2 Datenschutz – national und global
Datenschutz in Schleswig-Holstein – ist im Grunde heute nicht mehr möglich. Die nationalen, europäischen und globalen Verbindungen und Vernetzungen machen es erforderlich, bei der Datenschutzaufsicht vor Ort zumindest die nationale und die europäische Ebene mit zu berücksichtigen und oft auch ausländisches staatliches Recht einzubeziehen.
Dies gilt für die Europäische Union (EU), über die immer mehr Festlegungen erfolgen, z. B. durch die Tätigkeit der Artikel-29-Datenschutzgruppe, den koordinierenden Erfahrungs- und Informationsaustausch zwischen den EU-Aufsichtsbehörden in Grundsatzangelegenheiten sowie bei der Bewältigung von Einzelfragen, die Zertifizierung im Rahmen von EuroPriSe (Tz. 9.3), die Erarbeitung wissenschaftlicher Erkenntnisse und das gemeinsame Durchführen von Projekten (Tz. 8.2 und Tz. 8.3, Tz. 8.7 bis Tz. 8.9) oder die gegenseitige personelle und logistische Unterstützung, wie dies etwa im Rahmen von Twinning-Projekten stattfindet (z. B. 31. TB, Tz. 8.9). Nach Verabschiedung des Lissabon-Vertrages (Tz. 11.1) wird es hinsichtlich der informationellen Kooperation der Sicherheitsbehörden weiter gehende Initiativen geben, die sich direkt auf die Stellen des Landes auswirken (Tz. 11.2 und Tz. 11.3). Auch im allgemeinen Datenschutzrecht gibt es in der EU Bewegung. Nach der Überarbeitung der europäischen ePrivacy-Richtlinie für die Bereiche Telekommunikation und Online-Medien steht eine Überarbeitung der Datenschutzrichtlinie aus dem Jahr 1995 zur Diskussion sowie möglicherweise eine neue Richtlinie zum Arbeitnehmerdatenschutz.
2.1 Codex digitalis
Datenschutz ist Grundrechtsschutz. Bisher wurde Grundrechtsschutz analog gedacht. Zwar legte das Bundesverfassungsgericht mit dem Recht auf informationelle Selbstbestimmung seit dem Jahr 1983 und nun mit dem Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme im Jahr 2008 einen verlässlichen verfassungsrechtlichen Rahmen fest. Doch wurde die technische sowie die verfassungsrechtliche Entwicklung weder im Bewusstsein von Verwaltung und Wirtschaft noch in der Politik befriedigend angenommen. Es ist schon erstaunlich, dass ein renommierter Journalist mit einem Buch, das die technologische Überforderung des Menschen durch die digitale Technik thematisiert, in Deutschlands Bestsellerlisten auf Platz 1 landen kann.
Es ist irritierend, dass die digitale Dimension der Grundrechte immer noch nicht zu einem zentralen Gesetzgebungsimpuls für die Politik geworden ist. Von der Informationstechnik betroffen ist dabei nicht nur das allgemeine Persönlichkeitsrecht, das durch adäquate gesetzliche Regelungen geschützt werden muss: In Wohnungen kann man auch mit Lausch- und Spähangriffen eindringen. Für das Plündern des Bankkontos sind nur einige Kontodaten nötig. Mit sogenannten elektronischen Fußfesseln können Menschen unsichtbar ihrer Freiheit beraubt werden. Für politische Verfolgung bedarf es keiner Folter, es genügt die Dateispeicherung als angeblicher Terrorist.
Der US-amerikanische Internetpionier Tim O’Reilly sagte: „Wir steuern auf einen Krieg über die Kontrolle des Internets zu.“ Tatsächlich findet dieser „Krieg“ nicht militärisch, sondern ökonomisch schon lange statt. Diese Auseinandersetzung führt in Diktaturen zu einer massiven Überwachung und Regulierung, zu Zensur und Beschränkung des Netzzugangs sowie zur Verfolgung der Inanspruchnahme von Menschenrechten im Netz. Für die Bundesrepublik und Schleswig-Holstein und für die hier lebenden Menschen relevanter ist die Dominanz von global tätigen Wirtschaftsunternehmen über das Netz und hiermit deren Möglichkeit, die Inanspruchnahme von Freiheitsrechten der Netznutzenden zu manipulieren oder gar gezielt zu beeinträchtigen. Es ist unbestreitbar, dass Konzerne wie Google faktisch eine Machtstellung über das Internet erlangt haben, die allerhöchste Grundrechtsrelevanz für die Menschen hat, ohne dass vonseiten der Politik und der Verwaltung hierauf bisher angemessen reagiert wird.
Es ist eine zentrale Aufgabe des Staates als Garant der Grundrechte, derartigen Manipulationen und Beeinträchtigungen entgegenzuwirken. Hierbei sind Datenschutz und Informationsfreiheit zentrale Aspekte, aber beileibe nicht die einzigen. Es geht auch um den Schutz von Kindern und Jugendlichen, um Kriminalitätsbekämpfung im Netz, um den Schutz von Urheberrechten und um die Wahrung der Rechte der Menschen, die gewollt oder ungewollt auf einen Netzzugang verzichten oder verzichten müssen. Technikfolgenabschätzung im modernen Gewand bedeutet in unserer globalen Informationsgesellschaft heute auch digitaler Grundrechtsschutz. Während jedoch bei der Technologiefolgenabschätzung in den 80er‑Jahren des letzten Jahrhunderts die optimistische Annahme bestand, Technikrisiken vor ihrem Entstehen vermeiden zu können, ist die Situation heute die, dass sämtliche Operationen des Grundrechtsschutzes „am lebenden Körper“ des Internets „on-the-fly“ erfolgen müssen.
Eine frühe und adäquate staatliche Reaktion auf die technischen und ökonomischen Gegebenheiten ist dabei wichtig. Eines der Früherkennungssysteme – neudeutsch „Watchdogs“ genannt – sind die Datenschutzbeauftragten. Diese können diese Aufgabe nicht allein erfüllen. Gefragt sind insofern auch die Verbraucherschützer, die Arbeitnehmervertretungen, Menschenrechtseinrichtungen und eine freie Presse. Letztlich gefordert ist die Politik, die die „Beobachtungen“ der Früherkennungssysteme in formalisierte Entscheidungsprozesse und schließlich zu gesetzgeberischen Entscheidungen, die administrativ umgesetzt werden, bringt.
„Codex digitalis universalis“ ist der Titel der Sommerakademie 2010 Ende August (Tz. 13). Dabei soll die Normierungsnotwendigkeit des Datenschutzes in einen größeren informationsrechtlichen Zusammenhang unter Einbeziehung aller unserer Freiheitsrechte thematisiert werden. Es wird dabei nicht nur um Aufträge an die Gesetzgeber im Land, im Bund und in Europa gehen, sondern auch um die Frage der Selbstregulierung und der Normierung, also die Festlegung von Kodizes zwischen den Tarifpartnern, zwischen Wirtschaft und Verbrauchern, durch Eigenverpflichtungen der Wirtschaft und nicht zuletzt durch Festlegungen der Bürgerinnen und Bürger im Rahmen des Selbstschutzes. In den 70er-Jahren des letzten Jahrhunderts meinte man fälschlicherweise, das Recht automatisieren zu können. Inzwischen wissen wir, dass Recht in der Informationsgesellschaft nicht nur rechtlich, sondern auch durch Organisation, Technik und letztlich durch Kultur umgesetzt werden muss. Dies ist ein anspruchsvoller Auftrag für die Zukunft. Das Adjektiv „universalis“ soll signalisieren, dass wir uns nicht nur Gedanken über diesen Codex für uns selbst machen müssen, sondern dieser allgemeine, weltweite Relevanz hat.
2.2 Neuer Bundestag – neues Glück
Die Weiterentwicklung des analogen um einen digitalen Grundrechtsschutz ist nicht nur nötig. Sie findet auch statt. Die analoge Sicht des Datenschutzes war lange negativ geprägt, etwa als bürokratisches Hindernis für die Privatwirtschaft oder als Täterschutz für die Sicherheits-, Finanz- und Sozialbehörden. Diese Sicht, die lange Zeit das Regierungshandeln bestimmte, scheint immer mehr einer differenzierten Sicht zu weichen, die das nötige Verständnis für die Besonderheiten digitaler Vorgänge hat. Ausdruck dessen ist die Koalitionsvereinbarung für die 17. Legislaturperiode des Deutschen Bundestages vom Oktober 2009, in der sich ein umfangreiches Kapitel mit der Informations- und Mediengesellschaft allgemein und mit dem Datenschutz konkret beschäftigt. Das Internet wird als das „freiheitlichste und effizienteste Informations- und Kommunikationsforum der Welt“ dargestellt. Netzneutralität, IT-Kompetenz, Selbstdatenschutz und verbesserte Strafverfolgung – auch bei Persönlichkeitsrechtsverletzungen – werden als staatliche Aufgaben ausdrücklich hervorgehoben.
Konkret ergeben sich daraus für die Koalitionsparteien politische Handlungsnotwendigkeiten. Hierzu gehört die Regelung des Datenschutz-Audits (Tz. 9.1) und des Arbeitnehmerdatenschutzes, der bisher nur rudimentär und unbefriedigend normiert ist (Tz. 5.1.1). Ein weites Handlungsfeld eröffnet sich in der Schaffung einer grundrechts- und sicherheitsfreundlichen Internetinfrastruktur, bei welcher der elektronische Personalausweis, die sogenannten De-Mail-Angebote mit Funktionen zur Verschlüsselung und zur digitalen Signatur sowie die rechtliche Basis in Form eines Bürgerportalgesetzes eine Rolle spielen.
Von den Koalitionsparteien wird versprochen, „das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher (zu) machen sowie zukunftsfest und technikneutral aus(zu)gestalten“. Da sich diese Aufgabe mit den Novellierungen im Jahr 2009 (Tz. 5.1.1) nicht erledigt hat, wurde von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Herbst 2009 eine Arbeitsgruppe eingerichtet, die konsistente Vorschläge für eine derartige Novellierung auf der Basis der Kontroll- und Beratungserfahrungen erarbeiten soll. Dabei erweist sich die versprochene umfassende BDSG-Novellierung als eine Herkulesaufgabe; seit 1990 sind die Strukturen dieses Gesetzes unangetastet geblieben. Anders als in Schleswig-Holstein wurde im Bund um die Jahrtausendwende anlässlich der Anpassung an die europäische Datenschutzrichtlinie keine konsistente Modernisierung vorgenommen.
Schon die reine Aufzählung der notwendigerweise neu zu bearbeitenden Themen zeigt die Dimension des erforderlichen Gesetzgebungswerkes:
- Definition des personenbezogenen Datums,
- Definition der Verarbeitungsphasen (übergeordneter Begriff des „Verarbeitens“, Einführen des Begriffs des „Veröffentlichens“),
Beseitigung der Differenzierung Akte – (automatisierte) Datei, - Klärung der Verantwortlichkeit bei komplexer Verarbeitung,
- Angleichung öffentlicher – nicht öffentlicher Bereich,
- Klarstellung der Anwendbarkeit des Datenschutzrechts (private Veröffentlichung, Rechtsanwälte, Finanzverwaltung, Gerichte),
- Spezifizierung der Normen bei der Auftragsdatenverarbeitung,
- Justierung des Rechts auf informationelle Selbstbestimmung mit den Grundrechten aus Art. 5 Grundgesetz,
- Regeln zur Konzerndatenverarbeitung,
- Erhöhung der Transparenzanforderungen,
- Benennung von Standards für das Datenschutzmanagement,
- Umstellung der technisch-organisatorischen Maßnahmen auf Schutzziele,
- Spezialanforderungen zum Zweck der Datensicherheit (Datenkennzeichnung, Verarbeitungsprotokollierung),
- Überarbeitung der Regeln zum Einsatz bestimmter Technologie (Einsatz von Funkchips wie RFID, mobile Datenverarbeitung, Lokalisierungsdienste,
- Videoüberwachung, gemeinsame Verfahren),
- Spezialkapitel zur Internetdatenverarbeitung mit Regeln zur Transparenz, zur Suchbarkeit, zur anonymen Veröffentlichung, zur Konfliktbearbeitung und zur Löschung,
- separate Spezialregelungen zu bestimmten Zwecken (z. B. Bonitätsbewertung, Werbung),
- Spezialregelungen zum Beschäftigtendatenschutz,
- Sicherung des Rechts auf Selbstdatenschutz,
- Ausweitung und Vereinfachung der Auskunftsansprüche Betroffener,
- Einführung bzw. Ausbau zivilrechtlicher Instrumente (z. B. Haftung),
- Einführung eines Datenschutz-Audits bzw. eines Verfahrens zur Zertifizierung von IT-Produkten und -Dienstleistungen,
- Sicherung der Unabhängigkeit und der föderalen Arbeitsteilung bei den Datenschutzbehörden,
- Neujustierung der Ermittlungs- und Sanktionskompetenzen der Datenschutzaufsicht und Ausweitung der Sanktionsmöglichkeiten,
- Ausbau der Datenschutzbehörden zu Serviceeinrichtungen,
- Einführung von Verbandsklagen (Verbraucherschutz, Arbeitnehmerdatenschutz).
Angesichts der bestehenden Herausforderungen sollte sich der neue Bundestag gleich zu Beginn seiner Tätigkeit darüber verständigen, wie er diese zu bewältigen gedenkt. Die Leidensgeschichte der BDSG-Novellierungen der letzten 15 Jahre voll verpasster Gelegenheiten darf nicht fortgesetzt werden. Es ist wohl unrealistisch, das BDSG in einem Kraftakt insgesamt zu reformieren. Hierbei werden zu viele Interessen tangiert, die auf das Gesamtwerk Einfluss zu nehmen suchen. Daher scheint es angebracht, eine Novellierung vom Allgemeinen zum Konkreten in Einzelschritten vorzunehmen und allenfalls brandaktuelle Kapitel wie den Arbeitnehmerdatenschutz und das Audit vorzuziehen.
Wichtiger als eine Klärung des chronologischen Vorgehens ist die Struktur des parlamentarischen Entscheidungsprozesses. Es scheint, als bedürfe der Bundestag eines separaten Gremiums, das sich ausschließlich der Aufgabe widmet, den Anforderungen an das künftige „Lex digitalis“ gerecht zu werden. Der aktuelle Vorschlag zur Einrichtung einer Enquetekommission weist in die richtige Richtung. Eine Einbindung der Länder nicht nur über den Bundesrat, sondern über deren Aufsichtsbehörden als wichtige Datenschutzexperten „an der Front“ sollte selbstverständlich sein. Daran besteht ein inhaltliches Interesse; dies ist auch nötig, um die für eine Umsetzung des Gesetzes unabdingbare gesellschaftliche Akzeptanz sicherzustellen.
2.3 Handlungsfeld – die ganze Welt
Globale Informationsgesellschaft bedeutet, dass weltweit agierende Unternehmen die Nutzungsdaten von Hunderten von Millionen Internetnutzerinnen und ‑nutzern praktisch unbeschränkt speichern und auswerten können und dass diese Unternehmen mehr Wissen und Macht über Menschen haben als die meisten Staaten. Wirtschaftsunternehmen können mit Daten Menschen gefügig machen, ohne dass die Betroffenen dies überhaupt merken. Es sind heute für viele noch Fremdwörter: Tracking, Scoring, Profiling, Identity Theft. Derart werden nicht nur Daten verarbeitet, so werden Menschen überwacht, diskriminiert und manipuliert, so werden Menschen ihrer Freiheit beraubt.
Immer gravierendere Folgen auf das lokale Datenschutzniveau hat die Situation in den Vereinigten Staaten von Amerika (USA). Wegen der engen politischen, wirtschaftlichen, sozialen, kulturellen und menschlichen Beziehungen zwischen Europa und den USA gibt es nicht nur einen intensiven Datenaustausch, sondern auch eine gegenseitige Beeinflussung beim Datenschutz. Dabei kann leider nicht von einer gleichgewichtigen Beziehung gesprochen werden. Vielmehr setzten sich beim Zwang zu einer Einigung bisher regelmäßig die USA durch. Dies war und ist weiterhin gleichbedeutend mit einem niedrigen Niveau des Datenschutzes, tendenziell hin bis zur völligen Ausblendung desselben.
Bei Safe Harbor erfolgte zwar eine formale Anerkennung einiger grundlegender Datenschutzprinzipien durch die USA, doch sind bis heute nicht einmal Ansätze für deren Realisierung erkennbar (Tz. 11.4). Bei Internetangeboten aus den USA ist es manchmal reine Glückssache, wenn Persönlichkeitsbeeinträchtigungen beendet werden können (31. TB, Tz. 7.4). Insbesondere bei den Angeboten von Google ist in Grundsatzfragen noch keine Bewegung zu erkennen. Dies ist gravierend, da dieses Unternehmen in vielen Bereichen, voran bei den Suchmaschinen, den deutschen und europäischen Markt dominiert (Tz. 7.1 und Tz. 7.2). Ist es der reinen Marktmacht Googles geschuldet, die zum Unterschreiten eines akzeptablen Datenschutzniveaus führt, so ist die Selbstaufgabe des Datenschutzes im Sicherheitsbereich durch europäische Stellen nicht rational erklärbar. So bestand nach dem Umzug eines SWIFT-Rechenzentrums von den USA in die Schweiz die Möglichkeit, der nach europäischem Recht illegalen Auswertung von Banktransaktionsdaten endgültig den Garaus zu machen. Stattdessen aber öffnete der Europäische Rat von sich aus den USA zu weitgehend unkontrolliertem Tun diese Datenbestände (Tz. 11.3). Dem vorausgegangen war die Bereitstellung von Flugpassagierdaten, der „Passenger Name Records“, ohne hinreichende Datenschutzgarantien.
Der Wechsel der US-Administration Anfang 2009 war mit der Hoffnung bei europäischen Datenschützern verbunden, dass eine Trendwende in der US-Datenschutzpolitik erfolgt. Diese Hoffnungen wurden durch eine äußerst agile außerinstitutionelle Präsenz des Privacy-Gedankens in den USA, bei Bürgerrechtsorganisationen, in der Wissenschaft und auch bei einigen Unternehmen genährt. Mit Kanada haben die USA einen Nachbarn, der ein dem europäischen entsprechendes Datenschutzniveau aufweisen kann. Doch sind diese modernisierungsfördernden Momente noch nicht bis zur nach außen sichtbaren Politik durchgedrungen. Dies ist bedauerlich. Auf dem globalen Markt der Informationstechnik drängen mit China und einigen anderen Schwellenländern Staaten nach vorne, bei denen ein freiheitliches Verständnis von Datenschutz nicht nur auf Unverständnis und Ablehnung, sondern sogar auf aktive Abwehr stößt.
Globale Informationsgesellschaft bedeutet, dass Diktaturen mithilfe ihrer Internetüberwachung jede elektronische Kommunikation scannen, speichern, auswerten, kontrollieren und unterbinden können. Ein wesentliches Phänomen dabei ist, dass die Technik für die Überwachung und Zensur oft aus westlichen Staaten importiert wird – aus demokratischen Staaten wie Deutschland. Hiermit müssen wir uns in den freiheitlichen Gesellschaften ebenso auseinandersetzen wie mit dem Waffenexport in Krisengebiete.
2.3.1 Globale Harmonisierung
Nationales Recht, dessen Wirkung oder zumindest Durchsetzbarkeit zumeist an der Grenze endet, passt oft nicht mehr in der globalisierten und vernetzten Informationsgesellschaft. Eine Harmonisierung ist auch im Bereich Datenschutz nötig – im ersten Schritt auf der Ebene von Prinzipien.
Als die spanische Datenschutzbehörde dazu aufrief, gemeinsam einen Vorschlag für internationale Standards zum Datenschutz zu erarbeiten, haben wir – wie auch Kollegen aus vielen anderen Ländern – unsere Ideen eingebracht. Mit dem Fortschreiten internationaler Zusammenarbeit, globalem Handel und nicht zuletzt dem Internet werden personenbezogene Daten der Bürgerinnen und Bürger Schleswig-Holsteins immer öfter außerhalb Deutschlands und der Europäischen Union verarbeitet. Bei einer internationalen Harmonisierung darf man es sich nicht dadurch einfach machen, dass der kleinste gemeinsame Nenner, also das schwächste Datenschutzniveau, zum Maßstab genommen wird. Darin waren sich alle Mitwirkenden aus dem Bereich der Datenschutzbehörden einig. Nach einiger Diskussion kristallisierten sich 25 Abschnitte heraus, in denen Grundsätze zur Verarbeitung und zum Schutz personenbezogener Daten beschrieben werden.
Das Resultat, die sogenannte „Madrid-Resolution“, wurde im November 2009 auf der 31. Internationalen Datenschutzkonferenz vorgestellt. Es haben bei Weitem noch nicht alle Länder der Welt diese Resolution mitgezeichnet, und sicherlich besteht weiterer Verbesserungsbedarf. Doch ist dies ein bemerkenswerter Schritt in Richtung Harmonisierung, die über den europäischen Rechtsraum hinausgeht. Nun gilt es, die Prinzipien weiter fortzuschreiben und auf internationaler Ebene in das Recht einzubringen. Mittelfristiges Ziel könnte eine völkerrechtlich verbindliche Konvention zu Datenschutzprinzipien sein.
2.3.2 Internationale Standardisierung
Wer sich mit Gestaltung oder Betrieb von Technik beschäftigt, kommt auf irgendeine Art mit den Spezifikationen der Standardisierungsorganisationen ISO und IEC in Berührung. Nun sollen deren Arbeiten im Bereich der Datensicherheit um eigene Datenschutzstandards ergänzt werden.
ISO und IEC
ISO (engl.: International Organization for Standardization), die Internationale Organisation für Normung, erarbeitet internationale Normen in vielen Bereichen, die für das tägliche Leben notwendig sind. In Bezug auf Technikstandards kooperieren ISO und IEC, die Internationale elektrotechnische Kommission, die für Standards im Bereich Elektrik und Elektronik zuständig ist.
Neben rechtlichen Standards kommt für einen effektiven Datenschutz der technischen Standardisierung ein hoher Stellenwert zu, denn eine Vielzahl technischer Standards tangieren Datenschutzbelange in nicht unerheblichem Maße. Einige Standards sehen z. B. die Verwendung von bestimmten Daten vor, die bei einer alternativen Konzeption gemäß dem Datensparsamkeitsgrundsatz weggelassen werden könnten. Durch datenschutzfreundliche Gestaltung dieser Standards können frühzeitig mögliche Risiken reduziert oder ganz ausgeschlossen werden. Leider ist es den Datenschutzbehörden mit ihrer derzeitigen Ausstattung aufgrund der Vielzahl technischen Standardisierungsaktivitäten nur selten möglich, ihre Expertise in den entsprechenden Gremien einzubringen.
Unter Nutzung von Projektmitteln der Europäischen Union beteiligt sich das ULD bereits seit 2007 an der gemeinsamen Arbeitsgruppe „Identitätsmanagement und Datenschutztechnik“ von ISO und IEC. Zentrale Standards, an denen das ULD hier mitwirkt, sind „ISO 29100 – Privacy Framework“, ein Rahmenstandard, der Grundbegriffe und Prinzipien zum Datenschutz und zum Schutz der Privatsphäre definiert, sowie „ISO 29101 – Privacy Reference Architecture“, in dem Eckpunkte für datenschutzfreundliche technische Architekturen beschrieben werden. Mit einer Veröffentlichung dieser Standards ist in Zukunft zu rechnen. Neben der Beteiligung an der Entwicklung dieser Standards bindet das ULD andere Datenschutzbehörden auf nationaler und europäischer Ebene in die Arbeit ein.
http://www.iso.org/iso/iso_technical_committee.html?commid=45306
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |