Der Entwurf des ULD zum Datenschutzgesetz: zu kurz gedacht und über’s Ziel hinaus geschossen

Am 7. Dezember die­ses Jahres plant die Bundesregierung einen “Datenschutzgipfel”, um das Bundesdatenschutzgesetz zukunfts­fä­hig zu gestal­ten. Hierzu liegt bis­lang ein Entwurf des Bundesrates vom 18. August 2010 vor.
Genau die­ser Entwurf aber geht dem Unabhängigem Landeszentrum für Datenschutz und Schleswig-Holsteins obers­ten Datenschützer, Thilo Weichert, nicht weit genug. Die in dem Entwurf vor­ge­se­hen Änderungen wür­den das Gesetz zu spe­zi­fisch modi­fi­zie­ren und sei­en zu stark auf aktu­el­le Angebote im Internet bezo­gen. Es bestün­de also die Gefahr, dass es durch die vor­an­schrei­ten­de Entwicklung schnell wie­der über­holt sei.
Moritz Karg vom ULD sekun­diert: “Ziel ist es, über­haupt eine Regulierung zum Datenschutz im Internet zu schaf­fen.”

Deshalb hat das ULD einen eige­nen Vorschlag für die gesetz­li­che (Neu-)Regelung von “Internetveröffentlichungen” im Bundesdatenschutzgesetz vor­ge­legt.
Und tat­säch­lich: es gelingt Weichert mit dem eige­nen Entwurf, die Diskussion von der Fixierung auf die Diskussion um Facebook, Google Streetview und die Verwendung von Geodaten auf eine Art Metaebene zu heben.

„Privacy by default”

Thilo Weichert, ist seit dem 01.09.2004 Datenschutzbeauftragter des Landes Schleswig-Holstein. Nicht zuletzt wegen sei­nes per­sön­li­chen Engagements für mehr Bürgerrechte und gegen einen star­ken Staat wur­de für die Nachfolge Joachim Jacobs als Bundesdatenschutzbeauftragter berück­sich­tigt. Zuletzt fiel er  nach einer mehr als unglück­li­chen Äußerung bei Teilen der „Netzgemeinde” in Ungnade.

Im Kern geht es Weichert und dem ULD um das Prinzip des “Privacy by Default”.
Hier for­dert das ULD eine 180-Grad-Kehre vom der­zei­tig prak­ti­zier­ten “Opt-Out”- hin zum “Opt-In”-Verfahren. Soll hei­ßen: nicht nur, aber beson­ders in sozia­len Netzen sol­len die Nutzer einer Verwendung ihrer Daten expli­zit zustim­men, anstatt ihr geson­dert wider­spre­chen zu müs­sen.

Datenschutzrecht als glo­ba­les Problem

In einem Vortrag mit dem Titel “Privatsphäre in der glo­ba­len Informationsgesellschaft — Ist der Datenschutz noch zu ret­ten?” auf dem DAV-Forum Datenschutz am 27.10.2010 in Berlin (Vortragsfolien) erläu­tert Weichert den Novellierungsbedarf wei­ter. Anlässlich des Vortrags ver­öf­fent­licht das ULD drei zen­tra­le Thesen zum eige­nen Entwurfspapier.
Zu Recht wird hier­in auf den immer noch unge­klär­ten Konflikt zwi­schen Informations-, Presse- und Meinungsfreiheit auf der einen, sowie Daten- und Privatsphärenschutz auf der ande­ren Seite hin­ge­wie­sen.
“Angesichts der glo­ba­len Bedrohung der Persönlichkeitsrechte” kom­me dem Staat eine “Gewährleistungs- und Garantiepflicht” zu, die Betroffenen durch “orga­ni­sa­to­ri­sche und tech­ni­sche Hilfen” zur Selbsthilfe anzu­lei­ten, um sich weh­ren und ver­tei­di­gen zu kön­nen.
Weichert weiß um die Problematik sol­cher Forderungen im glo­ba­len Kontext. Die Antwort auf die Frage, wie das deut­sche Datenschutzgesetz im glo­ba­len Internet durch­zu­set­zen sei, fällt lei­der sehr dünn aus. In sei­ner drit­ten These fabu­liert Weichert von einem “Weltrechtprinzip” und for­dert von Deutschland und der Europäischen Union ein Hinwirken auf eine glo­bal gül­ti­ge “digi­ta­le Menschenrechtscharta” aus der sich in der Folge ein “Datenschutzvölkerrecht” bil­den soll.

Sicherlich: eine gute Idee und viel­leicht sogar ein Bild vom Idealzustand. Utopien las­sen sich aller­dings fast nie kurz­fris­tig rea­li­sie­ren, wes­halb man Weicherts Lösungsvorschlag lei­der nicht als vali­den Ansatz zur Behebung der aku­ten und kon­kre­ten Missstände gel­ten las­sen kann.
Präventiv ver­su­chen ULD und Weichert sich hier mit dem Kommentar, der Entwurf sol­le ledig­lich “zu einem gesell­schaft­li­chen Diskurs zwi­schen Betroffenen, Internetunternehmen und Datenschützern anre­gen” aus der Affäre zu zie­hen. Zu Recht wird dar­auf ver­wie­sen, dass “ein gro­ßer Wurf lei­der unrea­lis­tisch ist”. Schade ist es trotz­dem, dass das ULD zu den sehr kon­kre­ten und teil­wei­se sehr rich­ti­gen Forderungen in Sachen Datenschutz im Internet, kei­ne kon­kre­ten Durchsetzungsmaßnahmen der vor­ge­schla­ge­nen Lösungen lie­fert.

Die Falschen set­zen den fal­schen Hebel an

Darüber hin­aus stel­len sich zwei grund­le­gen­de Fragen:

1. Überschreitet Weichert in einer Welt, in der das deut­sche Datenschutzgesetz einen nahe­zu ein­ma­li­gen Sonderweg dar­stellt, nicht in gro­ßem Maße sei­ne Kompetenz, wenn er aus sei­nem klei­nen Büro im beschau­li­chen Kiel den mul­ti­na­tio­na­len Konzernen und ande­ren Staaten die­ser Welt vor­schreibt, wie Daten- und Privatsphärenschutz im Internet zu hand­ha­ben sei­en?
   Es ent­behrt nicht einer gewis­sen Arroganz und Naivität, Kiel zum Sitz der Weltregierung, Abteilung Datenschutz, machen zu wol­len. Die Mark Zuckerbergs die­ser Welt dürf­ten die­sen Vorstoß ähn­li­che mil­de belä­cheln, wie Bill Clinton damals die deut­schen Grünen, als sie in Bielefeld der Meinung waren, tat­säch­lich über Krieg und Frieden auf dem Balkan abstim­men zu kön­nen. Wenn die Mark Zuckerbergs die­ser Welt über­haupt mit­be­kom­men soll­ten, was Weichert da prä­sen­tiert und for­dert.
   Eine Datenschutz-Konsulatspflicht in Kiel für alle Anbieter im Internet ist jeden­falls voll­kom­men abwe­gig.
2. Setzt das ULD mit dem recht­li­chen nicht viel­leicht den fal­schen Hebel an?
   Genauso wenig wie sich das gesell­schaft­lich-kul­tu­rel­le Problem “Kinderpornografie” durch tech­ni­sche Maßnahmen behe­ben lässt, lässt sich viel­leicht auch der Datenschutz im Internet eben nicht durch neue Gesetze, son­dern eben nur durch ein Auseinandersetzug auf gesell­schaft­lich-kul­tu­rel­ler Ebene ret­ten.

Jeff Jarvis con­tra Thilo Weichert: „default to public”

Prominentester Gegner von Weicherts “Privacy by Default”-Dogma dürf­te Jeff Jarvis sein, der schon auf der re:public 2010 in Berlin for­der­te: “default to public”. Also das genaue Gegenteil von dem, was Weichert jetzt zur Debatte bei­trägt.
Dabei geht es nicht dar­um, dass jeder sei­ne Privatsphäre auf­ge­ben muss oder soll. Das Problem ist ein grund­le­gend ande­res Verständnis des Internets. Die einen sehen es als Medium und ver­su­chen fol­ge­rich­tig, all jene Gesetze und Regeln, die für Zeitungen gel­ten, auf das Internet aus­zu­wei­ten. Die ande­ren sehen das Internet als einen “Ort” und und sehen nicht ein, wes­halb im Internet ande­re Rechte (und Pflichten) gel­ten sol­len als auf dem Marktplatz im Dorf.

Weichert gehört zu ers­ter Kategorie Mensch. Dementsprechend ver­sucht er, mehr und mehr Privatsphäre in der Öffentlichkeit zu imple­men­tie­ren. Das fängt bei Fotos wie Google Streetview (oder der „geschäfts­mä­ßi­gen Datenerhebung und -spei­che­rung im Zusammenhang mit der geo­re­fe­ren­zier­ten groß­räu­mi­gen Erfassung von Geodaten zum Zweck der Bereithaltung foto­gra­fi­scher oder fil­mi­scher Panoramaaufnahmen im Internet zum Abruf für jeder­mann oder zur Übermittlung an jeder­mann” (vom 18.08.2010, BT-Drs. 17/​2765)) an und gip­felt in den im Gesetzesentwurf vor­ge­schla­ge­nen Änderungen an § 29a. Hier wird der Austausch von per­so­nen­be­zo­ge­nen Informationen fast schon zu einem Kapitalverbrechen sti­li­siert. Dies wider­spricht aber grund­le­gend dem Konzept einer offe­nen und digi­ta­len Informationsgesellschaft, in der der “free flow of infor­ma­ti­on”, der freie Fluss von Informationen, von ele­men­ta­rer Bedeutung ist. Auch wenn es um per­so­nen­be­zo­ge­ne Informationen geht. Im Internet muss es genau­so wie auf dem Marktplatz mög­lich sein, über drit­te zu reden, lies: per­so­nen­be­zo­ge­ne Informationen über drit­te zu ver­brei­ten. Dass es hier Grenzen geben muss, ist klar. Es ist in nie­man­des Sinne, Verleumdungen und Co. Tür und Tor zu öff­nen. Gegen sol­che Vergehen kann man jedoch auch schon mit bestehen­der Gesetzgebung vor­ge­hen.
Dieses Problem gewährt zugleich auch Einblick in das Menschenbild, das beim ULD vor­zu­herr­schen scheint: es ist ein nega­ti­ves und von Misstrauen gepräg­tes Bild, das eben­falls einer offe­nen Informationsgesellschaft ent­ge­gen­steht.

Datenschutzrecht vs. Grundrecht auf freie Meinungsäußerung?

Ein wei­te­res kon­zep­tua­les Problem im vom ULD vor­ge­stell­ten Konstrukt: die Änderungen an § 29 (1) des Bundesdatenschutzgesetzes (BDSG):

“(1) Das Veröffentlichen per­so­nen­be­zo­ge­ner Daten in Telemedien ist zuläs­sig, wenn dies dem Zweck dient, eine Meinung frei zu äußern und zu ver­brei­ten und kein Grund zu der Annahme besteht, dass das über­wie­gen­de schutz­wür­di­ge Interesse der Betroffene am Ausschluss der Veröffentlichung über­wiegt.”

Dazu Jan A. Strunk, Fachanwalt für Informationstechnologie- und Arbeitsrecht aus Kiel:

“Es ist nicht Sache von Datenschutzbehörden, die Zulässigkeit von Meinungsäußerungen zu beur­tei­len. Und es ist auch sach­lich nicht nach­zu­voll­zie­hen, wes­halb es einen Unterschied machen soll, ob eine Meinungsäußerung mil­lio­nen­fach gedruckt oder statt­des­sen tau­send­fach online auf­ge­ru­fen wird.
Genau das aber wäre die zwin­gen­de Folge der von Weichert vor­ge­se­he­nen gesetz­li­chen Neuregelung. Damit ver­bun­den wäre eine unge­recht­fer­tig­te recht­li­che Diskriminierung von Meinungsäußerungen im Internet gegen­über ande­ren Medien.
Die vor­ge­schla­ge­ne Regelung zemen­tiert das dem BDSG imma­nen­te Verbotsprinzip. Gerade die­ses jedoch bedarf – als ein­fach­ge­setz­li­che Schranke der grund­ge­setz­lich geschütz­ten Meinungsfreiheit – einer hin­rei­chen­den Rechtfertigung.”

Hier opfern Weichert und das ULD das Grundrecht auf Meinungsfreiheit dem Primat des Datenschutzes.

Das Datenschutzrecht ver­kennt die Realitäten im Internet

Abgesehen davon, dass es grund­sätz­lich frag­lich ist, inwie­fern das Datenschutzrecht, das ursprüng­lich zum Schutz des Bürgers gegen­über der Datensammelwut des Staates aus der Taufe geho­ben wur­de, ver­nünf­ti­ge Anwendbarkeit auf pri­vat­wirt­schaft­li­che Unternehmen fin­den kann, ver­kennt Weichert eine wei­te­re wich­ti­ge Neuerung, die das Internet mit sich brach­te.
Nämlich all das, was ger­ne unter der Floskel “Jeder ist ein Sender” zusam­men­ge­fasst wird. Ein nach Weicherts Wünschen ange­pass­ter § 29 BDSG wird näm­lich beson­ders dann pro­ble­ma­tisch wenn es um die Weiterverabeitung von Informationen, die die betrof­fe­ne Person bewusst unter Missachtung des Dogmas der Datensparsamkeit im Internet ver­öf­fent­licht hat, geht.

Das Ansinnen des ULD und Herrn Weicherts ist dabei sicher­lich ehren­haft. Und, natür­lich, gera­de die Unbedarften müs­sen im Internet bes­ser geschützt wer­den. Aber ist die­ser Schutz durch Aufklärung nicht viel bes­ser zu errei­chen als durch “pri­va­cy by default”-Gesetze?
Jarvis geht in sei­nen Ausführungen so weit zu behaup­ten, dass ein Wandel in Köpfen unmit­tel­bar bevor­steht. Dann wer­de nicht mehr auf den mit Fingern gezeigt, der sei­ne Krankengeschichte im Internet aus­brei­tet oder “pein­li­che” Fotos auf Facebook zur Schau stellt, son­dern auf den, der im Internet prak­tisch nicht exis­tiert.
Jarvis fasst das “German Paradox” in der Formel “Germans are pri­va­te about ever­y­thing — except for their pri­va­te parts”, auf die ihn der Besuch in einer gemischt­ge­schlecht­li­chen Sauna in Deutschland brach­te, zusam­men.

Interessant in die­sem Zusammenhang ist das “Weichert Paradox”. Einerseits for­dert er “pri­va­cy by default”, ande­rer­seits lobt er den neu­en, elek­tro­ni­schen Personalausweis, der nach wie vor schwer in der Kritik steht, und erklärt ihn für sicher. Aber das ist ein ande­res Thema, das hier im Landesblog auch schon bear­bei­tet wur­de.