Einleitung
Die Miniaturisierung technischer Komponenten (Prozessoren, Sensoren, Aktoren, Mikrofone und Kameras) schreitet fort. Die Leistung von Rechnern und drahtlosen Kommunikationstechniken wird permanent erhöht, Sensorik und Ortsbestimmung erreichen eine hohe Genauigkeit und die autarke Energieversorgung wird zunehmend leistungsfähiger.Die technischen Komponenten und Dienstleistungen werden zudem immer billiger und breiter verfügbar. Diese technisch-wirtschaftlichen Entwicklungen lassen eine Welt wahrscheinlich werden, in der viele Alltagsgegenstände mit Sensor-, Kommunikations- und Rechnertechnik ausgestattet sind. Die Vision, die Mark Weiser bereits 1990 als ubiquitous computing formulierte, 1 scheint Wirklichkeit zu werden. Wir gehen einer Welt entgegen, in der Datenverarbeitung allgegenwärtig geworden ist, aber im Hintergrund abläuft, in der computerisierte Alltagsgegenstände unmerklich und umfassend den Menschen in einer "smarten" Umgebung ihre Dienste anbieten. 2
Diese Welt wird neue Chancen für persönliche Entfaltung und Komfort, für Wirtschaft und Arbeit bringen, aber sie stellt auch viele Herausforderungen an die Selbstbestimmung der Individuen. Aus Sicht des Datenschutzes kann der bevorstehende Entwicklungssprung kaum überbewertet werden, denn er stellt die bewährten Regulierungskonzepte in Frage und erfordert die Entwicklung neuer Ansätze des Datenschutzes.
Bereits eine kurze Betrachtung der gemeinsamen Entwicklungsschritte von Informationstechnik und Datenschutz macht dies deutlich. 3 In einer ersten Stufe fand die Datenverarbeitung in Rechenzentren statt. Die Daten wurden in Formularen erfasst und per Hand eingegeben. Die Datenverarbeitung betraf nur einen kleinen Ausschnitt des Lebens und war - soweit die Daten beim Betroffenen erhoben worden waren - für diesen weitgehend kontrollierbar. Der Betroffene wusste in der Regel, wo welche Daten über ihn verarbeitet wurden. Für diese Stufe der Datenverarbeitung sind die Schutzkonzepte der ursprünglichen Datenschutzgesetze entwickelt worden (dies gilt auch für die europäische Datenschutz-Richtlinie). Die Nutzung von PCs hat die Datenschutzrisiken zwar erhöht, aber nicht auf eine neue qualitative Stufe gehoben.
Die zweite Stufe wurde mit der - weltweiten - Vernetzung der Rechner erreicht. Dadurch entstand ein eigener virtueller Sozialraum, in den nahezu alle Aktivitäten, die in der körperlichen Welt vorgenommen werden, übertragen wurden. Jede Handlung in diesem Cyberspace hinterlässt Datenspuren. Weder die Erhebung der Daten noch deren - letztlich weltweite - Verbreitung und Verwendung können vom Betroffenen kontrolliert werden. Für die Datenverarbeitung in Deutschland versuchen die Ende der neunziger Jahre erlassenen Multimedia-Datenschutzgesetze, die Risiken in den Griff zu bekommen. 4 Diese Datenverarbeitung betrifft je nach Nutzung des Internets einen großen oder kleinen Ausschnitt des täglichen Lebens, diesen aber potenziell vollständig. Allerdings kann der Betroffene den Risiken des Internets zumindest noch dadurch entgehen, dass er diesen virtuellen Sozialraum meidet.
Mit ubiquitous computing, allgegenwärtigem Rechnen, gelangt die Datenverarbeitung in die Alltagsgegenstände der körperlichen Welt - und damit auf eine neue, dritte Stufe. Sie erfasst potenziell alle Lebensbereiche und diese potenziell vollständig. In dieser Welt wachsen Körperlichkeit und Virtualität zusammen. Informationen aus der virtuellen Welt werden in der körperlichen verfügbar, Informationen aus der realen Welt in die virtuelle integriert. Aus dieser Welt und der in ihr stattfindenden Datenverarbeitung gibt es keinen Ausweg.
Insofern verschärft sich das Problem des Datenschutzes radikal, und seine Lösung wird existenziell. Datenschutz wird in einer so skizzierten Welt immer wichtiger, aber er wird auch zunehmend gefährdet sein. Im Folgenden wird das rechtliche Konzept der informationellen Selbstbestimmung für die erste und auch die zweite Stufe beschrieben. Sodann werden die Herausforderungen untersucht, denen dieses Konzept in der dritten Stufe ausgesetzt ist. Schließlich wird versucht, Ansätze zu benennen, die erforderlich sind, um Selbstbestimmung auch in dieser neuen Welt zu ermöglichen.
Informationelle Selbstbestimmung und Datenschutzrecht
Datenschutz ist ein irreführender Begriff, denn es sollen nicht die Daten (des Datenbesitzers) geschützt werden, sondern die informationelle Selbstbestimmung (des Betroffenen). Informationelle Selbstbestimmung lautet für das Bundesverfassungsgericht (BVerfG) die verfassungsrechtliche Antwort auf die besonderen Risiken der automatischen Datenverarbeitung für die Selbstbestimmung des Einzelnen. Dieses Grundrecht hat eine subjektive und eine objektive Schutzrichtung.
Die informationelle Selbstbestimmung schützt zum einen die selbstbestimmte Entwicklung und Entfaltung des Einzelnen. Diese kann nur in einer für ihn kontrollierbaren Selbstdarstellung in unterschiedlichen sozialen Rollen und der Rückspiegelung durch die Kommunikation mit anderen gelingen. Wer dagegen "nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden". 5
Informationelle Selbstbestimmung ist zugleich die Grundlage einer freien und demokratischen Kommunikationsverfassung. Selbstbestimmung ist "eine elementare Funktionsbedingung eines freiheitlich demokratischen Gemeinwesens", das "auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger" angewiesen ist. 6 Informationelle Selbstbestimmung zielt somit auf eine Kommunikationsordnung, die einen selbstbestimmten Informationsaustausch und eine freie demokratische Willensbildung ermöglicht.
Um informationelle Selbstbestimmung wirksam werden zu lassen, verfolgt das Datenschutzrecht das folgende normative Schutzprogramm: 1. Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn der Gesetzgeber oder der Betroffene diese hinsichtlich Umfang und Zweck gebilligt haben. 2. Damit der Betroffene die Datenverarbeitung am Maßstab der gesetzlichen Erlaubnis kontrollieren oder informiert in diese einwilligen kann, muss die Datenverarbeitung ihm gegenüber transparent sein. 3. Die Datenverarbeitung ist nur für den gebilligten Zweck zulässig und darf nur in dem Umfang erfolgen, der erforderlich ist, um diesen zu erreichen. Der Betroffene hat Auskunfts- und Korrekturrechte.
Herausforderungen durch allgegenwärtige Datenverarbeitung
Die Gewährleistung der informationellen Selbstbestimmung durch dieses normative Schutzprogramm ist durch die Entwicklung zu einer allgegenwärtigen Datenverarbeitung gefährdet. Dadurch wird nicht die Notwendigkeit informationeller Selbstbestimmung in Frage gestellt. Wenn die Welt allgegenwärtiger Datenverarbeitung human und lebenswert sein soll, muss diese Selbstbestimmung mehr noch als heute gewährleistet sein. Fraglich ist jedoch, ob das bisherige datenschutzrechtliche Schutzprogramm für dieses Grundrecht noch angemessen ist. 7
Die meisten Anwendungen allgegenwärtiger Informationstechnik werden von den Betroffenen selbst gewählt und gern genutzt, weil sie ihnen Erweiterungen ihrer geistigen und körperlichen Fähigkeiten bieten, sie bei Routineaufgaben unterstützen, ihnen Entscheidungen abnehmen und das Leben bequemer machen. Sie werden individualisierte Dienste und Geräte fordern, die sich ihnen anpassen, und im Gegenzug - mehr oder weniger notgedrungen - damit einverstanden sein, dass die Hintergrundsysteme die notwendige Kenntnis über ihre Lebensweisen, Gewohnheiten, Einstellungen und Präferenzen erhalten. Zwar wird es auch künftig klare und einfache Frontstellungen zwischen Betroffenen und Datenverarbeitern geben, die zum Beispiel Waren mit RFID 8 versehen, diese auswerten und ihren Kunden keine Wahlmöglichkeit lassen. Hierfür werden dem bestehenden Datenschutzprogramm klare Antworten zu entnehmen sein, die den Aufsichtsbehörden ein passendes Verhalten ermöglichen. Im Regelfall werden aber die Verhältnisse komplizierter und schwieriger zu bewerten sein.
Computerisierte Alltagsgegenstände begleiten die Menschen bei ihren Tätigkeiten und unterstützen sie - scheinbar mitdenkend - in einer sich selbst organisierenden Weise. Sie fungieren nicht mehr nur als Träger und Mittler von Daten, sondern generieren Daten selbst, die sie untereinander austauschen, und "entwickeln" ein eigenes "Gedächtnis". Sie werden unmerklich Teil des Verhaltens und Handelns ihrer Nutzer. Sie ermöglichen es, von den Betroffenen sehr präzise Profile über ihre Handlungen, Bewegungen, Beziehungen, Verhaltensweisen, Einstellungen und Präferenzen in der körperlichen Welt zu erzeugen. Interessenten für diese Daten könnten zum Beispiel Anbieter von Waren und Dienstleistungen, Arbeitgeber, Versicherungen, Auskunfteien oder staatliche Überwachungsbehörden, aber auch der neugierige Nachbar oder ein eifersüchtiger Liebhaber sein. Mit der allgegenwärtigen Datenverarbeitung wird eine potenziell perfekte Überwachungsinfrastruktur aufgebaut. Durch die Pflicht von Telekommunikationsanbietern zur Vorratsdatenspeicherung wurde für staatliche Überwachungsbehörden hierzu auch schon ein Zugang eröffnet.
Durch allgegenwärtige Datenverarbeitung werden nicht nur neue Missbrauchsmöglichkeiten eröffnet. Diesen könnte man durchaus mit dem bisherigen Schutzprogramm (und eventuell besser ausgestatteten Aufsichtsbehörden) begegnen. Entscheidender ist, dass durch allgegenwärtige Datenverarbeitung das bisherige Schutzprogramm als solches in jedem seiner Bestandteile in Frage gestellt wird.
So stoßen zum Beispiel die bisherigen Instrumente der Transparenz an subjektive Grenzen. Allein die zu erwartende Vervielfachung der Datenverarbeitungsvorgänge in allen Lebensbereichen übersteigt die mögliche Aufmerksamkeit um ein Vielfaches. Zudem soll die allgegenwärtige Rechnertechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen. Niemand würde es akzeptieren, wenn er täglich tausendfach bei meist alltäglichen Tätigkeiten Anzeigen, Unterrichtungen oder Hinweise zur Kenntnis nehmen müsste. Selbst wenn er dies wollte, stehen oft keine oder keine adäquaten Ausgabemedien zur Verfügung. Außerdem setzen hohe Komplexität und vielfältige Zwecke der möglichen Transparenz objektive Grenzen. Statt eines einfachen Datensatzes (z.B. Postadresse) würde dem Betroffenen bei einer Auskunft über die verarbeiteten Daten ein komplexes Sensordestillat präsentiert, bei dem meist nur vermutet werden kann, dass es die betroffene Person meint. 9 Für viele Anwendungen wird bei der Datenerhebung unklar sein, ob die Daten personenbezogen sind. Sie erhalten den Personenbezug - wenn überhaupt - oft erst viel später. Vielfach wird die (Mit-)Erhebung von Daten (durch Kamera oder Sensor) sogar unerwünscht sein. Eine Unterrichtung des Betroffenen wird daher vielfach unmöglich oder sehr schwierig sein.
Eine Einwilligung für jeden Akt der Datenverarbeitung zu fordern, würde angesichts der Fülle und Vielfalt der Vorgänge und der Unzahl von verantwortlichen Stellen zu einer Überforderung aller Beteiligten führen. Noch weniger umsetzbar wäre es, hierfür die geltenden Formvorschriften - Schriftform oder elektronische Form - zu fordern. Selbst eine Einwilligung in der für das Internet gedachten Form einer elektronischen Bestätigung 10 dürfte unter diesen Umständen meist nicht praktikabel sein. In dieser Welt wird die Einwilligung als Instrument des Datenschutzrechts in bisher bekannter Form nur in generalisierter Anwendung überleben können. Bei vorher bekannten Dienstleistungen werden die Betroffenen in Rahmenverträgen mit allgemeinen Zweckbestimmungen ihre Einwilligung erteilen. Damit wird die Steuerungskraft der Einwilligung für die Zulässigkeit der Datenverarbeitung noch weiter sinken. Für spontane Kommunikationen wird die Einwilligung ihre Bedeutung ganz verlieren.
Die Zweckbindung widerspricht der Idee einer unbemerkten, komplexen und spontanen technischen Unterstützung. Je vielfältiger und umfassender die zu erfassenden Alltagshandlungen sind, umso schwieriger wird es, den Zweck einzelner Datenverarbeitungen vorab festzulegen und zu begrenzen. 11 Die klare Bestimmung des Zwecks, der oft durch die funktionale Zuordnung zu einem Gerät abgegrenzt war (zum Beispiel: Fernsprechapparat für Sprachkommunikation), ist nicht mehr möglich. Daher stellt sich die Frage, ob der bereichsspezifisch, klar und präzise festgelegte Zweck, den das BVerfG fordert, 12 noch das angemessene Kriterium sein kann, um die zulässige Datenverarbeitung abzugrenzen. 13 So kann etwa für Ad-hoc-Kommunikation, für die sich die Infrastruktur jeweils situationsabhängig und ständig wechselnd mit Hilfe der Endgeräte der Kommunikationspartner und unbeteiligter Dritter bildet, nicht vorherbestimmt werden, welche Beteiligten zu welchen Zwecken welche Daten erhalten und verarbeiten. 14 Jeder kann ein mobiles Ad-hoc-Netz, sozial betrachtet, für beliebige Zwecke benutzen. Jeder kann in diesem Netz, technisch betrachtet, zeitweise und abwechselnd als Sender, Mittler und Empfänger wirken. Werden dabei die Vorgänge in verschiedenen Lebensbereichen miteinander verknüpft oder werden technische Funktionen miteinander verschmolzen, wechselt der Zweck, zu dem Daten anfänglich erhoben und verarbeitet wurden, mehrfach - ohne dass dies dem vom Gesetzgeber oder dem Betroffenen gewünschten Ziel widerspricht.
Werden aber Daten für vielfältige und wechselnde Zwecke erhoben, sind eine an einem begrenzten Zweck orientierte Abschottung von Daten, ein daran anknüpfender Zugriffsschutz und eine auf der Zweckunterscheidung aufbauende informationelle Gewaltenteilung schwierig zu verwirklichen, vielfach sogar unpassend. Ähnlich verhält es sich mit dem Verbot einer Datenhaltung auf Vorrat und einer Profilbildung. Wenn Anwendungen Erinnerungsfunktionen für künftige Zwecke erfüllen sollen, die noch nicht bestimmt werden können, sind Datenspeicherungen auf Vorrat nicht zu vermeiden. Wenn die Systeme kontextsensitiv und selbstlernend sein sollen, werden sie aus den vielfältigen Datenspuren, die der Nutzer bei seinen Alltagshandlungen hinterlässt, und seinen Präferenzen, die seinen Handlungen implizit entnommen werden können, vielfältige Profile erzeugen müssen.
Das Problem der Zweckbindung könnte formal durch eine weite Fassung der Zweckbestimmung gelöst werden. Dadurch wird aber die Steuerungswirkung der Zweckbestimmung nicht verbessert. Im Gegenteil - Generalklauseln wie das "berechtigte Interesse" und Gebote zur Abwägung mit "schutzwürdigen Interessen" des Betroffenen 15 wären für die informationelle Selbstbestimmung kontraproduktiv, weil sie praktisch die Datenverarbeitung freigeben und für den Betroffene unkontrollierbar machen. 16 Bleiben solche Generalklauseln bestehen, werden sie bei einer allgegenwärtigen Datenverarbeitung mit neuen Bedeutungen gefüllt. Sie werden in der Praxis die "Freikarte" für alle Interessierten sein, die vielfältigen und umfassenden Datenspuren für ihre Zwecke zu verarbeiten.
Da das Prinzip der Erforderlichkeit am Zweck der Datenverarbeitung ausgerichtet ist, erleidet es die gleiche Schwächung wie das Prinzip der Zweckbindung. Soll die Datenverarbeitung im Hintergrund ablaufen, auf Daten zugreifen, die durch andere Anwendungen bereits generiert wurden, und gerade dadurch einen besonderen Mehrwert erzeugen, wird es schwierig sein, für jede einzelne Anwendung eine Begrenzung der zu erhebenden Daten oder deren frühzeitige Löschung durchzusetzen. Auch die Einbeziehung von Umweltbedingungen mittels Sensortechnik in einer dynamischen, laufend aktualisierenden Weise beschränkt zudem die Begrenzungsfunktion des Erforderlichkeitsprinzips. Das Ziel, die Gegenstände mit einem "Gedächtnis" auszustatten, um dadurch das löchrige Gedächtnis des Nutzers zu erweitern, lässt das Erforderlichkeitsprinzip leer laufen. 17
Aus dem gleichen Grund stößt der Grundsatz der Datenvermeidung an Grenzen. Vielfach kann erst eine Vielzahl langfristig gespeicherter Daten die gewünschte Unterstützungsleistung bieten. Auch die Verarbeitung anonymer und pseudonymer Daten kann ungeeignet sein, weil die Daten oftmals unmittelbar erhoben werden: Eine Kamera, ein Mikrofon oder ein Sensor nehmen anders als ein Webformular den Benutzer direkt wahr und können vielfach nicht ohne Offenlegung der Identität des Benutzers verwendet werden. Indirekte Sensoren wie zum Beispiel druckempfindliche Bodenplatten können auch ohne direkte Wahrnehmung primärer biometrischer Attribute durch Data-Mining-Techniken Menschen etwa an ihrem Gang identifizieren. Die für die allgegenwärtige Datenverarbeitung typische enge Verknüpfung der Sensorinformation mit Ereignissen der realen Welt erlaubt selbst bei konsequenter Verwendung von Pseudonymen in vielen Fällen eine einfache Personenidentifikation. So können zum Beispiel bei einem Indoor-Lokalisierungssystem die pseudonymen Benutzer anhand ihres bevorzugten Aufenthaltsortes identifiziert werden. 18
Mitwirkungs- und Korrekturrechte des Betroffenen werden wegen der Vervielfachung und Komplexität der Datenverarbeitung im Alltag, die oft unmerklich stattfinden wird, an Durchsetzungsfähigkeit verlieren. Außerdem werden die Vielzahl der beteiligten Akteure, die spontane Ver- und Entnetzung sowie der ständige Rollenwechsel zwischen Datenverarbeiter und Betroffenem zu einer Zersplitterung der Verantwortung für die Datenverarbeitung führen. Schließlich werden die verantwortlichen Stellen selbst oft nicht wissen, welche personenbezogenen Daten sie verarbeiten. Vorgänge aber zu protokollieren, um Auskunfts- und Korrekturrechte erfüllen zu können, wäre in vielen Fällen im Hinblick auf Datensparsamkeit kontraproduktiv.
Zusammenfassend ist festzustellen: Alle Bestandteile des überkommenen Schutzprogramms werden durch allgegenwärtige Datenverarbeitung ausgehöhlt oder überspielt. Daher ist die Frage ganz grundsätzlich zu stellen, ob unter diesen Verhältnissen informationelle Selbstbestimmung überhaupt noch möglich ist.
Ansätze zur Wahrung der informationellen Selbstbestimmung
Um informationelle Selbstbestimmung weiterhin zu gewährleisten, muss das normative Schutzprogramm modifiziert und ergänzt werden. In welche Richtung diese Modernisierung des Datenschutzrechts gehen muss, soll kurz angedeutet werden. 19
Erstens sind die bisherigen Zulassungskontrollen verstärkt durch Gestaltungs- und Verarbeitungsregeln zu ergänzen. Statt das Schwergewicht auf eine einmalige, lange vor der Datenverarbeitung liegende Zulassungsentscheidung durch Zwecksetzung des Gesetzgebers oder des Betroffenen zu legen, sollte Datenschutz künftig vorrangig durch Gestaltungs- und Verarbeitungsregeln bewirkt werden, die permanent zu beachten sind. 20 So könnte zum Beispiel Transparenz statt auf einzelne Daten stärker auf Strukturinformationen bezogen sein und statt durch eine einmalige Unterrichtung durch eine ständig einsehbare Datenschutzerklärung im Internet gewährleistet werden. Eine andere Transparenzforderung könnte darin liegen, von allen datenverarbeitenden Alltagsgegenständen eine technisch auswertbare Signalisierung zu fordern, wenn sie Daten erheben. Die Einwilligung könnte eine Aufwertung erfahren, wenn sie auf ein technisches Gerät der betroffenen Person "delegiert" werden könnte, das bei jedem signalisierten Verarbeitungsvorgang im Hintergrund die Datenschutz-Policies prüft, akzeptiert oder verwirft. 21 Als ein Einverständnis könnte auch anzusehen sein, wenn der Betroffene bewusst und freiwillig seine individuellen Fähigkeiten unterstützende und verstärkende Techniksysteme und Dienste nutzt. Im Gegenzug müssen diese so gestaltet sein, dass sie über Datenschutzfunktionen verfügen, die er auswählen und für sich konfigurieren kann. 22
Die Beispiele haben gezeigt, dass diese Gestaltungs- und Verarbeitungsregeln auf technische Umsetzung angewiesen sind. Daher sollte Datenschutz zweitens stärker durch Technikgestaltung statt durch Verhaltensregeln gewährleistet werden. 23 Informationelle Selbstbestimmung muss durch Infrastrukturen unterstützt werden, die es ermöglichen, auf Gefährdungen automatisch zu reagieren, ohne dass dies aufdringlich oder belästigend wirkt. Ein Beispiel: Die Einhaltung von Verarbeitungsregeln zu kontrollieren darf nicht die permanente persönliche Aufmerksamkeit erfordern, sondern muss automatisiert erfolgen. Wenn die datenverarbeitenden Alltagsgegenstände ein Signal aussenden, kann dies von einem Endgerät des Betroffenen erkannt werden und zu einer automatisierten Auswertung der zugehörigen Datenschutzerklärung führen. Entsprechend den voreingestelltenDatenschutzpräferenzen kann dann ein P3P 24 -ähnlicher Client die Einwilligung erteilen oder ablehnen. In Zweifelsfällen kann das Gerät je nach Voreinstellung den Betroffenen warnen und ihm die Erklärung in der von ihm gewählten Sprache anzeigen oder akustisch ausgeben. Die Hinweis- und Warndichte muss einstellbar sein. 25 Die Durchsetzung von Verarbeitungsregeln muss im Regelfall durch Technik und nicht durch persönliches Handeln des Betroffenen erreicht werden. 26 Technischer Datenschutz hat gegenüber rein rechtlichem Datenschutz Effektivitätsvorteile: Was technisch verhindert wird, muss nicht mehr verboten werden. Gegen Verhaltensregeln kann verstoßen werden, gegen technische Begrenzungen nicht. Datenschutztechnik kann so Kontrollen und Strafen überflüssig machen.
Drittens muss Vorsorge die Gefahrenabwehr ergänzen, zum einen durch die Reduzierung von Risiken und zum anderen durch präventive Folgenbegrenzungen potenzieller Schäden. Die Risiken für die informationelle Selbstbestimmung sind in einer Welt allgegenwärtiger Datenverarbeitung nicht mehr ausreichend zu bewältigen, wenn nur auf die Verarbeitung personenbezogener Daten abgestellt wird. Vielmehr sind im Sinn vorgreifender Folgenbegrenzung auch Situationen zu regeln, in denen noch gar keine personenbezogenen Daten entstanden sind. So bedürfen zum Beispiel die Sammlungen von Sensorinformationen, Umgebungsdaten oder von pseudonymen Präferenzen einer vorsorgenden Regelung, wenn die Möglichkeit oder gar die Absicht besteht, sie irgendwann einmal mit einem Personenbezug zu versehen. 27 Auch sind zur Risikobegrenzung Anforderungen an eine transparente, datensparsame, kontrollierbare und missbrauchsvermeidende Technikgestaltung zu formulieren. Ebenso entspricht es dem Vorsorgegedanken, die einzusetzenden Techniksysteme präventiven (freiwilligen) Prüfungen ihrer Datenschutzkonformität zu unterziehen und diese Prüfung zu dokumentieren.
Regelungen, die sich nur an Datenverarbeiter richten, dürften viele Gestaltungsziele nicht erreichen. In viel stärkerem Maß sind daher viertens die Technikgestalter als Regelungsadressaten anzusprechen. Diese sollten vor allem Prüfpflichten für eine datenschutzkonforme Gestaltung ihrer Produkte, eine Pflicht zur Dokumentation dieser Prüfungen für bestimmte Systeme und Hinweispflichten für verbleibende Risiken treffen. 28 Auch sollten sie verpflichtet werden, ihre Produkte mitdatenschutzkonformen Default-Einstellungen auszuliefern. 29
Die datenschutzgerechte Gestaltung der künftigen Welt allgegenwärtiger Datenverarbeitung fordert die aktive Mitwirkung der Entwickler, Gestalter und Anwender. Sie werden nur für eine Unterstützung zu gewinnen sein, wenn sie davon einen Vorteil haben. Daher sollte fünftens die Verfolgung legitimen Eigennutzes in einer Form ermöglicht werden, die zugleich auch dem Gemeinwohl dient. Datenschutz muss daher zu einem Werbeargument und Wettbewerbsvorteil werden. Dies ist möglich durch die freiwillige Auditierung von Anwendungen, die Zertifizierung von Produkten und die Präsentation von Datenschutzerklärungen. Werden diese von Datenschutzempfehlungen à la "Stiftung Warentest", von Rankings oder durch die Berücksichtigung bei öffentlichen Auftragsvergaben begleitet, kann ein Wettbewerb um den besseren Datenschutz entstehen. Dann werden die Gestaltungsziele beinahe von selbst erreicht. 30
Der Schutz der informationellen Selbstbestimmung bedarf schließlich sechstens einer objektiven Ordnung, die in der Praxis mehr und mehr an die Stelle individueller Rechtewahrnehmung tritt. Die Einhaltung von Datenschutzvorgaben kann künftig immer weniger von der individuellen Kontrolle des Betroffenen abhängig gemacht werden. Sie muss in noch viel stärkerem Maß stellvertretend Kontrollverfahren und Kontrollstellen übertragen werden, die das Vertrauen der Betroffenen genießen. Gegenstand der Kontrolle müssen Systeme mit ihren Funktionen und Strukturen sein, nicht so sehr die individuellen Daten. Ziel der Kontrolle muss es sein, die individuellen und gesellschaftlichen Wirkungen der technischen Systeme zu überprüfen und diese datenschutzgerecht zu gestalten.
Ausblick
Informationelle Selbstbestimmung wird im 21. Jahrhundert nur gewahrt werden können, wenn ihr Schutzprogramm modifiziert und ergänzt wird. Notwendig ist eine objektivierte Ordnung der Datenverarbeitung und -kommunikation bei professioneller Kontrolle, mit vorsorgender Gestaltung von Strukturen und Systemen, der Inpflichtnahme von Herstellern zur Umsetzung von Datenschutz in Technik sowie der Nutzung von Eigennutz durch Anreize zu datenschutzgerechtem Handeln.
Ob diese neuen Ansätze erfolgreich sind, muss bis zum Beweis durch die Praxis als offen gelten. Sie sind notwendige, keine hinreichenden Bedingungen. Hinzu kommen müssen bei den Individuen das Bewusstsein, dass informationelle Selbstbestimmung ein hohes, aber gefährdetes Gut ist, sowie der Wunsch, es zu bewahren, und in der Gesellschaft die Erkenntnis, dass hierfür Strukturänderungen erforderlich sind, und der politische Wille, sie auch umzusetzen. Ohne die dargestellten Anpassungen dürfte die Vorhersage nicht schwer sein, dass die informationelle Selbstbestimmung schleichend ihrer Bedeutungslosigkeit entgegengeht.
1 Vgl. Mark
Weiser, The Computer for the 21st Century, in: Scientific American,
265 (1991), S. 94 - 104.
2 Vgl. Vlad Coroama u.a., Szenarien des
Kollegs "Leben in einer smarten Umgebung - Auswirkungen des
Ubiquitous Computing", 2003; Marc Langheinrich/Friedemann Mattern,
Digitalisierung des Alltags. Was ist Pervasive Computing?, in: Aus
Politik und Zeitgeschichte, (2003) 42, S. 6 ff.; Friedemann Mattern
(Hrsg.), Total vernetzt, Berlin 2003; Elgar Fleisch/Friedemann
Mattern (Hrsg.), Das Internet der Dinge. Ubiquitous Computing und
RFID in der Praxis: Visionen, Technologien, Anwendungen,
Handlungsanleitungen, Berlin 2005.
3 Vgl. Alexander Roßnagel, Das
rechtliche Konzept der Selbstbestimmung in der mobilen
Gesellschaft, in: Jürgen Taeger/Andreas Wiebe (Hrsg.),
Mobilität - Telematik - Recht, Köln 2005, S. 54f.
4 Vgl. z.B. Alexander Roßnagel,
Datenschutz in Tele- und Mediendiensten, in: ders. (Hrsg.),
Handbuch Datenschutzrecht, München 2003, S. 1280ff.
5 BVerfGE 65, 1 (43)
(Volkszählungsurteil).
6 Ebd.
7 Vgl. hierzu auch Alexander
Roßnagel/Jürgen Müller, Ubiquitous Computing - neue
Herausforderungen für den Datenschutz. Ein Paradigmenwechsel
und die von ihm betroffenen normativen Ansätze, in: Computer
und Recht, (2004), S. 628ff.
8 RFID = Radio Frequency Identification.
Anm. der Red.: Vgl. dazu den Beitrag von Britta Oertel und Michaela
Wölk in diesem Heft.
9 Vgl. auch Marc Langheinrich, Die
Privatsphäre im Ubiquitous Computing - Datenschutzaspekte der
RFID-Technologie,
www.vs.inf.eth.ch/publ/papers/langhein2004rfid.pdf, S. 12.
10 Vgl. § 4 Abs. 2
Teledienstedatenschutzgesetz und § 18 Abs. 2
Mediendienstestaatsvertrag.
11 Vgl. hierzu auch M. Langheinrich
(Anm. 9), S. 9.
12 BVerfGE 65, 1 (44, 46).
13 Vgl. kritisch aus anderen
Gründen Alexander Roßnagel/Andreas
Pfitzmann/Hansjürgen Garstka, Modernisierung des
Datenschutzrechts, Gutachten für das Bundesministerium des
Innern, 2001, S. 29ff.
14 Vgl. Stefan Ernst, Rechtliche
Probleme mobiler Ad-hoc-Netze, in: J. Taeger/A. Wiebe (Anm. 3), S.
127ff.
15 S. §§ 28 und 29
Bundesdatenschutzgesetz.
16 Vgl. kritisch A. Roßnagel/A.
Pfitzmann/H. Garstka (Anm. 13), S. 77f.
17 Vgl. auch Friedemann Mattern,
Ubiquitous Computing, in: J. Taeger/A. Wiebe (Anm. 3), 28ff.
18 Vgl. M. Langheinrich (Anm. 9), S.
11f.
19 Vgl. ausführlicher A.
Roßnagel (Anm. 3), S. 70ff.
20 Vgl. A. Roßnagel/A.
Pfitzmann/H. Garstka (Anm. 13), S. 70ff.
21 Vgl. hierzu auch M. Langheinrich
(Anm. 9), S. 10f.
22 Vgl. auch Alexander Roßnagel,
Datenschutz im Jahr 2015 - in einer Welt des Ubiquitous Computing,
in: Johann Bizer/Albert von Mutius/Thomas B. Petri/Thilo Weichert
(Hrsg.), Innovativer Datenschutz - Wünsche, Wege,
Wirklichkeit, Festschrift für Helmut Bäumler, Kiel 2004,
S. 335 - 351.
23 Vgl. Marit Köhntopp und
Burckhardt Nedden, Datenschutz und "Privacy Enhancing
Technologies", in: Alexander Roßnagel (Hrsg.), Allianz von
Medienrecht und Informationstechnik?, Baden-Baden 2001, S. 55ff.
und 67ff.
24 P3P = Platform for Privacy
Preferences, eine internationale, standardisierte Plattform zum
Austausch von Datenschutzinformationen im Internet. Der User soll
beim Besuch einer Website schnell und automatisiert einen
Überblick erhalten, welche Daten der Webanbieter oder Dritte
zu welchen Zwecken verarbeiten. Vgl. www.w3c.org/P3P.
25 Vgl. hierzu auch, allerdings mit
skeptischen Hinweisen, M. Langheinrich (Anm. 9), S. 10.
26 Vgl. z.B. Jürgen
Müller/Matthias Handy, RFID und Datenschutzrecht, in:
Datenschutz und Datensicherheit, (2004) 11, S. 629.
27 Vgl. Alexander Roßnagel/Philip
Scholz, Datenschutz durch Anonymität und Pseudonymität,
in: MultiMedia & Recht, (2000), S. 728ff.
28 Vgl. A. Roßnagel/A.
Pfitzmann/H. Garstka (Anm. 13), S. 143ff.
29 Zur Verantwortung der Informatiker
vgl. Alexander Roßnagel, in: Informatik-Spektrum, (2005) 6,
S. 462ff.
30 Vgl. Alexander Roßnagel,
Datenschutzaudit, in: ders. (Anm. 4), S. 439ff.