Quo vadis Datenschutz?
Artikel für die Berliner Datenschutzrunde vom 14.08.2014
2.2.2 Die Expansion des Begriffs der personenbezogenen Daten |
2.2.4 Regelungen, die immer das noch Machbare fordern sind investitionsfeindlich |
1 Einleitung
1997 stand in Deutschland die Novellierung des Bundesdatenschutzgesetzes an. Bernd Lutterbeck, einer der Väter des Deutschen Datenschutzes, hat dem Datenschutz damals in einer bemerkenswerten Rede eine düstere Prognose gestellt. Er zitiert Spiros Simitis mit den Worten aus 1984: „Just in dem Augenblick, in dem die Anerkennung ihren Höhepunkt erreicht, steuert der Datenschutz auf seine tiefste Krise zu1“. Simitis hatte zudem festgestellt: „Kurzum, die Prämisse der Datenschutzgesetze ist auf den Kopf gestellt:Nicht die Zentralisierung, sondern die Dezentralisierung beherrscht das Feld“2. Verwundert konstatiert Lutterbeck 1999, wie die Datenschützer mit der Vernetzung umgehen. Seine Screenshots der Webseiten der Datenschutzbehörden 1997 zeigen ein bitteres Bild. Er folgert, dass die Bürokratisierung voranschreitet und bezeichnet sie als „Phase 4“ der Datenschutzentwicklung. Mit vielen Nachweisen wird beschrieben, wie Entwicklungen verschlafen werden, wie die konzeptionelle Erneuerung des Datenschutzes immer wieder gefordert aber nie umgesetzt wird. Jetzt ist es wieder so weit. Der Autor fordert die konzeptionelle Erneuerung des Datenschutzes. Denn seit dem Aufsatz von Lutterbeck ist außer „weiter so“ und „die anderen sind schuld“ nicht wirklich etwas passiert.
Das Internet und insbesondere das Web haben zunächst zu einer Dezentralisierung der Datenverarbeitung geführt. Die Dezentralisierung war bis 1999 ohne Antwort geblieben. Inzwischen sind zwar Regeln erlassen, aber sie folgen den alten Prinzipien und Paradigmen und sorgen teilweise für Befremdung. So ist verdiente die britische Umsetzung der Novellierung der Datenschutzrichtlinie von 2009 einen eigenen Beitrag. Man bekommt ein Pop-up oder Overlay mit dem Hinweis, dass die Website Cookies benutzt. Um den Kasten los zu werden muss man nun „OK“ klicken und schon wird ein Cookie mit UniqueID gesetzt, der den Kasten beim nächsten Seitenaufruf unterdrückt. Denn der Kasten wird natürlich personenbezogen unterdrückt, damit den Anforderungen an eine Zustimmung genügt wird. Wenn immer jetzt ein Nutzer zur Seite zurück kehrt, wird das Cookie ausgelesen und in ein log file gespeichert. Man kennt sich nun, es entsteht ein Profil. Vorher konnte man die Seite ohne Cookies benutzen, indem man die Cookies im Browser abgeschaltet hat. Das geht jetzt nicht mehr, weil der Cookie-Informationskasten alles verdeckt. Noch schlimmer: Jetzt ist ein Mechanismus geschaffen worden, mit dem einfaches Weiterklicken als Zustimmung für noch mehr Datensammlung interpretiert werden kann. Also wird mehr denn je gesammelt. Dieser Pyrrhus-Sieg ist symptomatisch für die juristisch zementierte Datenschutzbürokratie, die Gutes will und Schlechtes tut.
Es kann konstatiert werden, dass eine Menge Geld in die klassische Datenschutzbürokratie fließt, aber nicht ausreichend in Wissenschaft und innovative Konzepte investiert wird. Die Bürokratie ist in sich geschlossen und konsistent. Sie ist wirtschaftlich erfolgreich und hat einen Markt von Beratern und Kontrolleuren hervorgebracht. Die konsistente Binnensicht wird durch die vernetzte Globalisierung zerstört. Alle nutzen die US-Dienste, die der Bürokratie entzogen sind. Daraus entsteht ein neuer Dauerkonflikt mit den amerikanischen Internet-Giganten.
Simitis hatte 1984 festgestellt, dass die Datenverarbeitung sich dezentralisiert und damit von den Konzepten des Datenschutzes aus den Siebzigern nicht mehr richtig erfasst werde. Derzeit erleben wir durch starke Monopolisierung des Marktes aber eine erneute Zentralisierung der Datenverarbeitung vor der allenthalben gewarnt wird. Die neue Zentralisierung ist aber von den etablierten Datenschützern nicht mehr auf die alte Weise kontrollierbar, weil offshore. Es entsteht eine Machtfrage, die sich Dank Globalisierung und Vernetzung allerdings auch bei allen anderen rechtlichen Materien stellt3. Die rechtliche Machtausübung ist an ein Hoheitsgebiet gebunden. Das Web ist als Hoheitsgebiet noch nicht anerkannt. D.h. die neue Zentralisierung führt dazu, dass sich der Datenschutz mit der Globalisierung auseinander setzen muss. Kann man bei Auftragsdatenverarbeitung und industrieller Kooperation noch mit „Binding Corporate Rules“ arbeiten, funktioniert das bei allgemeiner Webnutzung nicht mehr. Der Datenfluss in Zonen nicht-adäquaten Schutzniveaus ist von dem zu schützenden Bürger selbst initiiert. Was tun? Den Bürger entmündigen, weil der in die Venusfalle süßer kostenloser Dienste läuft? Durch die native Globalität des Web und seiner Dienste stehen die Datenschützer mit in der ersten Reihe, wenn es um internationale Herausforderungen geht. Ist vielleicht gar die erneute Zentralisierung auch ein Datenschutzproblem? Wie kann der Datenschutz dieser neuen gefährlichen Machtkonzentration technisch, gesellschaftlich und juristisch begegnen? Dabei versprechen vor allem technische und gesellschaftliche Initiativen den Erfolg. Denn der rechtliche Positivismus im Datenschutz hat sich als zahnloser Tiger erwiesen. Es ist Zeit umzudenken. Nur wie? Ein „weiter so“ oder „mehr davon“ führt jedenfalls in die falsche Richtung. Das hatte uns Simitis schon 1984 ins Stammbuch geschrieben.
Die Zentralisierung im Social Networking und die damit einhergehenden Probleme leiten jedoch nur über zu einer noch viel größeren Herausforderung: Big data! Social Networking und Suchmaschinen betreffen nur einen Bruchteil der Daten, die im Internet zur Verfügung stehen. Wenn aber die große Vielfalt der Datenquellen aufgrund eines Innovationsschritts und mit neuen Standards interoperabel wird, wenn jeder diese Quellen in einen Topf vereinigen oder bei Bedarf in die Abfrage integrieren kann, dann ist eine zentrale Abfrage dezentraler Quellen möglich und die Dichotomie von Zentralisierung und Dezentralisierung hat sich im Internet aufgelöst. Tim Berners-Lee sprach schon 1998 vom Web der Daten. Die Open-Data Initiativen, die man überall sehen kann, bewegen sich in diesem Kontext und verschärfen die ungelösten Probleme im Bereich Big data noch. Hinzu kommt, dass das Internet eine Infrastruktur geschaffen hat, die besonders leicht abzuhören ist und dem Datensammeln besonderen Vorschub leistet. Antworten vom klassischen Datenschützer sucht man vergeblich. Werden aber keine Antworten gefunden, dann wird die Technologie in Europa durch den Datenschutz so ausgebremst, dass sie anderswo implementiert und von Europa aus genutzt wird. Wir wiederholen dann die Erfahrung rund um Social Networking.
Der Artikel versucht ein Gegenkonzept zu entwickeln, nämlich einen massentauglichen technischen Datenschutz mit juristischen Leitplanken. Im gegebenen Rahmen kann dies natürlich nur holzschnittartig erfolgen.
Die Notwendigkeit einer Reform
Die Entscheidung des EuGH zur Löschung von Links
Als der EuGH im Mai auf Vorlage der Audiencia Nacional in Spanien im Verfahren C-131/12 entschied, gab es viele Reaktion. Die Diskussion dauert an, denn die Entscheidung zeigt die Unzulänglichkeiten des Datenschutzrechts in ungewohnter Klarheit. Der EuGH hatte entschieden, dass Google den Link auf eine Veröffentlichung in la Vanguardia, einer spanischen Zeitung, nicht mehr zeigen dürfe. Nach erstem Beifall für die Anwendung des europäischen Rechts auf Google machte sich Katerstimmung breit, denn die Gefahr für Meinungs- und Informationsfreiheit wurde offenbar. Gegen viele vertrat ich die Meinung, dass der EuGH gar nicht anders konnte als Google die Anzeige des Links zu untersagen. Der Fehler liegt im Gesetz und bei der „Agencia Española de Protección de Datos“, kurz AEPD. Die spanischen Datenschutzbehörde hatte den Fall von Anfang an falsch gelöst. Was soll die Veröffentlichung einer 16 Jahre alte Versteigerungsanzeige rechtfertigen, ihre Auffindbarkeit aber verdammenswert erscheinen lassen? Es ensteht eine Frage, die eigentlich gar nicht entstehen sollte: Wann sollen im Suchergebnis Treffer unterdrückt werden, auch wenn die Veröffentlichung der Information auf den Internetseiten als solche rechtmäßig ist. Der EuGH hat entschieden, dass die Treffer unterdrückt werden müssen, wenn eine Suche mit Namen erfolgt war und die Voraussetzungen der Art. 12 (b) und 14 Abs. 1 erfüllt sind. Seitdem überlegen viele kluge Köpfe, was die vom EuGH erstellten Prinzipien nun praktisch bedeuten und wie man das Gesagte umsetzen kann.
Im oben zitierten Artikel vom 27. Mai hatte ich eine Lösch-Orgie bei Google vorhergesagt. Google hat kein eigenes wirtschaftliches Interesse am Erhalt der Links. Google will uns Werbung passend zum eingegebenen Suchbegriff verkaufen. Aber in der Abwägung zwischen Ärger mit teuren Verfahren oder dem einfachen Unterdrücken eines Treffers ist die Wahl nach der Entscheidung C-131/12 schnell getroffen. Um seinen Ruf zu wahren und wohl auch aus philosophischen Motiven setzt Google nur die Minimalerwartung um. Hätte Google diese Motivation nicht, hätte Google den Link schon auf Anfrage der AEPD unterdrückt, ohne teures Verfahren bis zum EuGH. Für die Allgemeinheit gibt es keinen Rechtsweg um die Information zu erhalten. Denn die Datenschützer sind die Vertreter der Allgemeinheit und hatten dafür gesorgt, dass gelöscht werden muss. Sobald die kleinste Unsicherheit besteht, wird Google also löschen. Oder Google wird automatisiert löschen, weil eine Bearbeitung einfach zu teuer wird. Die anderen Suchmaschinen werden nachziehen.
Prompt kam im Juli die Schlagzeile, dass pro Tag 10 000 Anfragen bei Google eingehen und schon ein Rückstand von 50 000 Löschgesuchen entstanden sei4. Jacob Kohnstamm, der niederländische Datenschutzbeauftragte, berichtet nach einem Treffen in Brüssel von 91 000 Gesuchen betreffend 328 000 URLs, denen zu 70% entsprochen wurde5. Auch Links zu Wikipedia sind inzwischen gelöscht6. Jimmy Wales, der Gründer von Wikipedia, spricht von Wissenslücken und Zensur durch das Gerichtsurteil7.
Hier ist es nützlich, sich noch einmal die Gründe aus dem Urteil des BVerfG aus 19848 in Erinnerung zu rufen. Warum brauchen wir Datenschutz?
Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. […] Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.
Der Einzelne wird also auch geschützt, damit die Meinungsbildung in einem demokratischen Staat funktioniert. Denn ohne Datenschutz wären wir einem solchen Konformitätsdruck unterworfen, dass wir unsere Meinung nicht mehr in den demokratischen, geschützten Bahnen kund tun. Wenn also der Datenschutz letztlich die Meinungsfreiheit schützt um den Demokratieprozess zu erhalten, dann kann er doch nicht gleichzeitig dazu dienen, die Meinungsbildung aller anderen durch das ungebremste Löschen missliebiger Information zu manipulieren. Hinzu kommt, dass die Suchmaschine dafür sorgt, dass wir wissen welche das Datensubjekt betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind9. Warum sollte das schlecht sein? Solange also die Quelleninformation noch da ist, hilft auch die Einschränkung der Suchmaschine nicht wirklich, das vom BVerfG formulierte Ziel zu erreichen.
Thomas Stadler hatte als erster davon gesprochen, dass ein absoluter Vorrang des informationellen Selbstbestimmungsrechts zu einem Systembruch führt. Eine Suchmaschine hat tausende Suchanfragen pro Sekunde. Bei der Menge ist es unmöglich manuell festzustellen, wann eine solche Suche nach dem Namen wirklich legitim ist. Schlimmer, wer will bei 91 000 Löschanfragen in einem Monat denn noch vernünftig abwägen, wenn allein die Entscheidung zu Costeja González 4 Jahre gedauert hat. Wird nicht gelöscht, droht Haftung. Wenn gelöscht wird, droht nichts. Also wird einfach der Löschvorgang automatisiert. Google hat ja schon ein Formular erstellt. Die Entscheidung des EuGH führt also dazu, dass Google in eine Richterposition gedrängt und zum selbst haftenden Garanten unseres öffentlichen Informationsraumes wird. Durch die Entscheidung hat Google also nicht weniger, sondern mehr Macht erhalten, wieder ein Pyrrhus-Sieg. Dann stellt sich die Frage, was unsere Meinungsbildung mehr stört, eine Namenssuche oder die massive Beeinträchtigung des öffentlichen Informationsraums im Netz? Denn in einem System ungeprüfter Löschanfragen aufgrund von Dynamik und Haftung können viele wichtige legitime Informationen verloren gehen. Wer schützt dann den informationellen Raum und seine wichtige Funktion zur Meinungsbildung? Es gab bei Twitter tatsächlich Reaktionen, die eine Entscheidung über die Löschung in die Hand der Datenschützer legen wollte. Gleiches wurde übrigens auch in Frankreich wegen der Sperrung von Internet-Seiten vorgeschlagen10. Die Datenschutzbehörde wurde gegründet um unsere Freiheit zu schützen und jetzt soll sie über unsere Freiheit und ihre Einschränkung befinden? Ein solcher Ansatz wäre der absolute Sündenfall für den Datenschutz. Die Bürokratie würde vom Ärgernis zur Gefahr, denn die Datenschutzbehörde bekäme eine Orwell'sche Dimension.
Datenschutz: Vom Paulus zum Saulus
Die Entscheidung des EuGH macht die problematische Richtung des Datenschutz deutlich und befeuert die Diskussion. Es handelt sich aber nicht um einen Unfall oder einen Sonderfall. Man kann befürchten, dass es sich um eine breite Entwicklung handelt. Um die Schlussfolgerungen verständlich zu halten, müssen die Prämissen für die Entwicklung kurz erläutert werden. Dann wird auch klar, warum und wie dieser Entwicklung entgegen gesteuert werden muss.
Die Verlagerung des Politischen ins Netz
Der arabische Frühling wurde im Westen vornehmlich im Hinblick auf die neue Rolle der sozialen Netzwerke diskutiert und die gesellschaftlichen Umwälzungen, die sie mit sich brachten. Die traditionellen Medien lobten die großen US-Dienste. Das Weiße Haus soll sogar bei einem Kurznachrichtendienst interveniert haben, um eine anstehende Wartung zu verzögern. Der Bericht von Amr Gharbeia auf der Federated Social Web Conference am 3. bis 5. Juni 2011 bestätigte die wichtige Rolle der sozialen Medien bei der Selbstorganisation der Akteure des arabischen Frühlings, relativierte aber die Rolle der US-Dienste11. Auch im Westen steigt die Rolle der sozialen Netzwerke im politischen Betrieb beständig. Der politische Diskurs ist online angekommen. D.h. eine Reglementierung von Online-Kommunikation muss auch immer im Hinblick darauf betrachtet werden, dass diese auch der Meinungsbildung und dem politischen Diskurs dient. Der Vorteil der Online-Medien liegt dabei vor allem in der Demokratisierung der Verteiler. Während die Mächtigen von den klassischen Medien, also Funk und Fernsehen, traditionell sehr gut abgebildet werden, hat das Netz neue Plattformen für alternative Meinungen geschaffen. Der Verdienst des arabischen Frühlings aus westlicher Sicht liegt vor allem im Beweis, dass die Beherrschung der klassischen Medien nicht mehr ausreicht, um ein ungeliebtes Regime zu halten. Es zeigt die Bedeutung des Internet im politischen Diskurs.
Die Expansion des Begriffs der personenbezogenen Daten
Die zweite Prämisse ist die ständige Expansion des Begriffs des personenbezogenen Datums. Die Richtlinie 95/46EC führte in Erwägungsgrund 26 aus: „Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.“
Daraus entwickelte sich die Frage, ob IP – Adressen personenbezogene Daten sind. Die Art. 29 Working Party nimmt das an12. Aber im Internet gibt es keine Kommunikation ohne IP – Adresse. Die IP – Adresse ist die Telefonnummer meines Rechners. Ohne die Telefonnummer meines Rechners kann mir der Server keine Information liefern. Wenn also jeder Kommunikationsvorgang eine IP-Adresse erfordert, dann ist jeder Kommunikationsvorgang im Internet eine Verarbeitung von personenbezogenen Daten. Wenn das der Fall ist, dann unterliegt jeder Kommunikationsvorgang im Internet dem Datenschutz. Mit dem Ziel einer möglichst breiten Anwendung der informationellen Selbstbestimmung als Verbraucherschutz-Surrogat wurden noch weitere Grundpfeiler der Internet-Kommunikation als personenbezogen klassifiziert.
Ein Verbot mit Erlaubnisvorbehalt
Der Datenschutz hatte ursprünglich verschiedene Regelungssysteme. In Frankreich musste man seine Datenbank bei der CNIL13 registrieren, wenn sie personenbezogene Daten verarbeitete. Als 1995 das Web die Universitäten erreichte, wurden die Adressen und Telefonnummern der Forscher online gestellt um eine bessere Vernetzung zu erreichen. Die CNIL sah die Websites als Datenbank an, und die Datenschutzgesetze forderten deswegen eine strafbewehrte Registrierungspflicht. Nun wurde die CNIL mit Anträgen von tausenden Websites geflutet. Das hatte sie so nicht vorher gesehen. Das französische System skalierte nicht. Auch deswegen hat sich das deutsche Regel-System des Datenschutz auf europäischer Ebene durchgesetzt. Aber das deutsche System hat auch einen Geburtsfehler. Es nutzt eine Methode aus dem deutschen Verwaltungsrecht. Um eine möglichst hohe Kontrolldichte zu erreichen, kennt das deutsche Verwaltungsrecht das generelle Verbot mit Erlaubnisvorbehalt. Das ist auch im Datenschutz zum Tragen gekommen. In Artikel 7 der Richtlinie 95/46EC findet dieses Prinzip seinen Niederschlag. Danach dürfen personenbezogene Daten nur verarbeitet werden, wenn ein Erlaubnistatbestand vorliegt. Diese Erlaubnistatbestände sind oft sehr unbestimmt und generell. Viele erfordern vorab eine Verhandlung mit den Datenschutzbehörden, um die Verarbeitung der Daten tatsächlich aufnehmen zu können. Im Bereich eines Großunternehmens oder einer Behörde kann das Sinn machen. Was aber, wenn das Datenschutzrecht zum täglichen Brot von jedermann wird? Dann brauchen wir für unsere Kommunikation plötzlich eine Erlaubnis. Die Problematik wurde schon von den Autoren der Richtlinie gesehen, die in Art. 9 eine Ausnahme für Journalisten fordert. Im Internet werden wir alle zu Journalisten in diesem Sinne.
Regelungen, die immer das noch Machbare fordern sind investitionsfeindlich
Befragt man Wirtschaftsunternehmen nach ihren Präferenzen, dann erhält man meist die Antwort, stabile Rahmenbedingungen seien besonders förderlich. Nach 15 Jahren Datenschutz kann von stabilen Rahmenbedingungen nicht die Rede sein. Zwar sind die Gesetze relativ stabil geblieben, aber § 9 BDSG verpflichtet zu allen „erforderlichen Maßnahmen“. Was aber erforderliche Maßnahmen sind, richtet sich nach dem, was die Datenschutzbehörden für erforderlich halten. Da fast alle Datenschutzbeauftragten Juristen sind, riskiert die Frage der Erforderlichkeit auf ein vielfältiges Echo zu stoßen. D.h. es ist nicht per se vorhersehbar, ob eine bestimmte Kommunikation die Regeln des Datenschutz verletzt oder nicht. Das Haftungsrisiko wird also erst am Ende einer Investition geklärt und nicht schon vorher. Die Vorhersehbarkeit datenschutzrechtlicher Regeln kann als gering eingestuft werden. Oftmals sind banale Vorgänge im Internet nur deswegen möglich, weil sie nicht verfolgt werden. Wer selbst Server betreibt, weiß wieviele logfiles notwendig sind, um einen Server vor Angriffen zu schützen und sicher zu betreiben, wie lange man diese logs aufheben muss, um eine eventuelle Kompromittierung im nachhinein zu entdecken.
Guter technischer Datenschutz erfordert erhebliche Investitionen. Betrifft der technische Datenschutz Internet-Technologie, ist der Aufwand aufgrund der notwendigen Standardisierung noch größer. Solche Investitionen erfordern ein vorhersehbares Ergebnis. Um ein vorhersehbares Ergebnis zu erhalten, muss man von der zuständigen Datenschutzbehörde eine Zusage erhalten, dass das Resultat der Investition als datenschutzkonform akzeptiert wird. Ich habe trotz multipler Nachfrage eine solche Zusage nie erhalten, selbst dann nicht, wenn es sich um Technologie gehandelt hat, die der Privatsphäre förderlich war, wie z.B. P3P. Die Behörden haben immer abgewartet, bis die Technologie fertig war und dann eine Entscheidung getroffen. Dies ist nur einmal durchbrochen worden als die Art. 29 Working Party einen Vertreter in die Tracking Protection Working Group des W3C entsandt hatte. Insgesamt kann das Klima im Datenschutz wegen der fehlenden Vorhersehbarkeit als investitionsfeindlich beschrieben werden.
Eine Konzentration auf die Intermediäre
Die Datenschutzbehörden wenden sich selten bis gar nicht an den Bürger als kommunizierendes Subjekt. Wie wir wissen, brauchen wir im Internet eine Menge Mittelsmänner um miteinander kommunizieren zu können. Diese transportieren unsere IP-Pakete oder stellen Server zur Verfügung. In der OECD werden diese Mittler als Intermediäre bezeichnet. Ohne sie gibt es keine Internet-Kommunikation zwischen Bürgern. Aber die Intermediäre verarbeiten IP-Adressen, haben Abonnenten etc. Kurz, sie verarbeiten personenbezogene Daten und sind damit den Datenschutzbehörden unterworfen. Es ist relativ leicht einen solchen Mittelsmann anzugehen und wegen der Verarbeitung personenbezogener Daten Forderungen hinsichtlich der Verarbeitung zu stellen. Denn Service-Provider und Dienste sind Unternehmen, die registriert, erfasst und besteuert werden. Intermediäre sind daher leicht greifbar. Behörden, Gerichte und sogar Regierungen wenden sich daher bevorzugt an Intermediäre, denn es ist schwerer sich an die eigentlichen Verursacher zu wenden14. Doch die Konzentration auf Intermediäre hat oftmals ungewollte Konsequenzen, weil der Intermediär nun zu einem Verhalten gezwungen wird, das auch andere seiner Kunden beeinträchtigt, die aber gar nicht betroffen werden sollten.
Dies kann zu erheblichen Behinderungen führen. So werden den Mittlern Stoppschilder, Filter oder bestimmte Arten der Verarbeitung aufgetragen. Der Datenschutz hat zu einem Micromanagement durch die Behörden geführt. Die Datenschutzbehörden haben aber selten wirklich Internet-Experten in ihrem Team. So entstehen Friktionen. Techniker finden es oft einfacher, die Juristen in den Behörden zu befriedigen anstatt ihnen klar zu machen, dass die detaillierten Forderungen keinen Sinn machen oder sie sich bevorzugt an die eigentlichen Verursacher wenden sollen. So entstehen noch mehr Bürokratie und Kommunikationshindernisse.
Ein zweiter Grund warum die Verfolgung der Intermediäre zum Problem wird ist, dass diese zwar eigene Rechte haben, aber eben auch durch die Kommunikationsvermittlung zur Grundrechtsausübung aller beitragen. Die Bürger können sich jedoch im derzeitigen juristischen System nicht gegen die Beeinträchtigung der Intermediäre wehren. Sie haben eine Beeinträchtigung, sind aber nicht Subjekt einer juristisch angreifbaren Maßnahme. Die Intermediäre wiederum haben zwar eigene Rechte. Diese sind aber im Zweifel von der Maßnahme gar nicht betroffen. Ich nenne das die Dritt-Freiheitsliquidation nach dem bekannten Modell der Drittschadensliquidation aus dem bürgerlichen Recht.
Ein dritter Grund warum die Intermediäre besonders gefährdet sind, ist die Skalierung. Auch Google ist ein solcher Intermediär und Teil unserer Netz-Infrastruktur. Um alle Information wirklich erfassen und zur Suche zur Verfügung stellen zu können, bedarf es eines erheblichen industriellen und informatischen Aufwands. Die durch den Intermediär geschaffene Funktionalität wird jetzt genutzt, um lokale Rechte durchzusetzen. Indem man sich an einen großen Mittelsmann wendet, kann man im Netz die Durchsetzung einer Maßnahme sehr schnell in große Zahlen hoch skalieren und in Konflikt mit allen anderen treten. Allerdings braucht es große Akteure, um den enormen Aufwand der Such-Infrastruktur zu stemmen. Diese Größe wird aber zur Falle, wenn der Akteur Adressat multipler Maßnahmen von Regierungen und Gerichten aus aller Welt wird. Im Zweifel wird der Akteur die Infrastruktur so anpassen, dass es allen Recht ist. Der kleinste gemeinsame Nenner wird jedoch keine große Funktionalität oder Qualität bieten. Kann die AEPD mittels Audiencia Nacional und EuGH die Namenssuche generell und weltweit verbieten? Das ist eine Frage, der wir uns stellen müssen.
Conclusio: Meinungsfreiheit mit Erlaubnisvorbehalt?
Die Bausteine ergeben ein erhebliches Gefährdungspotential.Unser politischer Willensbildungsprozess verlagert sich immer weiter ins Netz, d.h. die Netzkommunikation wird für den demokratischen Willensbildungsprozess immer wichtiger. Weil das derzeitige System des Datenschutz inherent investitionsfeindlich ist, verharrt es weitgehend im bürokratischen Status quo, während das technische Umfeld sich immer schneller entwickelt. Um das bürokratische System auf das sich schnell ändernde System anwenden zu können, wird der Begriff des personenbezogen Datums immer expansiver ausgelegt. Die Ausweitung des Begriffs des personenbezogenen Datums führt zur Anwendung des Datenschutzrechts auf unsere tägliche Kommunikation. Da das Datenschutzrecht ein generelles Verarbeitungsverbot mit Erlaubnisvorbehalt enthält, steht nun jede Innovation unserer Netzkommunikation und damit auch unsere tägliche Kommunikation unter einem Erlaubnisvorbehalt. Dieser wird gegenüber den Intermediären der Internet-Kommunikation durchgesetzt. Der Bürger hat keinen Rechtsweg und der Intermediär letztlich auch nicht. Die Anwendung der gegen den Datenschutz gerichteten Freiheitsrechte ist ausgehebelt.
Damit ist es durchaus nachvollziehbar, wie man auf die Idee kommen kann, den Datenschützern die Entscheidung dafür zuweisen, ob ein Inhalt in der Suchmaschine gelöscht werden muss oder nicht oder ob eine URL auf eine Sperrliste soll oder nicht. Die Datenschutzbehörde wird damit zur obersten Instanz unserer Kommunikation. Zwar weiß die Behörde nicht alles über uns wie ein Big Brother, aber wenn sie es weiß, kann sie uns die Kommunikation untereinander sehr stark erschweren. Damit wird der Datenschutz von einem Element der Freiheit zu einem Element der Massenkontrolle. Denn für kontroverse Kommunikation sind wir auf die klassischen und auch leichter zu kontrollierenden Kommunkationsmedien zurückgeworfen. Oder wir spielen das im Internet übliches Hase-und-Igel-Spiel mit dem Establishment. Dabei wird Information rasend schnell verbreitet und herum gereicht wird; außerhalb des rechtlichen Rahmens. Eine Demokratie zeichnet sich aber dadurch aus, dass die Kommunikation gerade innerhalb des rechtlichen Rahmens statt finden kann.
Soweit die Theorie. Praktisch gesehen ist mir kein Datenschutzbeauftragter bekannt, der bewusst eine freiheitsfeindliche Strategie verfolgt. Alle würden eine Intention zentraler Kontrolle weit von sich weisen. Aber es geht gar nicht darum, die gute oder böse Intention von Behörden zu ermitteln. Es geht darum, dass das Datenschutzrecht als Verwaltungsrecht eine Grenze erreicht hat. Das Internet hat das Datenschutzrecht zum bürgerlichen Recht unserer Zeit gemacht. Und dafür wurde das Datenschutzrecht weder konzipiert noch in der Anwendung angepasst. Durch die Überschreitung dieser Grenze riskiert der Datenschutz sich gegen seine ursprünglichen Ziele zu wenden. In den Siebzigern des vergangenen Jahrhunderts waren Leute wie Lutterbeck angetreten, die Gefahren der Informatik und der technischen Datenverarbeitung für unsere Freiheit zu begrenzen um die freie Meinungsbildung zu gewährleisten und die Demokratie zu fördern. Eine totale Bürokratisierung unserer Kommunikation durch Datenschutz erreicht das Gegenteil. Deswegen braucht es eine grundlegende Reform; weg vom Verwaltungsrecht, hin zu individuellen Ansprüchen der Bürger.
Zurück zur Avantgarde
Ein neuer Ansatz im Recht
In Anbetracht der vielen Verletzungen der Privatsphäre, in Anbetracht des flächendeckenden Abhörens des Internet durch einige Staaten hat Sir Tim Berners-Lee eine Online-Magna-Charta gefordert15. Genau das ist eine Strömung, die jetzt genutzt werden kann um den Datenschutz zu reformieren; die Magna-Charta als Bürgerrecht. Die Datenschutzverordnung der EU ist innovativ, setzt letztlich aber nur das Modell des derzeitigen Datenschutzes fort. Die Verordnung perfektioniert den Ansatz des Bundesverfassungsgerichts zur informationellen Selbstbestimmung. Schon Simitis 1984 und Lutterbeck 1997 haben Bedenken gegen die Universalität dieses Ansatzes angemeldet. Das bedeutet nicht, dass die informationelle Selbstbestimmung als Konzept aufzugeben wäre, im Gegenteil. Aber sie ist eben nur ein Teil des Konzepts und funktioniert in einem weltweit vernetzten und verteilten Computersystem nicht als einziges Paradigma. Aber wie soll der bürgerrechtliche Ansatz aussehen?
Wenn wir tatsächlich so selbstbestimmt wären, wieso können wir uns dann nicht selbst mit entsprechenden Rechten an Unternehmen oder andere Bürger wenden, die unsere Informationen verarbeiten und Aussagen über uns treffen? Man stelle sich vor, das Bürgerliche Gesetzbuch existiere nicht, sondern nur das Handelsgesetzbuch. Und im Handelsgesetzbuch würde geregelt, wann die Verwaltung ein Unternehmen maßregeln darf, weil es einen Verbraucher übervorteilt hat. Nun vergleichen wir das mit dem Ansatz des Verbraucherschutzes, der dem Verbraucher selbst Rechte gibt. Es wird klar dass direkte Rechte des Bürgers den Datenschutz im hier und jetzt ankommen ließen, denn der Datenschutz ist der Nucleus der von Berners-Lee geforderten Magna-Charta. Damit gehen Regeln einher, die sehr viel genereller sind. Regeln, die einen Schaden definieren und klären, wann und von wem er zu ersetzen ist, Regeln die klären wann man sich mit der Öffentlichkeit eigener Information abfinden muss, Regeln die generelle Prinzipien setzen. Dazu gehören Regeln für die Infrastruktur, wie Suchmaschinen. Was sollen Suchmaschinen beachten? Diese Fragen sind von so grundsätzlicher Bedeutung, dass sie nicht pro Bundesland vom Datenschutzbeauftragten gelöst werden sollten.
Wir brauchen Regeln zum Schutz der Infrastruktur durch eine Subsidiarität des Vorgehens gegen Intermediäre. Intermediäre sollen nur indirekt und subsidiär in Haftung genommen werden können, wenn eine Inanspruchnahme des tatsächlichen Verletzers nicht möglich ist. Dazu muss man Intermediäre definieren. Das wird schwierig. Denn Unternehmen wie Google spielen damit Mittler und Anbieter zugleich zu sein. Aber es kann gelingen, wenn man ein Auge darauf hat, was der Infrastruktur dient und was nicht. Wenn ein eigenes Angebot vorliegt, dann ist der Mittler kein Mittler mehr. Bei Suchmaschinen wäre das relativ leicht zu ermitteln.
Der direkte Ansprechpartner bei Costeja González war die Zeitung la Vanguardia. Erst wenn die nicht mehr veröffentlichen darf und Google alles noch im cache hat, dann rechtfertigt sich ein direkter Anspruch gegen die Suchmaschine. Denn dann erbringt Google eine eigene Leistung und ist nicht nur Mittler fremder Information.
Doch wir brauchen auch Regeln für unsere eigene Auseinandersetzung. Die Debatte um den Datenschutz in Web und Internet als Google-Debatte zu führen ist schädlich, und verstellt den Blick auf die wirklichen Probleme. Sie bleibt auf der Ebene der Applikationen hängen und ignoriert die fundamentalen Prinzipien der darunter liegenden Technik und Wissenschaft. Die Machtfrage sollte in den Hintergrund treten und wir sollten Intermediäre vorsichtig behandeln, bis wir Regeln gefunden haben, die der Dynamik und den Grundprinzipien des Web und des Internet gerecht werden. So verständlich die Adressierung der Machtfrage um Google ist, sollten die Kollateralschäden mit bedacht und vermieden werden.
Ein Bürgerrecht würde anerkennen, dass Grundrechte von Bürgern verletzt werden, auch wenn sich die Maßnahme nur gegen Intermediäre richtet. Die Dritt-Freiheitsliquidation ermöglichte ein individuelles oder kollektives Klagerecht des Bürgers, auch wenn der Intermediär sich nicht wehrt. Und sie gäbe dem Intermediär die Möglichkeit, die Rechte seiner Nutzer im Rahmen der Maßnahme geltend zu machen und nicht nur eigene Rechte.
Ein solches Rechtsgebiet müsste sich mit der Neutralität von Suchmaschinen beschäftigen. Eine Zeitung muss die Werbung sichtbar absetzen. Was darf eine Suchmaschine die ihr Geld auch damit verdient, bestimmte Inhalte auf die erste Seite zu bringen? Die Debatte über Netzneutralität muss dabei einbezogen werden, um einen rechtlichen Rahmen zu erreichen, der Innovation fördert und nicht unter Erlaubnisvorbehalt stellt. Ein innovatives Recht machte sich die Geschwindigkeit des Netzes zunutze und reagierte schnell, wenn eine Innovation Schäden anrichtet. Ein Datenschutzrecht als Bürgerrecht wäre viel mehr in Harmonie mit den tatsächlichen gesellschaftlichen Anforderungen. Das reduziert Friktionen in der Gesellschaft, reduziert die Notwendigkeit zum unproduktiven Streit und führt zu einem produktiveren Miteinander. Das trägt zur Förderung der Volkswirtschaft und zur Qualität unserer Demokratie bei.
Diese Prinzipien sind überall sichtbar, wenn man sich ein wenig mit den Usancen im Netz beschäftigt. Gleichzeitig müssen sie an unsere europäischen Werte angepasst werden, wehrhaft aber ohne expansiv-imperialen Charakter. Denn wir wollen nur unseren Teil des Web gestalten. Das wäre ein innovativer Sprung in ein neues Datenschutzrecht. Aber eine Datenschutzreform ist eine langwierige Aufgabe. Der Ruf nach Reform ist damit gerade nicht gegen die EU-Datenschutzverordnung gerichtet, sondern soll sie dereinst ersetzen.
Mehr Technik als Recht
Lutterbeck berichtet, der Anspruch des Datenschutzes der Siebziger war eine bessere Datenverarbeitung zu erreichen. Dazu gehört die Einbeziehung von IT-Sicherheit in den technischen Datenschutz. Dieser Anspruch muss wiederbelebt werden. Es gibt viele Probleme des Datenschutzes, die man technisch einfacher und besser lösen kann als rechtlich. Oft sind die rechtlichen Lösungen nur vordergründig einfach, weil die Bürde ihrer Implementierung dem betroffenen Unternehmen oder Intermediär unter Sanktionsdrohung überlassen wird.
Als Beispiel sei noch einmal der Fall des EuGH aufgegriffen. Wie konkret hätte sich der Fall C-131/12 lösen lassen ohne ein unausgegorenes Recht auf Vergessen zu formulieren? Dazu hatte ich in meinem Artikel den Vorschlag gemacht, das Verhalten der Suchmaschine vorhersehbar zu machen. Es gibt die robots.txt. Damit kann man die von einer Information direkt Betroffenen in die Lage versetzen, die Verbreitung der Information selbst zu kontrollieren. Denn eine Anweisung würde zuverlässig von der Suchmaschine befolgt. Dann müssten sich nur die Betroffenen mit der Frage auseinandersetzen, ob die Information nach wie vor suchbar, öffentlich oder eben öffentlich aber nicht suchbar sein soll. Es müssten diejenigen entscheiden, die am nächsten an den Fakten sind und nicht ein Intermediär, dem das Vorhandensein oder Nichtvorhandensein der Information egal sein kann. Dann integrieren sich auch die aufkommenden Fragen wieder besser in unser Recht. Denn dann kann das Recht von der Suchmaschine fordern, die Steuerzeichen zu beachten und die Seite aus dem Index zu streichen. Das Recht kann Sanktionen formulieren, wenn die Suchmaschine die Steuerzeichen nicht beachtet. Die Konflikte um Seiten werden dezentralisiert, weil nicht mehr die Suchmaschine entscheiden muss. Damit werden die Konflikte handhabbar gemacht.
Allerdings ist robots.txt noch keine gut ausformulierte Norm. Dort wurde auch kein Standard unter Einbeziehung aller Betroffenen erstellt. Die Suchmaschinen haben einfach dekretiert, dass sie sich an bestimmte Dinge halten. Aber verbindlich ist das nicht. Eine Suchmaschine kann die robots.txt ignorieren ohne gegen eine bindende Regel zu verstoßen. Es gibt auch noch keine Norm, die es erlaubt nur Teile einer Seite von der Indexierung auszunehmen. Dies hätte la Vanguardia gebraucht. Dann hätte la Vanguardia veröffentlichen und doch eine limitierte Öffentlichkeit herstellen können. Die Suchmaschine hat das PDF von la Vanguardia indexiert, also muss auch ein Teil eines PDF adressierbar sein. Diese technischen Dinge müssen dringend erarbeitet werden, aber niemand investiert dafür Zeit oder Geld. Das ist verständlich, denn es generiert medial sehr viel mehr Aufmerksamkeit sich publikumswirksam mit Google zu streiten. Solange wir das aber tun, verhindern wir eine wirkliche Lösung.
Die Politik muss lernen eine neue Internet-Infrastruktur als Ziel zu formulieren. So wie Neelie Kroes den Ausbau des Breitband-Netzes als politisches Ziel formuliert hat, kann man auch bestimmte Funktionalitäten der Infrastruktur als Ziel formulieren und dann auf ihre technische Machbarkeit überprüfen. Dann können die notwendigen Investitionen berechnet und verteilt werden. So werden bessere Ergebnisse erzielt, als mit der Forderung auf ein „Recht auf Vergessen“ oder „Privacy by Design“ um dann die Umsetzung allein den Internet-Giganten zu überlassen. Diese schauen nämlich nicht auf die Machbarkeit, sondern wie sie sich am besten aus der Affaire ziehen können. Wenn Machbarkeit und Geschäftsinteressen ohne Beteiligung der Betroffenen die Erstellung neuer Funktionalität im Internet bestimmen, kann das durchaus dazu führen, dass nichtdurchsetzbare Regeln unterstützt werden, die dann kleinere, sinnvolle und umsetzbare Forderungen für Jahre verhindern. Die Politik muss lernen mit dem System der Normierung im Internet umzugehen und es für ihre Zwecke fruchtbar zu machen, damit auch alle Betroffenen beteiligt werden.
Wir müssen uns mit den Rechten der Archive auseinandersetzen. Denn das ist das eigentliche Problem hinter der Entscheidung C-131/12. La Vanguardia hatte das Archiv online gestellt. Zugängliche Archive mit personenbezogenen Daten sind eines der Hauptprobleme. Jetzt ist alles in einer Suchmaschine integriert und macht uns Angst. Wie viel Entropie darf es denn bitte schön sein? Darf es wirklich keine Teilöffentlichkeit geben, wie Lorena Jaume-Palasí meint?16 Auch das ist ein Ansatz, den man messen kann. Geregelt ist nichts, denn früher brauchte man privilegiertes Wissen und einen Zugangscode. Es gibt viele gute Erfahrungen, die allerdings noch nicht in die allgemeinen Gesetze transportiert wurden. Z.B. hatte das französische Journal Officiel und das Portal Legifrance entsprechende Probleme, weil Ernennungen, Namenswechsel und sogar Geschlechtsumwandlungen im Journal Officiel veröffentlicht werden mussten. Hätte man das suchbar gestellt, wäre der gesamte sehr sinnvolle Dienst wegen des Datenschutzes verhindert worden. Der Europäische Verordnungsgeber sollte solche Fälle sammeln und die Verordnung um einen Abschnitt zu Online-Archiven ergänzen. Auch hier gilt, dass ich einem Archiv Metadaten mitgeben kann, die bei Beachtung zu einer datenschutzkonformen Verarbeitung führen.
Mehr Technik sollte auch bei der Besetzung der Verwaltungspositionen im Datenschutz eine Rolle spielen. Die geltenden Regeln sollten angepasst werden, um der Verrechtlichung des Datenschutz Einhalt zu gebieten. Wenn der Datenschutzbeauftragte Jurist ist, muss zumindest der Vize Informatiker oder Naturwissenschaftler sein. Wichtige Entscheidungen sollten nur gemeinsam getroffen werden. Insgesamt sollte sich in Deutschland, aber auch in Europa, die Anzahl der Datenschützer mit juristischem Hintergrund und die der Datenschützer mit naturwissenschaftlichem Hintergrund die Waage halten. Entsprechende Regeln sind einfach zu gestalten. Meine Hoffnung hier ist, dass sich die Qualität der Diskussion in den gemeinsamen Datenschutzgremien wesentlich ändern wird und ein größerer Hang zu technik- konformen Lösungen entsteht.
Eine der größten Herausforderungen der letzten 24 Monate entstand zweifellos durch die Aufdeckung der flächendeckenden Abschöpfung unserer Kommunikation im Internet durch Edward Snowden. Rechtliche Reaktionen darauf finden ihre Grenzen in der internationalen Dimension des Vorgangs. Aber was haben die Datenschutzbeauftragten sonst auf den Weg gebracht? Zugegeben, es gab viele Statements. Aber als die Internet-Gemeinde zum Workshop17 anlässlich des 89. IETF Meetings in London rief, kamen nur wenige aus der Datenschutzverwaltung. Die, die kamen hatten alle eine technische Ausbildung. Was ist die Rolle der Datenschutzverwaltung in diesem Fall? Ich denke, hier ist der Datenschutz als Avantgarde gefordert und sollte uns allen bei der Verbreitung der verschlüsselten Kommunikation helfen. Dazu braucht es fähige Techniker und kluge Juristen, die ihnen die vielen Hürden auf dem Weg zur allgemeinen Verschlüsselung ebnen. Das sind die Datenschutzbeauftragten, die ich mir wünsche.
1 3. September 1984 im Hessischen Landtag
2 Ebenda S.38, zitiert nach Lutterbeck.
3 Siehe zur generellen Problematik Michael Geist: „Is there a there there?“ (abgerufen 11 August 2014)
4 Lisa Vaas in Naked Security 16. Juli 2014 https://nakedsecurity.sophos.com/2014/07/16/hidden-from-google-site-remembers-the-pages-googles-forced-to-forget/
5 Jeroen Kraan, http://mobiel.nu.nl/tech/3836717/google-wijst-ruim-30-procent-verwijderingsverzoeken-af.html 24. Juli 2014
6 Google erases Wikipedia search link, The Times, 5 August 2014, http://www.thetimes.co.uk/tto/technology/internet/article4166885.ece
7 https://blog.wikimedia.org/2014/08/06/european-court-decision-punches-holes-in-free-knowledge/
http://www.telegraph.co.uk/technology/google/10990414/Google-must-not-be-left-to-censor-history-Wikipedia-founder-Jimmy-Wales-warns.html
8 http://openjur.de/u/268440.html (BVerfGE 65, 1)
9 Es ist nicht der einzige Fall, in dem die tatsächliche Realisierung der juristischen Fiktion von Öffentlichkeit zu massiven Problemen führt. Das Recht verzerrt die Realität und nicht umgekehrt, also muss das Recht angepasst werden, nicht die Realität.
10 Guillaume Champeau, Le blocage des sites "terroristes" sous contrôle de la CNIL, Numerama 23. Juli 2014 http://www.numerama.com/magazine/30082-le-blocage-des-sites-terroristes-sous-controle-de-la-cnil.html
11 Site offline, siehe aber http://primelife.ercim.eu/events/workshops/
12 Opinion 2/2002 on the use of unique identifiers in telecommunication terminal equipments: the example of IPV6 - WP 58 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp58_en.pdf
13 CNIL: Commission Nationale de l'informatique et des libertés die französische Datenschutzbehörde http://www.cnil.fr/
14 Das ist kein Problem allein des Datenschutzes, sondern ein generelles Problem: Siehe dazu die Diskussion auf dem OECD Ministerial Summit im Juni 2011
15 Jemima Kiss http://www.theguardian.com/technology/2014/mar/12/online-magna-carta-berners-lee-web 12 March 2014
16 http://irights.info/artikel/oeffentlichkeit-kennt-keine-beschraenkte-teilnehmerzahl/23173
17 https://www.w3.org/2014/strint/