte durch höchstrichterliche Rechtsprechung.
IV. Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH)
Neben dem Bundesverfassungsgericht hat sich besonders der EuGH zum Verteidiger der Grundrechte entwickelt, und damit der EU-Grundrechte-Charta Wirkung verliehen. Drei Entscheidungen aus jüngster Zeit haben den Datenschutz und die Persönlichkeitsrechte der Nutzer gestärkt.
1. Die anlasslose Vorratsdatenspeicherung
Die Entscheidung vom 2014 setzte einen vorläufigen Schlusspunkt unter die unendliche Geschichte der anlasslosen Vorratsdatenspeicherung, das umstrittenste Vorhaben der EU-Kommission der letzten Jahre, eine Geschichte des juristischen Scheiterns des deutschen und europäischen Gesetzgebers. Es geht um die Verpflichtung des Staates, alles zu unterlassen, was die Privatsphäre und das Datenschutzrecht der Bürger unverhältnismäßig einschränkt. Das am 1. Januar 2008 in Kraft getretene Gesetz zur Speicherung von Kommunikationsverbindungsdaten wurde auf die dagegen eingelegten Verfassungsbeschwerden vom Bundesverfassungsgericht am 2. März 2010 als verfassungswidrig verworfen.[5] Die Daten mussten unverzüglich gelöscht werden, da das Gesetz zur anlasslosen Vorratsdatenspeicherung in dieser Ausgestaltung das Grundrecht auf Schutz des Post- und Fernmeldegeheimnisses und auf Schutz der Vertraulichkeit der Kommunikation verletzt. Bei Beachtung der Vorgaben der Entscheidung ist eine Regelung zur Speicherung dieser Daten nicht grundsätzlich untersagt.
Angesichts der jahrelangen intensiven und streitigen Debatte über die anlasslose Vorratsdatenspeicherung aller Telekommunikationsverbindungsdaten sollte man annehmen, dass die Behauptungen der Unverzichtbarkeit der anlasslosen Vorratsdatenspeicherung durch eindeutige rechtstatsächliche Untersuchungen belegt seien. Denn neben den gravierenden Eingriffen in das Kommunikationsverhalten aller Bürgerinnen und Bürger durch die massenweise Speicherung der dadurch entstandenen Daten verursacht diese gesetzliche Verpflichtung millionenfache Investitionen der Telediensteanbieter, die vom Staat weder teilweise noch ganz erstattet werden. Zudem sind diese Datenberge für den Zugriff von Geheimdiensten und Hackern äußerst interessant, die Missbrauchsgefahr groß.
Vor diesem Hintergrund sollte mit dem bahnbrechenden Urteil der Großen Kammer des EuGH, mit dem die EU-Richtlinie von 2006 für mit der EU-Grundrechte-Charta unvereinbar und deshalb als rechtswidrig aufgehoben wurde, eigentlich ein juristischer Schlusspunkt unter diese politische Debatte und unter diese in der Geschichte der Europäischen Union wohl umstrittenste Gesetzgebung gesetzt worden sein.
Der vom irischen High Court und dem österreichischen Verfassungsgerichtshof wegen der bei ihnen anhängigen Klagen einer NGO, einer Landesregierung und von mehr als 11.000 Einzelpersonen angerufene EuGH stellt unmissverständlich in seiner Entscheidung vom Mai 2014[6] fest, dass die massenweise anlasslose Speicherung von Daten sowohl das Recht auf Schutz der Privatheit gemäß Art. 7 als auch den Schutz der persönlichen Daten gemäß Art. 8 der Charta der Grundrechte berührt und den Verhältnismäßigkeitsgrundsatz nach Art. 52 Abs. 1 der Charta verletzt.
Die in der Richtlinie aufgestellte Verpflichtung zur Speicherung und die Erlaubnis zur Verarbeitung stellen als solche einen besonders schwerwiegenden Eingriff in diese beiden Grundrechte von großem Ausmaß dar. Die immer wieder gern verwandte Argumentation, dass nicht die Speicherung der Daten, sondern erst der Zugang zu ihnen und die weitere Verwendung und Verarbeitung grundrechtsrelevant seien, ist damit vom EuGH klar zurückgewiesen worden. Wie schon das Bundesverfassungsgericht in seiner Rechtsprechung herausgearbeitet hat, entsteht durch die unterschiedslose massenweise Speicherung der Daten auf Vorrat bei den ca. 500 Millionen Bürgerinnen und Bürgern in der Europäischen Union ein diffuses bedrohliches Gefühl der permanenten Überwachung und damit des Vertrauensverlustes in die Vertraulichkeit der Kommunikation informationstechnischer Systeme. Diese Entgrenzung der staatlichen Überwachungstätigkeit unter Benutzung privater Diensteanbieter macht die Intensität des Eingriffs aus. Auch wenn der EuGH die generelle Geeignetheit bejaht, da es im Interesse des Gemeinwohls liege, organisierte Kriminalität und Terrorismus zu bekämpfen und wegen der wachsenden Bedeutung elektronischer Kommunikationsmittel die Vorratsdatenspeicherung theoretisch ein nützliches Mittel sein könne, lehnt er die in der EU-Richtlinie geregelte anlasslose Speicherung der Telekommunikationsdaten klar ab, da sie nicht auf das unbedingt notwendige Maß beschränkt ist und keinen unmittelbaren oder noch nicht einmal einen mittelbaren Bezug zu einer Handlung hat, die zur Strafverfolgung Anlass gibt. Weiter rügt er zu Recht den fehlenden Zusammenhang zwischen den verpflichtend zu speichernden Daten und der tatsächlichen Bedrohung der öffentlichen Sicherheit. Mit seiner Kritik an der fehlenden geografischen und personellen Beschränkung der zu speichernden Daten erteilt er der anlasslosen Vorratsdatenspeicherung eigentlich eine endgültige Absage. Denn nur wenn es konkrete Kriterien für einen Anhaltspunkt oder konkreten Tatverdacht gibt, kann der Personenkreis eingegrenzt und auch räumlich ein engerer Rahmen gezogen werden.
Die Informationsgesellschaft lebt eben nicht davon, Grundrechte zu verzehren. Die anlasslose staatliche Ausspähung und Speicherung der Kommunikation darf nicht Normalität werden. Das ist die Lehre des Luxemburger Urteils. Der EuGH versteht sich als der Hüter der Grundrechte, dem die Bürgerinnen und Bürger vertrauen können sollen. Mit solcher Rechtsprechung kommt der Datenschutz aus der Defensive.
Das hat die Bundesregierung nicht davon abgehalten, unter der täuschenden Bezeichnung sog. Höchstspeicherfristen einen Gesetzentwurf zur anlasslosen Speicherung der meisten Telekommunikationsverbindungsdaten vorzulegen und zu behaupten, dies sei zum Vorgehen gegen Terrorismus erforderlich. Seit dem 18. Dezember 2015 ist das Gesetz in Kraft. Auch wenn gewisse Vorgaben des Bundesverfassungsgerichtes berücksichtigt werden, handelt es sich wieder um eine ohne jeden Anlass verpflichtende Speicherung für 4 bzw 10 Wochen. Ausgenommen werden lediglich Verbindungen zu Anschlüssen von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen, die ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten und die selbst oder deren Mitarbeiter insoweit besonderen Verschwiegenheitspflichten unterliegen. Für Berufsgeheimnisträger gilt dagegen ein bloßes Abrufverbot der Daten durch die Strafverfolgungsbehörden. Mit dieser Regelung wird verkannt, dass die anwaltliche Verschwiegenheit für die betroffenen Mandanten von vergleichbarer existenzieller Bedeutung ist. Das Speichern der Daten, wann, wer wie lange mit seinem Rechtsanwalt telefoniert hat, widerspricht dem verfassungsrechtlich gebotenen Vertrauensschutz. Der Schutz der anwaltlichen Kommunikation ist mit einem bloßen Verwendungs- und Verwertungsverbot nicht gewährleistet, die bloße Speiche rung bietet Missbrauchspotenzial. Es muss der Schutz der Berufsgeheimnisträger deshalb schon „by design„ in die technische Einrichtung der Vorratsdatenspeicherung integriert werden.
Den allgemeinen Äußerungen von Regierungsmitgliedern zu mehr Datenschutz und verbale Bekenntnisse zum Grundrechtsschutz sind nicht wirklich überzeugend, wenn gleichzeitig im Gesetzgebungsverfahren der Datenschutz und der Schutz der Privatsphäre gegenüber dem Vorrang angeblicher größerer Sicherheit zurückstehen müssen.
Dieses nationale Gesetz erlaubt mit Blick auf das Bundesverfassungsgericht die Speicherung von Daten nur auf Servern in Deutschland. Das wiederum wurde von der EU-Kommission kritisiert.
Gegen dieses Gesetz ist von einigen Fraktionen, Verbänden und von einigen Politikern der FDP, vertreten durch Prof. Amadeus Wolff, erneut Verfassungsbeschwerde eingelegt worden. Hauptkritikpunkte sind die Speicherung der Daten auch von Berufsgeheimnisträgern, also von Anwälten, Ärzten, Journalisten, die mit der Speicherung der Funkzellen möglichen Bewegungsprofile unbescholtener Bürger, die Speicherung der SMS, wohl auch ihrer Inhalte und die Verletzung des Bestimmtheitsgrundsatzes.
Eine spannende juristische Frage wird sein, wieweit das Bundesverfassungsgericht die mit der Entscheidung des EuGH konkretisierte EU-Grundrechte-Charta zu beachten hat.
Das Brief-, Post- und Fernmeldegeheimnis darf keine museale Erinnerung an graue Vorzeiten werden, in denen man noch unbefangen Kontakte mit anderen Menschen haben konnte. Es muss seine Kraft gerade auch unter den technischen Bedingungen unserer heutigen Gesellschaft entfalten können. Um dazu die verfassungsrechtlichen Grenzen aufzuzeigen, ist es notwendig, erneut nach Karlsruhe zu gehen.
V. Das sog. Recht auf Vergessenwerden
Das Internet eröffnet weltweiten, weitestgehend grenzenlosen Kommunikationsverkehr und Zugang zu Informationen. Einmal gespeicherte personenbezogene Daten sind immer wieder auffindbar. Was also an den digitalen Kommunikationstechnologien bekümmert und auch bekümmern muss, ist der sorglose und missbräuchliche Umgang mit den Möglichkeiten, die die digitalen Kommunikationstechnologien zur Verfügung stellen. Es geht also eigentlich nicht ums Vergessen. Es geht vielmehr um die Destruktion der Vorhaltbarkeit individuellen oder kollektiven Verhaltens. Dieser Destruktion haftet ein ethisches Moment an, nämlich das der Anerkennung der personalen Würde und Freiheit des einzelnen, wie es in unserem Grundgesetz, in dessen Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 und der EU-Grundrechte Charta seinen normativen positiv-rechtlichen Ausdruck gefunden hat. Anders ausgedrückt: Es ist nicht irgendeine sogenannte Tugend des Vergessens, deren Verlust zu befürchten wäre, es ist vielmehr die ethische und rechtliche Grenzen überschreitende individuelle und kollektive Handhabung der Möglichkeiten der digitalen Kommunikation, derer wir uns erwehren müssen. Es geht darum, mit den Mitteln des Rechts die Würde, die Freiheit und die Selbstbestimmung des Einzelnen sowie deren grundrechtliche Konkretisierungen gegen Verletzungen zu schützen. Das ist, angesichts der beschränkten Reichweite nationaler Gesetzgebung, angesichts der immensen Widerstände gegen internationale Übereinkünfte und angesichts der starken ökonomischen Interessen, die grundrechtsschützenden Regelungen entgegenstehen, schwer genug.
Und deshalb hat nach meiner Überzeugung das Urteil des Europäischen Gerichtshofs einen deutlichen Schritt in diese, richtige Richtung getan.
Es hat der millionenfachen Verbreitung privater Informationen, auch wenn sie zutreffend sind, mit Hilfe des Datenschutzes einen begrenzt wirkenden Riegel vorgeschoben.
In seiner Entscheidung vom 13. Mai 2014 zum sog. Recht auf Vergessenwerden[7] hat der Gerichtshof der Europäischen Union (EuGH) eine bahnbrechende Weichenstellung vorgenommen: Suchmaschinenbetreiber werden neben den Contentverantwortlichen für den Schutz der Privatsphäre der betroffenen Nutzer und ihren Datenschutz in die Verantwortung genommen. Sie müssen mittels namensbasierter Recherche gefundene Links zu Online-Artikeln dann löschen, wenn die millionenfache globale Verbreitung der Artikel und der damit verbundenen potenzierten Rechtsverletzung im Vergleich zur gedruckten Auflage einer Lokalzeitung den Datenschutz und die Persönlichkeitsrechte der Betroffenen verletzt. Die Zeit, in der man den Eindruck haben konnte, das Recht kapituliere vor den Großen des Internets, geht damit zu Ende.
Ganz einfach heißt das: Google, Apple, Facebook, Twitter, Amazon, Microsoft und viele andere Unternehmen können sich mit ihrem Sitz in den USA nicht länger dem europäischen Datenschutz entziehen.
Das war ein Kulturschock, auch für Google, das mit der EuGH-Entscheidung verurteilte Unternehmen. Seine Philosophie geht von der weltumspannenden Transparenz und von dem Wunsch der Bürgerinnen und Bürger aus, möglichst vieles von vielen Menschen wissen zu wollen und technisch einfach, barrierefrei und zügig Zugang zu Informationen zu haben. Datenschutz stand bisher bei diesen weltweit agierenden IT-Konzernen nicht als wichtiger zu achtender Wert ganz oben. Das von ihnen immer wieder propagierte totale Recht auf Wissen gibt es nicht, sondern es gibt ein Recht auf Zugang zu Informationen, die im öffentlichen Interesse liegen und nicht die Privatsphäre des Bürgers verletzen.
Mit der Einbeziehung von Suchmaschinen in den Schutz der Privatsphäre der Nutzer hat der EuGH deutlich gemacht, dass Suchmaschinen nicht nur unbeteiligte Vermittler, sog. Gatekeeper sind, sondern mit der Erfassung der millionenfachen Daten und ihrer Aufbereitung Beteiligte, und deshalb auch Verantwortung tragen. Aus der Begründung der Entscheidung ist ziemlich deutlich zu entnehmen, dass der Europäische Gerichtshof international agierende Konzerne für ihre Tätigkeit innerhalb der Europäischen Union zur Einhaltung europäischen Rechts verpflichten will. In Auslegung der europäischen Datenschutzrichtlinie hat der Gerichtshof damit bereits das Marktortprinzip entwickelt, das der europäische Gesetzgeber nunmehr in der Ende letzten Jahres verabschiedeten Datenschutzgrundverordnung, die mit Inkrafttreten im Jahr 2018 die europäische Datenschutzrichtlinie ablösen wird, verankert hat. Damit entfällt die beliebte juristische Argumentation, mangels Sitz in der EU gelte das „strenge“ europäische Datenschutzrecht nicht. Und es wird der mit der Sitzwahl eines Konzerns in der EU verbundenen Absicht, sich das auf niedrigstem Niveau bewegende Datenschutzrecht eines EU-Mitgliedstaates auszusuchen, ein Riegel vorgeschoben. Es wird künftig datenschutzrechtlich nichts mehr bringen, sich in Dublin anzusiedeln, wie das derzeit Facebook, Google und viele andere internationale Konzerne tun.
Welche Bedeutung der EuGH dem Datenschutz zumisst, zeigt sich an diesen beiden Grundsätzen:
- Wirtschaftliche Interessen der Suchmaschinenbetreiber haben bei diesen Löschanträgen generell keinen Vorrang. Die digitale Kommunikation verschiebt zwar die Abgrenzung zwischen privat und öffentlich, aber der Schutz der eigenen Daten und der Privatsphäre werden und dürfen nicht aufgegeben werden. Ihm wird vom EuGH ein grundsätzlicher Vorrang vor den wirtschaftlichen Interessen der Suchmaschinenbetreiber eingeräumt, es sei denn, es liegt ein überwiegendes öffentliches Interesse an dem Zugang zu diesen Daten durch namensbasierte Recherche vor. Damit muss eine Abwägung zwischen dem berechtigten Schutz des Datenschutzsubjekts an einer zweckgebundenen Verwendung seiner Daten und dem Interesse der Öffentlichkeit an Information stattfinden. Nicht die mit teilweiser marktbeherrschender Stellung agierenden IT-Konzerne haben die uneingeschränkte Definitionshoheit darüber, was von ihnen an vorgegebenen Informationenverarbeitet und verbreitet wird, sondern sie sind an die europäisch geltenden Grundrechte gebunden. Es gilt nicht ihr Verständnis von allumfassender Transparenz und des behaupteten Rechts, von jedem alles wissen zu dürfen (so Eric Schmidt, der Vorsitzende des Verwaltungsrates von Alphabet, der Google Holding). Das ist eine neue Erfahrung!
- Der Antragsteller darf nicht darauf verwiesen werden, zuerst gegen die Journalisten und deren Verlag wegen Verletzung des Persönlichkeitsrechts und des Datenschutzrechtes durch die Publikation vorzugehen. Die Ansprüche auf Delisting gegen die Suchmaschinenbetreiber und auf mögliche inhaltliche Korrektur gegen die Contentverantwortlichen bestehen nebeneinander und haben auch unterschiedliche Voraussetzungen. Sie sind nicht inhaltlich voneinander abhängig, denn auch rechtmäßige frühere Berichterstattung kann zu einem berechtigten Löschantrag führen, auch wenn der Artikel selbst online verfügbar bleibt, aber dadurch nicht mehr so leicht auffindbar sein mag.
Die Nutzer machen von diesem neuen Anspruch fleißig Gebrauch. Ca 500 000 Anträge auf Löschen von Links mit durchschnittlich jeweils 3 betroffenen URLs (1,5 Millionen URLs insgesamt in ca 2 Jahren) sind seit der Urteilsverkündung am 13. Mai 2014 gestellt worden. Google löscht ca 42 %, 58 % der Anträge werden abgewiesen. Eine relativ ausgewogene Praxis. Zahlen zu den anderen Suchmaschinen liegen nicht vor, so dass kein Gesamtbild gezeichnet werden kann.
VI. Safe Harbor
Mit seiner dritten Entscheidung[8] zum europäischen Datenschutz hat der EuGH die Fiktion beendet, die Datenschutz – Selbstverpflichtung amerikanischer Unternehmen verbunden mit dem Eintrag in eine Liste würde das angemessene Datenschutzniveau i.S. der derzeit noch geltenden europäischen Datenschutzrichtlinie erreichen. Datenschutz hat also doch seinen Platz im digitalen Zeitalter. Unternehmen und der Staat müssen ihn beachten und ihm im Zweifel pauschale Sicherheitsbegründungen oder reine Praktikabilitätserwägungen unterordnen.
Mit der Safe Harbor Entscheidung, die die Angemessenheitserklärung der EU -Kommission iSd Datenschutzrichtlinie für rechtswidrig erklärt, ist die Rechtsunsicherheit für die betroffenen Unternehmen groß. Mögliche Alternativen wie die Einwilligung der Kunden, Verwendung bestehender von der EU-Kommission genehmigter und entsprechend ergänzter Vertragsklauseln oder sog. Binding Corporate Rules (BCR), die konzernweit verbindliche Datenschutzvorschriften enthalten, sind mit Rechtsunsicherheit verbunden. Einmal können sie einen entscheidenden Kritikpunkt der EuGH-Entscheidung nicht ausräumen, dass in den USA die Geheimdienste auf die Server der Unternehmen direkten Zugriff haben, damit auf die personenbezogenen Daten, und dass daraus die Verletzung des Datenschutzrechtes hergeleitet wird. Und außerdem müssten die BCR von der Datenschutzaufsicht vorher genehmigt werden, was die deutschen Datenschutzbehörden abgelehnt haben. Der Hafen bleibt unsicher.
Diese Entscheidung ist auch eine Antwort auf die Enthüllungen von Edward Snowdon seit 2013, die von der Politik auf die rechtsverletzenden Handlungen ausländischer Geheimdienste nicht gegeben wurde. Der umfassende Zugriff auf die auf den Rechnern amerikanischer IT-Konzerne gespeicherten Daten europäischer Bürgerinnen und Bürger und der vollkommen unzulängliche Rechtsschutz von Ausländern in den USA stellen eine Verletzung der informationellen Selbstbestimmung dar, die so nicht weiter hingenommen werden darf.
Das Safe-Harbor-Urteil hat weitreichende Folgen für Unternehmen dies- und jenseits des Atlantiks. Die zur Rechtsunwirksamkeit führenden Grundrechtsverletzungen können nicht in wenigen Wochen behoben werden, weil weder die amerikanische Politik noch die Sicherheitsbehörden dazu bereit und in der Lage sind. Es gilt deshalb eine Schonfrist, die den Unternehmen seitens der Datenschutzbehörden eingeräumt worden war und erst jüngst verlängert wurde. Andernfalls hätten sie bei weiterem Datentransfer Sanktionen verhängen müssen.
Ob das im Februar ausgehandelte Übereinkommen zwischen der EU und den USA , das sog. EU/US Privacy Shield Abkommen eine wirklich angemessene datenschutzrechtliche Antwort gibt, ist mit Fragezeichen zu versehen. Zunächst ist positiv, dass es überhaupt Bewegung gibt und die amerikanischen Sicherheitsbehörden versichern, dass sie nicht mehr wie in der Vergangenheit auf die Rechner der US-Firmen zugreifen werden. Das wird allerdings nicht rechtlich verbindlich abgesichert, sondern basiert auf schriftlichen Zusicherungen der Behörden und damit letztlich auf gegenseitigem Vertrauen. Das ist nach dem NSASkandal erschüttert. Das US-Handelsministerium soll die Firmen, die europäische Daten verarbeiten, überwachen und ein Ombudsmann im US-Außenministerium sich um Beschwerden von EU-Bürgern über eine mögliche Überwachung kümmern. EU-Bürger erhalten zudem erstmals Zugang zu US-Gerichten, wenn sie ihre Rechte durch dortige Internetfirmen verletzt sehen.
Neben positiven Bewertungen der Unternehmensverbände und der Regierungen sowie der EU-Kommission äußern Datenschutzbehörden in EU-Mitgliedstaaten, Abgeordnete und auch Max Schrems deutliche Bedenken an diesem transatlantischen Datenaustausch, die sich im Kern darauf beziehen, dass das Abkommen vom Goodwill der amerikanischen Behörden abhängt, die die letzten Jahre eine genau entgegensetzte Praxis aus Überzeugung ausgeübt haben.
Der Privacy Shield ist am 12. Juli von der EU-Kommission gebilligt und damit eine neue Rechtsgrundlage für den transatlantischen Datenfluss geschaffen worden.
VII. Europäische Datenschutzgrundverordnung
Was der EuGH mit dieser Entscheidung schon vorweggenommen hat, hat der europäische Gesetzgeber mit der Verabschiedung der europäischen Datenschutzgrundverordnung (DS-DGV), die 2018 in Kraft treten wird, ausdrücklich festgeschrieben, das Marktortprinzip für die Anwendung europäischen Rechts. Mit seiner Verankerung müssen sich auch global agierende IT-Konzerne, die ihren Hauptsitz außerhalb der EU haben, an das europäische Recht halten, wenn sie Daten von Bürgern in der EU erfassen, analysieren, vernetzen und verarbeiten und für ihre Zwecke nutzen, um dann ihre Dienstleistungen in der EU anzubieten. Das schafft gleiche Wettbewerbsbedingungen, mehr Rechtssicherheit und leichtere Rechtsdurchsetzbarkeit. Datenschutz und wirtschaftliche Entwicklung sind keine unvereinbaren Gegensätze.
Diese neuen europäischen Datenschutzstandards sind ein wichtiger Schritt und leiten eine neue Zeitrechnung im Datenschutz ein. Die Zeit, dass sich Konzerne den Standort mit dem niedrigsten Datenschutzstandard, das war häufig Irland, aussuchen konnten, ist vorbei. Deshalb ist es überfällig gewesen, dass die Politik und der europäische Gesetzgeber die gesetzlichen Grundlagen zur Stärkung der Grundrechte der Bürgerinnen und Bürger geschaffen haben. Das Recht auf individuelle Selbstentfaltung kann nur wahrnehmen, wer die Kontrolle über sein Leben hat. Es geht um nicht weniger als die verfassungsmäßig garantierten Rechte, ohne deren Einhaltung die Demokratie nicht funktionieren kann.
Mit diesen europäischen Datenschutzstandards soll das Machtverhältnis zwischen der häufig marktbeherrschenden Stellung der Internetgiganten einerseits und der negativen Freiheit, in Ruhe gelassen zu werden[9] , sowie der positiven Freiheit, Datenschutz- und Persönlichkeitsrechte zu leben, wieder besser justiert werden.
Es ist ein umfangreiches, abstrakt formuliertes Gesetzeswerk, das viele unbestimmte Rechtsbegriffe, sog. delegierte Rechtsakte, also Ermächtigungen an die EU-Kommission enthält (insgesamt über 60) und den Mitgliedstaaten mit neuen Vorgaben und zahlreichen Öffnungsklauseln einige Hausaufgaben bis zur Anwendung der Verordnung 2018 aufträgt.
Die Datenschutzgrundverordnung ist ein wichtiger Meilenstein (wie Peter Schaar in der PinG 2.2016 zu recht sagt) auf dem Weg in die globale Informationsgesellschaft. Statt 28 unterschiedlicher Datenschutzgesetze in den Mitgliedstaaten wird es künftig ein europäisches Datenschutzgesetz geben.
Die DS-GVO baut auf den bekannten Datenschutzprinzipien auf, die in der EU-Grundrechte-Charta und im AEUV verankert und damit nicht durch Sekundärrecht veränderbar sind. Art. 8 Abs. 1 GRCh enthält ausdrücklich ein Datenschutzgrundrecht und in Abs. 2 ist die Einwilligung der betroffenen Person oder eine sonstige gesetzliche Grundlage als Legitimation für die Verarbeitung personenbezogener Daten festgeschrieben. Und schließlich verlangt Art. 8 Abs. 3 GRCH unabhängige Stellen zur Überwachung, wie auch noch einmal Art. 16 AEUV.
Vor diesem Hintergrund mussten alle Forderungen nach einer grundsätzlichen Umkehr des Datenschutzrechts, nämlich an Stelle des geltenden Verbots mit Erlaubnisvorbehalt einen risikobasierten Ansatz zu wählen, scheitern. Ich halte diesen Verbotsgrundsatz mit Erlaubnisvorbehalt auch für ein notwendiges Korrektiv, um der mangelnden Überschaubarkeit automatisierter Datenverarbeitung und der damit verbundenen Eingriffe in Persönlichkeitsrechte zu begegnen (so auch die Bundesbeauftragte für den Datenschutz in PinG 2/2016, Seite 57) und nicht die Beweislast auf den Nutzer zu verschieben.
Mit der Ausgestaltung der notwendigen Einwilligung in Art. 7 DSGVO wird die Souveränität des Nutzers gestärkt. Daten können mit ausdrücklicher Einwilligung Dritten für bestimmte Verarbeitungszwecke zur Verfügung gestellt werden. Standardmäßig angekreuzte Kästchen oder Untätigkeit, also stillschweigende Einwilligung, reichen nicht aus (EG 32). Opt-out-Lösungen, die der BGH bisher toleriert hat, dürften damit nicht mehr zulässig sein.
Beim Besuch von Internetseiten kann die Einwilligung auch durch die Auswahl technischer Einstellungen erfolgen, dies ist besonders für Cookies relevant. Möglich dürfte danach auch die Einwilligung durch die Einstellungen des Browsers sein.
Die früheren allgemeinen, häufig unbestimmt formulierten Einwilligungen in alle bekannten und nicht bekannten Nutzungen mit allen Auswirkungen hinsichtlich der Verwendung der Daten zu Werbe- und anderen Geschäftszwecken durch allgemeine Datenschutzerklärungen wird es nach den neuen Regelungen so nicht mehr geben können. Einwilligungserklärungen müssen nach der DS-GVO in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst und klar unterscheidbar von anderen Erklärungen präsentiert werden (Art. 7 Abs.2 S.2 DS-GVO), und sie dürfen keine missbräuchlichen Klauseln enthalten.
Die Einwilligung muss freiwillig erfolgen. Daran fehlt es, wenn ein klares Ungleichgewicht zwischen dem Betroffenen und dem Verantwortlichen besteht.
Außerdem wird der Gedanke des Koppelungsverbots aufgegriffen, es muss also geprüft werden, ob ein Vertragsabschluss von der Einwilligung zur Verarbeitung von Daten abhängig gemacht werden darf, wenn diese für die Vertragserfüllung nicht gebraucht werden.
Zu Ende gedacht, verhindert es das im Internet gängige Modell der „Bezahlung mit eigenen Daten“ und schießt damit über das Ziel hinaus, die informationelle Privatautonomie des Betroffenen zu gewährleisten. Überzeugender wäre es gewesen, darauf abzustellen, ob es dem Betroffenen zumutbar wäre, auf alternative Anbieter auszuweichen.[10]
VIII. Zukunft des Datenschutzes
Neben dieser Rechtsentwicklung durch Rechtsprechung muss der technische Datenschutz vorangetrieben werden. Wenn Hersteller von Software, Hardware und Betreiber von Webseiten Anonymisierung, Pseudonymisierung und Datenschutzstandards ihren Produkten von vornherein mitgeben, dann wird mit diesem Privacy by Design durch Technik der Schutz der Privatsphäre ermöglicht, den die Nutzerinnen und Nutzer immer stärker wünschen und dessen derzeitiges Fehlen zu deutlichem Vertrauensverlust in die digitale Welt führt.
1. Das rollende Smartphone
Kaum eine technologische Entwicklung betrifft das Internet und Recht und Freiheit so sehr wie das rollende Smartphone, also das Internet der Dinge, eingesetzt beim connected car. Es bedarf eines digitalen Ordnungsrahmens, der u.a. die Datensicherheit und die komplexen, neuen Haftungsfragen für das Auto der Zukunft behandelt: das teilweise oder ganz selbst fahrende, selbst kommunizierende Auto gegenüber anderen Autos und der Infrastruktur, das vernetzten Auto gegenüber den verschiedenen Verkehrsträgern (zeitnahe Staumeldung im Auto). Mögliche Daten aus dem Auto gibt es mehr als genug. Angesichts der Vielfältigkeit der Einsatzzwecke von Informationsdaten im Auto und vieler Beteiligter stellen sich mehrere datenschutzrechtliche Frage. Vertrauen in das vernetzte Auto und seine Hersteller wird es nur mit klaren Regeln zur Verantwortung, zur Datensparsamkeit, zum Zugriff auf die Daten und zur Verwendung bei Schäden und Unfällen geben.
Da fordert die Digitalisierung den Gesetzgeber, und er sollte sich angesichts des harten Wettbewerbs ua mit amerikanischen Anbietern nicht zögerlich verhalten und die Risikoverteilung und Auskunftsrechte gesetzlich regeln.
Wir befinden uns mitten in der Gestaltung der Digitalisierung-technisch, gesellschaftlich, politisch und rechtlich. Der Erfolg dieser Entwicklung wird davon abhängen, das richtige Maß an notwendiger europäischer Gesetzgebung und nationalen Anpassungen zu finden.
Das Prinzip der Disruption darf es bei den Grundlagen unseres Zusammenlebens nicht geben. Die Grundrechte, verankert in nationalen Verfassungen der Mitgliedstaaten und in der Europäischen Grundrechtecharta stehen nicht zur Disposition. Das gilt für den abwehrrechtlichen Charakter der Grundrechte besonders mit Blick auf die Verletzung der Grundrechte durch ausländische Geheimdienste und für den schutzrechtlichen Charakter der Grundrechte bei Verletzung durch marktbeherrschende Unternehmen.
Generell wird aus den mit der Digitalisierung einhergehenden Grundrechtsgefährdungen deutlich, dass zukünftig dieser Grundrechtsschutz national und immer stärker europäisch erfolgen muss.
Deshalb wird man, wie vom früheren Präsidenten des Bundesverfassungsgerichts gefordert, vom deutschen Staat verlangen müssen, dass er sich energisch für bilaterale oder unilaterale Datenschutzabkommen einsetzt, in denen ein Standard rechtlicher Regeln entwickelt und normiert wird, der auf einem gemeinsamen Wertekanon gründet, der den im Wesentlichen übereinstimmenden grundrechtlichen Wertentscheidungen des Grundgesetzes, der EU-Grundrechtecharta und den menschenrechtlichen Verbürgungen der Europäischen Menschenrechtskonvention in Fragen des Persönlichkeitsschutzes und des Telekommunikationsgeheimnisses entspricht.
Den guten Beispielen des EuGH mit seiner Grundrechtsrechtsprechung, siehe Vorratsdatenspeicherung und sog. Recht auf Vergessenwerden, muss die Politik folgen.
2. Datenschutz der Zukunft
Anstatt den Datenschutz immer wieder als Täterschutz zu diffamieren oder ihn als lästiges Bürokratiemonster anzusehen, das die schöne neue Welt der Digitalisierung nur stört, sollte der Datenschutz als modernes Gestaltungsmittel verstanden werden. Wer den Datenschutz achtet, hat einen Vorteil. Datenschutz macht den Informationsaustausch, auch mit anderen Sicherheitsbehörden, nicht unmöglich, aber verlangt Restriktionen im Interesse der Grundrechte der Bürgerinnen und Bürger. Wir brauchen eine liberale Datenpolitik, die Datenschutz angemessen gewährleistet. Wir wollen, dass das Recht auf informationelle Selbstbestimmung die digitale Zukunft prägt. Nutzer und Unternehmen brauchen Klarheit und Rechtssicherheit.
IX. Selbstbestimmung und Freiheit
Wer in der digitalen Welt frei entscheiden will, muss souverän über die Verwendung seiner Daten entscheiden.
Deshalb:
- Persönliche Daten sollen nicht unbegrenzt erhoben, gespeichert, verwendet und weitergegeben werden.
- Für die User muss transparent sein: Welche meiner Daten werden wo, von wem, wie lange und zu welchem Zweck erfasst und verarbeitet?
- Datenschutz- und Einwilligungserklärungen müssen verständlich und einfach sein.
- Es darf keine anlasslose Erhebung und Speicherung von
Daten geben (Vorratsdatenspeicherung, Fluggastdatenerhebung, automatische Kennzeichenerfassung mit Speicherung der erfassten Daten).
1. Datenschutz technisch verstehen und verbessern
Der technische Fortschritt spielt nicht nur Datensammlern in die Hände, er kann auch dem Datenschutz dienen.
Deshalb:
- Datenschutz bedeutet auch und gerade, datenschutzfreundliche Technologien zu entwickeln und zu nutzen.
- Zukünftiger Systemdatenschutz setzt bereits im Entwicklungsstadium an. Datensparsamkeit heißt, Big-DataModelle zu entwickeln, die mit möglichst wenigen personenbezogenen Daten auskommen. Daten sollen so weit als möglich anonymisiert, verschlüsselt oder pseudonymisiert werden.
- Eine dezentrale Datenverarbeitung erleichtert den Datenschutz. Endgeräte für Verbraucher sollen mit einer Grundeinstellung ausgeliefert werden, die einen starken Datenschutz gewährleistet (privacy by design, privacy by default).
2. Datenschutz gestalten
Die Politik muss gesellschaftliche Debatten aufnehmen und Antworten geben. Das gilt auch beim Datenschutz der Zukunft. Die Datenschutzgrundverordnung der Europäischen Union leistet dazu einen wichtigen Beitrag. Die große Koalition muss die notwendigen Umsetzungen zügig vor legen.
Deshalb:
- Europäische Datenschutzgrundverordnung und Bundesdatenschutzgesetz müssen synchronisiert werden, um Rechtssicherheit für Nutzer und Planbarkeit für Unternehmen herzustellen.
- Das Internet der Dinge wird ganz neue Haftungsfragen aufwerfen-hier brauchen wir klare Regelungen. Ein Recht auf Abtrennung soll gewährleisten, dass man Gegenstände auch ohne Weitergabe der damit verbundenen Daten benutzen kann.
- Das Recht auf Vergessenwerden muss verfahrensmäßig per Gesetz geregelt werden, um so eine Abwägung zwischen den Rechten des Users und der Meinungs- und Pressefreiheit sicherzustellen.
3. Datenpolitik in internationaler Dimension denken
Datenpolitik hat immer eine internationale Dimension: Digitale Geschäftsmodelle machen nicht an Ländergrenzen halt: Zuliefererketten sind weltweit vernetzt und Absatzmärkte global.
Deshalb:
- Die Vorgaben des Europäischen Gerichtshofs zum Datentransfer zwischen Europa und den USA müssen umgesetzt werden-hier gilt es viel nachzubessern.
- Rechtsdurchsetzung durch „Rechtshilfe 4.0“ gilt es zu erleichtern: Jeder muss den Schutz seiner Daten durchsetzen können – auch in den USA.
- Datenschutz nach deutschem Standard sollte als Exportschlager verstanden werden – und in internationalen Abkommen verankert werden.
4. Datenschutz heißt auch Schutz vor Cyberangriffen
Von staatlichen oder nichtstaatlichen Cyberangriffen geht eine große Gefahr für die Datensicherheit aus. Bestmögliche IT-Sicherheit und der Schutz der digitalen Infrastruktur – hier brauchen wir einen starken Staat.
Deshalb:
- Unternehmen müssen angemessene Sicherheitsvorkehrungen wie kryptografische Verschlüsselung, personenbezogene Zertifikate zum Schutz vor Manipulation und Nachweis der Identität einsetzen.
- Es darf keine gesetzlichen Beschränkungen oder Vorgaben bei kryptografischen Sicherungssystemen geben, was verschlüsselt ist, muss ohne Hintertür verschlüsselt sein.
- Die obligatorische Nutzung von Verschlüsselungstechnologien muss durchgesetzt und Omnicloud-Lösungen gefördert werden – so werden Daten verschlüsselt, bevor sie in der Cloud gespeichert werden. Das hilft, das Datenvolumen zu minimieren.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte zu einem unabhängigen IT-Dienstleister für Bürger und Unternehmen werden – und keine nachgeordnete Behörde des Bundesministeriums des Innern sein.
- Daten- und IT-Sicherheit muss als Schwerpunkt der deutschen und europäischen Spitzenforschung ausgebaut werden.
- Auch Cybersicherheit kann nicht national gedacht werden: Daher muss jetzt ein EU-IT-Sicherheitskonzept entwickelt werden – für mehr Transparenz und Schutz vor Cyberangriffen.
X. Fazit:
Datenschutz ist kein „Nice to Have“ und auch kein Relikt längst vergangener analoger Zeiten. Datenschutz setzt Freiheit durch. Eine moderne liberale Digitalpolitik hat ihre grundrechtliche Dimension immer im Blick. Sie versteht Digitalisierung nicht als ein über uns hereinbrechendes Naturereignis, sondern als technologischen, dynamischen Prozess, dessen Herausforderungen erkannt und gestaltet werden können. Vor allem aber: Liberale Digitalpolitik kann zeigen, wie wir uns die digitale Zukunft wünschen und wie wir uns einen digitalen Gestaltungsrahmen vorstellen.
Sabine Leutheusser-Schnarrenberger ist Bundesministerin der Justiz a.D. und Mitglied der Beirates von Google zum Recht auf Vergessen.
* Aufsatz zum Vortrag des 9. GDD-Sommer-Workshops vom 01.- 03.08.2016 in Timmendorfer Strand.
[1] Die Vernetzung der Welt, S. 13/14.
[2] BVerfGE vom 15. Dezember 1983 – Az. 1BvR 209/82.
[3] Lüth–Urteil des BVerfG.
[4] BVerfG 65, 1 – 71.
[5] BVerfG, DuD 2010, 409 ff.
[6] EuGH Urteil vom 8. April 2014 – C 293/12, C-594/12, DuD 2014, 488 ff.
[7] EuGH, Urteil vom 13. Mai 2014 – C 131/12 –, DuD 2014, 559 ff.
[8] EuGH, Urteil vom 6. Oktober 2015 – C362/14-, DuD 2015, 823 ff
[9] Schirrmacher, in: Yvonne Hofstetter, „Sie wissen alles“, 2014, Bertelsmann Verlag, S. 285
[10] Siehe dazu Schantz, NJW 2016, 1841 ff.