Privatsphäre : "Datenschutz droht sich als Fiktion zu erweisen"

Der ehemalige Hessische Datenschutzbeauftragte Spiros Simitis fordert im Interview ein modernes Datenschutzrecht statt angeblicher Selbstregulierung der Internet-Branche.

ZEIT ONLINE: Herr Professor Simitis, der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert hat alle Behörden und Unternehmen des Landes aufgefordert, den "Gefällt-mir"-Button von Facebook zu deinstallieren. Andernfalls will er Bußgelder verhängen. Darf er das?

Spiros Simitis: Das war eine Mahnung und zugleich zeigt es einen möglichen Ausweg: Die Intervention sollte nachdrücklich daran erinnern, dass es wieder und wieder verdrängt wurde, das Internet in den Datenschutz einzubeziehen. Mit der Berufung auf das Landesdatenschutzgesetz sollte darüberhinaus betont werden, dass es notwendig ist, sofort eine Neuregelung zu beschließen.

ZEIT ONLINE: Die von Facebook und Google erhobenen personenbezogenen Daten werden in die USA übermittelt und dort gespeichert. In den USA aber gilt das deutsche Datenschutzrecht nicht, sondern nur das weitaus weniger restriktive amerikanische. Ist dieses Dilemma überhaupt zu lösen?

Simitis: Trotz mancher Fortschritte ist es überaus problematisch, wenn Daten in die USA übermittelt werden. Erstens fehlt es nach wie vor an einer wirklich umfassenden und unabhängigen Kontrolle durch die europäischen Länder. Zweitens sind die Hürden, an die eine Weitergabe der Daten von den Vereinigten Staaten an Drittstaaten geknüpft ist, noch immer viel zu lasch.

Spiros Simitis

Spiros Simitis ist emeritierter Professor an der Johann-Wolfgang-Goethe-Universität Frankfurt am Main und ehemaliger Hessischer Datenschutzbeauftragter. Er gilt als "Vater" des deutschen Datenschutzrechts.

Das Interview wurde geführt von Prof. Dr. Rainer Erd, ehemals Hochschullehrer für Informationsrecht in Darmstadt, heute Rechtsanwalt mit Schwerpunkt Datenschutzrecht in der Kanzlei Schmalz in Frankfurt am Main.

ZEIT ONLINE: Hat denn das Datenschutzrecht überhaupt noch eine Chance, angesichts umfangreicher Datensammlungen durch Firmen wie Facebook und Google etwas regulieren zu können – oder ist es nicht schon jetzt weitgehend wirkungslos?

Simitis: Der Datenschutz ist als Reaktion auf die Informationstechnologie entstanden. Deshalb kann er die mit ihm verbundenen Erwartungen nur solange erfüllen, wie er wenigstens annähernd mit der Entwicklung dieser Technik Schritt hält.

Das Internet hat radikal verändert, wie personenbezogene Daten strukturiert sind und verarbeitet werden. Damit hat es auch den Verfall des bisherigen Datenschutzrechts eingeleitet. Mehr denn je droht daher, dass sich der Datenschutz als Fiktion erweist, sollte der Umgang mit personenbezogenen Daten im Internet nicht verbindlich geregelt werden.

Die ständigen Hinweise auf Selbstregulierungen schreiben nur den Verzicht auf einheitliche sowie unabdingbar zu befolgende Anforderungen fest, wie sie allein der Gesetzgeber erlassen kann. Anders ausgedrückt: Selbstregelungen erlauben es allenfalls, gesetzliche Vorgaben zu konkretisieren – sie können sie aber niemals ersetzen.

ZEIT ONLINE: Facebook hat 800 Millionen Nutzer weltweit, davon 20 Millionen in Deutschland. Der Großteil scheint wenig Interesse am Schutz personenbezogener Daten zu haben. Ganz im Gegenteil hat man den Eindruck, das öffentliche Selbstdarstellungsbedürfnis ist bei vielen so groß, dass sie ihre intimsten Daten ohne Not preisgeben. Wird das Datenschutzrecht dadurch nicht bereits ad absurdum geführt?

Simitis: In der Tat: Ein Blick auf die Seiten von Facebook reicht, um festzustellen, dass die Benutzer heute selbst die intimsten Daten ins Netz stellen. Mehr noch, je schrankenloser die Betroffenen jenen "Kernbereich" ihrer Person offenlegen, dessen Kenntnis ihnen laut Bundesverfassungsgericht vorbehalten sein muss, desto mehr lockt das gewisse Interessenten an: Arbeitgeber, Scheidungsanwälte und professionelle Profilhersteller, die Daten quer durch die Welt systematisch aufgreifen, detaillieren, kombinieren und profitabel verwerten.

Wer sich dabei auf die scheinbar jede Verarbeitung rechtfertigende "informationelle Selbstbestimmung" beruft, sollte das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 noch einmal genau lesen. Das Recht, selbst zu befinden, was mit den eigenen Daten geschieht, ist eine elementare Voraussetzung einer demokratischen Gesellschaft. Es muss deshalb so verstanden und praktiziert werden, dass der Zugriff auf die Daten nicht dazu genutzt wird, das Verhalten des Einzelnen gezielt zu steuern und Drittinteressen anzupassen. Informationelle Selbstbestimmung legitimiert weder die Datenträger noch irgend jemanden sonst, auf personenbezogene Daten beliebig mit ebenso beliebigen Folgen zuzugreifen.

ZEIT ONLINE: Immer wieder hört man, man müsse sich daran gewöhnen, dass wir in eine Ära der post privacy kommen, in der Datenschutz ein Relikt des 20. Jahrhunderts ist. Dafür spricht doch einiges, oder?

Simitis: Wer das Zeitalter der post privacy proklamiert, nimmt auch das Ende des Datenschutzes in Kauf. Denn der kann nur bestehen, solange die Verwendung personenbezogener Angaben als legimitationspflichtige Ausnahme angesehen wird – aus Respekt vor dem Einzelnen. Durch die Preisgabe der Privatsphäre wird der Mensch zum bloßen Objekt von Entscheidungen degradiert, die zwar mit Hilfe seiner Daten, aber immer an ihm vorbei gefällt werden.

ZEIT ONLINE: Sie gelten als "Vater" des deutschen Datenschutzrechts. Was müsste man denn tun, um dieses Recht zu einem effektiven Instrument zum Schutz personenbezogener Daten zu machen?

Simitis: Erstens: Inhalt und Reichweite des Datenschutzes müssen angesichts einer sich ständig weiter entwickelnden Informationstechnologie fortlaufend überprüft werden. Alle Anforderungen der Datenschutzgesetze an den Umgang mit personenbezogenen Daten sind also stets nur vorläufig. Nicht von ungefähr ist die Geltungsdauer der Datenschutzgesetze in manchen Ländern explizit befristet. Das Internet muss, wie schon sämtliche Verarbeitungsformen zuvor, unverzüglich in die gesetzlichen Regelungen des Datenschutzes aufgenommen werden.

Zweitens: Ein allgemein anwendbares Datenschutzgesetz muss es zwar nach wie vor geben. Anders als derzeit muss es aber auf generell anwendbare Grundsätze beschränkt werden, die nur solange gelten, wie keine Sondervorschriften für die jeweils spezifische Verarbeitung von Daten bestehen. Das allgemeine Gesetz darf also nicht mehr als Fluchtweg missbraucht werden, um sich – wie zuletzt beim Schutz von Arbeitnehmerdaten – dringend erforderlichen, allerdings weitgehend unwillkommenen bereichsspezifischen Regelungen zu entziehen.

Drittens: Datenschutz lässt sich letztlich nur realisieren, wenn der Verarbeitungskontext sorgfältig bedacht wird. Deshalb gibt es keine Alternative zu einer immer größeren Zahl bereichsspezifischer Vorschriften. Das darf aber auch nicht zu einem Regelungschaos führen. Jede dieser Regelungen sollte daher in einen Anhang aufgenommen werden, der dem allgemeinen Datenschutzgesetz beigefügt und kontinuierlich ergänzt wird. Das würde eine verlässliche Übersicht des geltenden Datenschutzrechts sichern und zugleich die Verbindung der bestehenden Regelungen und ihre gemeinsamen Grundsätze unterstreichen.

Verlagsangebot

Hören Sie DIE ZEIT

Genießen Sie wöchentlich aktuelle ZEIT-Artikel mit ZEIT AUDIO

Hier reinhören

Kommentare

9 Kommentare Seite 1 von 2 Kommentieren

@limdaepl: Geht so...

Oh weia.
Sie meinen mit "preisgeben" also allen Ernstes, dass die Daten nicht von Lieschen Müller über Facebook gefunden werden können?
Sowas tut jetzt echt weh, wirklich.
Aber gegen Indolenz helfen eben keine Gesetze.

Wenn der deutsche Datenschutz wirklich etwas bewirken wollte, müsste er sich der Waffen des "Gegners" (wer ist das eigentlich?) bedienen und eine richtig hippe Spieleplattform entwickeln, die unterhaltsam zeigt, wie man Daten ge- und mißbrauchen kann. Datenjagd nach bestimmten fiktiven Personen mit einem simulierten Google zum Beispiel.

Dabei würden aber unweigerlich auswertbare Userdaten anfallen und da Schulen so etwas für den Datenschutzunterricht nutzen würden, könnte man das ja auch mit kundengruppenspezifischen Werbeanzeigen finanzieren, wie man das in der echten Wirtschaft da draussen auch tun muss, um über die Runden zu kommen.

Es wäre sehr heilsam für den einen oder anderen Datenschützer, selber mal zu erleben, was es eigentlich bedeutet, so eine Plattform mit beschränkten finanziellen Mitteln nach absolut allen Regeln und Vorschriften sicher und datenschutzkonform zu betreiben, denn nur Meckern, Vorschriften erlassen und kleine Fische kriminalisieren kann ja jeder Vollhorst.

Aber stattdessen leben Datenschützer eben im Wolkenkuckucksheim, irgendwann mit hinreichendem internationalem Recht auch auf den Servern in Bonga, Berserkien oder Bambulistan sauber aufräumen zu können.

Ewig Gestrig

das Internet ist das Ende des Datenschutzes ebenso wie das Ende des Urheberrechts wie wir es heute kennen und wie es viele digital immigrants aber immer noch propagieren.
Faktisch wird es keine Möglichkeit geben, eine einmal irgendwo öffentlich verfügbar gemachte Information (z.B. eine Telefonnummer in einem Telefonbuch, eine heckenlose Häuserfassade oder ein einmal geposteten Kommentar zu irgendwas) jemals zurückzuholen. Die hierfür notwendigen Kontrollmechanismen und Rechtsvereinheitlichungen kann höchstens eine totalitäre Weltregierung durchsetzen - alle anderen Versuche sind zwangsläufig zum Scheitern verurteilt. (Nicht einmal China kann unerwünschte Informationen von seinem Territorium fernhalten, obgleich es alle Möglichkeiten eines totalitären Regimes zur Verfügung hat).
Die angemahnte ständige Anpassung des Datenschutzes ist überflüssig, wenn man ihn gleich auf die Größe zurechtstutzt, die er ohnehin hin Zukunft annehmen wird:
1.) Vor jeder Preisgabe von Information muss ein Bürger Gewissheit haben, ob diese öffentlich wird oder geschützt ist. Im ersten Fall gibt es keinerlei(!) Datenschutz im zweiten keinerlei Preisgabe .
2.) Alle lebensnotwendigen Verrichtungen (z.B.Einkaufen) müssen die Option "keinerlei Preisgabe" gewähren. Das offensichtlich nicht lebensnotwendige Facebook braucht gar nichts zu gewähren.

Selbstregulierung ist eine Fiktion

In gewisser Hinsicht kann man personenbezogene und persönliche Daten im Internet mit Radioaktivität vergleichen.
Man sieht und spürt zuerstmal nichts, die langfristigen Konsequenzen können aber fatal sein.
Ein grundlegender Unterschied ist dabei heute noch, dass jeder vernünftige Mensch die Gefahr von Radioaktivität zumindest theoretisch weiß, viele aber die Gefahren von beliebig kombinierbaren Personendaten erkennbar noch als unbedeutend verdrängen. Die Möglichkeiten, man blicke da einmal in die Geschichte dieses Landes oder auch nach China, gehen dabei weit über rein kommerzielle hinaus.

Daher ist ein neues, das Selbstbestimmungsrecht sicherndes nicht nur nationales Datenschutzrecht aus meiner Sicht zwingend. Selbstregulierung ist und bleibt eine Fiktion!