Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2

Der Weg in die Informationsgesellschaft

2.1

Das Bedürfnis nach Sicherheit - ein Fass ohne Boden?

Alte Reflexe

Eigentlich haben wir schon gedacht, die alten Stereotypen hätten endlich ausgedient. Doch plötzlich, nach dem 11. September, waren sie wieder da. Der Ausgangspunkt war wie häufig in den letzten Jahren: Schlimme Terroranschläge wurden verübt - Anlass hätte auch ein anderes spektakuläres Verbrechen sein können, der Mord an einem Kind etwa -, die Polizei konnte nicht sofort einen Ermittlungserfolg vorweisen, die Medien heizten die Stimmung an und die Politik stand unter Handlungsdruck. In solchen Situationen scheint manchmal nichts besser zu helfen als einen Sündenbock zu suchen. Die Trümmer in New York rauchten noch, da war für manche Politiker bereits klar, dass jetzt zuallererst beim Datenschutz ordentlich aufgeräumt werden müsse. So dachte offenbar auch der Bundesinnenminister, als er unmittelbar nach den Terroranschlägen erklärte, jetzt müsse der Datenschutz "etwas tiefer gehängt" werden. Jeder weiß, dass Anschläge wie die vom 11. September auch bei Null Datenschutz nicht zu verhindern sind (in den USA, in denen die Anschläge verübt und wochenlang vorbereitet wurden, gibt es übrigens im Bereich der Sicherheitsbehörden ohnehin praktisch keinen Datenschutz).

Wer die Entwicklung der Gesetzgebung in Deutschland in den letzten 20 Jahren mit offenen Augen verfolgt hat, der konnte sehen, dass durch viele "Antiterrorgesetze" der Datenschutz gegenüber den Sicherheitsbehörden Stück für Stück eingeebnet wurde. Nirgendwo sonst ist der Zweckbindungsgrundsatz so massiv durchbrochen wie im Bereich der Strafverfolgung. Wer allerdings nach wie vor den Datenschutz als einen Schuldigen darstellt, geht der Frage aus dem Weg, warum nicht die vielen Gesetzesverschärfungen der letzten Jahre das Maß an Sicherheit gebracht haben, das die Politiker den Bürgern jedes Mal versprochen haben. Der muss auch nicht darlegen, ob die vielen neu geschaffenen Ermittlungsinstrumente, mit denen die Polizei- und Strafverfolgungsgesetze gespickt wurden, tatsächlich geeignet, geschweige denn erforderlich sind. Wer immer nur suggeriert, Polizei und Geheimdiensten seien durch "zu viel Datenschutz" die Hände gebunden, der lenkt die Aufmerksamkeit des Publikums geschickt von der Frage ab, was die technisch und rechtlich hochgerüsteten Sicherheitsbehörden mit den zusätzlichen Eingriffsbefugnissen der letzten Jahre Positives bewirkt haben.

Wer verteidigt die Grundrechte?

Wo waren in dieser Situation die in einer Demokratie notwendigen Gegenkräfte? Wer trat für die Sache der Grundrechte und der unveräußerlichen Verfassungswerte auch in einer aufgeregten Zeit ein? Von Augenmaß war nach dem 11. September in Deutschland zunächst wenig zu spüren. Stattdessen entwickelte sich geradezu ein Wettlauf um die besten Ideen für die Einschränkung von Grundrechten. Hinter all dem wird ein Wertewandel sichtbar, dessen Auswirkungen kaum einzuschätzen sind. Generationen von Juristen und Politikern waren nach den Erfahrungen mit der Hitlerdiktatur, aufgefrischt durch das DDR-Regime, der Überzeugung, es sei in einer Demokratie wichtig, der Staatsmacht Grenzen aufzuerlegen. Grundrechte, die Strafprozessordnung als ihr "Kleingedrucktes" und deren Fortsetzung unter den Bedingungen der Informationsgesellschaft, das Datenschutzrecht, wurden als bewusste und gewollte Hindernisse für staatliches, vor allem polizeiliches Handeln begriffen. Der Staat, so der eiserne Konsens der Nachkriegsgeneration, sollte auch um den Preis von Effizienzeinbußen in rechtliche Schranken verwiesen werden.

Was ist davon noch übrig? Allem Anschein nach nicht mehr allzu viel. "Hinderliches" für die Sicherheitsbehörden ist neuerdings aus der Mode gekommen. Unter den meisten Parteien hat geradezu ein Wettbewerb um die konsequenteste Beseitigung von "Behinderungen" der Strafverfolgung oder anderer Bedarfsträger" begonnen. Alle berufen sich auf die öffentliche Meinung, aber wer versucht eigentlich, die Öffentlichkeit objektiv zu informieren über Ursachen und Wirkungen, über Effektivität und über Spätfolgen? Bekenntnisse zum Rechtsstaat auch in stürmischer Zeit waren - auch in Schleswig-Holstein - nur selten zu hören. Wenn niemand mehr entschlossen für die Grundrechte eintritt, ihr Wert in der öffentlichen Meinung kontinuierlich herabgewürdigt wird, dann schlägt die Stunde derer, die noch einfachere Parolen verbreiten, die die Sache der "behinderungsfreien", auf Effizienz getrimmten Strafverfolgung noch kompromissloser verfolgen und auf rechtsstaatliche Schnörkel konsequent verzichten wollen. Der Wettlauf um die vollmundigsten Sicherheitsversprechungen nutzt vor allem jenen, die gegen "Behinderungen" der Strafverfolgung noch skrupelloser polemisieren, als es die etablierten Parteien je wagen würden. Der Wahlerfolg von Law-and-Order-Parteien beruht nicht zuletzt darauf, dass die klarer aussprechen, was sich längst in die Denkweise und Rhetorik auch der anderen Parteien eingeschlichen hat: Rechtsstaat, Grundrechte und Datenschutz gelten als antiquiert. Den Bürgern wird der Eindruck vermittelt, als seien sie letztlich die Ursache für die Kriminalität. Man müsse sie nur gehörig zurückschneiden, dann werde auch die Kriminalität spürbar abnehmen. Darin liegt vielleicht die langfristig problematischste Folge der Debatte nach dem 11. September in Deutschland. Die Grundrechte haben an Unterstützung verloren, Sicherheit ist Trumpf. In einer derartigen Grundstimmung muss ständig mit neuen "Aufräumarbeiten" unter den Rechtsstaatsprinzipien gerechnet werden.

Was ist denn schon passiert?

Nun mag man einwenden, die bisherige Antiterror-Gesetzgebung nach dem 11. September habe den Rechtsstaat nicht in den Grundfesten erschüttert. In der Tat: Gegenüber dem ursprünglichen Gesetzentwurf und verglichen mit den weitergehenden Vorstellungen einiger Länder im Bundesrat sind dem "Schily-Paket" manche Giftzähne gezogen worden. Die Datenschutzbeauftragten haben mit dazu beigetragen, dass einige der neuen Befugnisse zeitlich begrenzt wurden und dass vor einer etwaigen Verlängerung eine Evaluation stattfinden muss. Trotzdem nagen die neuen Gesetze beharrlich an den Freiheitsrechten. Das Bundeskriminalamt ist wieder einen Schritt weiter auf dem langen Weg, die eigenen Zentralkompetenzen kontinuierlich zulasten der Länderpolizeien zu erweitern. Die Geheimdienste werden immer ungenierter zu Reserve-Strafverfolgungsbehörden umfunktioniert. Ihr Zugriff auf Banken-, Telekommunikations-, Verkehrs- und andere Daten wurde zwar einstweilen in ein unbequemes Verfahrenskorsett gezwängt. Aber es ist nicht auszuschließen, dass die jeweils dem Präsidenten vorbehaltene Anordnung entsprechender Informationsbeschaffungen schon bald als zu umständlich ("Behinderung durch Datenschutz", s. o.) infrage gestellt wird. Jetzt haben die Geheimdienste erst einmal den Fuß in der Tür von Banken, Luftfahrtunternehmen und Telekommunikationsanbietern. Am deutlichsten wirken sich die rechtlichen Veränderungen im Ausländerbereich aus. Vom Datenschutz für Ausländer bleibt kaum mehr etwas übrig. Es wird eine regelrechte datenschutzrechtliche Zwei-Klassen-Gesellschaft zementiert. Die Ausländer werden pauschal als kriminalitätsgeneigte Bevölkerungsgruppe angesehen, deren Datenschutzrechte man nach Belieben einschränken kann.

Was kommt als Nächstes?

Obwohl die hoch technisierte Risikogesellschaft mit ihren ökologisch riskanten Großanlagen und den auf unsicherem Boden aufgebauten informationstechnischen Strukturen aus Gründen angreifbar ist, die mit "zu viel" Datenschutz nicht das Geringste zu tun haben und die auch mit noch so perfekten Antiterrorgesetzen nicht aus der Welt zu schaffen sind, wird sich die Spirale wohl weiter drehen. Der nächste Terroranschlag, das nächste die Emotionen aufwühlende Verbrechen kommt bestimmt, und dann kann die Suche nach "Hinderlichem" für mehr Sicherheit nach bekanntem Muster weitergehen. Man muss kein Prophet sein, um vorherzusagen, wie das Ganze ablaufen wird: Vermutlich werden als Erstes diejenigen Vorschläge wieder aus der Schublade gezogen, die diesmal nicht durchzusetzen waren; so wie auch Schilys Paket in weiten Teilen abgelehnte Vorschläge aus den letzten Jahren aufwärmte, die mit der Aufklärung von Terroranschlägen wenig zu tun hatten. Aber die Gelegenheit war eben günstig dafür. Die Erfahrungen der letzten Jahre zeigen, dass die Ablehnung einer Gesetzesverschärfung keineswegs den Verzicht auf die dahinter stehenden Absichten bedeuten muss, sondern dass die Entwürfe immer wieder neu eingebracht werden, bis die Situation günstig für ihre Verabschiedung ist.

Diesmal noch abgelehnt, aber ganz oben auf der Wunschliste steht seit Jahren eine Vorfeldermittlungsbefugnis für die Polizei, schon vor dem Vorliegen des Anfangsverdachts einer Straftat. Zumeist wird dies als Befugnis zu "Initiativermittlungen" bezeichnet, die es ermöglichen soll, "Kriminalitätsstrukturen" auch ohne Straftatverdacht auszuleuchten. Dann dürfte sicher der Wunsch nach Beseitigung oder Abschwächung der diesmal als Verfahrenshindernis vor allem für die Geheimdienste eingebauten rechtsstaatlichen Prozeduren eine Rolle spielen. Es darf nicht überraschen, wenn bald schon darüber gestöhnt wird, Richtervorbehalte und andere grundrechtssichernde Verfahrensvorschriften seien zu umständlich und müssten verschlankt werden. Schließlich ist damit zu rechnen, dass erneut versucht werden wird, die Internet-Nutzer zu observieren. Die unheimliche Welt des Internets scheint vielen Sicherheitspolitikern ein Dorn im Auge. Der Surfer, das unsichtbare, kaum kontrollierbare Wesen, das in den Augen Einiger stets nur an die Begehung von Straftaten denkt, bedarf dringend der ordnungsbehördlichen Obhut. Die Protokollierung aller Internet-Aktivitäten steht deshalb auf der Wunschliste von Sicherheitspolitikern ganz vorne. Mal ist es die Innenministerkonferenz, mal sind es wie bei der Beratung des Antiterror-Gesetzespaketes im Bundesrat einzelne Bundesländer, mal kommen die Vorstöße aus der Richtung der EU: Immer geht es darum, aufzuzeichnen, wer was wann im Internet getan hat, wofür er sich interessiert hat, was ihm dabei spontan eingefallen ist (man analysiere nur den Klick-Stream), wie er sich ganz allgemein im Netz benommen hat. Was in der realen Welt bislang nicht vorstellbar ist, nämlich das Verhalten der Menschen lückenlos aufzuzeichnen, wird für das Internet ohne Zögern gefordert. Dabei schreibt das geltende Teledienstedatenschutzrecht die Protokollierung von Internet-Aktivitäten nicht vor, sondern verbietet sie sogar ausdrücklich (sic!).

Anstatt zu überlegen, wie die Nutzer endlich gegen das gesetzwidrige Speichern ihres Surfverhaltens durch Provider, Werbeindustrie und windige Datenhaie wirksam geschützt werden können, denkt die Politik offenbar vornehmlich in die andere Richtung. Fast könnte man den Eindruck haben, als warteten einige nur auf eine günstige Gelegenheit, um die Totalkontrolle der Internet-Nutzer durchzusetzen. Zwar ist der Traum von ultimativem Recht und Ordnung angesichts der Eigengesetzlichkeiten des offenen, weltumspannenden Internets eben nur ein Traum. Gleichwohl wird dem Publikum suggeriert, man könne durchaus auch im Internet Ordnung und Sicherheit schaffen, wenn nur der Datenschutz ... na ja, Sie wissen schon.

Was ist zu tun?

Die Politik sollte den Bürgern keine uneinlösbaren Sicherheitsversprechungen geben. Stattdessen führt kein Weg an der Erkenntnis vorbei, dass sich leider Kriminalität weder im demokratischen Rechtsstaat noch in einem Polizei- und Geheimdienststaat gänzlich verhindern lässt. Gefragt sind Politiker, die den Mut haben, sich auch in schwierigen Zeiten zum Rechtsstaat und seinen Prinzipien zu bekennen, statt in ziellosem Aktionismus ständig neue Eingriffsgesetze zu beschließen. Notwendig sind Vorschläge zu einer effizienteren Ermittlungsarbeit, die nicht ständig zulasten der Bürgerrechte gehen.

2.2

Datenschutz, der Spaß macht

Sinn und Unsinn von Behinderung

Datenschutz als Schranke für ungezügelte Staats- und insbesondere sicherheitsbehördliche Macht, das macht also auch künftig Sinn. Auf einen Datenschutz, der in keiner Weise im Wege steht, weil er alles erlaubt, könnten wir nämlich von vornherein verzichten. Aber Beschränkung der Staatsmacht ist eine Sache, Erschwerung des Alltagslebens der Menschen eine ganz andere. Nicht wenige empfinden den Datenschutz in ihrem Berufsleben oder auch bei der privaten Nutzung von Computern manchmal als lästig und umständlich. Das fängt bei Passwörtern an, die man nach bestimmten Regeln bilden, sich merken und regelmäßig wieder ändern muss, und hört keineswegs bei Bildschirmschonern auf, die sich aktivieren, wenn man den Arbeitsplatz für kurze Zeit verlässt. Man könnte und möchte ja so vieles mit dem Computer machen, darf es aber angeblich oder wirklich nicht - aus Datenschutzgründen. Dies wird nur dann akzeptiert, wenn der daraus folgende Nutzen unmittelbar einsichtig ist. Bei manchen Datenschutzbestimmungen ist dies nur schwer zu vermitteln. Dort, wo es möglich wäre, muss in Zukunft stärker der Versuch dazu gemacht werden. Der Datenschutz als etwas Positives, ja als etwas was man gerne tut, weil man von seiner Sinnhaftigkeit überzeugt ist, muss in der öffentlichen Darstellung viel präsenter werden. Man muss häufiger davon lesen, dass durch einen funktionierenden Datenschutz eine schädigende Nutzung personenbezogener Daten verhindert worden ist. Es dürfen nicht nur die Datenpannen, die Verletzungen des Datenschutzes, die Auswirkungen von Datenschutzvorschriften, die Sinnvolles blockieren oder verkomplizieren, bekannt werden, sondern auch die segensreiche, Schaden verhindernde Wirkung des Datenschutzes, die sich wegen ihrer präventiven Natur bislang zumeist im Verborgenen abspielt.

Kein Blumentopf zu gewinnen mit Datenschutz?

Den meisten Menschen fehlt wahrscheinlich eine Vorstellung davon, wie der Datenschutz tatsächlich für ihr eigenes Leben etwas Positives bewirkt. Dieses Defizit setzt sich fort bei der Wahrnehmung der Tätigkeit der Datenschutzkontrollbehörden. Die Botschaft in ihren Berichten und Verlautbarungen ist immer die Gleiche: Sie haben offenbar nur zu kritisieren und zu beanstanden. Behörden und Firmen halten sich anscheinend durchgängig nicht an die Datenschutzregeln. Positive Resultate von Prüfungen haben nur wenig Platz in den Tätigkeitsberichten oder sie finden in der öffentlichen Wahrnehmung keine Beachtung. So hat sich die Vorstellung herausgebildet, wonach man beim Thema Datenschutz nur verlieren, nicht gewinnen kann. "Nur nicht unangenehm auffallen" ist deshalb die Devise in vielen Behörden und Firmen, denn datenschutzrechtliche Kritik könnte schädlich fürs Image sein. Aber wer möchte stattdessen angenehm auffallen? Was hätte man davon für einen Vorteil? Das deutsche Datenschutzsystem ist auf Positives gar nicht eingestellt, sondern war vom ersten Tag an auf Kritik gebürstet.

Audit und Gütesiegel als Möglichkeiten, positive Datenschutzleistungen sichtbarer zu machen, erobern sich erst ganz langsam einen Platz in diesem Gefüge. Die ersten Erfahrungen mit Datenschutzaudits in Schleswig-Holstein zeigen, dass es für Viele eine ungewohnte Erfahrung ist, wenn man mit einem guten Datenschutzangebot auch etwas gewinnen kann, zum Beispiel ein positives Image. Wenn der Eindruck nicht täuscht, dann sind es vornehmlich leistungsstarke Verwaltungsmanager, die auch im Übrigen ein gutes Standing in der Verwaltungslandschaft haben, die mit der Durchführung eines Auditverfahrens beim Thema Datenschutz "klar Schiff" machen wollen. Wer sich als Dienstleister gegenüber den Bürgerinnen und Bürgern begreift, der will auch beim Datenschutz einen guten Service bieten. Das Audit bietet die Chance, in Sachen Datenschutz Gutes zu tun und darüber auch ausgiebig zu reden.

Ähnlich ist die Situation bezüglich des Gütesiegels für IT-Produkte. Welchen Anreiz zu mehr Datenschutz und Datensicherheit bietet das traditionelle Datenschutzsystem für Entwickler und Hersteller von IT-Produkten? Da das Schwergewicht bislang auf der Schaffung von Rechtsvorschriften und bei Kontrollen ihrer konkreten Anwendung lag, war die Ebene der Produktgestaltung weitgehend ausgeblendet. Prinzipien, wie Datenvermeidung und Datensparsamkeit, Datenschutz durch Technikgestaltung und Unterstützung der Bürger beim Datenselbstschutz, lassen sich aber ohne eine spezifische Ausgestaltung der Informationstechnik nur schwer verwirklichen. Niemand kann erwarten, dass jeder Kunde einzeln ausprobiert, welches IT-Produkt ihn beim Schutz seiner Privatsphäre am besten unterstützt. Notwendig sind stattdessen allgemeine Standards und Instrumente, die dem Nutzer und Konsumenten schnell und "auf den ersten Blick" signalisieren, welche Sorte von IT-Produkt er vor sich hat. IT-Gütesiegel können einen Beitrag dazu leisten, den IT-Markt für die Kunden transparenter zu gestalten. Fast alle könnten damit gewinnen: Die Verbraucher, weil sie die Chance bekommen, beim Kauf von IT-Produkten ihre Interessen besser zur Geltung zu bringen, und die Hersteller, die datenschutzgerechte Produkte anbieten, weil sich ihre Absatzmöglichkeiten verbessern. Einen Nachteil haben allenfalls diejenigen Anbieter, deren Produkte die Voraussetzungen für ein Gütesiegel nicht erfüllen, weil sie den Schutz der Privatsphäre ihrer Kunden nicht unterstützen. Gut so.

Kann Datenschutz wirklich Spaß machen?

Bislang kommt der Datenschutz in der öffentlichen Wahrnehmung eher grau und erdenschwer daher. Wir fragen uns, ob dies nicht auch anders geht. Warum eigentlich nicht? Grundrechtsschutz ist eine wichtige, lohnende Aufgabe, die den Menschen unmittelbar dient. Sie muss nicht immer nur mit bitterer Miene, mit Kritik und Besorgnis angegangen werden. Wenn man damit auch gewinnen, nicht nur verlieren kann, warum sollte Datenschutz keinen Spaß machen? Ein Unternehmen, das datenschutzgerechte Produkte mithilfe von Gütesiegeln besser verkaufen kann, sieht den Datenschutz gleich mit ganz anderen Augen. Firmen und Behörden, die per Audit ihren Kunden zu verstehen geben, dass sie beim Thema Datenschutz auf der Höhe der Zeit sind, werden das Vertrauen des Publikums leichter gewinnen.

Und die Bürgerinnen und Bürger? Was haben sie davon, wenn andere mit Datenschutz Gewinn machen? Nun, eine Firma oder eine Behörde zu betreten, der per Audit attestiert worden ist, dass sie mit den Daten ihrer Kunden pfleglich umgeht, verbreitet vermutlich ein weitaus besseres Gefühl, als wenn soeben die Kontrollbehörde eine dicke Beanstandung ausgesprochen hat. Surfen im Internet kann Spaß machen, wenn da nicht das mulmige Gefühl wäre, dass man überall Datenspuren hinterlässt, deren weitere Verwendung man nicht in der Hand hat. Könnte man einen vertrauenswürdigen Anonymitätsdienst nutzen, dann würde keine Angst vor neugierigen Geheimdiensten oder ungenierten Datensammlern das Vergnügen trüben. Telefonieren kann eine schöne Sache sein, wenn da nicht manchmal der letzte Rest von Zweifel hochkäme, ob nicht doch jemand mithört. Hätte man Telefone mit eingebauter, sicherer Sprachverschlüsselung, so würde das Telefonieren noch ein bisschen mehr Spaß machen. E-Mail ist wirklich eine feine Sache, mit der man viel Zeit und Geld sparen kann, wenn nur nicht das Internet eine "Post" wäre, die offen ist wie ein Scheunentor. Wie schön, wenn man ein leistungsstarkes, bequem funktionierendes Verschlüsselungsprogramm hätte, das die E-Mail vor fremder Neugier schützt.

Also: Datenschutz kann enorm viel Spaß machen. Es würde unser Leben in vielen Situationen erleichtern, angenehmer und unbeschwerter gestalten, wenn wir uns immer darauf verlassen könnten, dass der Datenschutz wirklich zuverlässig funktioniert. Es wird Zeit, dass weit mehr Mühe als bisher darauf verwandt wird, deutlich zu machen, dass Behinderung weder Zweck noch Selbstzweck des Datenschutzes ist, sondern dass er den Bürgerinnen und Bürgern die Teilhabe an der Informationsgesellschaft erleichtern soll. Datenschutz als Freund und Helfer in den Untiefen der Informationsgesellschaft - das macht Spaß.