Wie könnte ein zeitgemäßer Datenschutz gestaltet sein?

Das derzeitige Datenschutzrecht ist unübersichtlich und durch zahlreiche Einschränkungen geprägt, sodass es den aktuellen technologischen Herausforderungen nicht mehr angemessen begegnen kann. Es hinkt seit Jahren sowohl der gesellschaftlichen als auch der technischen Entwicklung hinterher. Die erste Überarbeitung des Bundesdatenschutzgesetzes im Jahr 2001 stellte lediglich eine oberflächliche Reparatur dar. Leider wurde die Gelegenheit verpasst, wegweisende Maßstäbe für die Zukunft der Informationsgesellschaft zu setzen. Die bestehenden Defizite betreffen dabei verschiedene Bereiche.

Schon der erste Kontakt mit dem Datenschutzrecht gestaltet sich für Leser und Anwender schwierig: Es ist in zahlreiche Einzelgesetze aufgeteilt, ergänzt durch eine Vielzahl von Spezialvorschriften, die nur schwer miteinander vereinbar sind. Das Bundesdatenschutzgesetz selbst ist zudem schwer verständlich und kompliziert anzuwenden, was letztlich seine Akzeptanz erschwert.

In vielen Bereichen der Wirtschaft wird der Datenschutz heute faktisch durch eine vom Verbraucher bei Vertragsabschluss abgegebene Einwilligung umgangen. Diese Einwilligung vermittelt den Eindruck von Freiwilligkeit und Selbstverantwortung, bedeutet jedoch in Wirklichkeit häufig einen Zwang. Wer beispielsweise die Schufa-Klausel unter seinem Vertrag nicht akzeptiert, erhält weder Kredit noch Versicherung, Handy oder Wohnung; und wer unzulässige Fragen im Vorstellungsgespräch nicht beantwortet, muss damit rechnen, dass ein anderer Bewerber bevorzugt wird.

Besonders problematisch ist das stetig wachsende Vollzugsdefizit im Datenschutz. Zwar werden immer mehr Aufgaben an die Aufsichtsbehörden übertragen, doch dies geschieht ohne entsprechende Erhöhung von Ressourcen und Personal. Die komplizierte Struktur der Aufsicht führt zudem zu Verwirrung bei den Betroffenen. Häufig ist unklar, wer eigentlich für den Schutz ihrer Daten zuständig ist: der Bundesdatenschutzbeauftragte, die Landesdatenschutzbeauftragten oder die Datenschutzaufsichtsbehörden, die in etwa der Hälfte der Bundesländer bei den Innenministerien angesiedelt sind?

Auch die Sanktionsmechanismen bei Datenschutzverstößen sind unzureichend: Anzeigen bleiben meist wirkungslos, da Bußgelder nur selten verhängt werden. Die Tatbestände, die als Ordnungswidrigkeiten verfolgt werden können, sind lückenhaft und uneinheitlich erfasst. So wird zwar die unrechtmäßige Speicherung von Daten als Ordnungswidrigkeit mit Bußgeld geahndet, nicht jedoch – zumindest in der Regel – die unzulässige Nutzung gespeicherter Daten, obwohl diese mindestens ebenso stark in das Persönlichkeitsrecht eingreift.

Die gesetzlich vorgesehenen Bußgelder – mit einem Höchstbetrag von 25.000 € bei formalen Verstößen wie unterlassener Benachrichtigung und bis zu 250.000 € bei schweren materiellen Verstößen wie unzulässiger Speicherung oder Weitergabe – wirken auf große Unternehmen kaum abschreckend. Im Vergleich dazu werden bei Verstößen gegen das Kartellrecht Bußgelder von bis zu zehn Prozent des Jahresumsatzes verhängt; das Bundeskartellamt hat bereits Strafen in dreistelliger Millionenhöhe ausgesprochen. Die vergleichsweise geringen Bußgelder bei schwerwiegenden Datenschutzverletzungen senden somit ein bedenkliches Signal mangelnder Wertschätzung des Rechts auf informationelle Selbstbestimmung aus. Dies verleitet finanzstarke Unternehmen geradezu dazu, Datenschutzverstöße als Bagatellen zu betrachten. Zudem kommen Anordnungen und Untersagungen grundsätzlich nur bei technischen Mängeln zum Einsatz. Die Aufsichtsbehörden erweisen sich daher gegenüber der Privatwirtschaft häufig als zahnlose Tiger.

Datenschützer sehen sich immer wieder mit juristischen Streitfragen konfrontiert, etwa ob überhaupt personenbezogene Daten vorliegen und ob sie über Prüf- und Kontrollbefugnisse verfügen. Dies betrifft keineswegs Randbereiche, sondern gerade zentrale Aspekte der Informationsgesellschaft: So wird wiederholt argumentiert, dass Funkchips lediglich Gegenstände verfolgen und keine Personen; Scoring-Verfahren würden keine individuellen Personen bewerten, sondern nur statistische Wahrscheinlichkeiten liefern; und Georeferenzierung erhebe lediglich harmlose geografische Daten. Allen diesen Daten ist jedoch gemein, dass sie auf Menschen bezogen sind und Aussagen über konkrete Personen treffen sollen. Statt sich jedoch mit einer angemessenen Nutzung unter Wahrung der Verbraucherinteressen auseinanderzusetzen, werden Datenschützer häufig aus diesen Diskussionen ausgeschlossen oder zurückgedrängt.

Obwohl Datenschutz eine vergleichsweise junge Rechtsmaterie ist, besteht dringender Bedarf an einer Modernisierung des Datenschutzrechts. Die Reform ist vor allem deshalb erforderlich, weil die geltenden Datenschutzgesetze im Wesentlichen den technischen Stand sowie die Denkweise der 1970er- und 1980er-Jahre widerspiegeln. Seitdem haben sich technische Infrastrukturen und Verfahren grundlegend verändert. Die universelle Vernetzung über das Internet, die fortschreitende Miniaturisierung von IT-Komponenten sowie neue Softwaretechniken haben dazu geführt, dass Informationstechnologie immer weniger dem zentralisierten Großtechnologie-Modell entspricht, das den damaligen Datenschutzregelungen zugrunde lag. Deshalb wird seit Mitte der 1990er-Jahre zunehmend erkannt, dass eine grundlegende Überprüfung und Anpassung der datenschutzrechtlichen Vorschriften an die veränderten technischen Rahmenbedingungen notwendig ist.

Bei der geplanten Reform des Datenschutzrechts muss allerdings kein völlig neues Terrain betreten werden, da bereits wichtige Vorarbeiten vorliegen. Die seit Mitte der 1990er-Jahre geführte Diskussion hat wesentliche Grundzüge eines modernen Datenschutzrechts herausgearbeitet. Nach dem Regierungsantritt der rot-grünen Koalition im Jahr 1998 wurde auf parlamentarischer Ebene ein umfassendes Projekt zur Modernisierung des Datenschutzrechts initiiert. Zwar legten die Professoren Roßnagel, Garstka und Pfitzmann ihr Gutachten zur Modernisierung des Datenschutzrechts im Sommer 2001 vor. Den Autoren wurde im Herbst desselben Jahres jedoch nicht einmal mehr gestattet, das Gutachten persönlich dem Bundesinnenminister zu übergeben – ein Ministerium hatte spätestens nach den Ereignissen des 11. September 2001 einen Rückzieher in Sachen Datenschutz gemacht. Es ist anzunehmen, dass dieses Gutachten mit seinen vielfältigen wissenschaftlichen Erkenntnissen sowie fachlichen und politischen Überlegungen in einer Ministeriumsschublade verschwunden ist und dort bis heute auf eine Wiederentdeckung wartet.