Donnerstag, 26. Januar 2012, von Dr. Simon Assion

Vergesst das Recht auf Vergessenwerden

Der Gedanke wirkt schon im Ausgangspunkt absurd: Man stelle sich einmal vor, ein Mensch könne einen anderen Menschen dazu zwingen, dass dieser ihn „vergisst”. Und doch hat sich in den letzten Monaten eine immer größer werdende Zahl von Politikern hinter diesen Gedanken gestellt – bis hin zur EU-Kommission. Ein Kommentar über das Recht auf Vergessenwerden – und das Recht, sich zu erinnern.

Die These vom „Recht auf Vergessenwerden”

Das Recht auf Vergessenwerden geht zurück auf eine fixe Idee von Viktor Mayer-Schönberger, einem Juraprofessor aus Österreich, der in den USA und Großbritannien lehrt. Ähnlich wie Lawrence Lessig seine Idee der „Free Culture” promotete, so tut das Mayer-Schönberger schon seit Jahren mit dem Recht auf Vergessenwerden. Wer Meyer-Schönberger einmal live erlebt hat weiß, wie enorm überzeugend er sein kann.

Die Idee von Mayer-Schönberger baut darauf auf, dass wir einen Paradigmenwechsel erleben: Angeblich wird heute weniger über uns vergessen. Früher hätte ein Kind seine Kindheit unbeschwert damit verbringen können, Unsinn zu machen – wenn es erwachsen war und Karriere machen wollte, war darüber Gras gewachsen. Mayer-Schönberger argumentiert nun, dass dieser Vorgang des „Vergessenwerdens” im digitalen Zeitalter nicht mehr funktioniere, weil Informationen im Internet unbegrenzt gespeichert blieben. Weil das Internet nichts vergesse, müsse man rechtlich gegensteuern: Mit einem Recht auf Vergessenwerden.

Das Internet ‚vergisst‘

Es stimmt aber nicht. Das Internet „vergisst”, täglich, Milliarden von Informationen. Beispiel: Es ist über das Internet nicht möglich nachzuvollziehen, welche Zusammensetzungen die Telemedicus-Redaktion in den vergangenen Jahren hatte. Diese Informationen waren einmal vollständig im Internet abrufbar. Heute sind sie es nicht mehr. Es gibt einzelne Informationsreste, aber davon abgesehen sind diese Daten aus dem Netz verschwunden. Das Internet hat sie vergessen.

Die erste Generation der Digital Natives, zu der ich gehöre, ist heute erwachsen. Stehen nun wirklich reihenweise Karrieren auf dem Spiel, weil unsere Kindheits-Daten wie ein Damoklesschwert über uns hängen? Meine Generation hat im Internet Spuren hinterlassen, lange bevor sie erwachsen war.

Was vor fünf oder zehn Jahren in Webforen, in Gästebüchern oder auf Webseiten auftauchte, steht heute aber größtenteils nicht mehr online. Webseitenbetreiber haben ihre Webseiten offline genommen. Unternehmen haben ihre Datenbanken gelöscht. Und selbst die wenigen Reste, die übrig geblieben sind, findet heute niemand mehr: Es zeigen kaum noch Links auf diese alten Webseiten. Und auch die Suchmaschinen zeigen fast nur aktuelle Webseiten als Treffer an.

Auch im Internet kann Gras über Dinge wachsen

Es handelt sich beim Internet nicht um einen amorphen Haufen, der Daten einsaugt und nie wieder ausspuckt. Wenn eine Information auf keinem der an das Internet angeschlossenen Computer mehr gespeichert ist, wurde sie vom Internet „vergessen”. Über Informationen, die im Internet nicht gelöscht werden, kann außerdem Gras wachsen. Alte Informationen werden bei Suchmaschinen nicht mehr an prominenter Stelle anzeigt. Sie werden auch selten verlinkt oder sonstwie referenziert. Genau wie viele reale Erinnerungen werden sie nicht im dem Sinn vergessen – sie verschwimmen nur. Es wächst Gras darüber.

Das ist vielleicht die wichtigste Information zu Meyer-Schönbergers These: Wenn er vom „Recht auf Vergessenwerden” spricht, meint er (nach meinem Dafürhalten) nicht den Vorgang des Vergessens selbst. Er meint den Vorgang des „Gras darüber wachsens”. Das ist nicht dasselbe: Beim „Vergessen” geht eine Information unwiederbringlich verloren. Wächst nur Gras darüber, dann verschwindet sie nicht vollständig. Sie ist nur nicht mehr so relevant, verschwimmt in einem Umfeld von Erinnerungen.

Das Recht, das eigene Bild in der Öffentlichkeit zu steuern

Ich hatte in einigen Fällen mit Menschen zu tun, die gerne wollten, dass Dinge über sie vergessen werden. Dabei handelte es sich nicht um Kindheits-Dummheiten. Es ging diesen Leuten auch nicht darum, ganz allgemein „vergessen” zu werden. Es ging diesen Menschen jeweils um ganz konkrete Informationen, die ein Ereignis aus ihrer Vergangenheit betrafen. In einem Fall ging es um Korruptionsverwürfe – der Verdächtigte wollte Jahre später eine neue Karriere beginnen, aber einige hartnäckigen Blogger hinderten ihn daran. Immer wieder veröffentlichten sie die Anschuldigungen bei voller Namensnennung im Internet. Auch das gibt es: Menschen, die einen Sport daraus machen, anderen ihr Google-Karma zu zerstören.

Sind solche Fälle mit einem „Recht auf Vergessenwerden” sinnvoll adressiert? Ich denke nicht. Diese Menschen wollen nicht vergessen werden. Sie möchten in einem ganz bestimmten Punkt steuern, wie ihr Bild in der Öffentlichkeit aussieht. Dafür braucht es aber kein „Recht auf Vergessenwerden”: Unsere Rechtsordnung stellt für solche Konflikte bereits gut funktionierende Instrumente zur Verfügung. Das allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1, Art. 1 Abs. 1 GG gibt jedem das Recht auf Kontrolle über seine Darstellung in der Öffentlichkeit. Wenn nicht legitime öffentliche Informationsinteressen entgegenstehen, kann jeder ehrverletzende Darstellungen gerichtlich verbieten lassen.

Die „German Angst” vor dem Internet

Die Idee vom Recht auf Vergessenwerden wird angetrieben von einer diffusen Angst vor dem Internet. Manchmal ist diese Angst übertrieben – manchmal ist sie aber auch begründet. Das Internet ist so dynamisch, so unüberschaubar, so komplex, dass es für viele seiner Nutzer tatsächlich bedrohlich wirkt. Ein klein wenig dürfte wohl jeder dieses Gefühl kennen: Man sitzt am Computer, tippt Informationen über sich ein, und fragt sich: Weiß ich eigentlich, was ich hier tue? Was wird aus diesen Daten in zehn, zwanzig Jahren? Will ich dann wirklich noch, dass das hier jeder über mich online lesen kann?

Das ist freilich ein Problem, das viel mit dem zu tun hat, was Juristen „Allgemeines Lebensrisiko” nennen: Das Internet ist gefährlich. Genauso, wie auch Autofahren oder Fußballspielen gefährlich ist. Wir bewegen uns als Menschen eben in Risikosphären, die sich nie vollständig begrenzen lassen. Natürlich heißt dass nicht, dass es keine Verkehrs- oder Fußballregeln geben sollte. Und auch das Internet braucht Regeln. Aber ein Restrisiko bleibt, und das sollte man akzeptieren. Irreführende Bezeichnungen wie die eines „Rechts auf Vergessenwerden” oder eines „Digitalen Radiergummi” suggerieren, es gäbe einfache Lösungen für ein komplexes Problem. Das ist nicht nur irreführend. Wenn der Gesetzgeber sich solchen Ideen anschließt, wird es auch gefährlich.

Eine Bedrohung der Datenfreiheit und -sicherheit

Ein „Recht auf Vergessenwerden” wäre, würde es konsequent umgesetzt, eine Bedrohung für die gesamte Datenstruktur des freien Internets. Würde man Informationen mit einem effektiv wirksamen „Ablaufdatum” versehen wollen, würde das technische Anstrengungen erfordern, die an Unmöglichkeit grenzen. Man müsste jede Information – bis zum kleinsten Pixelpaket – mit einem Metadatum versehen, nämlich dem Zeitpunkt, ab dem das Datum „vergessen” werden soll. Will man das Vergessenwerden auch noch automatisieren, muss die Datei zusätzlich mit der Fähigkeit ausgestattet werden, sich selbst zu löschen. Das ist softwaretechnisch nicht umsetzbar, da die meisten Dateitypen diese Fähigkeit einfach nicht mitbringen.

Man kann versuchen, dieses Problem zu umgehen, indem man um die Datei, die vergessen werden soll, ein ganzes System baut. Ein bekannter Versuch, das Recht auf Vergessen umzusetzen, basiert beispielsweise auf einem Verschlüsselungs-System, dessen Schlüssel nach einer Zeit ihre Wirkung verlieren. Solche Systeme sind aber nicht nur leicht zu umgehen, vor allem über die analoge Lücke. Sie würden bei konsequenter Umsetzung auch verlangen, dass sämtliche Informationen im Internet verschlüsselt würden. Die Schlüssel wären dann nur über eine zentrale (vermutlich staatliche) Instanz zugänglich, die ab einer gewissen Frist die Schlüssel einfach nicht mehr herausgibt. Es bedarf keiner weiteren Erklärungen, warum eine solche Lösung weder erwünscht noch umsetzbar ist.

Aber selbst für den Fall, dass ein solches System funktionieren würde: Es wäre für das Internet der größte anzunehmende Unfall: Daten, die sich selbstständig aus Datenbanken löschen; Teile von Webseiten, die plötzlich einfach verschwinden. Links und Bilder, die sich einfach in Luft auflösen. Das Internet ist eine höchst komplexe Datenstruktur, und viele der Daten werden für unterschiedliche Zwecke gebraucht. Ein Datum mag in einem Kontext „vergessenswert” sein, in einem anderen Kontext ist es das vielleicht nicht. Wird das Datum aber gelöscht, gehen alle Nutzungsmöglichkeiten des Datums verloren.

Was also tun?

Das „Vergessen” im Internet ist sicherlich seltener geworden, als es noch vor einem Jahrzehnt der Fall war. Speicherplatz und Bandbreite sind billig geworden, und manche Unternehmen machen einen Sport daraus, jedes Datum zu speichern, das ihnen irgendwie unter die Finger kommt. Die Befürchtungen, die mit dem Recht auf Vergessenwerden verknüpft sind, sind in vieler Hinsicht legitim. Sie verdienen auch Beachtung. Es muss für Kinder möglich sein, eine normale digitale Jugend zu verbringen, ohne dass ihre Eskapaden später auf sie zurückfallen. Es muss auch grundsätzlich möglich sein, dass Gras über bestimmte Dinge wachsen kann – auch bei Erwachsenen. Aber ist es dazu notwendig, gleich ein ganz neues Rechtsinstrument einzuführen?

Viele der Probleme lassen sich adressieren, indem Kinder und Erwachsene einfache Vorsichtsmaßregeln beachten: Ein Pseudonym verwenden, Plugins wie Ghostery nutzen. Privatsphäre-Einstellungen in Social Networks restriktiv einstellen und bestimmte, sensible Daten gar nicht erst in das Internet einspeisen.

Die Datenkraken des Internets, die tatsächlich (fast) nichts mehr vergessen, verstoßen schon jetzt gegen den Grundsatz der Datensparsamkeit, der im Datenschutzrecht verankert ist. Und konkrete Informationen lassen sich mit Methoden des Presserechts aus dem Internet entfernen – jedenfalls dann, wenn sie dort nicht legitimerweise stehen, weil sie z.B. von der Meinungsfreiheit geschützt sind. Sicher, manchmal hilft das Presserecht nicht weiter, z.B. wenn der Streisand-Effekt zuschlägt. Aber dann hilft auch ein „Recht auf Vergessenwerden” nichts. Denn auch dieses muss durchgesetzt werden, und auch dieses ist machtlos gegen eine Internet-Community, die sich in den Kopf gesetzt hat, die „Zensur” einer bestimmten Information zu verhindern.

Das Recht auf Vergessenwerden in der Datenschutz-Verordnung

Die EU-Kommission versucht in Art. 15 des Entwurfs ihrer Datenschutzverordnung (PDF), eine Art von „Recht auf Vergessenwerden” rechtlich zu verankern. Gelungen ist ihr das nicht: Art. 15 des Verordnungs-Emtwurfs trägt zwar den Titel „Right to be forgotten and to erasure” – tatsächlich würde die Datenschutz-Verordnung aber kein echtes „Recht auf Vergessenwerden” verleihen.

Nach Art. 15 Abs. 1 der Verordnung wären lediglich die personenbezogenen Daten zu löschen, wenn der Betroffene seine Einwilligung zurückzieht. Das entspricht dem Grundsatz der Datensparsamkeit und Zweckbindung, wie er im deutschen Datenschutzrecht schon lange festgeschrieben ist. Das eigentliche Recht auf Vergessenwerden wäre auch in Abs. 2 des Entwurfs gestanden: In einer früheren Version (PDF) hatte Art. 15 Abs. 2 noch verlangt, dass derjenige, der die Daten veröffentlicht hat, auch sicherstellt („shall ensure”), dass die Daten danach nirgends im Internet mehr abrufbar sind. In der nunmehr veröffentlichten Version verlangt der Entwurf noch:

Where the controller referred to in paragraph 1 has made the personal data public, it shall take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible, to inform third parties which are processing such data, that a data subject requests them to erase any links to, or copy or replication of that personal data. Where the controller has authorised a third party publication of personal data, the controller shall be considered responsible for that publication.

Statt der unrealistischen Forderung, sämtliche Daten aus dem Internet garantiert zu entfernen, gilt nunmehr nur noch die Pflicht, „reasonable steps” zu unternehmen. Und selbst diese Verpflichtung gilt nicht mehr für die Löschung von Daten: Der Verpflichtete muss nunmehr nur noch andere Stellen darüber informieren, dass der Betroffene keine Veröffentlichung mehr will. Und selbst dieser Anspruch steht nach Art. 15 Abs. 3 des Entwurfs unter der folgenden Einschränkung:

The controller shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary: (a) for exercising the right of freedom of expression in accordance with Article 80;

Was hier übrig geblieben ist, ist kein schneidiges Recht auf Vergessenwerden mehr. Wie sollte es auch anders möglich sein? Das Recht auf Vergessenwerden lässt sich nicht in einer Form formulieren, die sinnvoll mit dem Internet und den Kommunikationsfreiheiten zusammengebracht werden könnte. Statt dies aber zuzugeben und die Norm aus dem Entwurf zu streichen (oder sie wenigstens umzubenennen), belässt es die Kommission bei einer Vorschrift, die vor unbestimmten Rechtsbegriffen nur so strotzt. Das wird die Rechtsanwendung erschweren. Aber immerhin verzichtet die Kommission nunmehr darauf, etwas zu verlangen, was technisch und rechtlich gesehen unmöglich ist.

Telemedicus zum Vorschlag der Datenschutz-VO.