Internet-Law

Onlinerecht und Bürgerrechte 2.0

22.8.11

Wie geht es weiter mit dem Datenschutz?

Die Aufforderung des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) an Webseitenbetreiber ihre Facebook-Like-Buttons zu entfernen und auch Fanpages auf Facebook zu löschen, hat zu unterschiedlichen Reaktionen geführt. Möglicherweise wendet das ULD das geltende Recht falsch an, wie Stephan Schmidt in einem Gastbeitrag in meinem Blog nachvollziehbar darstellt. Andere sind der Meinung, dass das ULD nur seinen Job macht, während das eigentliche Problem die Politik sei. Die neu gegründete Lobbyorganisation „Digitale Gesellschaft“ schreibt in ihrem Blog dazu:

Dass das ULD nicht direkt an Facebook herantreten kann, ist das Verschulden der Politik: die Durchsetzung von Datenschutzrecht auf internationaler Ebene ist trotz aller Sonntagsreden von Innen- und Verbraucherschutzministern bislang kein bisschen verbessert worden. Das ULD macht nun schlicht seinen Job: es übt indirekt Druck auf Facebook aus, weil das richtige Instrumentarium für andere Wege fehlt. Wer durch Facebooks ignorante Haltung und das Versagen der Politik am Ende doof da steht, ist der einfache Nutzer, der sich um solche Details einfach nicht kümmern müssen sollte.

Eine Ansicht die eher kurz springt. Denn wir haben es mit einer Reihe von Problemen zu tun, für die man Politik und professionelle Datenschützer, insbesondere die Datenschutzbeauftragten des Bundes und der Länder, gleichermaßen verantwortlich machen muss. Dass die einen nur ihren Job machen, während die anderen versagt haben, ist ein zu einfaches Erklärungsmuster, das die Realität nicht abbildet.

Im Ausgangspunkt gilt es zu erkennen, dass wir mit einem Datenschutzrecht agieren, das aus den siebziger und achtziger Jahren stammt, und das, trotz zahlreicher Änderungen und trotz einer Datenschutzrichtlinie der EU, strukturell im 20 Jahrhundert stehen geblieben ist.

Das Bundesdatenschutzgesetz (BDSG) funktionierte in einer Zeit, als es praktisch nur Großrechner und große Rechenzentren gab, ganz ordentlich. Es ist allerdings konzeptionell von der Vorstellung einer zentralen Datenverarbreitung in Rechenzentren geprägt. Mit der dezentralen Struktur des Internets ist es überfordert. Das deutsche und europäische Datenschutzrecht geht letztlich von einem falsch gewordenen Grundansatz aus. Vielleicht entspricht die Art und Weise wie Datenverarbeitung im Netz funktioniert und wie die Prozesse dort ablaufen, auch überhaupt nicht der tradierten Vorstellung von Datenschutz, gleichwohl ist sie längst unumkehrbare Realität.

Man hat in den letzten 10 bis 15 Jahren kaum (sinnvolle) Versuche unternommen, das Datenschutzrecht zeitgemäß zu erneuern. Auch die §§ 13 ff. TMG enthalten bestenfalls fragmentarische Regelungen. Zum Teil gab es sogar Neuregelungen, wie diejenige zur Auftragsdatenverarbeitung, die anachronistische Züge aufweisen und die im Falle ihrer konsequenten Anwendung das Cloud-Computing und selbst das Hosting in Frage stellen müssten.

In einem lesenswerten Beitrag von Adrian Schneider auf Telemedicus wird das Grundproblem sehr treffend auf den Punkt gebracht:
Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein.

Das führt letztlich dazu, dass selbst Datenschutzbeauftragte über das Recht stolpern, dessen Einhaltung sie zu überwachen haben. Hinzu kommt, dass Lösungen, die von Landesdatenschutzbeauftragten als datenschutzkonform gepriesen werden, u.U. sogar zu einem Mehr an Datenerhebung führen, gegenüber dem was man ursprünglich beanstandet hatte. Die professionellen Datenschützer haben sich verlaufen, bei dem Versuch, ein Rechtsregime auf Sachverhalte anzuwenden, die sich deutlich von denen unterscheidet, für die es ursprünglich geschaffen wurde.

Das geltende Datenschutzrecht ist über Jahrzehnte hinweg maßgeblich von den professionellen Datenschützern bestimmt und mitgestaltet worden. Der Bundesdatenschutzbeauftragte, die Landesbeauftragten und die Art. 29-Gruppe der EU machen in diesem Bereich Politik. Sie sind keinesfalls bloße Rechtsanwender. Die Aussage, dass die Datenschützer nur ihren Job machen, während die Politik versagt hat, verkennt die Realitäten. Das geltende Recht ist nämlich gerade auch wegen des Einflusses der Datenschützer so wie es ist.

Die Politiker und die Datenschutzbeauftragten verweigern sich der Einsicht, dass das geltende Datenschutzrecht im Internet weitgehend nicht mehr funktioniert und seine konsequente Anwendung dazu führen würde, dass deutsche Nutzer noch nicht einmal eine Website bei einem Massenhoster unterhalten könnten. Das Netz funktioniert in Europa nur deshalb noch weitgehend reibungslos, weil sich die meisten Akteure in stillschweigendem Einvernehmen entschlossen haben, das geltende Datenschutzrecht zumindest in Teilen zu ignorieren.

Das vielleicht noch größere Problem besteht darin, dass sich das deutsche und europäische Datenschutzrecht faktisch nicht weltweit durchsetzen lässt. Das weltweite Netz wird sich nicht insgesamt den europäischen Datenschutzmaßstäben unterwerfen. Eine solche Annahme ist illusorisch. Das ULD versucht deshalb auch erst gar nicht, Facebook direkt anzugehen, obwohl das deutsche Datenschutzrecht durchaus auch für US-Anbieter Geltung beansprucht, sondern geht stattdessen auf deutsche Webseitenbetreiber los. Das dahinterstehende Konzept den Sack zu schlagen, obwohl man den Esel meint, ist in gewisser Weise symptomatisch.

Wenn die skizzierte Schieflage des Datenschutzrechts und ihrer Anwendung beseitigt werden soll, wird es nötig sein, einige heilige Kühe zu schlachten. Die Alternative besteht darin, wie bisher mit einem praxisuntauglichen Datenschutzrecht weiter zu machen, das zwangsläufig missachtet wird. Lösungen, die auch in der Praxis funktionieren sind ohne Modifikation und teilweise Absenkung des bisherigen Datenschutzniveaus nicht möglich. Das wäre aber im Ergebnis weniger gravierend, als eine dauerhafte Beibehaltung des seit längerem bestehenden Vollzugsdefizits.

Die aktuelle Diskussion findet bislang noch in schwarz-weiß statt. Es stehen sich Hardcore-Datenschützer und Apologeten der Post-Privacy gegenüber. Die Position der einen Seite ist wirklichkeitsfremd und die der anderen Seite gefährlich nah an totalitären Ideen. Es ist deshalb höchste Zeit, etwas Farbe ins Spiel zu bringen. Dies setzt allerdings einen Bewusstseinswandel voraus. Das Datenschutzrecht steht vor einem Paradigmenwechsel, auch wenn das noch nicht alle erkannt haben und viele auch nicht wahr haben wollen.

Update:
Der Kollege Niko Härting erläutert in einem Beitrag für die Zeitschrift Computer & Recht (CR), warum er die Vorgehensweise des ULD gar für verfassungswidrig hält. Härting sieht in der primär Unternehmen treffenden Aufforderung, Fanseiten bei Facebook zu löschen, einen Eingriff in die Berufsfreiheit. Dieser Diskussionsbeitrag verdient in jedem Fall ergänzende Erwähnung.

Und was beim Kollegen Härting auch anklingt, hat der Kollege Strunk ausführlich dargestellt, nämlich, dass die Bußgeldandrohnung des ULD, soweit sie sich auf einen Verstoß gegen das TMG stützt, mangels Zuständigkeit rechtswidrig ist.

posted by Stadler at 10:15