IT-Sicherheit – Wie haben sich die Rahmenbedingungen auf dem Pfad zur Informationsgesellschaft verändert?

Im Jahr 1890 veröffentlichten die amerikanischen Juristen Samuel Warren und Louis D. Brandeis den wegweisenden Aufsatz »The Right to Privacy«. Darin leiteten sie aus den grundlegenden Rechtsprinzipien zum Schutz der Persönlichkeit und des Eigentums ein »Right to be left alone« ab, also das Recht jedes Individuums, von anderen unbehelligt zu bleiben. Aus diesem Grundsatz folgt, dass die betroffene Person selbst darüber bestimmen soll, welche Informationen über sie preisgegeben werden. Das »Recht auf informationelle Selbstbestimmung«, das fast ein Jahrhundert später durch das deutsche Bundesverfassungsgericht im Volkszählungsurteil maßgeblich etabliert wurde, hat seine Ursprünge genau in diesem Konzept.

Die in den frühen 1960er-Jahren von der Kennedy-Regierung geplante Schaffung einer nationalen Datenbank mit umfangreichen Informationen über jeden US-Bürger löste eine erste breite öffentliche Debatte über die Folgen des Computereinsatzes für die Privatsphäre aus. Dabei wurden sowohl die Gefahren staatlicher Überwachung als auch die Risiken eines missbräuchlichen Umgangs mit Daten durch private Unternehmen kritisch hinterfragt.

Der US-Kongress schloss jedoch in dem 1974 verabschiedeten »Privacy Act« die Wirtschaft bewusst aus, um nicht in den Wettbewerb einzugreifen. Im Nachhinein zeigten sich die Mängel dieses eingeschränkten Vorgehens: Wenn Unternehmen durch einen besonders aggressiven oder exzessiven Umgang mit personenbezogenen Daten ungestraft wirtschaftliche Vorteile erlangen können, führt der Marktmechanismus nicht zwangsläufig zu besserem Datenschutz. Dies bedeutet jedoch nicht automatisch, dass der Versuch, effektiven Datenschutz über den Markt durchzusetzen, von Anfang an zum Scheitern verurteilt ist. Voraussetzung dafür ist allerdings die Schaffung von Rahmenbedingungen, welche einen verantwortungsvollen Umgang mit personenbezogenen Daten auch wirtschaftlich honorieren. Kritisch war zudem die Entscheidung des US-Senats gegen eine unabhängige Datenschutzaufsicht.

Die Auseinandersetzung mit den Defiziten des US-Ansatzes trug dazu bei, dass Europa auch jene Bereiche berücksichtigte, die in der US-Gesetzgebung ausgeklammert blieben. Bereits die Europaratskonvention von 1981 bezog den nicht öffentlichen Sektor mit ein. Die Europäische Datenschutzrichtlinie von 1995 sowie die Datenschutzgesetze der EU-Mitgliedstaaten machten eine unabhängige Datenschutzkontrolle sowohl für öffentliche Einrichtungen als auch für private Organisationen und Unternehmen verbindlich.

Der Terminus »Datenschutz« wurde erstmals 1972 durch das hessische Datenschutzgesetz – das weltweit erste seiner Art – in das deutsche Rechtssystem eingeführt und 1977 im Bundesdatenschutzgesetz verankert. Der Begriff sowie seine direkten Übersetzungen (»data protection«, »protection des données« etc.) sind oft missverständlich, da häufig eine Verwechslung mit dem Begriff der Datensicherheit erfolgt. Während sich letzterer darauf konzentriert, unbefugte Zugriffe auf Daten sowie deren Manipulation technisch zu verhindern, verfolgt der Datenschutz einen umfassenderen Anspruch: Er soll die Würde, Privatsphäre und Handlungsfreiheit der einzelnen Personen schützen.

Die Regelungen, die noch heute gültig sind, mögen in den 1980er-Jahren angemessen gewesen sein; für die heutige Welt der allgegenwärtigen Datenverarbeitung reichen sie jedoch nicht mehr aus. Zudem musste der Datenschutz seitdem zahlreiche Rückschläge hinnehmen, insbesondere im Zusammenhang mit immer weitergehenden Eingriffen in die Privatsphäre, die unter dem Vorwand der Kriminalitätsbekämpfung gerechtfertigt wurden.