Mittwoch, 18. April 2012

3: Vorträge, Vorlesungen, Aufsätze

Gesetze, Geld und Gadgets

Keynote von Dr. Thilo Weichert, Landesbeauftragter für Datenschutz Schleswig-Holstein,

beim BITKOM Forum Recht

Wer – wie heute die BITKOM – einen Datenschützer einlädt, damit dieser auf einem Rechtsforum zum Thema Social Media eine Keynote spricht, wird erwarten, dass rechtliche Argumente vorgetragen werden, garniert mit technischen Hintergründen. Tatsächlich sind wir Datenschützer in den Bereichen Recht und Technik ausgebildet und sprechfähig. Doch würde ich mein Thema verfehlen, wenn ich mich auf diese Bereiche beschränke. Ein Grund, weshalb wir Datenschützer mit dem Thema „Social Media und Datenschutz“ in der Praxis so große Probleme haben, ist, dass uns oft die nötigen psychologischen, pädagogischen, sozialen, ökonomischen und politischen Kenntnisse weder in die Wiege und schon gar nicht die Befugnisse in unseren Werkzeugkasten gelegt worden sind.

Lassen Sie mich zunächst bei meinem eigenen Leisten beginnen: Internet-Datenverarbeitung, insbesondere die Veröffentlichung und der Austausch von personenbezogenen Daten, wie bei Social Media üblich, stellt grundlegende Prinzipien des Datenschutzes auf den Kopf: Das Zweckbindungsprinzip ist beim weltweiten zweckfreien digitalen Austausch über Social Media nicht mehr durchzusetzen. Die Grundsätze der Datensparsamkeit und der Erforderlichkeit stehen zu der herrschenden Tendenz diametral im Widerspruch, möglichst viele Informationen ins Netz zu stellen, diese umfassend zu verlinken und mit Suchmaschinen zu erschließen. Die Datenschutzforderung nach der „Gnade des Vergessens“, also nach einem „digitalen Radiergummi“ im Netz, ist angesichts des Umstandes des fast unbeschränkten Speicherplatzes und der daraus resultierenden leichten Kopier- und redundanten Speichermöglichkeit scheinbar ein Relikt aus der vordigitalen Vergangenheit. Und das noch gültige Prinzip, die Anwendbarkeit des Datenschutzrechtes territorial an den Ort der Verarbeitung zu knüpfen, wird angesichts der Ubiquität der Verarbeitung ad absurdum geführt.

Ich gehörte zu den ersten, die vor Jahren eine Anpassung des Datenschutzrechtes an diese Technikgegebenheiten forderten und hierfür Vorschläge unterbreiteten. Die nationale Politik griff diese Vorschläge bisher nicht auf, sondern versuchte, das rechtliche Defizit mit einem Roteliniengesetzentwurf und der Forderung nach Selbstregulierung zu beheben. Beide Mittel erwiesen sich als untauglich, zumindest in der bisher verfolgten Form. Von den vollmundigen und im Ansatz positiven Ankündigungen des schwarz-gelben Koalitionsvertrages von 2009 in diesem Bereich ist bisher praktisch noch nichts umgesetzt worden. Insofern besteht ein rechtlich-technisches Defizit, das aber nur begrenzt mit rechtlich-technischen Mitteln behoben werden kann.

Eine äußerst beliebte Reaktion auf dieses Defizit ist, die Anwendbarkeit unserer bestehenden Regelungen völlig zu bestreiten. Dass hinter den Regeln ein grundrechtlicher Anspruch der Menschen steht und ein freiheitsrechtlicher Gewährleistungsauftrag an den Staat, wird dabei gerne ausgeblendet. Wir haben ein Bundesdatenschutzgesetz und ein Telemediengesetz, welche diesen subjektiven Anspruch gesetzlich ausformen und den Gewährleistungsauftrag umsetzen. Wie mit den normativen Defiziten umgegangen werden kann, haben uns die höchsten deutschen Gerichte, allen voran das Bundesverfassungsgericht und der Bundesgerichtshof, vorgemacht, etwa indem sie im Hinblick auf die auch vom Grundgesetz geschützte Meinungsäußerungsfreiheit die Anwendung bestimmter alter Normen im Bundesdatenschutzgesetz begrenzten – so geschehen im rechtsfortbildenden Spick-Mich-Fall.

In Sonntagsreden und politischen Programmen beteuern alle Protagonisten ihre Gesetzestreue. Am 30. März 2012, also vor wenigen Tagen, beschlossen die Regierungsfraktionen im deutschen Bundestag ihren Antrag zu den "Wachstumspotenzialen der digitalen Wirtschaft", in dem es u. a. heißt: "Rechtsverletzungen dürfen auch in der digitalen Welt nicht akzeptiert werden". Diese für mich revolutionäre Aussage ließ mich aufhorchen, weil bis heute Rechtsverletzungen in der digitalen Welt nicht nur hingenommen, sondern bewusst und ohne rechtsstaatliche oder auch nur moralische Scham begangen und gedeckt werden.

Sie können sich denken, was jetzt kommt: Es sind aber sämtlich Fakten und nur ein abschreckendes, symptomatisches Beispiel dafür, wie staatliche Stellen Ungehorsam gegenüber dem Recht tolerieren, ja selbst verantworten.

Ich rede von Facebook in Deutschland. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, also meine Datenschutzbehörde, hat im August 2011 darauf hingewiesen, dass allein die Nutzung von Facebook-Fanpages und Social Plugins wie des Gefällt-mir-Buttons gegen eine Vielzahl eindeutiger gesetzlicher Regelungen verstößt, wobei es sich dabei durchgängig um tagesaktuelle Normen handelt, die noch nicht vom Zahn moderner Technik weggenagt wurden. Dies sind z. B. der § 15 Abs. 3 Telemediengesetz oder Artikel 5 Abs. 3 der europäischen e-Privacy-Direktive. Dass Facebook gegen das Recht der Allgemeinen Geschäftsbedingungen verstößt, ist ebenso unbestritten und wurde jüngst vom Landgericht Berlin bestätigt. Gar nicht zu reden von den vielen Spezialpraktiken, etwa dem ungefragten Abziehen ganzer Adressbücher oder dem Erfassen von Gesichtsbildern mit kriminalistischen Methoden der Gesichtserkennung.

Dies ist nicht die Einschätzung eines übereifrigen Datenschützers fern im hohen Norden Deutschlands, sondern die gemeinsame Bewertung aller deutschen Datenschutzbehörden. Diese Bewertung wird geteilt von den in der Artikel-29-Arbeitsgruppe vertretenen europäischen Datenschutzbehörden.

Ich wiederhole mein Zitat: "Rechtsverletzungen dürfen auch in der digitalen Welt nicht akzeptiert werden." Sie werden aber nicht nur akzeptiert, sie werden von staatlichen Stellen selbst begangen. Seit über 7 Monaten weigern sich sämtliche betroffenen Ministerien Schleswig-Holsteins einschließlich des Ministerpräsidenten, ihre illegale Facebook-Fanpage-Praxis einzustellen bzw. bei nachgeordneten Stellen zu beenden. Es gibt Polizeidienststellen, Schulen mit einem pädagogischen Auftrag und Industrie- und Handelskammern, die mit ihrem schlechten Beispiel des Gesetzesungehorsams vorauseilen.

Dem wird millionenfach gefolgt – von kapitalkräftigen Wirtschaftsunternehmen bis hin zu 10jährigen Kindern, bei denen die Nutzung von Facebook inzwischen zum sozialen Zwang geworden ist. Es gelten also insofern in Schulen und auf Unternehmens-Webseiten in unserem demokratischen Rechtsstaat nicht mehr deutsche Gesetze, sondern die einseitig festgelegten Geschäftsbedingungen von Facebook. Es gelten also nicht mehr die Prinzipien informationeller Selbstbestimmung und rechtsstaatlicher Werte, sondern die Prinzipien maximaler Ausbeutung personenbezogener Daten und des Spaßes am Gadget.

Facebook ist nur die Spitze eines gewaltigen Eisberges. Das ULD ist angetreten, mit rechtsstaatlichen Mitteln zu versuchen, das oberste Ende dieser Eisbergspitze ein wenig abzutragen. Dieser unser Versuch endete vorläufig – in Schleswig-Holstein sind bald Landtagswahlen – bzgl. staatlicher Stellen im Innen- und Rechtsausschuss unseres Landtags ohne Erfolg. Eine parallele Bestrebung verfolgen wir mit drei Musterverfahren gegen Wirtschaftseinrichtungen in Schleswig-Holstein. Die im Dezember 2011 noch eingelegten Klagen gegen das ULD kommen aber nicht voran, weil Klagebegründungen von klagenden Unternehmen hinausgezögert werden.

Datenschutz bei Social Media wäre nicht nur rechtlich nötig, sondern auch technisch möglich. Nicht nur das ULD, viele Stellen in Europa aus Wissenschaft und Wirtschaft entwickeln in Projekten gemeinsam technische Lösungen, um Verbrauchertransparenz und Wahlfreiheit, Datensparsamkeit und Identitätsmanagement, Datenhoheit der Nutzenden und kontrolliertes Outsourcing, also kurz Datenschutz bei Social Media, praktisch umsetzbar zu machen. Fast im Wochenrhythmus werde ich und werden wir mit Ideen und Vorschlägen von innovativen Menschen und Stellen konfrontiert, die technische Datenschutzlösungen für Social Media zum Gegenstand haben.

Datenschutz und Geldverdienen im Internet lassen sich in Einklang bringen. Mir ist wohl bewusst, dass angesichts der Umsonst-Kultur im Netz die Nutzenden mit ihren Daten bezahlen müssen, also vor allem mit Werbeeinblendungen. Wie Sie vielleicht wissen, bietet das ULD seit über 10 Jahren Datenschutz-Gütesiegel an. Damit sind wir als Datenschutzbehörde derzeit weltweit leider noch ein Unikat. Tatsächlich konnten wir drei europäischen Anbietern von Online-Behavioural-Advertising unsere Datenschutzgütesiegel verleihen, also genau den Unternehmen, die aus Nutzungsdaten ihr Werbegeschäft machen und dabei gut verdienen und zugleich andere Unternehmen gut verdienen lassen.

Doch finden diese Bestrebungen ihre Grenzen: Während die europäischen Anbieter sich an europäisches Recht halten müssen, tracken, scoren und profilen Konkurrenzunternehmen, insbesondere mit Sitz in den USA, illegal, ungeniert und ohne Angst vor Sanktionen. Rechtskonformität wird so zum Wettbewerbsnachteil, weil eben Rechtsverletzungen von der herrschenden Politik und von vielen in der Wirtschaft akzeptiert werden. Welche perfide Konsequenzen sich hieraus ergeben, erfuhren wir vor wenigen Tage, als bekannt wurde, dass der Verkauf von StudiVZ an Facebook or einiger Zeit lediglich daran scheiterte, dass StudiVZ verpflichtet war und bleibt, sich an die gesetzlichen Regelungen in Deutschland zu halten.

Angesichts dieser Situation war es geradezu wirtschaftsschädlich und rechtsstaatlich grotesk, dass Innenminister Friedrich im November 2011 nach einem Treffen mit Richard Allan von Facebook erklärte, dass „die Diskussion, inwieweit deutsches Datenschutz- und Telemedienrecht für Facebook gilt, deutlich entschärft“ sei, nachdem Facebook sich bereit erklärt hatte, Initiativen zur Selbstregulierung sozialer Netzwerke zu unterstützen. Mit anderen Worten: Die Rechtsverletzungen von Facebook sind für Herrn Friedrich nicht mehr schlimm, nachdem der Rechtsverletzer ankündigte, sich künftig an Regeln halten zu wollen, die er selbst mit festgelegt hat, wobei der Zeitpunkt, wann diese Festlegung erfolgt, in den Sternen steht. Die Bekämpfung von Rechtsverstößen geht meines Erachtens anders.

Betrachten wir uns die konkreten Aktivitäten zur Ausarbeitung der Verhaltensregeln für Social Media, dann wird mein Zynismus verständlich: Es sind nämlich die US-Anbieter Google+, Facebook und LinkedIn, die bisher selbst Ansätze einer Verständigung auf dem minimalen gesetzlichen Niveau verhindern, einfach weil dies deren bisheriges ökonomisch erfolgreiches Geschäftsmodell in Frage stellen würde. Ich bin kein Gegner von mit der Wirtschaft ausgehandelten Verhaltensregeln – im Gegenteil. Als Vorsitzender der AG Versicherungswirtschaft der Datenschutzaufsichtsbehörden, deren Verhandlungen zu Verhaltensregeln mit dem Gesamtverband der Versicherungswirtschaft gerade kurz vor dem Abschluss stehen, weiß ich, was es bedeutet, wirkliche valide Datenschutzregeln mit Wirtschaftsunternehmen auszuhandeln.

Dass die US-Anbieter keine Lust haben, sich an europäisches Recht zu halten, ist nicht verwunderlich, da dies nicht nur ihr Geschäftsmodell beeinträchtigt, sondern auch bei diesen Global Players europäische Sonderlösungen nötig würden, solange in den USA insofern kein valides Datenschutzrecht besteht. Ich hegte große Hoffnungen in die Initative von US-Präsident Barack Obama mit seiner vor 6 Wochen vorgestellten "Consumer Privacy Bill of Rights". Diese Hoffnung wich bei der Lektüre aber schnell der Ernüchterung, als ich feststellte, dass der von Obama formulierte Regelungsansatz hinter unserem Datenschutzniveau der 70er Jahre des letzten Jahrhunderts zurückbleibt und mit seinem Internationalisierungsanspruch ganz offensichtlich das Ziel verfolgt, den aktuellen europäischen Regelungsbestrebungen politisch etwas entgegen zu setzen, um damit den US-Internet-Unternehmen ihre Dominanz – auch auf dem europäischen Markt – zu sichern. Dessen ungeachtet: Mit der unverbindlichen "Bill of Rights" machte die US-Regierung einen Anfang, den wir gemeinsam in einer transatlantischen Diskussion aufgreifen und weiter verfolgen sollten.

Wie Sie vielleicht gemerkt haben, bewege ich mich als Datenschützer nicht mehr in den Bereichen Recht und Technik, sondern eher in den Bereichen Politik, Kultur und Wirtschaft. Dabei verblüfft mich, dass mit Warren/Brandeis Ende des 19. Jahrhunderts und Alan Westin in den 60ern des 20. Jahrhunderts wichtige Vordenker unserer Datenschutzkultur gerade aus den USA kommen. Und es ärgert mich und macht mich traurig, dass diese und die auf diesen aufbauende Bürgerrechtsbewegung sich rechtlich, politisch, ökonomisch und letztlich kulturell bis heute in den USA nicht durchsetzen konnten.

Dies wird sich voraussichtlich ändern, wenn die europäische harmonisierte Datenschutzregelung vorankommt, die die EU-Kommission im Februar 2012 auf den Weg gebracht hat. Diese hat mit dem Artikel 8 der Grundrechtecharta ein solides verfassungsrechtliches Fundament, das den USA fehlt, die lediglich "reasonable expectations of privacy" der KonsumentInnen schützen wollen. In Europa haben wir inzwischen eine gefestigte Datenschutzrechtskultur, die mit der Datenschutz-Grundverordnung fortgeschrieben werden wird. Zu dieser Kultur gehört und wird verstärkt gehören, dass Rechtsverletzungen nicht toleriert werden, indem klare rechtliche Regeln festgelegt werden, deren Durchsetzung gesichert wird und bei Verstößen empfindliche Sanktionen drohen – auch gegenüber Unternehmen aus den USA oder sonst wo auf der Welt, wenn diese sich auf dem europäischen Markt bewegen. Dazu eine politische Randbemerkung: Einer der vehementesten Kritiker der europäischen Datenschutz-Grundverordnung ist wieder der deutsche Innenminister Friedrich mit dem scheinheiligen Argument, das hohe deutsche Datenschutzniveau dürfe nicht gefährdet werden.

Anders als Herr Friedrich und viele Bundesländer sollte die europäische Internetwirtschaft die Datenschutz-Grundverordnung auch unter dem Aspekt begrüßen, dass mit ihr die bestehende Wettbewerbsverzerrung gegenüber den US-Unternehmen aktiv angegangen und zugleich den europäischen Unternehmen faktisch ein Wettbewerbsvorteil dadurch geschaffen wird, dass diese schon ausgeprägte Erfahrungen mit grundrechtskonformer Technikgestaltung haben.

Lassen Sie mich mit einigen globalen Erwägungen zu Social Media schließen: Die USA und Europa sind vielleicht noch die wichtigsten Internetmärkte weltweit, doch ändert sich dies derzeit sehr schnell. Schwellenländer mit autoritären Regimes drängen auf den Markt, allen voran China und Russland. Diese Staaten kennen kein Grundrecht auf Datenschutz und es gibt dort oft keine Praxis der freien Meinungsäußerung und der Informationsfreiheit. Die demokratischen Staaten mit einem rechtsstaatlichen System sollten sich dessen bewusst sein, dass der globale Kampf für digitale Grundrechte und Freiheiten nicht transatlantisch ausgetragen wird.

Dieser Appell richtet sich nicht nur an staatliche Einrichtungen, sondern auch an die hier ansässigen Unternehmen. Zweifellos können sich IT-Unternehmen mit mir bzw. mit uns Datenschützern über viele Spezialitäten streiten. Wir sollten uns aber darüber einig sein, dass digitale Grundrechte – und hierzu gehören das Recht auf informationelle Selbstbestimmung und das Recht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme – wichtige Säulen unserer freiheitlichen Informationsgesellschaft sind, die nicht wegen möglicher schneller Profite aufgegeben werden dürfen.