1 Privatheit in Gefahr
Wie sehr Privatheit und Selbstbestimmung gefährdet sind, insbesondere was staatliches Handeln angeht, zeigte zuletzt die durch die Snowden-Enthüllungen bekannt gewordene, weltumspannende geheimdienstliche Massenüberwachung. Denn der Präventionsstaat als spezielle Form des Überwachungsstaates zielt auf die effiziente Überwachung des Verhaltens der Bürger*innen mit digitalen Mitteln.
Was das Handeln privater Akteure angeht gewinnt seit Jahren der Konflikt um Datenökonomie und Privatheit an Schärfe. Der moderne Datenkapitalismus hat persönliche Daten zum flüssigen Gold erklärt. Wie schief oder falsch auch immer diese Formel sein mag, die Betonung liegt stets auf dem Grundsatz: »Die Daten müssen fließen.« Der Skandal um Facebook und seine millionenfache Weitergabe von Kundendaten an das mit Wahlmanipulationen durch sogenanntes Microtargeting befasste Unternehmen Cambridge Analytica war ein Weckruf. Im Mittelpunkt der Auseinandersetzung steht die gewachsene Datenmacht großer Unternehmen. Ihre datengestützten digitalen Geschäftsmodelle verschieben die gesellschaftlich akzeptierten Grenzen grundlegend: Insbesondere Big Data und künstliche Intelligenz (KI) erlauben eine bislang nicht dagewesene feingranulare Auswertung und Überwachung der Datenspuren ganzer Bevölkerungen. Sie schaffen ein spezifisches Prognosewissen zur Manipulation von Menschen zu meist kommerziellen Zwecken.
Die Bürger*innen haben es weitgehend nicht mehr selbst in der Hand, durch ihr eigenes Verhalten einer Erfassung und digitalen Bewertung zu entgehen, selbst wenn sie bestimmte Angebote und Plattformen nicht nutzen.
Zugleich verändern der soziale und technische Wandel die Ideen und Leitbilder von Privatheit. Die geradezu klassisch zu nennende Vorstellung von Privatheit als einer Art individueller Kontrolle, also der Möglichkeit, selbst entscheiden zu können, wer wann Zugang zu den eigenen Angelegenheiten hat, scheint überholt. Müssen wir daher das Ende der Privatheit konstatieren?
Die These dieses Beitrages lautet: Nein – denn in der liberalen Demokratie muss sich nicht der Mensch in digitale Geschäftsmodelle und staatliche Effizienzkonzepte einfügen, sondern vielmehr muss es weiterhin darum gehen, den Einsatz digitaler Technik menschengerecht zu gestalten. Das Private ist politisch – das gilt auch, wenn es um seine Formung durch die Digitalisierung geht.
Wenn etwa zukünftig anhand algorithmenbasierter Auswertungen des Verhaltens in sozialen Netzwerken Kredite vergeben und Arbeitsstellen besetzt werden, wenn dabei selbst Personen, die sich nie auf entsprechenden Plattformen bewegt haben, diesen maschinenbasierten Prognosen unterworfen werden oder wenn Videoüberwachung in öffentlichen Räumen mit biometrischer Gesichtserkennung aufgerüstet wird, dann stehen grundlegende Machtverteilungsfragen der Gesellschaft auf dem Spiel. Auch die Auseinandersetzungen um die Corona-Warn-App oder um die Einführung von digitalen Impfpässen belegen, wie sehr gesellschaftliche Konflikte um neue Technologien von Fragen nach den Folgen für die Privatheit der Einzelnen und der Gesellschaft insgesamt geprägt sind. Man kann fast sagen: Wertegeleitete Diskurse rund um die Digitalisierung sind aktuell vor allem Privatheitsdiskurse.
Funktionen von Privatheit
Bei all diesen Konflikten geht es um Privatheit als Sicherung der individuellen Zugänglichkeitsgrenzen von Menschen. Es geht um den Erhalt von persönlichen Freiräumen. Die Funktionen der Privatheit sind dabei vielfältig. Privatheit wird etwa als Bedingung von Identität und Individualität, physischer oder emotionaler Entspannung beschrieben, als Bedingung der Möglichkeit von Kreativität und des Lernens, der Verhaltensvielfalt, von vertraulichen Nähebeziehungen, der Ausbildung und Ausfüllung einer Pluralität von Rollen oder der individuellen Autonomie. Damit trägt sie auch zu einer pluralistischen Gesellschaft bei.
Datenschutz als Schutzkonzept der Privatheit
Privatheit bildet einen entscheidenden Wert in der Digitalisierung, gerade weil digitale Verfahren und Instrumente die Grenzen persönlicher Freiräume grundlegend verschieben. Sie steht daher mit Recht im Mittelpunkt der politischen Debatte darum, wie Datenmacht einzuhegen ist. Daneben steht die Selbstbestimmung als Paradigma liberaler Rechtsordnungen, die ihre Verankerung unter anderem im Würdegebot des Grundgesetzes findet. Als Grundrecht auf Datenschutz der Grundrechte-Charta der EU sowie als Menschenrecht auf Privatheit haben die Konzepte von Privatheit und Selbstbestimmung längst weltweite normative Verbreitung gefunden.
Privatheit und Selbstbestimmung gelten deshalb als Bollwerk zum Schutz von Freiheit und Autonomie, weil sie nicht bloß eine moralische Idee oder partikulare Ethik der Vernunft repräsentieren, sondern als bindendes Recht entfaltet sind. Vor allem das Datenschutzrecht enthält wichtige Steuerungselemente zum Schutz vor Überwachungsstaat und Überwachungskapitalismus.
Doch muss der Datenschutz auf mehreren Ebenen entschlossen weiterentwickelt werden, um angesichts der enormen gesellschaftlichen Herausforderung durch die Digitalisierung seiner Funktion weiterhin gerecht zu wer-den. Dabei werden Konzepte von Privatheit und Selbstbestimmung weit über den Datenschutz hinaus zu einer Ausdifferenzierung der Instrumente und gesellschaftlichen Antworten zum Schutz der Rechte der Bürger*innen führen müssen. Ansatzpunkte für die nötigen Weiterentwicklungen liefert auch die Kritik an Privatheit und Selbstbestimmung, deren genauere Analyse daher lohnt.
2 Kritik an der Privatheit
Die Auseinandersetzungen um Privatheit und Selbstbestimmung in der Digitalisierung erfolgen in Wellenbewegungen. Eher selten schlägt das Pendel dabei stärker zugunsten der Privatheit aus. Zuletzt allerdings konnte dies beobachtet werden, als in einem europäischen Kraftakt die Datenschutz-Grundverordnung (DSGVO) verabschiedet wurde. Vorherrschend scheint aber ein Grundsound der Vergeblichkeit. Die sozialwissenschaftliche Kritik behauptet unter anderem, die Konzepte seien der Komplexität der Herausforderung nicht (mehr) gewachsen, seien ohne Rückhalt im konkreten Handeln der Bevölkerung, die freiwillig auch noch die fragwürdigsten digitalen Angebote in Anspruch nehme (Privacy Paradox). Daher kommen die Konzepte stets zu spät oder seien sogar gleich denklogisch ausgeschlossen.
Systemtheorie und Big Data
Zum Teil wird vertreten, Privatheit und Selbstbestimmung seien am Ende, weil die Digitalisierung letztlich eine evolutionäre, quasi zwingenden Gesetzmäßigkeiten folgende Entwicklung darstelle. Die dabei innerhalb von Systemlogiken handelnden Wirtschaftsunternehmen oder staatlichen Stellen seien in ihrem Verhalten letztlich nicht determinierbar. Das Funktionieren digitaler Technik sichere vielmehr seine Akzeptanz. Privatheit und Selbstbestimmung werden verkürzend als Konzepte individueller Kontrolle dargestellt. Das Besondere digitaler Technik im Allgemeinen als auch von Big Data im Besonderen liege darin, dass sie Informationen bei Dritten erzeugten, die sich also der Kontrolle der Einzelnen entziehen. Insbesondere das Konzept der Einwilligung (unter anderem als Cookie-Banner bekannt) laufe vor dem Hintergrund von Big Data leer, weil es letztlich nur eine kurzfristige Handlungshemmung in einer ansonsten überwiegend im Unbewussten ablaufenden Digitalnutzung setze.
Der Kritik ist darin zuzustimmen, dass sie einige der mit den überindividuellen Auswirkungen von Big Data verbundenen konzeptionellen Fragen für Selbstbestimmung und zunehmend fragwürdige Instrumente wie die Einwilligung aufgreift. Eine umfängliche Debatte im Datenschutz setzt sich seit langem mit der Frage auseinander, welche zusätzlichen Elemente die Relevanz dieses Instruments erhalten können. Nicht überzeugend ist die Suggestion einer Alternativlosigkeit in der Gestaltung digitaler Anwendungen. Stets bestehen Handlungsoptionen, und der weitere gesellschaftliche Handlungsrahmen wird durch Politik und Recht mitbestimmt. Überholt ist jedoch das konzeptionelle Verständnis von Privatheit als individueller Kontrolle. Vielmehr wird Privatheit etwa im Datenschutz seit langem durch ein wesentlich breiteres präventives Konzept aus einer Vielzahl von Elementen geschützt, mit denen auf die die Informationen verarbeitende Organisation abgezielt wird (interne Datenschutzvorgaben, Rechtmäßigkeitskontrolle, Privacy by Design-Vorgaben usw.). Individuelle Kontrolle, etwa in Gestalt der Einwilligung, ist lediglich ein steuerndes Element, und unterliegt selbst weiteren zum Schutz der Betroffenen eingezogenen Beschränkungen.
Der Vorwurf der Fehlkonstruktion
Ein Kritikansatz betont konzeptionelle Mängel des Datenschutzrechts. Unterstellt wird ein allgemeines Verbot unterschiedslos allen personenbezogenen Datenverarbeitungen, egal ob es sich um Facebook oder den Bäcker an der Ecke handele. Stattdessen bedürfe es des Grundsatzes des freien Flusses von Daten, nur in besonderen Fällen müsse gesetzlich geregelt werden. Mit dem sogenannten »Verbotsvorbehalt« werde eine risikobezogene Unterscheidung von höchst unterschiedlichen digitalen Anwendungen unmöglich gemacht.
Diese Kritik überbetont einen letztlich rechtskonstruktiven Aspekt. In der Praxis bestehen für kleine und mittlere Unternehmen alle rechtlichen Freiheiten, die benötigten Daten zu verarbeiten. Richtig ist allerdings, dass viele kleine Unternehmen bedeutend geringere Risiken für die Privatheit von Kund*innen oder Beschäftigten darstellen. Erleichterungen von den zahlreichen Anforderungen der Datenschutzgesetze erscheinen daher ausbaufähig.
Datenschutz als Innovationsbremse und Bürokratieklotz
In diesem Gewand kommt politisch motivierte Kritik des Datenschutzes typischerweise daher. Zumeist fehlen Argumente, die den Vorwurf untermauern. Auch wird er häufig herangezogen, um von anderweitigen Missständen im Bereich unternehmerischer oder staatlicher Digitalisierungsvorhaben abzulenken. Der Datenschutz wird somit als Sündenbock genutzt. Oft scheint diese Kritik auch der parteipolitischen Profilierung zu dienen, weil sie als Ausweis der eigenen Fortschritts- und Wirtschaftsfreundlichkeit verstanden sein will.
Diese Kritik erschwert die Weiterentwicklung des Datenschutzes ungemein. Sie verstärkt bestehende Widerstände in Organisationen und erschwert sachbezogene Auseinandersetzungen. Die Unterstellung einer allgemeinen Innovationshemmung ist abwegig. Ob und in welchem Umfang etwa ein digitales Geschäftsmodell als innovativ bezeichnet werden kann, entscheidet sich auch nach seinen Gemeinwohlwirkungen. Letztlich stellen Datenschutzüberlegungen auch Faktoren der Akzeptanz von digitalen Anwendungen dar. Nachweisbare Datenschutzvorkehrungen schaffen Vertrauen bei Kund*innen und Bürger*innen.
Die Wahrnehmung von Privatheit wird auch durch Bewertungen des digitalen Wandels in seiner Gesamtheit beeinflusst. So wird in der Debatte um Künstliche Intelligenz fundamentaler Zweifel am menschlichen Selbstverständnis freier Selbstbestimmung laut. Die Vorstellung von Menschen als individuelle autonome Entscheidungsträger sei aufgrund der Überlegenheit KI-gestützter, durchdigitalisierter Umgebungen nicht mehr aufrecht zu erhalten. Richtig ist vielmehr, dass Konzeptionen von Privatheit und Selbst-bestimmung schon heute ein differenziertes Verständnis menschlicher Autonomie zugrunde legen. Ob und in welchem Umfang ein Schutz gewährleistet werden kann, bleibt letztlich eine Frage der politischen Verständigung.
Die allermeisten Klagegesänge haben der Privatheit letztlich nichts anhaben können. Im Gegenteil zeigt sich: Privatheit ist mehr denn je tragende Säule der Digitalisierung, weil sie ein diverses, sich ständig wandelndes Konzept und Denkmuster ist: Als privat kann bezeichnet – und muss geschützt – werden, was jeweils die Funktionen von Privatheit erfüllt.
Zudem ist sie im Recht – den Grundrechten des Grundgesetzes eben-so wie dem europäischen Recht und den internationalen Menschenrechtsregimen – tief verankert. Daran kommt auch die sozialwissenschaftliche und politisch motivierte Kritik nicht vorbei. Allerdings verweisen einige der hier angeführten Kritikbeispiele auf Modernisierungsbedarf insbesondere beim Datenschutzrecht.
3 Datenschutz: Plötzlich im Mittelpunkt
Der Datenschutz hat weltweit Konjunktur. Nach neuen Datenschutzgesetzen in Ländern wie Japan, Brasilien und Thailand ist am 1. Januar 2020 sogar in Kalifornien, am Ursprungsort des Überwachungskapitalismus, der California Consumer Privacy Act (CCPA) in Kraft getreten. Er orientiert sich in vielem an deutschen und europäischen Datenschutzregelungen für die Wirtschaft und öffentliche Institutionen. Insbesondere die Datenschutz-Grundverordnung (DSGVO) der EU gilt als globaler Goldstandard der Gesetzgebung.
Allerdings sollte man die bloße Schaffung von Gesetzen nicht überbewerten. Schließlich entscheidet über deren tatsächliche Bedeutung und Wirkung erst der gesellschaftliche und kulturelle Zusammenhang, in dem sie zur Anwendung kommen. So boten etwa das ausgefeilte Bundesdatenschutzgesetz über Jahrzehnte einen eher geringen Schutz der Rechte der Bürger*innen, weil es kaum durchgesetzt wurde. Private Akteure jedenfalls ignorierten über Jahre dessen Vorgaben größtenteils und betrachteten es als bloßen Papiertiger.
Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) hat diese Lage wesentlich verändert. Die EU beendete damit ihre gut 20 Jahre andauernde eigene Laissez-faire-Haltung in Sachen Digitalisierung und Privatheit. Denn die effektive Umsetzung stellt einen der Schwerpunkte des Gesetzes dar.
Möglich war das politisch wohl nur aufgrund einiger besonderer Umstände. In der EU war über Jahre der Eindruck gewachsen, man habe vor allem den großen US-Unternehmen der Digitalwirtschaft wirtschaftlich nichts entgegenzusetzen. Aufwändige Kartellverfahren gegen Google oder Microsoft zogen sich lange hin, selbst Strafen in Milliardenhöhe schienen keine Wirkung zu haben. Angebote und Plattformen dieser Unternehmen dominieren nach wie vor die verschiedenen Märkte in einer Weise, die zu massiven Abhängigkeiten europäischer Unternehmen führt. Echten Handlungsdruck erzeugten schließlich die Bedrohungen für so etablierte europäische Wirtschaftszweige wie das Automobilgeschäft. Vor diesem Hintergrund waren womöglich wettbewerbsförderliche Korrekturen von Geschäftsmodellen zumindest in Teilen auch über die Datenschutzgesetzgebung erreichbar und daher auch für europäische Wirtschaftskreise akzeptabel. Und die großen US-Digitalkonzerne konnten so immerhin auf mehr Rechtssicherheit und ein level playing field (gleiche Wettbewerbsbedingungen) in Europa setzen.
Stets spielt dabei auch das Ziel der Datensouveränität eine gewisse Rolle. Es fasst im Wesentlichen die Bereitschaft Europas zusammen, eine gegenüber den dominanten Digitalmächten USA und China eigenständige Datenpolitik zu verfolgen, um die heimische Wirtschaft vor Abhängigkeiten zu schützen.
Doch auch und insbesondere der bundesdeutsche und europäische Datenschutzdiskurs haben die DSGVO ermöglicht. Der Unmut über das Geschäftsgebaren von Unternehmen wie Facebook, Google und Co. und deren offenkundiger Unwille zu mehr Transparenz und Mitbestimmung über die kommerzielle Verwertung der kundenbeziehbaren Informationen und Daten war und ist groß. Mitten in die Umsetzungsphase des Gesetzes fielen im Sommer 2013 dann die Veröffentlichungen des Whistleblowers Edward Snowden. Sie gaben der DSGVO Rückenwind. Schwere Irritationen löste die mit den Snowden-Leaks verursachte Erkenntnis aus, wie sehr Europa in ein weltumspannendes Netzwerk von Massendatenabgriffen westlicher Geheimdienste verstrickt ist. Das totalitäre Potenzial der modernen Datenverarbeitung wurde sichtbar. Zumindest lag es nicht fern, Privatheit als eine vor dem Untergang zu bewahrende kulturelle Leistung moderner demokratischer Gesellschaften wahrzunehmen. Immerhin hatte der Geheimdienstskandal damit seinen Anteil daran, dass der schillernde Begriff der digitalen Souveränität seinen Eingang in die Datendebatten fand.
Heute steht die EU mit der DSGVO im Wettbewerb mit den streng marktliberal ausgerichteten, datenschutzarmen USA und dem autoritären, auf Überwachung der Gesamtbevölkerung abzielenden China als Leuchtturm grundrechtlicher und rechtsstaatlicher Bürgerorientierung da.
Die DSGVO kommt in den EU-Mitgliedstaaten unmittelbar zur Anwendung, was die Möglichkeiten, ihre Vorgaben zu umgehen, entscheidend verringert. Massive Sanktionsandrohungen und gerichtliche Klagen von Betroffenen verschafften dem Datenschutz erstmalig die volle Aufmerksamkeit auch in den Chefetagen. Der Anwendungsbereich wurde auf alle Unternehmen ausgeweitet, die mit ihren Produkten und Dienstleistungen den europäischen Markt erreichen (Marktortprinzip). Das zwang sogar die sogenannten GAFA plus M, sich mit der DSGVO auseinanderzusetzen. Erst kürzlich erklärte der Europäische Gerichtshof dann in der spektakulären Schrems-II-Entscheidung auf Grundlage der DSGVO das EU-Abkommen mit den USA über Datenübermittlungen in die USA für unwirksam. Damit wurden auf einen Schlag sämtliche Datenflüsse in die USA von Unternehmen mit Kunden in Europa rechtlich unsicher. Denn das Urteil lässt offen, in welchem Umfang bestehende rechtliche Instrumente diesen Datenflüssen weiter als Grundlage dienen können. Das Urteil war eine Reaktion auf den umfassenden Zugriff von US-Geheimdiensten auf die Daten der Digitalunternehmen, und auf den nicht mit Europa vergleichbaren Schutzstandard für Daten in den USA. Zwar bleibt damit die Rechtsunsicherheit der vielen betroffenen Unternehmen hoch und eine tragfähige Rechtsgrundlage für die Datenflüsse fehlt weiterhin. Doch der Datenschutz ist zu einer rechtlichen Größe gewachsen, mit der gerechnet werden muss.
Auf den zweiten Blick sieht es für den Datenschutz kurz- bis mittelfristig weniger rosig aus. Zumindest die EU-Kommission und die Datenschutzaufsichtsbehörden stehen unter Druck, viele Bestimmungen der DSGVO erst noch tatsächlich umzusetzen. Es hakt unter anderem bei der Abstimmung zwischen den Aufsichtsbehörden, ausgerechnet die Quasi-Monopolisten wie Facebook und Co. konnten bislang nicht belangt werden. Ungemach droht dem Datenschutz auch und gerade aus der Politik. Dort steigt der Druck, endlich Erfolge bei der Digitalisierung der Verwaltung, dem sogenannten E-Government, vorzuweisen. Der Datenschutz wird oft als störend wahrgenommen, übergangen oder als Sündenbock für gescheiterte Digitalprojekte missbraucht. Die immer wieder aufflammende Debatte um den Datenschutz als vorgebliches Hindernis bei der Corona-Bekämpfung steht stellvertretend für diesen Umgang. Die etablierte EU-Wirtschaft schließlich sieht sich durch die Digital-Konkurrenz aus China und den USA bedroht und fordert deshalb massive Unterstützung beim Aufbau datengetriebener Märkte. Die Politik gibt diesem Druck zunehmend nach, zugleich sträubt sie sich dagegen, nach der Verabschiedung der DSGVO noch eine weitere rote Linie zum Schutz der Bürger*innenrechte zu ziehen.
Auch die Corona-Pandemie spitzt viele liegen gebliebene oder verdrängte Probleme der Digitalisierung weiter zu. Der Druck zur sofortigen Digitalisierung, etwa im Bereich der Schulen, erzwingt pragmatische Entscheidungen und legt gnadenlos die Überforderung der zuständigen Behörden offen. Diese sind beispielsweise weder rechtlich noch faktisch in der Lage, Videokonferenzsoftware auf Datenschutzkonformität zu prüfen und Empfehlungen aus-zusprechen, ohne mit dem Risiko längerer Gerichtsverfahren gegen ihre Bewertungen rechnen zu müssen. Derweil sind fast die einzigen Profiteure der Pandemie die Quasi-Monopolisten der Digitalwirtschaft, deren Einfluss auch in der EU beständig zunimmt und die weiterhin als Quasi-Gesetzgeber Standards in ihrem Einflussbereich setzen. Hier bleibt der Gesetzgeber gefordert, im Rahmen der Plattformregulierung seinen grundrechtlichen Schutzpflichten nachzukommen und gegebenenfalls bis hin zu Entflechtungen der betreffenden Konzerne die Grundrechte der Bürger*innen durchzusetzen.
Was schützt der Datenschutz?
Was genau aber schützt der Datenschutz? Die Antwort weist den Weg, wie der Datenschutz weiterzuentwickeln ist.
Lange Jahre dümpelte der Datenschutz als Steckenpferd früher Informa-tiker*innen und Nischenjurist*innen in einem eher akademischen Abseits. Vieles änderte sich mit dem Volkszählungsurteil von 1983. Vorausgegangen waren breite Proteste in der Bevölkerung gegen Art und Umfang dieser Datenerhebung. Das Bundesverfassungsgericht schuf aus unterschiedlichen anerkannten Strängen des Grundrechts auf Achtung der freien Entfaltung der Persönlichkeit ein auf die Datenwelt zugeschnittenes, eher weit angelegtes Recht auf informationelle Selbstbestimmung.
Vor dem Urteil galten Inhalte und Daten allerdings nur dann als schützenswert, wenn sie der Privatsphäre entstammten, also die Privatheit ihres Entstehungskontextes teilten. Digitalisierung aber verselbstständigt gerade Informationen gegenüber ihrem Entstehungszusammenhang. Wer etwa seine private Kommunikation über das auf Vernetzung und Werbung ausgelegte Unternehmen Facebook führt, bewegt sich angesichts der entstehenden und nicht steuerbaren zusätzlichen Datenerfassungen nicht mehr in einem als privat zu bezeichnenden Raum. Kontextverlust ist Kennzeichen und insoweit Ziel der Datenverarbeitung, als gerade eine multifunktionale Verwendung von Daten angestrebt wird. Besonders deutlich wird das im heutigen Paradigma der Kombination aus Big Data und Techniken der KI, mit denen beliebige Korrelationen von Datenbeständen für statistische Prognosen ermöglicht werden. Am prominentesten wird die breite Nutzung von Gesundheitsdaten diskutiert. Der Datenschutz bietet hier ein weit angelegtes Schutzkonzept mit verschiedenen Schutzelementen, wie der Zweckbindung von Datenverarbeitungen, der Notwendigkeit von Rechtsgrundlagen, von Transparenz, Beteiligungsrechten und effektiver Aufsicht. Das Bundesverfassungsgericht bestätigte mit dem Volkszählungsurteil dieses Konzept im Wesentlichen innerhalb des Rechts auf informationelle Selbstbestimmung, das damit weit über technischen Datenschutz hinausreicht.
Der Umgang des Staates mit persönlichen Informationen und Daten wurde danach vom Bundesverfassungsgericht zielgenauer bearbeitet: Spezielle weitere Rechte wie das Recht am eigenen Wort, am eigenen Bild, das allgemeine Persönlichkeitsrecht oder auch das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (das sogenannte IT-Grundrecht) wurden geschaffen. Mit dieser Auffächerung setzte das Bundesverfassungsgericht eine Dimension des Volkszählungsurteils um, wonach erst der konkrete Verwendungskontext von Daten über den Schutzbedarf entscheidet.
It’s the information, stupid
Im Volkszählungsurteil schlummert eine weitere Grundentscheidung. Anders als die bis dahin bestehenden Datenschutzgesetze, die sich eng auf die Verarbeitung personenbezogener Daten konzentrieren, wurde das Recht auf informationelle Selbstbestimmung eben gerade nicht allein als Recht am eigenen Datum, sondern gleich eine ganze Dimension höher angelegt. Statt eines eigentumsanalogen Verständnisses, wonach Daten natürlichen Personen praktisch gehören, wurden übergreifend Selbstbestimmungsrechte für diejenigen geschaffen, die von Datenverarbeitungsprozessen betroffen sind. Die Bürger*innen bestimmen zum Teil darüber mit, ob und in welchem Umfang die sie betreffenden Informationen und Daten verarbeitet werden dürfen. Dementsprechend steht heute die Einwilligung als Rechtsgrundlage für Verarbeitungen im Mittelpunkt, aber auch etwa Auskunftsrechte, Widerspruchs- und Löschungsrechte.
Auf Grundlage dieses Urteils zeigte sich in der Rechtswissenschaft schon bald: Eigentlich geht es nicht um Datenschutzrecht, sondern um ein Recht des Umgangs mit personenbezogenen Informationen und Daten. Man kommt ohne die Unterscheidung von Informationen und Daten nicht mehr aus: Informationen sind die eigentliche Leitkategorie, nicht Daten. Daten sind die auf einem Datenträger sehr selektiv festgehaltenen Zeichen, die als Informationsgrundlagen dienen. Als bloße Zeichen weisen sie für sich allein auch keinen Personenbezug auf.
Informationen hingegen betreffen den Sinn, der aus Beobachtungen, Mitteilungen oder Daten erst erzeugt werden kann und muss. Informationsinhalte knüpfen also an Daten an, doch sie setzen auch eine aktive Interpretationsleistung des sinnhaften Verstehens der empfangenden Stelle oder Institution voraus. Damit rücken die Behörden oder Unternehmen und deren Prozesse in den Vordergrund. Deren interne Prozesse bilden einen Wissens- und Interpretationskontext, der auch ihr Handeln bestimmt. Deutlich wird: Wer den Umgang mit diesen personenbeziehbaren Daten effektiv schützen will, muss auf dieser empfangenden und verarbeitenden Seite durch präventive Vorgaben regulieren. Letztlich wird damit erst klar, wo die Risiken liegen, und wie weitgehend die Vorgaben des Rechts sein müssen, um die Betroffenen wirksam zu schützen. Der Schutz vor Staat und Wirtschaft hat inzwischen vergleichbaren Umfang, auch wenn er juristisch anders hergeleitet wird. Die Risiken für die Privatheit mögen im Einzelnen anders gelagert sein, erscheinen aber im Bereich der Wirtschaft heute vielfach tiefgreifender. Zudem behalten sich staatliche Stellen auch hier den Zugriff vor.
Die neuen (und alten) Herausforderungen der Digitalisierung
Der Datenschutz musste sich in Reaktion auf neue Entwicklungen der IT-Industrie beständig fortentwickeln, um den durch die informationelle Selbst-bestimmung gebotenen Schutzstandard zu gewährleisten. Bedeutende Weiterentwicklungen lagen in Konzepten von Zertifizierungen und Audits, dem Privacy by Design, dem Selbstdatenschutz oder der Transparenz von Technik. Den Aufsichtsbehörden wird viel Konkretisierungsarbeit bei der Auslegung von Gesetzen überlassen. Doch für einzelne Entwicklungen wird dieser bestehende allgemeine Rahmen kaum mehr genügen.
Bereits während der Verhandlungen zur DSGVO wurde die vielgestaltige Nutzbarkeit von Big Data in Verbindung mit KI als offenkundig grundlegende Veränderung in Wirtschaft und Verwaltung erkannt. Dabei geht es um technische Systeme, die so konzipiert sind, dass sie Probleme eigenständig bearbeiten und sich selbst auf veränderliche Bedingungen einstellen können. Systeme künstlicher Intelligenz basieren auf der Analyse von Massen von Daten (Big Data), die zum ständigen Trainieren der Algorithmen gebraucht werden. Noch geht es um die auf bestimmte Ziele beschränkte, schwache KI und um überwiegend unterstützende Aufgaben. Doch zukünftig werden mit der sogenannten starken KI Systeme entstehen, die in der Lage sind, die Vorgaben der Programmierung zu verlassen und eigenständige kognitive Fähigkeiten aufzubauen. Sie sind mehr als je zuvor bei digitaler Technologie eine Black Box. Sie sind insbesondere mit der Auswertung großer Datenmengen (Big Data) befasst, um Prognosen zu erstellen und komplexe Prozesse zu steuern. Als ein Beispiel gilt das selbstfahrende Auto. Sensorgestützte Umwelten der Datenerfassung, die wiederum digitale Zwillinge analoger Umgebungen zu erstellen suchen, bilden die Grundlage. Deren Daten werden den sogenannten Big-Data-Reservoirs (z.B. in Gestalt von Cloud-Datenspeichern) zur Verfügung gestellt, die als Datenpools für das Trainieren der Algorithmen dienen.
Es handelt sich um eine übergreifende, alle Wirtschafts- und Gesellschaftsbereiche erfassende IT-Entwicklung: Von der Krebsbekämpfung über Predictive Policing (vorhersagende Polizeiarbeit) bis zum autonomen Fahren soll KI die technische Grundlage für Innovationen und neue Geschäftsmodelle bilden und Entscheidungsprozesse steuern. Die beschriebenen Herausforderungen lassen sich unter anderem durch die folgenden Ansätze angehen.
Anonymisierung und Personenbezug
Gerade bei Big-Data-Analysen ist vorab unklar, wofür Daten verarbeitet werden. Zusätzlich ist es für Aufsichtsbehörden kaum möglich, die Transparenz der Funktionsweise und Nachvollziehbarkeit (Revisibilität) zu sichern. Und Anwender*innen versuchen durch vollständige Anonymisierung den Anwendungsbereich des Datenschutzes gänzlich zu meiden. Doch gelingt eine vollständige Anonymisierung im heutigen Umfeld der Datenverarbeitung faktisch kaum noch oder nicht dauerhaft zuverlässig. Dynamische Veränderungen der Datensätze und auch wachsendes Zusatzwissen wie etwa durch Open-Data-Datenbanken erlauben die De-Anonymisierung.
Dieser Befund stellt daher die bislang auch vom Gesetzgeber vehement vorgenommene Trennung personenbezogener und nicht-personenbezogener Daten infrage. Wenn heute scheinbar anonyme Datenbestände durch die erwartbare Art und Weise ihrer Verarbeitung zu irgendeinem Zeitpunkt doch wieder personenbeziehbar werden, liegt es nahe, auch die bisherige völlige Befreiung nicht-personenbezogener Daten vom rechtlichen Regime des Datenschutzes anzuzweifeln. Damit gerät auch der Glauben an die schützenden Wirkungen der Anonymisierung, an den sich auch der Gesetzgeber klammert, ins Wanken.
Daten als kommerzielle Güter und Innovationsressource
Die neuen Technologien entwickeln sich im internationalen Wettbewerb der Datenökonomien. Aus ökonomischer Sicht werden personenbezogene Daten längst als kommerzielle Güter bewertet und auch gehandelt. Beispielhaft stehen hierfür die gigantischen Werttaxierungen der großen IT-Unternehmen sowie die in der Praxis von Unternehmenskäufen entscheidende Due-Diligence-Prüfung (sorgfältige Prüfung) auch der personenbezogenen Datenbestände zur Werterhebung und Kaufpreisbildung. Politisch erfahren derzeit Datenstrategien und KI-Entwicklungen allerhöchste Priorität und Förderung. Im Kern geht es darum, Datennutzung, Datentausch und Datenhandel zu ermöglichen und zu fördern, um die für die digitale und insbesondere die KI-Wirtschaft erforderlichen massenhaften Datenbestände zu erschließen. Neben der Öffnung von (zunächst) nicht-personenbezogenen Daten sollen dabei stets auch personenbezogene Datenbestände mobilisiert und besser handelbar werden. Beispielsweise werden vermehrt sogenannte Datentreuhänder und datenaltruistische Organisationen in Stellung gebracht. Unabhängig von diesen gesetzgeberischen Anstrengungen besteht ein weltweit organisierter, sehr weitgehender grauer Handel mit personenbezogenen Daten.
Einwilligungsfragen und kollektive Wirkungen durch Datenverarbeitung
Das bestehende Datenschutzregime bleibt individualistisch ausgerichtet. Der Schutz der oder des Einzelnen steht im Mittelpunkt. Konsequenterweise steht im privaten Sektor die individuelle Einwilligung zur Datenverarbeitung im Mittelpunkt. Diese ist im Kontext des Internets und komplexer Datenverarbeitungen schon lange als problembehaftet erkannt, wenn nicht dysfunktional geworden. Die Allgemeinen Geschäftsbedingungen der Anbieter sind unlesbar, überfordern und fallen damit als Informationsquelle für die Betroffenen aus. Die allermeisten Menschen klicken sich ritualisiert durch. Das beste Beispiel bieten die mit Inkrafttreten der DSGVO noch penetranteren sogenannten Cookie-Banner. Hier blockiert die Werbeindustrie weiterhin nutzerfreundliche technische Lösungen etwa durch sogenannte Do-not track-Browser-Voreinstellungen.
Nils Leopold in: Der Wert der Digitalisierung, Gemeinwohl in der digitalen Welt; transcript Verlag, Bielefeld; 2021
Creative Commons https://creativecommons.org/licenses/by/4.0/
Zur einfacheren Lesbarkeit wurden die Quellenverweise und Fussnoten entfernt.