Informationsgerechtigkeit: Die Zukunft des Datenschutzes
In den letzten Jahren wurde das deutsche Datenschutzrecht mit vielen neuen Problemen konfrontiert, denen die alten Datenschutzgesetzekaum noch gewachsen sind. Prof. Dr. Thomas Hoeren, Direktor der zivilrechtlichen Abteilung des Instituts für Informations-, Telekommunikations- und Medienrecht, hat sich vergangenen Mittwoch beim 11. Datenschutzkongress für eine grundlegende Modernisierung des Datenschutzrechtes ausgesprochen. Wo genau die großen Probleme liegen, und wie man eine Reform angehen müsste, erklärt er im Gespräch mit Telemedicus.
Herr Professor Hoeren, ist das BDSG überhaupt noch zeitgemäß?
Gerade in letzter Zeit sieht man immer mehr die Brüche im Datenschutzrecht. Das ist eine Art Supernova-Phänomen: Da wächst unkoordiniert ein gigantisches Gesetzeswerk heran, das immer größer wird, irgendwann kollabiert und zu einem schwarzen Loch werden wird, das nur noch Energie frisst. Das Datenschutzrecht beruht auf Gesetzen, die in den 70er Jahren im Kampf gegen den übermächtigen Staat gemacht worden sind. Die waren noch nie für den wirtschaftlichen Bereich ausgelegt. Das merkt man jetzt bei Fragen wie Scoring, Arbeitnehmerdatenschutz oder IP-Adressen.
Allein der Personenbezug bei IP-Adressen oder auch Geoscoring ist schon ein Problem. Und auch mit den Einwilligungslösungen tun wir uns schwer, wenn die Leute zum Beispiel so verrückt sind, sich bei StudiVZ oder Facebook anzumelden und permanent ihre eigenen Daten selbst ins Netz stellen. Wie schützt man da den User vor sich selbst?
Daran sieht man: Schon die Grundstrukturen des Datenschutzrechtes sind verhunzt.
Inwieweit kann man diese Grundstrukturen überhaupt ändern, wenn man die Vorgaben des Volkszählungsurteils berücksichtigt?
Das Volkszählungsurteil war ja auch aus einer bestimmten politischen Konstellation heraus als Urteil gegen den Staat gemeint. Schon in den 60er und 70er Jahren haben die Macher der Gesetze davor gewarnt, das Datenschutzrecht nur auf den Personenbezug und auf Einwilligungen abzustellen. Datenschutz beinhaltet vor allem Systemfragen und nicht nur Persönlichkeitsrechte.
Das Volkszählungsurteil hat also wichtige Vorgaben an den Datenschutz gemacht, es reicht aber bei weitem nicht, um mit den aktuellen Problemen klarzukommen.
Wo sehen Sie die größten Schwächen im deutschen Datenschutzrecht?
Erstens beim Personenbezug. Die Frage wird immer verschwommener, welche Daten überhaupt Personenbezug haben und welche nicht. Von IP-Adressen bis Google Street View, das Problem haben wir immer wieder: Wo fängt der Personenbezug an, wo hört er auf?
Zweitens: Hilft überhaupt die Einwilligung noch oder brauchen wir da neue Lösungen?
Drittens aber natürlich auch die Politik, die immer wieder neue Regelungen an das Datenschutzrecht dranhängt. Wir haben zum Beispiel gestern die neuen Vorschriften zum Arbeitnehmerdatenschutz diskutiert: Völlig verdreht, handwerklich schlecht gemacht, kein Mensch versteht mehr, was eigentlich Sache ist. Oder auch Direktmarketing: Den neuen § 28 Abs. 2 und 3 kann kein Mensch mehr verstehen, egal wie man zum Direktmarketing steht. Das ist Schnellschusspolitik, die dazu führt, dass der Datenschutz zur symbolischen Gesetzgebung verkümmert. Und das kann nicht mehr so weiter gehen.
Ist „Opt-Out“ das Modell der Zukunft?
Das Modell der Zukunft gibt es nicht. Opt-out wird jedenfalls nicht helfen. Es hilft ja nichts, den Datenschutz jetzt runterzufahren, das wäre britisches Niveau. Wir müssen uns vielmehr die Fragestellen, ob „Opt“ überhaupt noch sinnvoll ist oder ob man nicht besser bestimmte Sachen von vornherein verbietet. Oder man setzt auf einen Systemdatenschutz und steigt direkt in die Technik ein. Sozusagen ein „Datenrecht“ anstatt „Datenschutzrecht“. Hier sind die spannenden Forschungsfragen.
Brauchen wir mehr Forschung im Datenschutzrecht?
In den 60er und 70er Jahren hatten wir mit Professor Steinmüller oder auch Professor Podlech ganz große Gestalten, die wirklich noch geforscht haben. Wenn man sich anschaut, wie das Datenschutzrecht heute an den Universitäten behandelt wird, ist das doch eher ein Randphänomen. Wir haben also kaum Kollegen, die sich wissenschaftlich damit beschäftigen. Und wenn, dann mit einer Altersstruktur ebenfalls aus den 60er und 70er Jahren, wie Simitis, der immer noch zitiert wird. Was fehlt, sind junge Forscher im Datenschutzrecht, die auch die Probleme des Internets besser erfassen können.
Wie stellen Sie sich ein Datenschutzrecht der Zukunft vor?
Zuerst muss man das komplette alte Recht auf den Prüfstand stellen und sich mehr mit den Fragen beschäftigen, wie man einen Mechanismus zur gerechten Verteilung von Herrschaftsrechten über Daten schaffen kann. Die Informationsgerechtigkeit muss als übergeordnete Frage im Mittelpunkt stehen. Dabei kommt es auch gar nicht darauf an, ob diese Daten nun Personenbezug haben oder nicht, sondern nur auf die gerechte Verteilung der Entscheidungsgewalt über sie.
Das kann dazu führen, dass bestimmte Anwendungen von vornherein verboten werden und der Datenschutz auch anfängt, sich IT-Lösungen als solche anzuschauen, ohne durch den Personenbezug beschränkt zu sein. Es kann auch dazu führen, dass man vorsichtiger mit dem Instrument der Einwilligung umgeht. Man könnte etwa zu dem Schluss kommen, dass die Einwilligung des Nutzers nicht mehr jede Datenverarbeitung rechtfertigen kann, zum Beispiel weil man Einwilligungen nicht mehr in allgemeinen Geschäftsbedingungen abgeben kann.
Entscheidend ist, dass man offener am Datenschutzrecht arbeiten muss, ohne sich durch den Personenbezug einzuschränken.
Besteht dann nicht die Gefahr, den Betroffenen zu bevormunden?
Die Gefahr besteht schon. Man muss da aber die richtigen Grenzen definieren: Wo fängt Bevormundung an und wo hört sie auf? Wenn man zum Beispiel keine Einwilligung in allgemeinen Geschäftsbedingungen mehr zulässt, ist das ja keine Bevormundung, sondern ein Schutz des Nutzers. Wer guckt schon bei StudiVZ oder Facebook ins Kleingedruckte? Ich gebe dem Nutzer damit Freiheiten zurück, indem er wirklich nur dann gestalterisch im Datenschutzrecht tätig sein kann, wenn er sich wirklich freiwillig entscheidet. Diese freiwillige Entscheidung muss dann natürlich auch akzeptiert werden, sofern sie nicht im Kleingedruckten begründet ist.
Danke für das Gespräch.
Dr. Thomas Hoeren ist Professor für Informationsrecht und Rechtsinformatik an der Uni Münster, geschäftsführender Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht (ITM) und Richter am OLG Düsseldorf. Besondere Bekanntheit erlangte er durch seine zahlreichen Publikationen zu medienrechtlichen Fragestellungen, insbesondere durch sein kostenloses Skript Internetrecht. Daneben ist er Mitherausgeber der Fachzeitschrift „Multimedia und Recht“ und Autor im Beck Blog.
