3.6 Das Recht des Datenschutzes

Das Recht, das versucht, die vom hier dargestellten und rekonzeptionalisierten Datenschutz adressierten individuellen und gesellschaftlichen Probleme zu lösen, lässt sich nicht nur in dem Rechtsbereich verorten, der explizit als Datenschutzrecht bezeichnet wird. Dieser Bereich umfasst die einschlägigen Grundrechte, vor allem das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts, das BDSG zur Regelung des Umgangs mit personenbezogenen Informationen durch private Stellen sowie öffentliche Stellen des Bundes, die Landesdatenschutzgesetze für öffentliche Stellen der Länder und die bereichsspezifischen Datenschutzregelungen in einzelnen Fachgesetzen, aber auch die neue EU-DSGVO. Rechtliche Regelungen zum Datenschutz im hier verstandenen Sinne finden sich aber eben auch in vielen anderen Gesetzen, die informationell begründete oder verstärkte Machtpositionen adressieren.

Dazu gehören etwa die Informationsfreiheitsgesetze des Bundes und der Länder sowie die Transparenzregelungen verschiedener Fachgesetze, parlamentarische Auskunfts- und Untersuchungsrechte, die Monopolverhinderungs- oder -beschränkungsregelungen im Medien- und Telekommunikationsbereich aber auch das Verbot aggressiver geschäftlicher Handlungen nach § 4a UWG, etwa durch eine „die Fähigkeit des Verbrauchers oder sonstigen Marktteilnehmers zu einer informierten Entscheidung wesentlich einschränk[enden]“ Technikgestaltung unter Ausnutzung einer „Machtposition gegenüber dem Verbraucher oder sonstigen Marktteilnehmer“. Eine umfassende Darstellung dieses gesamten Rechts des Datenschutzes würde den Rahmen der vorliegenden Arbeit sprengen und muss daher an anderer Stelle geschehen. Das gilt selbst für eine umfassende Darstellung des Verhältnisses zwischen Datenschutz und Datenschutzrecht.

Nachfolgend soll daher in aller gebotenen Kürze das für die Technikgestaltung relevante Verhältnis zwischen dem hier beschriebenen Datenschutz und dem geltenden Datenschutzrecht, das historisch wesentlich von der hier betrachteten Datenschutztheorie und ihren Vertreterinnen geprägt wurde und – wenn auch inzwischen weniger – bis heute beeinflusst ist, bestimmt werden, vor allem im Hinblick auf den Geltungsbereich, den verwendeten Informationsbegriff und den Umgang des Rechts mit dem Prozessmodell der Informationsverarbeitung.

Das Datenschutzrecht setzt diese Modelle nicht einfach nur um. Zwar ist es historisch stark von ihnen geprägt, zugleich ist es aber das Produkt politischer Aushandlungen in Parlamenten, beeinflusst von den verschiedenen Stakeholdern in Gesetzgebungsverfahren sowie ausgelegt und reinterpretiert in juristischen Fachdiskussionen und von Gerichten. Das Datenschutzrecht bestimmt seinen eigenen Geltungsbereich, seine eigenen Schutzgüter und seine eigenen Mechanismen, die jeweils nicht denen entsprechen müssen, die die Datenschutztheorie produziert hat. Die Datenschutztheorie und ihre Modelle können zur Auslegung des Rechts verwendet werden, sie können aber gleichwohl die Ketten des Rechts nicht sprengen, denn der Befolgungsanspruch des Datenschutzrechts endet an den Grenzen seines Geltungsbereiches. Wo das bestehende Datenschutzrecht keinen hinreichenden Schutz für die Betroffenen vor den von der Datenschutztheorie identifizierten Bedrohungen gewährleisten kann oder will – und auch andere Gesetze nicht einschlägig sind –, liegt der Bereich der freien Entscheidung der Gestalterinnen der Technik, die Anforderungen des Datenschutzes trotzdem umzusetzen. Und von dieser Freiheit sollten sie Gebrauch machen.

3.6.1 Geltungsbereich

Die Geltungsbereiche von Datenschutz und Datenschutzrecht überschneiden sich, sind jedoch weder deckungsgleich, noch ist eines eine Teilmenge des je anderen. Der Schutzbereich des Datenschutzrechts ist signifikant kleiner als der des Datenschutzes, zugleich ist der Kreis der Normadressatinnen des Datenschutzrechts signifikant größer.

Der wesentliche Grund für den gegenüber dem Datenschutz – und selbst dem Individual-datenschutz im Verständnis des 1971er Gutachtens – signifikant verkleinerten Schutzbereich des Datenschutzrechts liegt in der Nutzung des Konzepts der „personenbezogenen Daten“ als Abgrenzungskriterium, die zugleich aber konsistent ist mit grundsätzlich allen im vorherigen Kapitel betrachteten information-privacy-Theorien. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“, die zugleich als „Betroffener“ definiert wird, während Art. 4 Nr. 1 EU-DSGVO sie definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [. . . ] beziehen“ und dabei eine Person „als identifizierbar [ansieht], die [. . . ] identifiziert werden kann“. Der Begriff „identifizieren“ wird in der juristischen Auseinandersetzung an keiner Stelle problematisiert, verweist aber deutlich auf die impliziten Vorannahmen über den Charakter der Informationsverarbeitung: Alle diese Beschreibungen gehen davon aus, dass es zu einem bestimmten Zeitpunkt t nur die Informationen gibt, zu der dann die Person „gefunden“ werden soll, auf die sich diese Informationen beziehen. Das Problem der Adressierbarkeit, das für Kommunikationen typisch ist, bleibt in der ganzen Debatte ausgeblendet. Während damit das Element der Bestimmbarkeit und Identifizierbarkeit zu einer signifikanten Beschränkung der Menge der Betroffenen führt, wird das Beziehungselement durchgängig weit verstanden. Die Gruppe der Betroffenen ist aber nicht nur hinsichtlich der Identifizierbarkeit beschränkt, sondern vor allem dahingehend, dass als Betroffene im deutschen und europäischen Datenschutzrecht nur natürliche Personen gefasst werden. Damit dient das Datenschutzrecht weder dem Schutz von Gruppen, der allerdings inzwischen wieder gefordert wird, noch dem Schutz von anderen sozialen Akteurinnen wie Organisationen, ob als Personengesellschaften oder juristische Personen.

Während also der Kreis der Betroffenen im Datenschutzrecht kleiner ist als im Datenschutz, ist der Kreis der Normadressatinnen signifikant größer und beschränkt sich dabei nicht nur auf solche, mit denen die Betroffenen in sozialen Beziehungen stehen, die von strukturellen Datenmachtimbalancen geprägt sind. Normadressatinnen des BDSG sind alle – hinsichtlich ihres informationellen Handelns der Regelungskompetenz des Bundes unterfallende – sozialen Akteurinnen, „es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.“ Ebenso weit ist der Kreis der Normadressatinnen der EU-DSGVO, wonach die Grundverordnung nur für „natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ keine Anwendung findet. Diese Einschränkungen sind jedoch, spätestens nach der Lindquist-Entscheidung des EuGH, sehr restriktiv auszulegen: Das Gericht übersetzt „persönliche oder familiäre Tätigkeiten“ als „Tätigkeiten [. . . ], die zum Privat- oder Familienleben von Einzelpersonen gehören“ und erklärt, es handele sich „offensichtlich“ nicht um solche Tätigkeiten „bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden.“ Das ist nicht nur deshalb extrem dysfunktional, weil es soziale Beziehungen, in denen das informationelle Verhalten der Beteiligten tatsächlich noch hinreichend sozial ausgehandelt werden kann, einem bürokratischen Regelungsregime unterwirft, das in seiner Architektur und dem Umfang und dem Formalismus seiner Anforderungen darauf zugeschnitten war, bürokratische Verwaltungen in Staat und Gesellschaft an die Ketten des Rechtsstaatsprinzips zu legen. Das ist zugleich strategisch riskant – und vielleicht deswegen gerade von manchen Beteiligten erwünscht –, weil es große Akteurinnen geradezu einlädt, kleine Akteurinnen als mit der vollen Wucht des Gesetzes Getroffene vorzuschicken, um darüber eine Absenkung der Schutzstandards zu propagieren.

Nicht nur hinsichtlich des Betroffenenkreises und der Fixierung auf personenbezogene Daten, sondern auch im Hinblick auf das Schutzgut ist der Schutzbereich des Datenschutzrechts kleiner als der des Datenschutzes. Zwar mag es ein „Allgemeinplatz“ sein, dass es letztlich „um den Schutz von Menschen“ gehe, „nicht um den Schutz von Daten“, gleichwohl wird in der EU-DSGVO in Art. 1 Abs. 2 – wie vorher auch schon in der EG-DSRL – neben den „Grundrechte[n] und Grundfreiheiten“ sowie fast wortgleich auch in Art. 8 Abs. 1 der EU-Grundrechtecharta das „Recht auf Schutz personenbezogener Daten“ als Schutzgut markiert. Während die durchaus weite Formulierung „Grundrechte und Grundfreiheiten“ als „Rechte und Freiheiten der Betroffenen“ aus der EG-DSRL in § 4d Abs. 5 Satz 1 BDSG übernommen wurde, definiert § 1 Abs. 1 BDSG den Zweck des Gesetzes als Schutz des „Einzelnen“ vor Beeinträchtigung „in seinem Persönlichkeitsrecht“. Auf dieses Persönlichkeitsrecht rekurriert auch das BVerfG im Volkszählungsurteil und stellt fest, dass die „[f]reie Entfaltung der Persönlichkeit [. . . ] unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus[setzt]“ und dieser Schutz „daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfaßt“ sei. Das „Recht auf informationelle Selbstbestimmung“, dem das BVerfG dann als Ausprägung dieses Persönlichkeitsrechts verfassungsrechtliche Weihen verleiht, ist schon eine – doppelte – Verkürzung dieses Schutzes, denn es bezeichnet nur noch „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Erstens handelt es sich um einen individualistischen Problemlösungsansatz für ein gesellschaftliches Problem, dessen praktische Um- und Durchsetzung die realen Fähigkeiten des Individuums weit übersteigt, und zweitens schützt das Grundrecht gerade nicht gegen eine „unbegrenzte“ Verdatung, solange nur „der Einzelne“ einwilligt. Gleichwohl wird gerade dieses individuelle Verfügungsrecht inzwischen verbreitet als das eigentlich zentrale Schutzgut des Datenschutzrechts betrachtet, auch wenn die genaue verfassungsrechtliche Anknüpfung wenigstens nicht unumstritten ist und die Form der Umsetzung im Recht die einer informationellen „Fremdbeschränkung“ ist – einer Beschränkung der Informationsverarbeitung der Normadressatin. Die gesamte gesellschaftliche Ebene der Auswirkungen moderner Informationsverarbeitung durch Organisationen bleibt damit – bis auf singuläre Ausnahmen – außerhalb des Zugriffs des Datenschutzrechts.

3.6.2 Informationsbegriff

Der historisch der Datenschutztheorie zugrunde gelegte Informationsbegriff, der an den der Semiotik angelehnt ist und vier Dimensionen – Syntax, Semantik, Pragmatik, Sigmatik – aufweist, kann, nach der rechtswissenschaftlichen Debatte zu urteilen, nicht als konsentierter Informationsbegriff im Bereich des Datenschutzrechts gelten. Dieser modelltheoretische Informationsbegriff, der Informationen als Modelle von Objekten, also „Abbildungen von etwas für jemand für einen Zweck“ fasst und damit alle vier Dimensionen spezifisch für das Recht anknüpfbar macht, wird sehr selten überhaupt dargestellt – und wenn, dann zusammenhanglos oder verkürzt wiedergegeben –, spätestens seit Anfang der 1990er Jahre jedoch nicht mehr zur strukturierten Analyse des Datenschutzproblems genutzt. Die vier Dimensionen sind dennoch immer noch die Ansatzpunkte für die rechtliche Regelung: Informationen unterfallen dem Datenschutzrecht nur, wenn sie sich auf Personen beziehen oder beziehen lassen – sigmatische Dimension –, und erst, wenn sie zeichenmäßig verkörpert werden, an ihre pragmatische Dimension knüpft das datenschutzrechtliche Zweckbindungsprinzip an und mit der semantischen Dimension wird gerade der Kontext adressierbar – einerseits als Erhebungs-, andererseits als Verwendungskontext –, der sowohl die Bedeutung der Information wie auch die Risiken für die Betroffenen (mit-)bestimmt und an den gerade die „bereichsspezifischen“ Datenschutzregelungen anknüpfen.

3.6.3 Phasenorientierung

Während die Phasen historisch als Analyseinstrument für die Riskanz der Informationsverarbeitung und zugleich als Anknüpfungspunkt für rechtliche Regelungen vorgesehen waren, haben sie diesen doppelten Charakter schon im Laufe des Gesetzgebungsverfahrens verloren: Das BDSG 1977 beschränkte sich auf einen Schutz von Betroffenen gegen „Mißbrauch“ der sie betreffenden Informationen nur in den im Gesetz genannten Phasen – und das hieß eben: innerhalb einer Teilmenge der von Steinmüller et al. in einem ersten Versuch identifizierten Phasen. Erst mit dem Volkszählungsurteil wurde der Gesetzgeber gezwungen, für einen umfassenden Schutz zu sorgen. In der Folge wurden auch die Erhebung und die Nutzung als Phasen ins BDSG integriert. Allerdings kam es an keiner Stelle zu einer grundlegenden Überarbeitung der Phasenaufteilung.

Zwar ist das deutsche Datenschutzrecht immer noch „verarbeitungsorientiert“, insoweit dass alle deutschen datenschutzrechtlichen Regelungen die Zulässigkeitsanforderungen jeweils an die einzelnen Phasen stellen, aber diese Phasen sind nicht mehr die zentralen Anknüpfungspunkte für Regelungen zum Umgang mit besonderen Risiken. Stattdessen knüpft das Recht zunehmend an eine Vielzahl konzeptionell unverbundener Einzelaspekte an, die damit zugleich als Topoi besonderer Risiken markiert werden. Dazu gehören etwa die aus dem europäischen ins deutsche Datenschutzrecht übernommenen „besonderen Arten personenbezogener Daten“, „automatisierte Einzelentscheidungen“, die Videoüberwachung, der Einsatz „mobiler personenbezogene Speicher- und Verarbeitungsmedien“ oder die „Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“.

3.6.4 Verfahrens- und Technikgestaltung und -prüfung

Das Bundesdatenschutzgesetz war von Anfang an darauf ausgerichtet, sowohl auf die Verfahren wie auch auf die informationstechnischen Systeme gestaltend einzuwirken. Diese Zielvorstellungen wurden allerdings schon in der Startphase – unter anderem durch den Bundesdatenschutzbeauftragten – erfolgreich unterminiert. Erst mit der Novellierung des BDSG 2001 wurde mit dem Grundsatz der Datenvermeidung und Datensparsamkeit in § 3a das Ziel einer datenschutzfreundlichen Verfahrensgestaltung wieder im Gesetz verankert, wobei der Charakter der Norm durchaus umstritten und ihre Durchsetzungsfähigkeit quasi inexistent ist. Im Rahmen der Kontrolle der Rechtmäßigkeit der laufenden Datenverarbeitung ist der Datenschutzbeauftragten aber nach § 4g Abs. 1 Satz 4 Nr. 1 BDSG auch die Kontrolle der „ordnungsgemäße[n] Anwendung der Datenverarbeitungsprogramme“ übertragen, eine Aufgabe, die wohl mehrheitlich als „Kontrolle der Programmgestaltung“ ausgelegt wird, und damit die Einbindung der Datenschutzbeauftragten in die Systemgestaltung erfordert. Auf deren Kritik oder Änderungsforderungen muss die Datenverarbeiterin dabei allerdings ebenso wenig reagieren oder gar eingehen wie im Falle der die Vorgaben des Art. 20 EG-DSRL umsetzenden Vorabkontrolle nach § 4d Abs. 5 und 6 BDSG. Diese Vorabkontrolle ist nach § 4d Abs. 5 immer dann durchzuführen, wenn „automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“. Mit der EU-DSGVO wurde die Vorabkontrolle durch die Datenschutz-Folgenabschätzung nach Art. 35 ersetzt, allerdings nur mit sehr allgemeinen Vorgaben hinsichtlich der Anforderungen an die Durchführung und den Umfang. Das Datenschutzaudit nach § 9a BDSG, zu dem der Bundesgesetzgeber nie ein Ausführungsgesetz erlassen hat, geht nicht wesentlich über das hinaus, was eine Vorabkontrolle, eine Programmkontrolle und Rechtmäßigkeitskontrolle auch schon bieten, wird allerdings durch unabhängige externe Gutachterinnen durchgeführt und – für Schutzkonzepte, Verfahren oder Produkte – mit einem „Qualitätsnachweis[] (z. B. Siegel, Zertifikat oder Auditzeichen)“ belohnt. In der EU-DSGVO wird dieses Verfahren als „Zertifizierung“ bezeichnet und in Art. 42 geregelt. Auch die Technikgestaltung – „Datenschutz durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default)“ – selbst ist nach langer Diskussion inzwischen auch auf europäischer Ebene – in Art. 25 EU-DSGVO – geregelt worden, wobei die Regelung die Erwartungen, die von vielen Seiten in sie gesteckt wurden und werden, wohl nicht erfüllen wird.

3.6.5 Schlussfolgerungen

Aus der Darstellung des für die Technikgestaltung relevanten Verhältnisses zwischen dem Datenschutz und dem geltenden Datenschutzrecht lassen sich nun einige Schlussfolgerungen ziehen.

Zwar überschneiden sich die Geltungsbereiche von Datenschutz und Datenschutzrecht, sie sind jedoch weder deckungsgleich, noch ist eines eine Teilmenge des je anderen. Der Schutzbereich des Datenschutzrechts ist signifikant kleiner als der des Datenschutzes, zugleich ist der Kreis der Normadressatinnen des Datenschutzrechts signifikant größer. Gleichwohl lässt sich feststellen, dass für Organisationen als Informationsverarbeiterinnen der Schutzbereich des Datenschutzes eine Obermenge des Schutzbereiches des Datenschutzrechts ist. Damit ist grundsätzlich eine datenschutzfreundliche Informationsverarbeitung durch Organisationen auch eine datenschutzrechtskonforme, eine datenschutzrechtskonforme jedoch nicht notwendig datenschutzfreundlich. Die Betroffenen im Sinne des Datenschutzrechts würden demnach in jedem Fall davon profitieren, wenn die Datenschutztheorie als Instrument für die Analyse der Risiken und Bedrohungen, die von Organisationen ausgehen, zum Einsatz käme.

Sowohl hinsichtlich des Informationsbegriffs wie hinsichtlich der Phasenorientierung zeigt das bestehende Datenschutzrecht Defizite, die sich sowohl auf seine Weiterentwicklung wie auch auf seine Anwendung in der Praxis beschränkend auswirken. Die praktische Anwendung des bestehenden Rechts würde damit sowohl im Hinblick auf eine fundierte Bedrohungsanalyse als auch im Hinblick auf die Verfahrensgestaltung von der Verwendung des modelltheoretischen Informationsbegriffs der Datenschutztheorie wie auch vom phasenorientierten Analyseansatz deutlich profitieren, etwa indem die Abwehr der identifizierten, phasenspezifischen Bedrohungen in den datenschutzrechtlichen Abwägungsprozess als Teil der berechtigten Interessen der Betroffenen aufgenommen würde.

Soweit es hinsichtlich der Prüfungen – Folgenabschätzungen und Audits – und der Gestaltungen – Verfahren und informationstechnische Systeme – an konkreten gesetzlichen Anforderungen zu Umfang und Durchführung – und bei den Prüfungen auch zum Umgang mit dem Ergebnis – mangelt, ist der oben vorgelegte Operationalisierungs- und Regelungsansatz voll anschlussfähig, ohne jedoch die Lücken bei den Transparenzpflichten füllen zu können. Nur damit ließen sich aber sowohl die Qualität von Prüfungen und Technikgestaltungsprozessen wie auch die Bindungswirkung der dabei getroffenen Entscheidungen, etwa zur Zwecksetzung, steigern.

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.

3 Die Welt des Datenschutzes

Ausgehend von der im zweiten Kapitel vorgelegten Analyse und Kritik der wissenschaftlichen Auseinandersetzungen um die Beschreibung und Analyse der in der Informationsgesellschaft im Zusammenhang mit moderner Informationsverarbeitung erzeugten individuellen und gesellschaftlichen Probleme, die unter den Labels privacy, Datenschutz und surveillance diskutiert wurden und werden, sollen nun die Annahmen, der Gegenstandsbereich und die Bedrohungsanalysen einer konkreten Datenschutztheorie und der von dieser Theorie produzierte Datenschutz, mit dem die Bedrohungen abgewehrt werden sollen, kompakt und zusammenhängend rekonstruiert und einer informatisch fundierten Kritik unterzogen werden. Anschließend wird der Datenschutz auf der Basis eines dem Stand der wissenschaftlichen Debatte entsprechenden Angreifermodells und eines daraus abgeleiteten Bedrohungsmodells rekonzeptionalisiert und mit einem neuen Operationalisierungs- und Regelungsansatz versehen. Abschließend soll in aller gebotenen Kürze das für die Technikgestaltung relevante Verhältnis zwischen dem rekonzeptionalisierten Datenschutz und dem geltenden Datenschutzrecht, das historisch wesentlich von der hier betrachteten Datenschutztheorie und ihren Vertreterinnen geprägt wurde und – wenn auch inzwischen weniger – bis heute beeinflusst ist, bestimmt werden, unter anderem im Hin-blick auf den Geltungsbereich, den verwendeten Informationsbegriff und das Prozessmodell der Informationsverarbeitung.

Die Analyse und Gestaltung von Informationssystemen, also soziotechnischen Systemen, ist

– trotz der weitverbreiteten Selbstbeschränkung der Kerninformatik auf die technischen Teil-systeme solcher Informationssysteme – zentrale Aufgabe der Informatik. Die Betrachtung des gesellschaftlichen Umsystems, in das informationstechnische Systeme eingebettet sind und eingebettet werden, erfordert daher eine Auseinandersetzung mit den Theorien und Methoden, die zur Analyse und zum Verständnis dieses Umsystems, aber natürlich auch des Gesamtsystems, und der Auswirkungen von Informationstechnik, die von der Informatik gestaltet werden, und ihrer Einbettung auf diese Systeme erforderlich sind.

Allein kerninformatische Analysen der gesellschaftlichen Probleme, die von und mit informationstechnischen Systemen in ihrer spezifischen gesellschaftlichen Einbettung erzeugt, verstärkt oder verfestigt werden, müssen demgegenüber notwendig verkürzt, verzerrt oder sogar verfehlt sein.

Für die nachfolgenden Ausführungen wird folgende Behauptung als Postulat zugrunde gelegt: Verregelung transformiert die der Verregelung zugrunde gelegten Annahmen in Vorbedingungen, die erfüllt sein müssen, damit durch eine Einhaltung der Regeln das Regelungsziel erreicht werden kann. Daraus folgt, dass der Datenschutz, aber auch das Datenschutzrecht und die dem Datenschutz dienende Technik allenfalls im Rahmen der ihnen zugrunde gelegten Annahmen funktionieren – und damit auch nur in diesem Rahmen Schutz bieten können.

Die Produkte der Datenschutztheorie sind nur Modelle, also vereinfachte Abbildungen dessen, was sie abbilden sollen. Sie basieren auf dem Weltbild – oder den Weltbildern – ihrer Theoretikerinnen. Das erste Produkt ist ein Bild davon, wie diese Theoretikerinnen die Welt sehen, in der sie das Datenschutzproblem verorten, welche Akteurinnen sie in welchen Konstellationen zueinander stehen sehen, welche Eigenschaften – Kenntnisse, Fähigkeiten, Interessen, Mittel – sie ihnen zuschreiben und welche Handlungen sie im Hinblick auf die Erzeugung oder Verstärkung des Datenschutzproblems für zu problematisieren halten.

Das zweite Produkt ist das Bedrohungsmodell, das beschreibt und erklärt, welche Bedrohungen für welche Interessen welcher Akteurinnen – der Betroffenen – auf der Basis der Theorie identifiziert werden. Und das dritte Produkt ist ein Bild der spezifischen Erwartungen daran, inwieweit und in welcher Form die Betroffenen vor den identifizierten Bedrohungen geschützt werden sollen, und wie mit und durch Technik – und somit auch durch deren Gestaltung –, vor allem aber durch die Art und Weise des Gebrauchs dieser Technik dieser Schutz gewährleistet werden soll. Die Modelle sind notwendig beschränkt; sie sind nur die Karten zu einem Gelände, die Organigramme zu Organisationen oder die Operationspläne zu Handlungen. Zugleich werden diese Modelle in der vorliegenden Arbeit selbst wieder nur modellhaft, also ohne jeder Verästelung in der Diskussion oder jeder abweichenden Meinung zu folgen, dargestellt.

Die Datenschutztheorie legt die Annahme zugrunde, dass die Gesellschaft, für die sie das Datenschutzproblem analysiert, eine moderne, funktional differenzierte Gesellschaft ist, die von Organisationen geprägt ist und geprägt wird, die rationale Bürokratien im Sinne Max Webers sind, ihre Informationsverarbeitung zum Zwecke – aus ihrer Sicht und in Bezug auf ihre Interessen – besserer Entscheidungsfindung rationalisieren und dazu Computer als Werkzeuge einsetzen. Diese Praxen der Informationsverarbeitung und Entscheidungsfindung durch Organisationen, die dafür eingesetzten Mittel – Technik und Verfahren – und deren Folgen sind es, die sowohl überkommene gesellschaftliche Aushandlungsergebnisse – insbesondere in der konkreten Form, die sie im Recht gefunden haben – wie auch die Aushandlungsmechanismen selbst strukturell unterminieren und deshalb unter Bedingungen gestellt werden müssen.

Das Konzept des Daten-schutzes stellt sich damit als Ergebnis einer funktionalistischen Analyse dar. Datenschutz ist demnach nicht als Wert an sich – und auch nicht als vor-rechtliches Konzept, das dann in Recht transformiert wird – konstruiert, sondern als ein Mittel in einer bereits verrechtlichten Gesellschaft zur Gewährleistung der Reproduzierbarkeit der Gesellschaft in sich selbst. Datenschutz ist demnach – und darauf hat schon Martin Rost hingewiesen – ein dezidiert bürgerliches Projekt, jedoch nicht auf der Basis liberal-individualistischer, sondern auf der Basis strukturalistischer Vorstellung davon, wie Gesellschaft „funktioniert“.

Und gerade diese strukturalistisch orientierte Fundierung des Datenschutzes ist es, die den Datenschutz in dem Verständnis, wie er hier dargelegt werden soll, für die Informatik und mithin für die Gestaltung von Informationssystemen und deren technischen Teilsystemen konzeptionell besonders anschlussfähig macht.

3.1 Der Untersuchungsbereich der Datenschutztheorie

Der Untersuchungsbereich der Datenschutztheorie umfasst, so Steinmüller et al. in einem frühen

– und zugleich dem konzeptionell saubersten – Versuch einer Absteckung, „die manuelle, die mechanische und die automatisierte“ Informationsverarbeitung in der staatlichen und privaten, „insbesondere unternehmerische[n]“, Verwaltung sowie in der Wissenschaft, denn Datenschutz sei deren „Kehrseite“. Weil Datenschutz „[d]ie Menge der Vorkehrungen zur Verhinderung unerwünschter Folgen von Informationsverarbeitung“ sei, folgt daraus, dass das Datenschutz-problem die Menge der unerwünschten Folgen von Informationsverarbeitung bezeichnet. Unerwünschte Folgen seien solche, „die den Zielen unserer Gesellschaft zuwiderlaufe[n] oder sie wenigstens gefährde[n]“, die Ziele hingegen seien „vor allem“ aus dem Grundgesetz zu entnehmen, „namentlich in den Grundentscheidungen dieser Verfassung, die sich bekennt zu einer rechts- und sozialstaatlich verfaßten, das Individuum und die gesellschaftlichen Gruppierungen (insbesondere Minderheiten) schützenden parlamentarischen Demokratie.“

Davon unterscheiden sie – für Juristinnen leider ungewöhnlich, aber konzeptionell sauber – Datenschutzrecht, „[d]ie Menge der Datenschutznormen“. Und im Bereich des Rechts unterscheiden sie dann das „Recht des Individualdatenschutzes“, auch „Datenschutzrecht im engeren Sinne“, das dem „Schutz des einzelnen oder von rechtlich geschützten oder zu schützenden gesellschaftlichen Gruppierungen“ diene, und alle sonstigen Datenschutznormen als „Datenschutzrecht im weiteren Sinne“.

Das „informationelle Selbstbestimmungsrecht“ bezeichnet demgegenüber nur das als „Neuinterpretation der Handlungsfreiheit Artikel 2 Absatz 1 GG [erschaffene] Selbstbestimmungsrecht über das individuelle Persönlichkeitsbild“ und stellt nur einen Teil des Fundaments des Individualdatenschutzrechts dar, denn zu diesem gehöre auch die „rechtsstaatliche[] Beschränkung“ der Informationsverarbeitung: „Rechts- und Sozialstaatlichkeit einerseits und Grundrechte andererseits bilden darum die zwei Säulen des DSchRechts.“

In der heutigen Debatte werden hingegen Datenschutz und Datenschutzrecht oft gleichgesetzt. Darüber hinaus beschränkt sich das Datenschutzrecht heute im Prinzip nur noch auf den Schutz individueller Betroffener. Und die Begriffe Individualdatenschutz, Datenschutzrecht im engeren Sinne und Datenschutzrecht im weiteren Sinne sind aus dem Sprachgebrauch verschwunden, auch aus der Fachsprache. Es ist damit im Grunde fast unmöglich, in der derzeitigen Debatte deutlich zu machen, dass das Datenschutzrecht nur eine sehr defizitäre Umsetzung des Datenschutzes ist und dass Datenschutz nicht der ausschließlichen Definitionsmacht der Juristinnen unterliegt, sondern es sich bei Datenschutz um einen ausschließlich aus interdisziplinärer Perspektive begreifbaren Untersuchungsgegenstand handelt.

Jörg Pohle; Humboldt-Universität zu Berlin; 2019

Open-Access-Erklärung: https://edoc-info.hu-berlin.de/de/nutzung/oa_hu

https://edoc.hu-berlin.de/handle/18452/19886

Zur leichteren Lesbarkeit wurden die Quellenverweise entfernt. Bei Interesse finden Sie sie im obigen Link.