|
Die Entwicklung des Datenschutzrechts in Deutschland und Europa ist wesentlich
beeinflusst durch das Vorbild der USA - ein Vorbild jedoch im positiven
wie im negativen Sinne. Während die ersten theoretischen Überlegungen
zu dieser noch vergleichsweise jungen Rechtsmaterie aus den USA stammen,
nahm die Entwicklung in Deutschland bald eine eigenständige Richtung,
die sich scharf von der US-amerikanischen unterschied. Erst in jüngster
Zeit treten im Zuge der Terrorismusbekämpfung wieder verstärkt gemeinsame
Überlegungen in den Vordergrund, die bereits errungene Fortschritte teilweise
in Frage zu stellen drohen.
Historische Entwicklung in den USA
In der vorindustriellen amerikanischen Gesellschaft war der Schutz der
Privatsphäre allein durch ungeschriebene Verhaltensregeln gewährleistet.
In die fremde Privatsphäre einzudringen galt und gilt als "ungehörig"
und wurde durch Sozialkontrolle unterdrückt. Mit dem Aufkommen moderner
Massenmedien, insbesondere der "Klatschpresse" erwiesen sich diese informellen
Kontrollmittel jedoch als zunehmend wirkungslos, rechtlicher Schutz wurde
erforderlich. Bereits Ende des 19. Jahrhunderts entstand in den USA das
Konzept der "privacy", also eines schutzbedürftigen Raumes individueller
Selbstentfaltung. Ein viel zitierter Urteilsspruch aus dem Jahre 1880
definiert privacy als "right to be let alone".
Die amerikanische Rechtsentwicklung war auch in diesem Bereich derjenigen
in Europa weit voraus. In der Folge entwickelte sich das Konzept der privacy
in den USA jedoch in eine andere Richtung, als dies später in Europa und
insbesondere in Deutschland der Fall sein sollte: In den USA stand und
steht nämlich eindeutig der Abwehr von government intrusion im Vordergrund,
also von staatlichem Handeln und insbesondere der Datensammlung durch
staatliche Stellen. Allerdings wird daraus kein Schutzanspruch vor Datensammlung
abgeleitet, sondern Informationsansprüche der Betroffenen gegen die Behörden,
die ihre Unterlagen in weiten Bereichen offen legen müssen (( auch dies
eine Idee, die langsam auch in Deutschland Fuß fasst. Allerdings beginnt
hierzulande erst die Diskussion um die Informationsfreiheit, also die
Forderung nach einem Anspruch auf Zugang zu Behördeninformationen, ohne
dafür ein konkretes rechtliches Interesse geltend machen zu müssen).
Im Bereich der privatwirtschaftlichen Datensammlung und Datenauswertung
gibt es dagegen in den USA bis heute keine umfassenden gesetzlichen Schutzvorkehrungen,
lediglich Regelungen in Einzelbereichen. So sind etwa die Ausleihdaten
von Videotheken und Nutzungsdaten beim Kabelfernsehen geschützt, nicht
aber Daten über Bankkonten, medizinische Dokumentationen und Personalakten,
Verbindungsdaten von Telefonanschlüssen oder Daten über den Gebrauch von
Kreditkarten. Statt dessen verlässt man sich auf das Prinzip "notice and
choice": Die Unternehmen legen ihre Datenverarbeitungsabsichten offen,
und die Verbraucherinnen und Verbraucher entscheiden sich auch aufgrund
dieser Erklärung, wo sie Waren bestellen oder Konten einrichten. Datenschutz
ist damit ein Wettbewerbsvorteil und wird von den Unternehmen aus eigenem
Interesse verbessert. Das auf diese Weise gewährte Schutzniveau ist recht
hoch.
Datenschutz in Deutschland
Auch in Deutschland wurden die Gefahren, die aus einer unbeschränkten
Sammlung und Auswertung persönlicher Daten zu erwachsen drohten, mit der
fortschreitenden Entwicklung der elektronischen Datenverarbeitung nach
dem Ende des zweiten Weltkrieges zunehmend deutlich - zunächst jedoch
vornehmlich für eine Minderheit, weil die Sammlung und Auswertung der
Daten weitgehend unbemerkt von der Öffentlichkeit vonstatten gingen und
unmittelbare negative Auswirkungen nicht sogleich offensichtlich wurden.
Dennoch zeigten sich in der Rechtsprechung erste Ansätze eines Schutzes
der "privacy", zunächst noch unabhängig von einem technischen Bezug. Bereits
im Jahre 1969 entschied das Bundesverfassungsgericht (zu einem Gesetz,
das eine Statistik der Bevölkerung und des Erwerbslebens anordnete), das
Grundgesetz gewährleiste einen unantastbaren Bereich privater Lebensgestaltung;
hiermit sei eine zwangsweise Registrierung und Katalogisierung des Menschen
in seiner ganzen Persönlichkeit nicht zu vereinbaren (BVerfGE 27, 1, 6).
1970 erließ Hessen das weltweit erste Datenschutz-Gesetz, 1973 folgte
mit dem schwedischen datalagen das erste nationale Datenschutz-Gesetz.
In Deutschland wurde 1977 auf Bundesebene das Bundesdatenschutzgesetz
(BDSG) in seiner ersten Fassung verabschiedet. Die Reaktionen auf dieses
Gesetz waren - vorsichtig formuliert - zurückhaltend; selbst seine Befürworterinnen
und Befürworter hielten es für eine Notlösung, während seine Gegnerinnen
und Gegner eine Regelung für schlicht nicht erforderlich hielten. Ursache
für diese fehlende Begeisterung dürfte hauptsächlich gewesen sein, dass
die Gefahren einer zentralen Datensammlung noch nicht deutlich wurden:
Computer waren langsam und teuer und daher nicht weit verbreitet.
Die Volkszählungs-Entscheidung des Bundesverfassungsgerichts
Dies änderte sich erst über 10 Jahre später, nämlich mit dem Vorhaben
der damaligen Bundesregierung unter Helmut Schmidt, eine umfassende Volkszählung
durchzuführen. Das "Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung
(Volkszählungsgesetz 1983)" sah umfangreiche Auskunftspflichten aller
betroffenen volljährigen Deutschen vor: Diese hatten neben ihren vollen
Personalien auch ihre Religionszugehörigkeit zu offenbaren und mussten
detaillierte Angaben zu ihrer Wohnung und ihrer Arbeitsstätte machen.
Unrichtige oder unvollständige Angaben konnten mit empfindlichen Geldbussen
geahndet werden. Was der Staat mit den so gesammelten Daten anfangen wollte,
ging aus dem Gesetz nicht hervor.
Erstmals war damit eine größere Zahl von Personen gleichzeitig und in
gleicher Art und Weise mit einem Datensammlungs- und Verarbeitungsvorgang
konfrontiert. Der Widerstand gegen dieses Gesetz wurde so zum Kristallisationspunkt
der bislang nur unterschwellig vorhandenen Bedenken gegen staatliche Datensammlung.
Weite Teile der Bevölkerung kündigten offen an, die Angabe persönlicher
Daten verweigern zu wollen. Zahlreiche Bürgerinnen und Bürger erhoben
Verfassungsbeschwerde gegen das Volkszählungsgesetz, die das Bundesverfassungsgericht
im Dezember 1983 für zum Teil begründet erklärte.
Diese Entscheidung darf als Meilenstein auf dem Weg des modernen Datenschutzes
bezeichnet werden. Das Gericht stellte fest, im Mittelpunkt der grundgesetzlichen
Ordnung stünden Wert und Würde der Person, die in freier Selbstbestimmung
als Glied einer freien Gesellschaft wirke. Ihrem Schutz diene nicht zuletzt
das aus Art. 2 Abs.1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)
abgeleitete allgemeine Persönlichkeitsrecht, das im Hinblick auf die moderne
technische Entwicklung und den damit verbundenen neuen Gefahren neue Bedeutung
gewinne. Unter den Bedingungen der automatischen Datenverarbeitung ließen
sich Daten aus verschiedenen Quellen zu Persönlichkeitsbildern zusammenstellen,
ohne dass die Betroffenen deren Richtigkeit oder Verwendung kontrollieren
könnten. Individuelle Selbstbestimmung sei jedoch nur dann möglich, wenn
sich die Betroffenen auch entsprechend ihrer Entscheidungen verhalten
könnten und nicht befürchten müssten, dass ihr Verhalten in allen Details
aufgezeichnet und gespeichert würde. Das Gericht postulierte so ein "Recht
auf informationelle Selbstbestimmung", mit dem eine Gesellschaft unvereinbar
sei, in der die Bürgerinnen und Bürger nicht mehr abschätzen könnten,
wer was wann und bei welcher Gelegenheit über sie wisse; alle Betroffenen
müssten daher grundsätzlich selbst über die Preisgabe und Verwendung ihrer
persönlichen Daten bestimmen können.
Auch nach heutigem Verständnis enthält die Entscheidung des Bundesverfassungsgerichts
einige zentrale Grundforderungen des Datenschutzes: Die Bindung jeglicher
Verarbeitung personenbezogener Daten an einen bestimmten (zuvor definierten
und inhaltlich klar umrissenen) Zweck; eine transparente, d.h. nachvollziehbare
Ausgestaltung des Erfassungs- und Verarbeitungsvorgangs und die Einwilligung
der Betroffenen als - grundsätzlich immer erforderliche - Zulässigkeitsvoraussetzung
jeglicher Datenverarbeitung.
Reform des Bundesdatenschutzgesetzes
Obgleich das Bundesverfassungsgericht recht konkrete Vorgaben für die
weitere Ausgestaltung des Datenschutzrechts gemacht hatte, ging die weitere
Entwicklung des BDSG nur langsam voran. Statt die allgemeinen Vorschriften
im BDSG anzupassen, erließ der Gesetzgeber eine wahre Flut von bereichsspezifischen
Regelungen: In jedes Gesetz, das dem Staat den Umgang mit personenbezogenen
Daten erlaubte, wurde eine Vorschrift eingefügt, die diese Datenverarbeitung
im jeweiligen Kontext regelte. Die Folge war (und ist bis heute) eine
unüberschaubare Menge von Spezialregelungen, die sich inhaltlich nur im
Detail unterscheiden, die es aber dennoch den Betroffenen erschweren,
ihre Rechte zu wahren. Die vom Bundesverfassungsgericht ebenfalls erhobene
Forderung nach Transparenz, also Durchschaubarkeit des Verfahrens, wurde
so ad absurdum geführt.
Erst 1990 wurde das BDSG reformiert. Wesentliches Ziel dabei war es, nicht
allein die missbräuchliche Verarbeitung personenbezogener Daten zu verhindern,
sondern allgemein den Verarbeitungsvorgang nachvollziehbaren Regeln zu
unterwerfen.
Inzwischen hatte auch die Europäische Union den Datenschutz entdeckt,
und zwar insbesondere als Hindernis für den gemeinsamen Markt: Mitgliedstaaten
mit einem hohen Schutzniveau verweigerten Unternehmen den "Export" von
personenbezogenen Daten in EU-Staaten mit niedrigerem Schutzniveau. Um
zu verhindern, dass sich hieraus Hindernisse für den freien Waren- und
Dienstleistungsverkehr ergeben könnten, verabschiedete die Gemeinschaft
1995 die Datenschutz-Richtlinie1. Sie sollte den Datenschutz auf ein einheitliches
Niveau bringen und - als dessen Folge - die freie Übertragbarkeit der
Daten gewährleisten. Die Mitgliedstaaten, darunter auch Deutschland, hatten
ihre nationalen Rechtsvorschriften an die Vorgaben der Richtlinie anzupassen;
eine erneute Überarbeitung des BDSG wurde notwendig.
Mit der üblichen Verspätung erfolgte diese Anpassung im Jahre 2001 durch
die Neufassung des BDSG. Eine umfassende Modernisierung des Datenschutzrechts
stellte diese Neufassung nicht dar; vielmehr war es erklärtes Ziel der
Neuregelung, lediglich die dringend erforderlichen Anpassungen vorzunehmen
und die Modernisierung des Datenschutzrechts "möglichst bald" durch eine
völlige Neufassung abzuschließen. Auf diese Neufassung warten wir noch
heute.
Wie geht es weiter?
Die Diskussion über eine grundlegende Reform des Datenschutzes kam durch
die Neufassung des BDSG 2001 nicht zum Erliegen. Als Kernprobleme des
bestehenden Datenschutzrechts in Gestalt des BDSG, das mitunter als "Dinosaurier"
verspottet wird, können schlagwortartig die folgenden drei Punkte genannt
werden:
Das tradierte Regelungsmodell eines - subsidiären - Datenschutzgesetzes,
das durch eine Unzahl von Spezialregelungen mit überwiegend identischem
Inhalt verdrängt wird, steht der vom Verfassungsgericht geforderten Transparenz
entgegen. Es erscheint daher sinnvoll, bereichsspezifische Regelungen
so weit als möglich zu streichen und die grundlegenden Fragen konzentriert
im BDSG zu regeln.
Während Datenschutz ursprünglich auf die Kontrolle staatlicher Sammel-
und Verarbeitungstätigkeit konzentriert war, erfolgt unter den heutigen
Bedingungen der überwiegende Teil der elektronischen Datenverarbeitung
durch Private. Dennoch ist das Datenschutzrecht mit seiner Regelungs-
und Kontrollstruktur immer noch auf die Kontrolle staatlichen Handelns
zugeschnitten. Schwer verständliche Regelungen, verbunden mit lückenhafter
Kontrolle, fördern jedoch die Einhaltung der Datenschutzvorschriften nicht.
Eine Reform des Datenschutzes muss bei den Privaten selbst ansetzen und
Datenschutz attraktiver machen. Hier blickt man über den Atlantik und
versucht, US-amerikanische Konzepte wie "Datenschutz durch Marktwirtschaft"
auch hierzulande umzusetzen. Unternehmen sollen es im freien Wettbewerb
als vorteilhaft empfinden, Datenschutz zu gewährleisten, dadurch steigt
das allgemeine Schutzniveau. So attraktiv diese Idee auch erscheint, müssen
dabei jedoch die wesentlichen Unterschiede zwischen der amerikanischen
und der deutschen Ausgangslage beachtet werden. In Europa und insbesondere
in Deutschland hat Datenschutz einen höheren Stellenwert als in den USA
und steht den Bürgerinnen und Bürgern als einklagbares Grundrecht zu.
Ein rein auf freiwilliger Basis organisierter Datenschutz ist damit nicht
vereinbar.
Zuletzt müssen die Betroffenen mehr als bislang in die Lage versetzt werden,
selbst ihre Privatsphäre zu definieren und zu schützen. Hier wird verstärkt
auf technische Hilfsmittel wie Verschlüsselung von Emails und Sicherheitstechniken
im Internet-PC gesetzt, die verhindern sollen, dass alle Daten für jedermann
offensichtlich werden. Diese rein privaten Initiativen müssen ebenso gefördert
werden wie eine umfassende Sicherheits-Infrastruktur auf breiter Basis,
die die anonyme Inanspruchnahme von Dienstleistungen über das Internet
ermöglicht. Dies wiederum ist den Strafverfolgungsbehörden ein Dorn im
Auge.
Stiefkind Datenschutz
Die weitere Entwicklung des Datenschutzrechts wird nicht zuletzt von
der Bedeutung abhängen, die der Privatsphäre und ihrem Schutz allgemein
beigemessen wird. Hier lassen sich in letzter Zeit zwei neue Entwicklungstendenzen
feststellen:
Zum einen scheinen immer mehr Menschen nicht auf mehr Privatsphäre Wert
zu legen, sondern im Gegenteil auf deren völliges Fehlen. Sie lassen sich
in Wohncontainer einsperren und rund um die Uhr auch bei intimsten Verrichtungen
von Kameras filmen (wobei hier nicht der Frage nachgegangen werden soll,
wer bedauernswerter ist: Diejenigen Menschen, die sich derart filmen lassen,
oder diejenigen, die ihnen dabei zuschauen). "Big Brother", einst Schreckensbild
eines allmächtigen Überwachungsstaates, ist zum Sinnbild einer neuartigen
Unterhaltungsform geworden, in der sich Faszination und Ekel die Waage
halten. Die Schwelle dessen, was das Bundesverfassungsgericht einst den
"unantastbaren Bereich privater Lebensgestaltung" bezeichnete, sinkt beständig.
Eine Gesellschaft, in der diese Einstellung verbreitet ist, hat keinen
Bedarf nach Datenschutz.
Zum anderen hat sich auch die Einstellung der Bürgerinnen und Bürger gegenüber
dem Staat und damit gegenüber der von ihm betriebenen Datensammlung und
Datenauswertung gewandelt. Erschien den Kämpferinnen und Kämpfern gegen
das "Volkszählungsgesetz" der Staat in seiner scheinbar grenzenlosen Neugier
noch als Gegner, erhofft man sich heute vom Staat verstärkt Schutz gegen
Bedrohungen, die von gewaltbereiten Dritten ausgehen, etwa muslimischen
Extremisten. Einschränkungen der persönlichen Freiheit erscheinen hinnehmbar,
wenn damit eine Verbesserung der individuellen Sicherheit verbunden ist.
Seit der internationalen Zunahme des Terrorismus macht man sich geradezu
verdächtig, wenn man von Datenschutz spricht - hat man denn etwas zu verbergen?
"Datenschutz leuchtet den Bürgern nicht mehr so wie früher als ein unverzichtbares
Grundrecht ein. Heute würden sie nicht mehr für ein Grundrecht auf Privatheit
oder auf Datenschutz auf die Strasse gehen", resümiert Winfried Hassemer,
der Vizepräsident des Bundesverfassungsgerichts, in einem Interview in
der F.A.Z. vom 22. April.
Ziel eines modernen Datenschutzrechts muss es jetzt sein, einen Ausgleich
zu finden zwischen dem legitimen Informationsbedürfnis des Staates, der
zur Wahrnehmung seiner Aufgaben auf eine zuverlässige Datengrundlage angewiesen
ist, und den Freiheitsinteresse der Bürgerinnen und Bürger, denen daran
gelegen sein sollte, sich nicht zu tief in die Karten schauen zu lassen.
Henning Kahlert ist Doktorand in Karlsruhe.
1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.
Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr.
|
|