Profiling, Big Data, Internet der Dinge: Das Datenschutzrecht hinkt der Entwicklung der Informations- und Kommunikationstechnik weit hinterher und schwankt zwischen Überregulierung und Resignation. Das eiserne Festhalten am Verbotsprinzip und die Fetischisierung der Einwilligung versperren den Blick auf die Zukunftsfragen des Persönlichkeitsschutzes.
In einem Annex zu dem jetzt in 5. Auflage erschienenen „Internetrecht“ befasse ich mich mit der Zukunft des Datenschutzrechts („Datenschutz im 21. Jahrhundert„). In einigen Blogbeiträgen stelle ich meine Ãœberlegungen auszugsweise vor.
Zur vollständigen 5. Auflage in CRonline bei juris: Härting, Internetrecht, 5. Aufl., 2014
Schutzgegenstand
In dem Urteil zur Online-Durchsuchung hat das BVerfG ein neues Grundrecht geschaffen: das „IT-Grundrecht“ (Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme). Dass es eines solchen „neuen“ Grundrechts bedarf, hat das BVerfG unter anderem damit begründet, dass das Recht auf informationelle Selbstbestimmung Schutzlücken aufweist (BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 – Online-Durchsuchung; ausführlich hierzu Hornung, CR 2008, 299).
Das Gefahrenpotential, gegen das das „IT-Grundrecht“ schützt, liegt nach dem BVerfG darin, dass ein Dritter sich durch Zugriff auf ein informationstechnisches System einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen kann, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein (BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 (310) – Online-Durchsuchung). Der heimliche Blick auf die Computerfestplatte lässt sich mit dem althergebrachten Blick durch das Schlüsselloch vergleichen. Unbemerkt gelangt ein „Eindringling“ in die Privatsphäre.
Legislative Reaktion?
Obwohl Einigkeit darüber besteht, dass das in der Online-Durchsuchung geschaffene „IT-Grundrecht“ Drittwirkung hat und den Gesetzgeber zu schützenden Maßnahmen im Bereich der Privatwirtschaft aufruft, ist die Diskussion um gesetzgeberische Konsequenzen (vgl. Bartsch, CR 2008, 613 ff.; Kutsche, DuD 2011, 461, 462 f.; Luch, MMR 2011, 75 ff.; Roßnagel/Schnabel, NJW 2008, 3534 ff.) bislang in ersten Anfängen stecken geblieben. Die Grundrechtsgefahren durch Spuren vernetzter Kommunikation erfordern indes eine umfassende Anpassung des Persönlichkeits- und Datenschutzrechts an die Gegebenheiten der Informationsgesellschaft (vgl. Hoffmann-Riem, JZ 2008, 1009, 1010).
Im Datenschutzrecht wird man sich daran gewöhnen müssen, zwischen dem Recht auf informationelle Selbstbestimmung und dem „IT-Grundrecht“ zu differenzieren:
Folge für Personenbezug von Daten
Möchte man die Grenzen nicht vollständig verwässern und das Datenschutzrecht nicht in ein allgemeines Verbraucher- und Bürgerschutzrecht umfunktionieren, führt kein Weg daran vorbei, das Erfordernis eines Personenbezuges gemäß § 3 Abs. 1 BDSG ernst zu nehmen und Daten nur dann als personenbezogen zu schützen, wenn ein Bezug zu einer konkret und namentlich bestimmbaren natürlichen Person ohne übermäßigen Aufwand herstellbar ist (Plath/Schreiber in Plath (Hrsg.), BDSG, § 3 Rz. 14 und 15; vgl. auch Dammann in Simitis, BDSG, § 3 Rdnr. 22 ff.). Neben den Schutz des Bürgers vor einer unkontrollierbaren Verarbeitung personenbezogener Daten tritt der Schutz vor Eingriffen in die Privatsphäre, die in einem unbemerkten und unkontrollierten „Ausspähen“ der Computernutzung liegen (BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 (310) – Online-Durchsuchung).
Grundrechtsverletzung durch’s „informationstechnische Schlüsselloch“
Das unbemerkte Eindringen in die auf der Computerfestplatte gespeicherten Daten unterscheidet sich von der Datenerfassung, -verarbeitung und –nutzung insbesondere dadurch, dass es über den Einblick hinaus keiner weiteren Maßnahmen bedarf, um tief in die Privatsphäre des Bürgers zu gelangen (vgl. BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 (310 u. 311) – Online-Durchsuchung). Wer Kenntnis vom Innenleben einer Computerfestplatte oder einer Handy-Speicherkarte erlangt hat, ist damit weit in die Privatsphäre vorgedrungen, auch wenn es zu keiner Speicherung, Weitergabe oder Zusammenführung von Daten kommt (Härting, AnwBl 2011, 246 f.).
Der Blick durch das „informationstechnische Schlüsselloch“ unterscheidet sich von den herkömmlichen Gefahrenszenarien des Datenschutzrechts zudem dadurch, dass es für den Betroffenen keinen nennenswerten Unterschied macht, ob der Eindringling Kenntnis von seiner Identität hat. Die heimliche Ausspähung wird auch dann als Eingriff in die Privatsphäre empfunden, wenn sie gänzlich anonym erfolgt. Der „Spanner“ wird auch dann als Eindringling in den Privatbereich empfunden, wenn er nicht weiß, welche Person er heimlich beobachtet. In einer sehr gelungenen, bildhaften Formulierung des BVerfG heißt es, die auf dem Endgerät gespeicherten Informationen ermöglichten es,
„Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten“
(BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 (311) – Online-Durchsuchung)
- Parallele zu Nutzerprofilen
In der Heimlichkeit der Beobachtung liegt eine Parallele zwischen der Online-Durchsuchung einerseits und der unbegrenzten und unkontrollierbaren Anlegung von Nutzungsprofilen im Internet:
Die umfangreiche Speicherung von Daten bei Google stellt nach dem Empfinden vieler Nutzer einen Eingriff in die Privatsphäre dar. Dieser Eingriff wird nicht dadurch nennenswert abgemildert, dass die Betreiber von Google keine Kenntnis von der Identität der Person erlangen können, die hinter dem Nutzungsprofil stehen. Die Vorstellung, dass ein Internetanbieter über eine genaue Protokollierung besuchter Seiten die Möglichkeit hat, Interessen, Eigenheiten und Vorlieben des Nutzers sehr präzise zu analysieren, ist vielen Internetnutzern unangenehm. Die heimliche und unkontrollierte Protokollierung und Auswertung der Nutzergewohnheiten stellt ein „Ausspähen“ des Bürgers dar, das sich von der gezielten Online-Durchsuchung einer Computerfestplatte allenfalls graduell unterscheidet.
Bei der Diskussion um die Personenbezogenheit von Daten beim Profiling geht es im Wesentlichen darum, ob die Gefahr besteht, dass die anfallenden Datenspuren einem Nutzer zugeordnet werden, der Google namentlich bekannt ist. Für Dienste wie Facebook und Google sind Namen jedoch unwichtige Störgeräusche („Noise“, vgl. Hardy, „Rethinking Privacy in an Era of Big Data“, New York Times v. 4.6.2012). Und beim Webtracking oder beim Profiling liegt der Eingriff in die Privatsphäre nicht darin, dass der Internetnutzer ernsthaft befürchten muss, von einem Google-Mitarbeiter namentlich identifiziert zu werden, wobei unter einer Identifizierung die Verbindung von Informationen zu einem Individuum zu verstehen ist (vgl. Solove, Understanding Privacy, Cambridge/London 2009, S. 122).
- Freiheitsbeschränkung durch Gefühl anonymer Beobachtung
Nicht die Sorge vor der Deanonymisierung ist es, die ein ungutes Gefühl bereitet, sondern der heimliche Blick durch das virtuelle Schlüsselloch. Wie beim Blick durch das Schlüsselloch liegt das Unbehagen nicht darin, dass der Eindringling weiß, wer ich bin. Der Internetnutzer nimmt es vielmehr als freiheitsbeschränkend wahr, dass er sich – anonym – beobachtet fühlt, ohne genau abschätzen zu können, mit welcher Genauigkeit die Beobachtung erfolgt.
Bei der Diskussion um Cookies und IP-Adressen geht es letztlich darum, dass ein „potentiell äußerst großer und aussagekräftiger Datenbestand“ entsteht, der den tiefen Einblick in die Persönlichkeit ermöglicht, aus dem das BVerfG das „IT-Grundrecht“ abgeleitet hat (BVerfG, Urt. v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07, CR 2008, 306 ff. – Online-Durchsuchung). Google Analytics ruft das „IT-Grundrecht“ auf den Plan und nicht die informationelle Selbstbestimmung.