Rede: „Datenschutz und Privatsphäre im dritten Jahrtausend“
Rede Bundesjustizministerin Sabine Leutheusser-Schnarrenberger zum Thema „Datenschutz und Privatsphäre im dritten Jahrtausend“ auf der Veranstaltung der Bucerius Law School in Hamburg.
Es gilt das gesprochene Wort!
Meine Damen und Herren,
Vor rund 20 Jahren wurde begonnen, das Internet als kommerzielles Angebot zu etablieren.
Vor gut 15 Jahren startete Google.
Vor ungefähr zehn Jahren boomten die ersten Nachrichtenportale im Netz.
Vor sieben Jahren wurde YouTube gegründet, vor acht Jahren Facebook.
Vor fünf Jahren kam das erste I-Phone auf den Markt.
So treffend hat es die Süddeutsche Zeitung jüngst zusammengefasst.
Die Anfänge des Netzes als akademisches Kommunikationsexperiment liegen bereits in den 70er Jahren und markierten den Beginn der wissenschaftlich-technischen Forschung auf diesem Feld.
Seitdem 1990 die kommerzielle Nutzung des Internets aufgenommen wurde, verlief die technische Innovation auch für die Anwender in einem atemberaubenden Tempo. Schon nach fünf Jahren wurden die Domain-Namen knapp. Dank der Verbreitung des schnellen DSL-Zugangs Ende der 90er wurde das Netz für viele Nutzer zu einem audio-visuellen Medium.
Als 2000 die Dot-Com Blase platzt, scheint die digitale Entwicklung erstmal gebremst. Im Nachhinein handelte es sich dabei wohl eher um ein ‚reinigendes Gewitter’, das überbewertete Konzepte und Trittbrettfahrer vom Markt gefegt hat. Innovative rechtswissenschaftliche Verlage brachten damals CD-Ausgaben heraus und es gab Fachvorträge zu einem Rechtsgebiet, das man Multimediarecht taufte. Doch die technische Anwendung ist auch darüber hinweggegangen. Eine neue Stufe erreichte das Informationszeitalter, als 2004 mit Facebook die Ära der sozialen Netzwerke beginnt. 2006 wird dann „googeln“ als Verb in den Duden aufgenommen.
Meine Damen und Herren,
das Internet hat dem Zeitalter der Globalisierung die notwendige Infrastruktur gegeben. IT-Technologien kürzen Kommunikationswege ab oder knüpfen sie neu, Märkte entstehen, verändern sich und vergehen teilweise sehr schnell wieder. Der Zugang zum Internet, die Teilnahme an der digitalen Polis, ist innerhalb weniger Jahre zum menschlichen Grundbedürfnis geworden.
Diese Entwicklungen sind eine ungemeine Chance für Partizipation an Meinungsbildungsprozessen, sie eröffnen neue Wege für Bildungsangebote und revolutionieren den Handel mit Waren und Dienstleistungen.
Andererseits stellt diese rasante Evolution den nationalen Gesetzgeber in zweifacher Hinsicht vor eine enorme Herausforderung.
Häufig agiert Politik retrospektiv. In unseren Parlamenten werden Sachverhalte geregelt, die sich als Probleme fest umreißen und beschreiben lassen. Im dritten Jahrtausend sind die Entwicklungen noch offen und unbestimmt und deshalb dürfen Sie für unbekannte Probleme auch keine Gesetze erwarten.
Andererseits entzieht sich der Regelungsgegenstand der nationalen Gesetzgebung fast völlig. Die Feststellung, dass „Grenzenlose Kommunikation“ an Grenzen nicht halt macht, ist ebenso redundant wie wahr. Deshalb muss dem Phänomen mindestens europäisch, eigentlich aber global begegnet werden. Impulse können aber durchaus auch aus den einzelnen Nationalstaaten kommen.
Auf nationaler Ebene hat das Bundesministerium der Justiz bereits Ende 2010 Forderungen formuliert, wie die Anpassung an die Entwicklungen im Netz rechtlich vollzogen werden kann. Die Ausgangslage ist komplex: Das Bundesdatenschutzgesetz wird den neuen technischen Formen der Datenverarbeitung nicht mehr gerecht, das gilt insbesondere für die Verbreitung personenbezogener Daten im Internet.
Die Veröffentlichung solcher Daten stellt – bei gleichzeitig unklarer Rechtslage – die eingriffintensivste Form der Datenübermittlung dar, da das Bundesdatenschutzgesetz keinen angemessenen Ausgleich zwischen dem Grundrecht auf informationelle Selbstbestimmung aus Artikel 2 Absatz 1, Artikel 1 Absatz 1 Grundgesetz und den Grundrechten auf freie Meinungsäußerung und auf Informationsfreiheit aus Artikel 5 Absatz 1 Satz 1 Grundgesetz bietet.
Dieser Mangel hat zur Folge, dass kein ausreichender Schutz vor der Bildung von Persönlichkeitsprofilen besteht. Das aus der Zweckbindung und dem Erforderlichkeitsprinzip folgende Verbot einer Datenspeicherung auf Vorrat wirkt sich nicht auf die Profilbildung insgesamt aus.
Meine Damen und Herren,
der Umgang mit personenbezogenen Daten im Netz beschränkt sich nicht allein auf Anpassungen. Der Gesetzgeber wird nicht umher kommen, rechtliche Begriffe neu zu definieren. Regelungsbedarf gibt es schon beim Begriff des personenbezogen Datums, beim Begriff der allgemein zugänglichen Daten oder dem Begriff der Veröffentlichung, durch dessen Einführung die Form der Datenverarbeitung einem eigenständigen Regime unterworfen und begrifflich vom „Übermitteln“ getrennt werden könnte.
Die Veröffentlichung von Daten führt fast zwangsweise zu einem neuen Zulässigkeitstatbestand, der die Kommunikationsgrundrechte aus Artikel 5 GG angemessen berücksichtigen müsste. Eine zulässige Veröffentlichung könnte an ein legitimes Informationsinteresse der Allgemeinheit oder n eine Meinungsäußerung anknüpfen.
In einem parallelen Schritt müssten den Personen, die von der Veröffentlichung von Daten betroffen sind, zumindest ein wirksames Widerspruchsrecht gegenüber der verantwortlichen Stelle eingeräumt werden, was in begründeten Fällen die Löschung von Daten zur Folge haben müsste.
Eine besondere Herausforderung für den Schutz von personenbezogenen Daten stellt deren Zusammenführung und Verknüpfung zu Profilen dar. Durch die Bildung von Kunden-, Bewegungs- oder Nutzerprofilen können das Verhalten, die Interessen und Gewohnheiten eines Menschen verfügbar und vorhersehbar gemacht werden, ohne dass sich die Betroffenen dessen bewusst sind oder dieses nachvollziehen können.
Das Spezifikum der Profilbildung ist darin zu sehen, dass durch die Zusammenführung von Einzeldaten – über die Summe der Einzelinformationen hinaus – bisher nicht vorhandene neue und weitergehende Informationen über die Persönlichkeit der betroffenen Person gewonnen werden. Hierin liegt der entscheidende qualitative Unterschied der bloßen Zusammenführung von verschiedenen Daten in einer Datei. Eine Neuregelung des Bundesdatenschutzgesetzes sollte deshalb den Begriff des Persönlichkeitsprofils bestimmen.
Persönlichkeitsprofile sind insbesondere für die Werbewirtschaft interessant, da über das sog. „Online Behavioural Advertising“ zielgerichtete Angebote an die Nutzer gemacht werden können.
Die Ausbreitung von sozialen Netzwerken wie Facbook hat diesem neuen Ansatz der Aussteuerung von Werbeangeboten einen starken Schub versetzt.
Technisch wird dies vor allem durch „Cookies“ ermöglicht, die als Grundlage der interessenbasierten Werbesteuerung sind. Über kleine Dateien, die auf dem Endgerät des Nutzers abgelegt werden, wird das Surfverhalten protokolliert. Fordergründig ermöglichen diese Dateien ein komfortableres Surfen, gleichzeitig ergeben sich jedoch Möglichkeiten des Missbrauchs durch die „Aggregierung“ von Nutzerdaten.
Das Bundesministerium der Justiz hätte hier gern ein Einwillenserfordernis gesehen, das die Spuren im Netz zumindest nachvollziehbarer gemacht hätte.
Soweit die Vorstellungen des Bundesministerium der Justiz an die nationale Gesetzgebung schon aus dem vorletzten Jahr.
Meine Damen und Herren,
wie sie sicher gemerkt haben, spreche im Konjunktiv. Für den Datenschutz ist innerhalb der Bundesregierung das Bundesministerium des Inneren zuständig und mein geschätzter Kollege Friedrich steht einer Neuregelung, die zwischen den Häusern in Grundzügen bereits erarbeitet wurde, eher skeptisch gegenüber.
Deshalb ist das Projekt der nationalen Gesetzgebung zum Datenschutz im Internetzeitalter schwierig. Hinzu kommt, dass der schonende Umgang mit personenbezogenen Daten und der Schutz der Privatsphäre im Spannungsfeld mit den Anliegen der Sicherheitspolitik steht.
Für einige Sicherheitspolitiker ist Privatsphäre schon mal lästiges Hemmnis bei der Bekämpfung von Kriminalität. Nach dem Motto „Wer nichts zu verbergen hat, der hat auch nichts zu befürchten“ (oder noch drastischer „Datenschutz ist Täterschutz“), wird versucht die Privatsphäre dem vermeintlichen öffentlichen Interesse zu opfern. Gefahrenabwehr und Strafverfolgung seien nun mal wichtiger, heißt es.
Das mag in einigen Fällen auch zutreffen. Aber die pauschale Behauptung, ohne konkrete Abwägung im Einzelfall, führt dazu, dass das Recht auf informationelle Selbstbestimmung (das seit dem Volkszählungsurteil immerhin Grundrechtsrang hat) zu einer leeren Hülle verkommt und dass derjenige, der sich darauf beruft, sich sogar schon verdächtig macht.
Auf der anderen Seite finden sich diejenigen, die unter dem Stichwort ,Post-Privacy’ gleich das gesamte Konzept der Privatsphäre als Relikt des analogen Zeitalters abtun. Die Unterscheidung zwischen dem Öffentlichen und dem Privaten sei ein Anachronismus, den diese ‚digital natives’ im Namen der totalen Transparenz des Netzes ablehnen.
Das Spannungsverhältnis zwischen Datenschutz und Privatsphäre einerseits und möglichst ungehindertem Austausch von Daten und Informationen für Zwecke der gesellschaftlichen, politischen und ökonomischen Teilhabe andererseits hat mittlerweile die Europäische Kommission auf den Plan gerufen, die den Bürgern eine effektivere Kontrolle über ihre Daten im Internet ermöglichen will. Die bestehende Datenschutzrichtlinie aus dem Jahr 1995 entspricht den heutigen Datenschutzanforderungen der digitalen Welt nicht mehr.
Zu diesem Zweck ist in der vergangenen Woche ein Maßnahmenpaket vorgestellt worden, das gerade für die Anbieter sozialer Netzwerke gravierende Änderungen mit sich bringen würde.
Durch die gesamte vorgeschlagene EU-Verordnung zieht sich das Credo „Meine Daten gehören mir“ wie ein roter Faden, weshalb die Bürger zukünftig ausdrücklich zustimmen müssen, bevor Daten im Netz weitergegeben werden dürfen.
Eine ähnliche Regelung hat die Bundesregierung im Bereich der Kostenfallen im Internet bereits auf den Weg gebracht. Viele Angebote sehen kostenlos aus und sollen nach Abschluss doch etwas kosten. Zukünftig werden Verbraucher nur dann zur Zahlung verpflichtet sein, wenn ein entsprechender Bestellbutton auf die Zahlungspflicht hinweist.
Diese Buttonlösung scheint auch EU-Kommissarin Reding im Bereich des Datenschutzes vorzuschweben. Diese Regelung wäre dann nicht gegen Kostenfallen sondern gegen Datenfallen im Netz gerichtet.
Aber die Kommission hat nicht nur die ex ante Kontrolle von Daten vor Weitergabe im Blick, sondern auch den ex post Zugriff. Der Nutzer soll jederzeit verlangen können, dass Daten gelöscht oder herausgegeben werden können.
Das wäre insbesondere für die Anbieter sozialer Netzwerke wir Facebook eine Herausforderung und könnte den zuletzt ziemlich eingeschlafenen Wettbewerb zwischen den Netzwerken wiederbeleben.
Um den Nutzern einen verantwortungsvollen Umgang mit Bildern, Postings, Links und Dokumenten in sozialen Netzwerken von Anfang an zu ermöglichen, sollen die Grundeinstellungen datenschutzfreundlich ausgestaltet werden. Die gängige Praxis ist momentan meist umgekehrt: Was einmal ins Netz gestellt wurde, ist unter Umständen schon kopiert, bevor der Nutzer entsprechende Änderungen der Privatsphäre vornimmt.
Die Betreiber sozialer Netzwerke sind aber nicht die einzigen, die von der Kommission Nachhilfeunterricht in Sachen Datenverwertung und Datensparsamkeit bekommen. Alle Unternehmen sollen zukünftig transparente und verständliche Angaben machen, was genau mit den von ihnen gespeicherten Daten geschieht.
In der Vergangenheit konnten Anbieter im Netz strenge Datenschutznormen häufig unterlaufen, in dem sie sich in einem Land mit niedrigem Datenschutzniveau niederließen und sich höheren Standards damit entzogen. Ich begrüße es ausdrücklich, dass die EU-Kommission dieser Praxis künftig entgegenwirken möchte. Von den nun vorgelegten Regelungen werden alle Unternehmen betroffen sein, die sich mit Waren, Gütern oder Dienstleistungen online an europäische Bürger wenden.
Meine Damen und Herren,
ohne auf jedes Detail der Verordnung bereits jetzt eingehen zu können, ist der Ansatz der EU-Kommission, einheitliche Datenschutzstandards für den gesamten europäischen Binnenmarkt festzulegen, durchaus überzeugend.
Der nun vor uns liegende Vorschlag wird eine spannende Debatte in Deutschland und den anderen Mitgliedstaaten darüber auslösen, wie ein moderner Datenschutz in ganz Europa im Zeitalter des Internets und der zunehmenden Globalisierung der Datenverarbeitung aussehen soll.
So hat Prof. Masing mit seinem Artikel in der Süddeutschen Zeitung Anfang Januar bereits viel Beachtung gefunden. Die darin geäußerte grundsätzliche Kritik an einer Vollharmonisierung des Datenschutzes im öffentlichen und privaten Bereich wird eine intensive Diskussion in der deutschen und europäischen Fachwelt in Gang bringen – und sicher auch bei der Kommission Beachtung finden.
Auch wir müssen die von Prof. Masing geäußerte Auffassung sehr ernst nehmen, der in Deutschland im Datenschutz bestehende Standard eines effektiven und umfassenden Grundrechtsschutzes könnte nach einer Vollharmonisierung in Teilbereichen möglicherweise verschlechtert werden. Verordnung heißt unmittelbare Rechtswirkung in den Mitgliedsstaaten. Gegen eine EU-Verordnung kann der Weg zum Bundesverfassungsgericht nicht gegangen werden, anders als bei nationaler Gesetzgebung. Und auch der EuGH ist in seiner jetzigern Struktur keine Rechtsinstanz für den Bürger.
Unser Ziel in den kommenden Verhandlungen über den Regelungsvorschlag der Kommission muss es daher sein, dass am Ende des Prozesses keine Harmonisierung auf niedrigstem gemeinsamem Nenner herauskommt, sondern dass insgesamt ein hohes Datenschutzniveau in der EU erreicht wird.
Ich sehe den Vorschlag aus Brüssel insoweit nicht als eine Bedrohung, sondern vielmehr als echte Chance, ein zeitgemäßes Regelwerk für den Datenschutz, das einen möglichst hohen Standard in ganz Europa sicherstellt, zu etablieren.
Deutschland kann und muss hier in diesem Sinne Einfluss nehmen. Verfassungsrechtlich ist die Bundesregierung sogar verpflichtet, bei der Mitwirkung an EU-Rechtsakten auf eine Verwirklichung der deutschen Grundrechte hinzuwirken. Bei dem Regelungsvorschlag bleibt uns also nach wie vor die Möglichkeit, und eben auch die Pflicht, diese im Sinne der Grundrechte des Grundgesetzes mit zu gestalten.
Meine Damen und Herren,
der Datenschutz gehört zum festen Kanon der Bürgerrechte in Artikel 8 der EU-Grundrechte-Chart. Der Schutz der personenbezogenen Daten ist dort ausdrücklich verankert; und wir erleben in aktuellen politischen Debatten, dass die Sensibilität für den Datenschutz in ganz Europa wächst.
Das ist insbesondere der Fall, wenn Sie sich dem Thema Vorratsdatenspeicherung nähern. Die Debatte entzündet sich immer wieder an der Frage, ob durch den Wegfall der Vorratsdatenspeicherung – durch Urteil des Bundesverfassungsgerichts vom März 2010 – Schutzlücken in der präventiven und repressiven Verbrechensbekämpfung entstünden.
Zu dieser Frage hat das Max Planck Institut für ausländisches und internationales Strafrecht in der vergangenen Woche erhellende Ergebnisse veröffentlicht.
Die Untersuchung der deliktspezifischen Aufklärungsquote für den Zeitraum 1987 bis 2010 zeigt, dass der Wegfall der Vorratsdatenspeicherung nicht als Ursache für statistische Veränderungen der Aufklärungsquote herangezogen werden kann.
Den oftmals vorgetragenen pauschalen Behauptungen, nach denen die anlasslose Speicherung von Verkehrsdaten von essenzieller Bedeutung für die Strafverfolgung sei, stehen somit die Ergebnisse der Untersuchung entgegen.
Die Autoren der Studie stellen fest, dass die Diskussion bestimmt ist durch den Verweis auf Einzelfälle. Diese Argumentation weise den Einzelfall als „typisch“ aus, ohne dass dies aber empirisch belegt oder belegbar wäre.
Auch punktuelle Vergleiche zwischen Deutschland, Österreich und der Schweiz, also Ländern, die gerade seit 2008 jedenfalls zeitweise unterschiedliche rechtliche Grundlagen im Hinblick auf die Vorratsdatenspeicherung aufweisen, führen nicht zu dem Schluss, dass die systematische Sammlung und Speicherung von Verkehrsdaten bzw. deren Fehlen mit sichtbaren Unterschieden in der Sicherheitslage verbunden wären.
Meine Damen und Herren,
die MPI-Studie ist auch im Kontext der momentanen Evaluierung der EU-Richtlinie zur Vorratsdatenspeicherung zu sehen, deren Methodik – nach dem Ergebnis der Studie – untauglich ist, die Behauptung zu belegen, die Vorratsdatenspeicherung von Telekommunikationsdaten habe signifikant zur Sicherheit Europas beigetragen, da die Evaluation der Kommission nicht zwischen den auf Vorrat gespeicherten und anderen Daten unterscheidet.
Viel grundsätzlicher, nämlich im Lichte des Eingriffs in elementare Grundrechte, soll die EU-Richtlinie nun auf Antrag Irlands vom Europäischen Gerichtshof geprüft werden. Seit die EU-Grundrechte-Charta verbindlich gilt, werden alle Rechtsakte der EU auf ihre Grundrechtsverträglichkeit geprüft. Dies ist bei der RL zur Vorratsdatenspeicherung noch nicht der Fall gewesen. Die Vorlage Irlands eröffnet damit die Chance, die Richtlinie unabhängig von ihrer Wirksamkeit bei der Verbrechensbekämpfung auch auf ihre Kompatibilität mit der Grundrechte-Charta zu begutachten.
Ich habe deshalb eine grundrechtsschonende Alternative in die Debatte eingebracht. Mit dem Quick-freeze Verfahren kann der Spagat zwischen berechtigten Sicherheitsinteressen und absolut notwendigem Grundrechtsschutz gewährleistet werden.
Die Herausforderung vor denen wir in Deutschland und Europa stehen, scheinen komplex, aber wie sagte schon Seneca: „Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer.“
Ich danke Ihnen für Ihre Aufmerksamkeit
