ZEIT ONLINE: Herr Professor Simitis, der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert hat alle Behörden und Unternehmen des Landes aufgefordert, den "Gefällt-mir"-Button von Facebook zu deinstallieren. Andernfalls will er Bußgelder verhängen. Darf er das?

Spiros Simitis: Das war eine Mahnung und zugleich zeigt es einen möglichen Ausweg: Die Intervention sollte nachdrücklich daran erinnern, dass es wieder und wieder verdrängt wurde, das Internet in den Datenschutz einzubeziehen. Mit der Berufung auf das Landesdatenschutzgesetz sollte darüberhinaus betont werden, dass es notwendig ist, sofort eine Neuregelung zu beschließen.

ZEIT ONLINE: Die von Facebook und Google erhobenen personenbezogenen Daten werden in die USA übermittelt und dort gespeichert. In den USA aber gilt das deutsche Datenschutzrecht nicht, sondern nur das weitaus weniger restriktive amerikanische. Ist dieses Dilemma überhaupt zu lösen?

Simitis: Trotz mancher Fortschritte ist es überaus problematisch, wenn Daten in die USA übermittelt werden. Erstens fehlt es nach wie vor an einer wirklich umfassenden und unabhängigen Kontrolle durch die europäischen Länder. Zweitens sind die Hürden, an die eine Weitergabe der Daten von den Vereinigten Staaten an Drittstaaten geknüpft ist, noch immer viel zu lasch.

ZEIT ONLINE: Hat denn das Datenschutzrecht überhaupt noch eine Chance, angesichts umfangreicher Datensammlungen durch Firmen wie Facebook und Google etwas regulieren zu können – oder ist es nicht schon jetzt weitgehend wirkungslos?

Simitis: Der Datenschutz ist als Reaktion auf die Informationstechnologie entstanden. Deshalb kann er die mit ihm verbundenen Erwartungen nur solange erfüllen, wie er wenigstens annähernd mit der Entwicklung dieser Technik Schritt hält.

Das Internet hat radikal verändert, wie personenbezogene Daten strukturiert sind und verarbeitet werden. Damit hat es auch den Verfall des bisherigen Datenschutzrechts eingeleitet. Mehr denn je droht daher, dass sich der Datenschutz als Fiktion erweist, sollte der Umgang mit personenbezogenen Daten im Internet nicht verbindlich geregelt werden.

Die ständigen Hinweise auf Selbstregulierungen schreiben nur den Verzicht auf einheitliche sowie unabdingbar zu befolgende Anforderungen fest, wie sie allein der Gesetzgeber erlassen kann. Anders ausgedrückt: Selbstregelungen erlauben es allenfalls, gesetzliche Vorgaben zu konkretisieren – sie können sie aber niemals ersetzen.

ZEIT ONLINE: Facebook hat 800 Millionen Nutzer weltweit, davon 20 Millionen in Deutschland. Der Großteil scheint wenig Interesse am Schutz personenbezogener Daten zu haben. Ganz im Gegenteil hat man den Eindruck, das öffentliche Selbstdarstellungsbedürfnis ist bei vielen so groß, dass sie ihre intimsten Daten ohne Not preisgeben. Wird das Datenschutzrecht dadurch nicht bereits ad absurdum geführt?

Simitis: In der Tat: Ein Blick auf die Seiten von Facebook reicht, um festzustellen, dass die Benutzer heute selbst die intimsten Daten ins Netz stellen. Mehr noch, je schrankenloser die Betroffenen jenen "Kernbereich" ihrer Person offenlegen, dessen Kenntnis ihnen laut Bundesverfassungsgericht vorbehalten sein muss, desto mehr lockt das gewisse Interessenten an: Arbeitgeber, Scheidungsanwälte und professionelle Profilhersteller, die Daten quer durch die Welt systematisch aufgreifen, detaillieren, kombinieren und profitabel verwerten.

Wer sich dabei auf die scheinbar jede Verarbeitung rechtfertigende "informationelle Selbstbestimmung" beruft, sollte das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 noch einmal genau lesen. Das Recht, selbst zu befinden, was mit den eigenen Daten geschieht, ist eine elementare Voraussetzung einer demokratischen Gesellschaft. Es muss deshalb so verstanden und praktiziert werden, dass der Zugriff auf die Daten nicht dazu genutzt wird, das Verhalten des Einzelnen gezielt zu steuern und Drittinteressen anzupassen. Informationelle Selbstbestimmung legitimiert weder die Datenträger noch irgend jemanden sonst, auf personenbezogene Daten beliebig mit ebenso beliebigen Folgen zuzugreifen.

ZEIT ONLINE: Immer wieder hört man, man müsse sich daran gewöhnen, dass wir in eine Ära der post privacy kommen, in der Datenschutz ein Relikt des 20. Jahrhunderts ist. Dafür spricht doch einiges, oder?

Simitis: Wer das Zeitalter der post privacy proklamiert, nimmt auch das Ende des Datenschutzes in Kauf. Denn der kann nur bestehen, solange die Verwendung personenbezogener Angaben als legimitationspflichtige Ausnahme angesehen wird – aus Respekt vor dem Einzelnen. Durch die Preisgabe der Privatsphäre wird der Mensch zum bloßen Objekt von Entscheidungen degradiert, die zwar mit Hilfe seiner Daten, aber immer an ihm vorbei gefällt werden.

ZEIT ONLINE: Sie gelten als "Vater" des deutschen Datenschutzrechts. Was müsste man denn tun, um dieses Recht zu einem effektiven Instrument zum Schutz personenbezogener Daten zu machen?

Simitis: Erstens: Inhalt und Reichweite des Datenschutzes müssen angesichts einer sich ständig weiter entwickelnden Informationstechnologie fortlaufend überprüft werden. Alle Anforderungen der Datenschutzgesetze an den Umgang mit personenbezogenen Daten sind also stets nur vorläufig. Nicht von ungefähr ist die Geltungsdauer der Datenschutzgesetze in manchen Ländern explizit befristet. Das Internet muss, wie schon sämtliche Verarbeitungsformen zuvor, unverzüglich in die gesetzlichen Regelungen des Datenschutzes aufgenommen werden.

Zweitens: Ein allgemein anwendbares Datenschutzgesetz muss es zwar nach wie vor geben. Anders als derzeit muss es aber auf generell anwendbare Grundsätze beschränkt werden, die nur solange gelten, wie keine Sondervorschriften für die jeweils spezifische Verarbeitung von Daten bestehen. Das allgemeine Gesetz darf also nicht mehr als Fluchtweg missbraucht werden, um sich – wie zuletzt beim Schutz von Arbeitnehmerdaten – dringend erforderlichen, allerdings weitgehend unwillkommenen bereichsspezifischen Regelungen zu entziehen.

Drittens: Datenschutz lässt sich letztlich nur realisieren, wenn der Verarbeitungskontext sorgfältig bedacht wird. Deshalb gibt es keine Alternative zu einer immer größeren Zahl bereichsspezifischer Vorschriften. Das darf aber auch nicht zu einem Regelungschaos führen. Jede dieser Regelungen sollte daher in einen Anhang aufgenommen werden, der dem allgemeinen Datenschutzgesetz beigefügt und kontinuierlich ergänzt wird. Das würde eine verlässliche Übersicht des geltenden Datenschutzrechts sichern und zugleich die Verbindung der bestehenden Regelungen und ihre gemeinsamen Grundsätze unterstreichen.