In Deutschland haben Sicherheitsbehörden letztes Jahr rund sieben Millionen Mal die Bundesnetzagentur um Hilfe für die Identifizierung von Bürgern gebeten; damit wurden die Aktivitäten von bis zu neun Prozent der deutschen Bevölkerung überwacht. Das ist aus drei Gründen problematisch: Erstens zeigen Untersuchungen, dass in 1.000 Zeilen Computercode durchschnittlich 15 bis 50 Fehler stecken. Was, wenn jemand wegen eines solchen Softwarefehlers zu Unrecht ins Visier der Fahnder gerät? Zweites wird Überwachung oft mit "staatlichen Sicherheitsinteressen" gerechtfertigt. Allerdings ist nicht genau geregelt, was das eigentlich sein soll. Und drittens existiert keine neutrale Berufungsstelle, an die sich ein unschuldiger Bürger wenden könnte. Doch weil das europäische Datenschutzrecht derzeit ohnehin überarbeitet wird, besteht die Chance auf Verbesserungen. Die Schutzrechte des Bürgers gegenüber dem Staat könnten klarer als bisher geregelt werden. Ganz sicher gehören sie nicht – wie derzeit geplant – aus dem Datenschutzgesetz gestrichen.

Zunächst müsste festgelegt werden, wann "staatliche Sicherheit" überhaupt betroffen ist und vermeintlich "legitime Interessen" über der Privatsphäre stehen sollen. Rechtlich zulässige Überwachungsvorgänge sollten dokumentiert und jedes Jahr im Nachhinein veröffentlicht werden: Warum wurde überwacht? Wer hat wann Überwachungsanweisungen gegeben? Wer wurde überprüft? Eine unabhängige Institution könnte beauftragt werden, die Vorgänge zu prüfen und rechtlich zu bewerten.

Keinesfalls sollte man sich bei der Reform des Datenschutzes von all jenen abspeisen lassen, die informationelle Selbstbestimmung für eine Idylle aus vergangenen Zeiten halten. Im Gegenteil: Die Bedeutung der informationellen Selbstbestimmung wächst; nicht nur angesichts der staatlichen Neugier, sondern auch, weil viele Unternehmen die Daten ihrer Kunden kommerzialisieren. Märkte für personenbezogene Daten haben ein gigantisches Volumen erreicht. Auf diesen Märkten handeln Firmen Informationen, die wir ihnen täglich zur Verfügung stellen und deren Weiterverkauf wir oft unwissentlich durch die Zustimmung zu AGBs erlauben. Unsere Daten sind unterschiedlich viel wert. Ein Datensatz aus Postleitzahl, Haushaltseinkommen und Familienstand kostet nicht viel: bei der US-Firma RapLeaf bloß einen Cent. Die Krankenakten, die österreichische Kliniken in den vergangenen Jahren an die US-Firma IMS Health verkauften, brachten immerhin 432 Euro pro Stück und Jahr. Und wer in Deutschland eine Spende tätigt, findet sich womöglich im Datensatz von Arvato wieder (je 1.000 Spendernamen für 135 Euro).

Wenn Internetsurfer ihren Browser öffnen, werden sie beobachtet. Einer meiner Studenten stellte fest, dass eine von ihm installierte Schutzsoftware in nur zehn Wochen 175.000 Verfolgungsanfragen abgewehrt hat. Wenn informationelle Selbstbestimmung angeblich unwichtig geworden ist, warum haben Lobbyisten dann über 4.000 Vorschläge in Brüssel eingereicht, um das neue Datenschutzgesetz zu beeinflussen? Allein europäische Unternehmen versprechen sich bis 2020 etwa 330 Milliarden Euro Gewinn von sogenannten Identitätsdaten. Vorausgesetzt, wir Bürger liefern sie ihnen weiterhin sorglos.

Das müssen wir aber nicht. Junge Unternehmen arbeiten daran, Menschen die Kontrolle über ihre Daten zurückzugeben. "Datenbrieftaschen" könnten helfen, alle Daten, die Rechner oder Smartphones verlassen, mit Nutzungsbedingungen zu versehen. Diese könnten festlegen, für welche Zwecke eine Firma bei ihr ankommende Daten weiterverwenden darf und für wie lange. Daneben gibt es Programme für anonymes Surfen, Handys die verschlüsseltes Telefonieren erlauben oder Werbeblocker-Software. Wenn wir solche Technologien nutzen, können wir unsere Selbstbestimmung zurückgewinnen.