Fünf Punkte für einen besseren Datenschutz im Netz
Eigentlich müsste das deutsche Datenschutzrecht eine Dauerbaustelle sein. Kaum ein Gebiet des Medienrechts muss sich so oft neuen Anforderungen stellen. Fast jede neue Technologie, fast jedes neue größere Online-Projekt hat in irgendeiner Form Auswirkungen auf den Datenschutz.
Doch von einer Dauerbaustelle ist keine Spur. Das Bundesdatenschutzgesetz stammt in seiner aktuellen Form aus dem Jahr 1990, die wesentlichen Prinzipien kommen aus den 80er Jahren. Natürlich gab es in den letzten 20 Jahren einige Änderungen am Datenschutzrecht. Das meiste davon war allerdings nur Feinschliff – eine Grundsanierung gab es nie. Dabei hat das Datenschutzrecht immer mehr an Bedeutung gewonnen. Vor allem im Internet sind Unternehmen wie Bürger zunehmend vom Datenschutz betroffen. Zeit also, sich mit einer grundlegenden Neuordnung des Datenschutzes zu befassen. Es folgen fünf Vorschläge, wie man den Datenschutz im Netz verbessern könnte.
1. Datenschutz im Netz geht nur international
Wer im Internet Regelungen etablieren will, die der Praxis Stand halten, muss sich von nationalen Vorstellungen trennen. Das Internet ist ein weltweites Netzwerk. Grenzen verschwimmen nicht nur, sondern ermöglichen häufig auch die Flucht vor unbequemen gesetzlichen Regelungen. Ein deutsches Datenschutzrecht hat also wenig Sinn: Wer die strengen deutschen Anforderungen umgehen will, verschanzt sich im Ausland und entzieht sich damit weitgehend dem Einfluss deutscher Datenschützer.
Die Europäische Union hat mit der geplanten Datenschutzverordnung einen ersten Schritt in diese Richtung gewagt. Der Haken: Bislang sieht alles danach aus, als würde die Datenschutzverordnung kaum rechtliche Probleme lösen. Es besteht die Gefahr, dass nicht nur das Datenschutzniveau, sondern auch die Probleme des Datenschutzes europaweit vereinheitlicht werden. Auch die Stellung der Datenschutzbehörden muss sich erst noch bewähren. Der beste europäische Datenschutz hilft nichts, wenn die Behörden ihn nicht durchsetzen können.
2. Kein Datenschutz gegen die Praxis
Daten sind ein Wirtschaftsgut geworden. Viele Dienste im Internet bieten einen mehr oder weniger fairen Deal an: Der Anbieter stellt seine Dienste kostenlos ins Netz, die Nutzer geben im Gegenzug einige Daten von sich preis und erhalten personalisierte Werbung. Google hat dieses Geschäftsmodell perfektioniert, auch Facebook funktioniert nach diesem Prinzip. Man mag davon halten, was man will: Der Tausch Dienst gegen Daten ist im Internet gelebte Praxis. Er ist in weiten Teilen wirtschaftliche Grundlage des Internets. Das muss auch ein modernes Datenschutzrecht akzeptieren.
Natürlich dürfen die Nutzer dabei nicht schutzlos gestellt werden. Das Datenschutzrecht muss Freiräume für die wirtschaftliche Lebensader des Internets lassen, aber auch die Grenzen des Zulässigen definieren. Wo genau diese Grenzen liegen, ist eine Frage, über die ein breiter gesellschaftlicher Diskurs abseits von Schwarz-Weiß-Denken stattfinden muss. Aber Antworten wird man erst dann finden, wenn man die Frage gestellt hat.
3. Das Datenschutzrecht muss weg von den personenbezogenen Daten
Der Kern des Datenschutzrechts ist das „personenbezogene Datum”. Wenn eine Information einer Person zugeordnet werden kann – und nur dann –, greift das Datenschutzrecht. Dieses Modell steht kurz vor der Implosion. Gerade technische Daten wie IP-Adressen oder Cookies stellen die Idee der personenbezogenen Daten vor kaum lösbare Probleme. Denn das Datenschutzrecht kennt nur eine Schwarz-Weiß-Lösung.
Beispiel Cookies: Entweder man erfasst sie als personenbezogene Daten – dann greift das vollständige Datenschutzrecht, das überhaupt nicht auf solche technischen Daten ausgelegt ist. Oft schießt das Gesetz dabei über seinen Schutzzweck hinaus und ist in der Praxis kaum noch zu erfüllen. Oder man behandelt Cookies nicht als personenbezogene Daten. In diesem Fall ist der Nutzer schutzlos gestellt: Denn greift das Datenschutzrecht nicht, greift auch (noch) kein anderes Gesetz.
Wir benötigen also einen Mittelweg: Das Datenschutzrecht muss bestimmte Techniken explizit regeln und definieren, was in welchem Rahmen zulässig ist. Nur so lassen sich praxistaugliche Regelungen finden, die den Nutzer effektiv schützen, ohne das Internet auf den Kopf zu stellen. Um beim Beispiel der Cookies zu bleiben: Eigentlich sind Cookies datenschutzrechtlich harmlos. In bestimmten Einsatzgebieten können sie jedoch zu erschreckend genauen Nutzungsprofilen führen. Warum also nicht diese Einsatzgebiete einschränken, anstatt die gesamte Technologie?
Wir kennen ähnliche Regelungstechniken beispielsweise aus dem Wettbewerbsrecht: In einem Katalog von Beispielen definiert der Gesetzgeber in § 4 UWG unlautere Handlungen im Wettbewerb. Eine schwarze Liste, die auf europäischer Ebene ausgearbeitet wurde, ergänzt diese Beispiele. Es wäre eine Überlegung wert, ob man im Datenschutzrecht ähnlich vorgehen könnte.
4. Keine Angst vor Opt-Out
Im Datenschutzrecht gilt ein Verbot mit Erlaubnisvorbehalt. Was nicht ausdrücklich erlaubt ist, ist also verboten. Diese sehr strengen Vorgaben haben historische Gründe. In seinem Volkszählungsurteil entschied das Bundesverfassungsgericht, dass die Verarbeitung von Daten eine bereichsspezifische Rechtsgrundlage benötige. Diese Rechtsprechung stammt aus den 80er Jahren und bezog sich hauptsächlich auf die staatliche Verarbeitung von Daten. In einigen Bereichen kennen wir daher schon heute Ausprägungen des Opt-Out-Prinzips im Datenschutzrecht, zum Beispiel in § 28 Abs. 4 BDSG.
Dennoch geht das deutsche Datenschutzrecht sehr sparsam mit der Möglichkeit des Opt-Outs um. Zu sehr klammert man sich noch heute an das Verbot mit Erlaubnisvorbehalt. Diese Zurückhaltung gehört auf den Prüfstand. Opt-Out ist sicher kein Allheilmittel und es darf auch nicht inflationär eingesetzt werden. Doch gerade im Internet, wo sich viele datenschutzkritische Techniken mit einfachen Mitteln abschalten lassen, könnte Opt-Out eine praxisgerechte Lösung sein. Wo der Nutzer bereits heute selbst entscheiden kann, welche Daten er von sich preisgibt – zum Beispiel bei Cookies oder Local Data Storage – drängt sich eine Opt-Out-Lösung förmlich auf. Denkbar wäre es auch, hier flankierend Vorgaben für die Browser-Hersteller zu machen.
5. Flexibilität und Akzeptanz
Das Recht ist im Internet auf Akzeptanz angewiesen. Das sieht man schon heute im Datenschutzrecht: Ob Google Analytics, Facebook Like-Button oder die Speicherung von IP-Adressen – diskutiert wird in Deutschland viel über datenschutzrechtliche Probleme. Die Konsequenzen halten sich oft aber in Grenzen. Bußgeldverfahren und Abmahnungen sind im Datenschutzrecht eher selten. Viele Probleme wurden über Jahre schlicht ignoriert und geduldet. Das liegt vor allem daran, dass das Datenschutzrecht in den vergangenen Jahrzehnten viel zu unflexibel war. Große Reformen wurden verpasst, technische und gesellschaftliche Veränderungen nicht im Gesetz berücksichtigt.
Ein Datenschutzrecht der Zukunft kann so nicht weiter machen. Das Gesetz muss Antworten auf neue Fragen bieten, anstatt selbst ständig neue Fragen aufzuwerfen. Das funktioniert nur, wenn der Gesetzgeber ein wachsames Auge auf den Datenschutz hat. Das Datenschutzrecht hat in den letzten Jahren einen immer größeren Stellenwert erhalten – sowohl aus wirtschaftlicher, innenpolitischer und verbraucherschutzrechtlicher Sicht. Und dieser Wandel betrifft nicht nur den Datenschutz: Das Urheberrecht in der digitalen Welt ist längst nicht mehr eine Frage verschrobener Nerds. Selbst telekommunikationsrechtliche Fragen wie die Netzneutralität beschäftigen immer mehr Menschen abseits der Fachkreise.
Es wäre an der Zeit, für diese Fragen eigene Kompetenzen zu schaffen. Etwa in Form eines Bundesministeriums für neue Medien. Auch auf europäischer Ebene könnte man über eine Neuordnung der Zuständigkeiten nachdenken. Gerade im Internet muss die Gesetzgebung schnell und flexibel sein. Jahre-, zum Teil jahrzehntelange Gesetzgebungsverfahren und Kompetenzstreitigkeiten werden vor allem dazu führen, dass deutsches und europäisches Recht an Akzeptanz verliert. Und im Internet bedeutet das nichts anderes, als dass es nutzlos wird und die Menschen es nicht mehr befolgen.
Fazit
Das Datenschutzrecht steht vor gewaltigen Aufgaben. In seiner aktuellen Form kann das Datenschutzrecht diesen Anforderungen auf keinen Fall mehr gerecht werden. Erste Verfallserscheinungen zeichnen sich bereits ab, etwa in dem kuriosen Streit zwischen dem Unabhängigen Datenschutzzentrum und dem schleswig-holsteinischen Landtag um den Facebook Like-Button. Das Gerangel hinter den Kulissen führt dazu, dass in der täglichen Praxis ein – Achtung! – rechtsfreier Raum entsteht. Die Rechtslage ist unklar, die Aufsichtsbehörden weitgehend machtlos, das Gesetz bewegt sich in einem Geltungs- und Vollzugsvakuum. Für Unternehmen wie für Betroffene ist diese Situation eine Katastrophe: Wer sich an das Datenschutzrecht halten will, weiß nicht mehr, welche Regeln überhaupt gelten. Wer als Nutzer von Datenerhebung betroffen ist, steht nahezu schutzlos da. So kann es nicht weitergehen.
Und auch der Plan der Europäischen Kommission einer neuen Datenschutzverordnung löst nur Teilprobleme. Zum Beispiel die Zersplitterung des Datenschutzrechtes innerhalb der EU. Die großen Probleme des Datenschutzes lässt sie aber unangetastet. Hinzu kommen neue europarechtliche Probleme, wie das strukturelle Demokratiedefizit. Mehr als ein erster Schritt ist also nicht getan. Und erste Schritte in verschiedene Richtungen hatten wir in den letzten Jahren genug – es wird Zeit für einen beherzten Marsch in die richtige Richtung.
Prof. Hoeren zu Informationsgerechtigkeit und der Zukunft des Datenschutzes.
