Privatsphäre"Datenschutz droht sich als Fiktion zu erweisen"

Der ehemalige Hessische Datenschutzbeauftragte Spiros Simitis fordert im Interview ein modernes Datenschutzrecht statt angeblicher Selbstregulierung der Internet-Branche. von Rainer Erd

ZEIT ONLINE: Herr Professor Simitis, der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert hat alle Behörden und Unternehmen des Landes aufgefordert, den "Gefällt-mir"-Button von Facebook zu deinstallieren. Andernfalls will er Bußgelder verhängen. Darf er das?

Spiros Simitis: Das war eine Mahnung und zugleich zeigt es einen möglichen Ausweg: Die Intervention sollte nachdrücklich daran erinnern, dass es wieder und wieder verdrängt wurde, das Internet in den Datenschutz einzubeziehen. Mit der Berufung auf das Landesdatenschutzgesetz sollte darüberhinaus betont werden, dass es notwendig ist, sofort eine Neuregelung zu beschließen.

Anzeige

ZEIT ONLINE: Die von Facebook und Google erhobenen personenbezogenen Daten werden in die USA übermittelt und dort gespeichert. In den USA aber gilt das deutsche Datenschutzrecht nicht, sondern nur das weitaus weniger restriktive amerikanische. Ist dieses Dilemma überhaupt zu lösen?

Simitis: Trotz mancher Fortschritte ist es überaus problematisch, wenn Daten in die USA übermittelt werden. Erstens fehlt es nach wie vor an einer wirklich umfassenden und unabhängigen Kontrolle durch die europäischen Länder. Zweitens sind die Hürden, an die eine Weitergabe der Daten von den Vereinigten Staaten an Drittstaaten geknüpft ist, noch immer viel zu lasch.

Spiros Simitis

Spiros Simitis ist emeritierter Professor an der Johann-Wolfgang-Goethe-Universität Frankfurt am Main und ehemaliger Hessischer Datenschutzbeauftragter. Er gilt als "Vater" des deutschen Datenschutzrechts.

Das Interview wurde geführt von Prof. Dr. Rainer Erd, ehemals Hochschullehrer für Informationsrecht in Darmstadt, heute Rechtsanwalt mit Schwerpunkt Datenschutzrecht in der Kanzlei Schmalz in Frankfurt am Main.

ZEIT ONLINE: Hat denn das Datenschutzrecht überhaupt noch eine Chance, angesichts umfangreicher Datensammlungen durch Firmen wie Facebook und Google etwas regulieren zu können – oder ist es nicht schon jetzt weitgehend wirkungslos?

Simitis: Der Datenschutz ist als Reaktion auf die Informationstechnologie entstanden. Deshalb kann er die mit ihm verbundenen Erwartungen nur solange erfüllen, wie er wenigstens annähernd mit der Entwicklung dieser Technik Schritt hält.

Das Internet hat radikal verändert, wie personenbezogene Daten strukturiert sind und verarbeitet werden. Damit hat es auch den Verfall des bisherigen Datenschutzrechts eingeleitet. Mehr denn je droht daher, dass sich der Datenschutz als Fiktion erweist, sollte der Umgang mit personenbezogenen Daten im Internet nicht verbindlich geregelt werden.

Die ständigen Hinweise auf Selbstregulierungen schreiben nur den Verzicht auf einheitliche sowie unabdingbar zu befolgende Anforderungen fest, wie sie allein der Gesetzgeber erlassen kann. Anders ausgedrückt: Selbstregelungen erlauben es allenfalls, gesetzliche Vorgaben zu konkretisieren – sie können sie aber niemals ersetzen.

ZEIT ONLINE: Facebook hat 800 Millionen Nutzer weltweit, davon 20 Millionen in Deutschland. Der Großteil scheint wenig Interesse am Schutz personenbezogener Daten zu haben. Ganz im Gegenteil hat man den Eindruck, das öffentliche Selbstdarstellungsbedürfnis ist bei vielen so groß, dass sie ihre intimsten Daten ohne Not preisgeben. Wird das Datenschutzrecht dadurch nicht bereits ad absurdum geführt?

Simitis: In der Tat: Ein Blick auf die Seiten von Facebook reicht, um festzustellen, dass die Benutzer heute selbst die intimsten Daten ins Netz stellen. Mehr noch, je schrankenloser die Betroffenen jenen "Kernbereich" ihrer Person offenlegen, dessen Kenntnis ihnen laut Bundesverfassungsgericht vorbehalten sein muss, desto mehr lockt das gewisse Interessenten an: Arbeitgeber, Scheidungsanwälte und professionelle Profilhersteller, die Daten quer durch die Welt systematisch aufgreifen, detaillieren, kombinieren und profitabel verwerten.

Wer sich dabei auf die scheinbar jede Verarbeitung rechtfertigende "informationelle Selbstbestimmung" beruft, sollte das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 noch einmal genau lesen. Das Recht, selbst zu befinden, was mit den eigenen Daten geschieht, ist eine elementare Voraussetzung einer demokratischen Gesellschaft. Es muss deshalb so verstanden und praktiziert werden, dass der Zugriff auf die Daten nicht dazu genutzt wird, das Verhalten des Einzelnen gezielt zu steuern und Drittinteressen anzupassen. Informationelle Selbstbestimmung legitimiert weder die Datenträger noch irgend jemanden sonst, auf personenbezogene Daten beliebig mit ebenso beliebigen Folgen zuzugreifen.

Privatsphäre

Die 2004 gestartete Seite Facebook will nach Aussage ihre Gründers Mark Zuckerberg die Welt offener und vernetzter machen. Das gelingt ihr offensichtlich viel zu gut, gab es doch bereits häufig Proteste, Facebook nötige seine Nutzer zu mehr Offenheit, als diese sich wünschten. So sammelt die Seite E-Mail-Adressen und Telefonnummern auch von Nichtmitgliedern, wenn Mitglieder ihr Adressbuch bei Facebook speichern. Sie nutzt diese Informationen, um Nichtmitglieder zu kontaktieren. Facebook betont, dass dabei keine "Schattenprofile" von Nichtmitgliedern erstellt werden. Der Konzern hat auf den Widerstand seiner Nutzer reagiert und zumindest die möglichen Einstellungen, welche Profilinformationen für wen sichtbar sein sollen, überarbeitet. Auch "Gruppen" wurden eingeführt. Nutzer können ihre Kontakte in solchen organisieren, damit nicht jede Information an alle geht.

Vernetzung

Aufgrund der Struktur der Seite ist es jedoch möglich, Schlüsse über jemanden zu ziehen, die er so nicht beabsichtigt hatte. Allein die als Freunde bezeichneten Mitglieder können durch ihre Interessen beispielsweise nahe legen, dass jemand homosexuell ist, auch wenn er selbst das nicht in seinem Profil angibt. Der hohe Vernetzungsgrad und die vielen verfügbaren Informationen machen es möglich, statistische Wahrscheinlichkeiten zu berechnen und so neue Schlüsse zu ziehen. Kritiker sagen, das Netzwerk könne beispielsweise für Dissidenten lebensgefährlich sein, da es Gruppenstrukturen durchschaubar mache.

Profil

Wer Facebook nutzen, aber so wenig wie möglich über sich verraten will, sollte beispielsweise keinen Gruppen beitreten und keine persönlichen Interessen wie Musik angeben. Was genau das eigene Profil nach außen sichtbar macht, lässt sich unter anderem bei dieser Seite abfragen. Sie nutzt die offizielle API von Facebook, die Schnittstelle also, durch die externe Firmen Informationen über Mitglieder beziehen dürfen. Wer sich darüber hinaus davor schützen will, dass ihm mit einem gestohlenen Passwort sein halbes Leben abhanden kommt, kann inzwischen beim Login in seinen Account temporäre Passwörter nutzen.

ZEIT ONLINE: Immer wieder hört man, man müsse sich daran gewöhnen, dass wir in eine Ära der post privacy kommen, in der Datenschutz ein Relikt des 20. Jahrhunderts ist. Dafür spricht doch einiges, oder?

Simitis: Wer das Zeitalter der post privacy proklamiert, nimmt auch das Ende des Datenschutzes in Kauf. Denn der kann nur bestehen, solange die Verwendung personenbezogener Angaben als legimitationspflichtige Ausnahme angesehen wird – aus Respekt vor dem Einzelnen. Durch die Preisgabe der Privatsphäre wird der Mensch zum bloßen Objekt von Entscheidungen degradiert, die zwar mit Hilfe seiner Daten, aber immer an ihm vorbei gefällt werden.

ZEIT ONLINE: Sie gelten als "Vater" des deutschen Datenschutzrechts. Was müsste man denn tun, um dieses Recht zu einem effektiven Instrument zum Schutz personenbezogener Daten zu machen?

Simitis: Erstens: Inhalt und Reichweite des Datenschutzes müssen angesichts einer sich ständig weiter entwickelnden Informationstechnologie fortlaufend überprüft werden. Alle Anforderungen der Datenschutzgesetze an den Umgang mit personenbezogenen Daten sind also stets nur vorläufig. Nicht von ungefähr ist die Geltungsdauer der Datenschutzgesetze in manchen Ländern explizit befristet. Das Internet muss, wie schon sämtliche Verarbeitungsformen zuvor, unverzüglich in die gesetzlichen Regelungen des Datenschutzes aufgenommen werden.

Zweitens: Ein allgemein anwendbares Datenschutzgesetz muss es zwar nach wie vor geben. Anders als derzeit muss es aber auf generell anwendbare Grundsätze beschränkt werden, die nur solange gelten, wie keine Sondervorschriften für die jeweils spezifische Verarbeitung von Daten bestehen. Das allgemeine Gesetz darf also nicht mehr als Fluchtweg missbraucht werden, um sich – wie zuletzt beim Schutz von Arbeitnehmerdaten – dringend erforderlichen, allerdings weitgehend unwillkommenen bereichsspezifischen Regelungen zu entziehen.

Drittens: Datenschutz lässt sich letztlich nur realisieren, wenn der Verarbeitungskontext sorgfältig bedacht wird. Deshalb gibt es keine Alternative zu einer immer größeren Zahl bereichsspezifischer Vorschriften. Das darf aber auch nicht zu einem Regelungschaos führen. Jede dieser Regelungen sollte daher in einen Anhang aufgenommen werden, der dem allgemeinen Datenschutzgesetz beigefügt und kontinuierlich ergänzt wird. Das würde eine verlässliche Übersicht des geltenden Datenschutzrechts sichern und zugleich die Verbindung der bestehenden Regelungen und ihre gemeinsamen Grundsätze unterstreichen.

Zur Startseite
 
Leserkommentare
  1. kann ich selbst entscheiden welche Daten ich preisgebe und welche nicht. Bei VDS, Fluggastdaten, uvm kann ich das NICHT!

    Reaktionen auf diesen Kommentar anzeigen
    • daMasta
    • 18. November 2011 14:45 Uhr

    "Bei Facebook und co kann ich selbst entscheiden welche Daten ich preisgebe und welche nicht."

    Ähm, wie bitte?

    Oh weia.
    Sie meinen mit "preisgeben" also allen Ernstes, dass die Daten nicht von Lieschen Müller über Facebook gefunden werden können?
    Sowas tut jetzt echt weh, wirklich.
    Aber gegen Indolenz helfen eben keine Gesetze.

    Wenn der deutsche Datenschutz wirklich etwas bewirken wollte, müsste er sich der Waffen des "Gegners" (wer ist das eigentlich?) bedienen und eine richtig hippe Spieleplattform entwickeln, die unterhaltsam zeigt, wie man Daten ge- und mißbrauchen kann. Datenjagd nach bestimmten fiktiven Personen mit einem simulierten Google zum Beispiel.

    Dabei würden aber unweigerlich auswertbare Userdaten anfallen und da Schulen so etwas für den Datenschutzunterricht nutzen würden, könnte man das ja auch mit kundengruppenspezifischen Werbeanzeigen finanzieren, wie man das in der echten Wirtschaft da draussen auch tun muss, um über die Runden zu kommen.

    Es wäre sehr heilsam für den einen oder anderen Datenschützer, selber mal zu erleben, was es eigentlich bedeutet, so eine Plattform mit beschränkten finanziellen Mitteln nach absolut allen Regeln und Vorschriften sicher und datenschutzkonform zu betreiben, denn nur Meckern, Vorschriften erlassen und kleine Fische kriminalisieren kann ja jeder Vollhorst.

    Aber stattdessen leben Datenschützer eben im Wolkenkuckucksheim, irgendwann mit hinreichendem internationalem Recht auch auf den Servern in Bonga, Berserkien oder Bambulistan sauber aufräumen zu können.

    • etiam
    • 18. November 2011 12:19 Uhr

    das Internet ist das Ende des Datenschutzes ebenso wie das Ende des Urheberrechts wie wir es heute kennen und wie es viele digital immigrants aber immer noch propagieren.
    Faktisch wird es keine Möglichkeit geben, eine einmal irgendwo öffentlich verfügbar gemachte Information (z.B. eine Telefonnummer in einem Telefonbuch, eine heckenlose Häuserfassade oder ein einmal geposteten Kommentar zu irgendwas) jemals zurückzuholen. Die hierfür notwendigen Kontrollmechanismen und Rechtsvereinheitlichungen kann höchstens eine totalitäre Weltregierung durchsetzen - alle anderen Versuche sind zwangsläufig zum Scheitern verurteilt. (Nicht einmal China kann unerwünschte Informationen von seinem Territorium fernhalten, obgleich es alle Möglichkeiten eines totalitären Regimes zur Verfügung hat).
    Die angemahnte ständige Anpassung des Datenschutzes ist überflüssig, wenn man ihn gleich auf die Größe zurechtstutzt, die er ohnehin hin Zukunft annehmen wird:
    1.) Vor jeder Preisgabe von Information muss ein Bürger Gewissheit haben, ob diese öffentlich wird oder geschützt ist. Im ersten Fall gibt es keinerlei(!) Datenschutz im zweiten keinerlei Preisgabe .
    2.) Alle lebensnotwendigen Verrichtungen (z.B.Einkaufen) müssen die Option "keinerlei Preisgabe" gewähren. Das offensichtlich nicht lebensnotwendige Facebook braucht gar nichts zu gewähren.

  2. In gewisser Hinsicht kann man personenbezogene und persönliche Daten im Internet mit Radioaktivität vergleichen.
    Man sieht und spürt zuerstmal nichts, die langfristigen Konsequenzen können aber fatal sein.
    Ein grundlegender Unterschied ist dabei heute noch, dass jeder vernünftige Mensch die Gefahr von Radioaktivität zumindest theoretisch weiß, viele aber die Gefahren von beliebig kombinierbaren Personendaten erkennbar noch als unbedeutend verdrängen. Die Möglichkeiten, man blicke da einmal in die Geschichte dieses Landes oder auch nach China, gehen dabei weit über rein kommerzielle hinaus.

    Daher ist ein neues, das Selbstbestimmungsrecht sicherndes nicht nur nationales Datenschutzrecht aus meiner Sicht zwingend. Selbstregulierung ist und bleibt eine Fiktion!

  3. Warum sind unsere demokratischen Vertreter eigentlich so schlecht informiert?

    Das Internet ist anarchistisch geordnet, darin liegt sowohl dessen Stärke, als auch dessen Schwäche.

    Klagen und Mahnungen bringen uns da nicht weiter, sondern nur ein besseres Bewusstsein unserer Bürger.

    • daMasta
    • 18. November 2011 14:45 Uhr

    "Bei Facebook und co kann ich selbst entscheiden welche Daten ich preisgebe und welche nicht."

    Ähm, wie bitte?

    Antwort auf "Bei Facebook und co"
  4. Es scheint mir, dass mit dem wachsenden Interesse an der Konfliktsituation zwischen dem Internet und bestehenden, lokalen Gesetzen auch die Ignoranz gegenüber der Struktur des Internets steigt.

    Ohne die Schaffung einer international gleichen, totalitären Rechtslage wird man die Probleme nicht 'lösen', sondern bestimmte Firmen nur dazu zwingen, Server in andere Gebiete umzusiedeln. Die Schaffung eines 'Schutz'systems ist selbst bei Verletzung der Menschenrechte (sehr schön am Beispiel China zu sehen) nahezu unmöglich und die bestehenden Mechanismen sind schon für Menschen mit sehr laienhaftem Verständnis viel zu einfach zu umgehen.
    Der neulich in den USA vorgetragene Gesetzesentwurf zeigt diese Blindheit auf erschreckende Weise. Hier handelt es sich vielmehr um die Verschiebung von gerichtlicher Macht zugunsten großer Firmen gegenüber einzelnen Personen oder kleinen Gruppen.
    Dazu ergänzend lassen sich ähnliche Systeme wie der stete Drang nach Zensurmechanismen (z.B. im Bereich Kinderpornographie) in den großen deutschen Parteien nennen.

    Es ist, als ob Politiker der 80er Jahre plötzlich eine Zeitreise unternehmen und versuchen, aus der neuen Technik und den damit verbundenen moralischen Fragen schlau zu werden.

  5. Das Bild von Herrn Simitis ist mit dem erhobenen Zeigefinger ebenso sprechend, wie die Gängelung von schleswig-holsteinischen Unternehmen durch Herrn Weichert.

    Beide verstehen Datenschutz offenbar als eine Rechtskeule, die man unabhängig von Sinn, Verstand und Userwillen einzusetzen hat.
    Derlei Gutsherrenart und Bevormundung durch Bürokraten kommt wohl nirgends so schlecht an wie bei den "Digitalen".

    Es wird nicht besser dadurch, das Datenschutz-Insider eingestehen müssen, dass man eh nur die kleinen Fische wie Endwanwender, Behörden und Kleinunternehmen gängeln kann, während man auch ausländische Nachrichtendienste auch in Deutschland mit hochsensiblen Daten frei gewähren lassen muss.

    So nagelt man denn die letzten Mauselöcher von Endanwendern und Kleinunternehmern mit äusserster Präzision zu, während nebenan die Scheunentore dienstbeflissen weit aufgerissen werden.

    Auch die Diskussion um Behördendaten ist in Deutschland von einer Hysterie geprägt, die in absurder Weise dem sorglosen hinausprosaunen von strukturierbaren, hochvernetzten Daten widerspricht.

    Kritisch ist nämlich nicht, welche Daten so zugänglich werden, sondern in welcher Vernetzung und in welchem Kontext sie erscheinen. Dem aber trägt das Datenschutzrecht herzlich wenig Rechnung und verliert sich in einer oft völlig realitätsfremden Totregulierung einzelner Fachbereiche - oft verbunden mit einer Kriminalisierung kleiner Angestellter.

    Datenschutz ja, aber nie mit Keule oder erhobenem Zeigefinger.

  6. Oh weia.
    Sie meinen mit "preisgeben" also allen Ernstes, dass die Daten nicht von Lieschen Müller über Facebook gefunden werden können?
    Sowas tut jetzt echt weh, wirklich.
    Aber gegen Indolenz helfen eben keine Gesetze.

    Wenn der deutsche Datenschutz wirklich etwas bewirken wollte, müsste er sich der Waffen des "Gegners" (wer ist das eigentlich?) bedienen und eine richtig hippe Spieleplattform entwickeln, die unterhaltsam zeigt, wie man Daten ge- und mißbrauchen kann. Datenjagd nach bestimmten fiktiven Personen mit einem simulierten Google zum Beispiel.

    Dabei würden aber unweigerlich auswertbare Userdaten anfallen und da Schulen so etwas für den Datenschutzunterricht nutzen würden, könnte man das ja auch mit kundengruppenspezifischen Werbeanzeigen finanzieren, wie man das in der echten Wirtschaft da draussen auch tun muss, um über die Runden zu kommen.

    Es wäre sehr heilsam für den einen oder anderen Datenschützer, selber mal zu erleben, was es eigentlich bedeutet, so eine Plattform mit beschränkten finanziellen Mitteln nach absolut allen Regeln und Vorschriften sicher und datenschutzkonform zu betreiben, denn nur Meckern, Vorschriften erlassen und kleine Fische kriminalisieren kann ja jeder Vollhorst.

    Aber stattdessen leben Datenschützer eben im Wolkenkuckucksheim, irgendwann mit hinreichendem internationalem Recht auch auf den Servern in Bonga, Berserkien oder Bambulistan sauber aufräumen zu können.

    Antwort auf "Bei Facebook und co"

Bitte melden Sie sich an, um zu kommentieren

  • Quelle ZEIT ONLINE
  • Schlagworte Spiros Simitis | Google | Privatsphäre | Bundesverfassungsgericht | Bußgeld | Datenträger
Service