Der Datenschutz ist in der Krise. Delegitimiert durch staatliches Verhalten, der Realität entrückt durch Aufsichtsbehörden, die Gutes wollen und Totalitäres tun. Was vor zwei Jahren noch ein chilling effect war, ist heute zum alleinigen Zweck geworden: Gängelei ohne Nutzen. Es ist Zeit für einen Neuanfang.
Foilsurfing – eine etwas jüngere Wassersportart – ist ausschließlich in Sachsen gefährlich. Das haben die Behörden des Un-Freistaats in bester Binnenlage als weltweit einzige Instanz erkannt und behüten die Schutzbefohlenen durch ein Verbot. An allen anderen Stränden der Welt, an denen man Sachsen kennt (es sind nicht viele), wird schallend darüber gelacht und überall wird dem Foilen gefröhnt. In Italien wildert man über 100 Bären aus und ist bass erstaunt ob gefressener Jogger. „Klima“-Bewegte wollen die Ersetzung der parlamentarischen Demokratie durch einen „Gesellschaftsrat“ mit Gewalt erzwingen und argumentieren ausgerechnet mit dem Recht, wenn sie sich auf „Notwehr“ berufen.
Was fällt an dieser etwas willkürlichen Auswahl aktueller Meldungen auf? Richtig. Jedes noch so wirre Partikularanliegen ist das jeweils wichtigste und rechtfertigt drastischste Einschränkungen auch für weniger Abergläubige. Es gibt keine Grundlage für die Annahme, Foilsurfing sei übermäßig gefährlich, das Auswildern von Bären in dicht bevölkerten Industrieländern sei durch Tierschutzerwägungen veranlasst (oder sonst eine gute Idee) oder drastische lokale Maßnahmen ohne Rücksicht auf Erkenntnisse der Volkswirtschaftslehre und die Lebensrealität von Milliarden von Menschen in Entwicklungs- und Schwellenländern könnten eine „Klimakatastrophe“ verhindern. Was es gibt: Mehr oder weniger berechtigte Anliegen, die in einer besseren, weniger polarisierten Welt nach alter Väter Sitte (vulgo: im Wege praktischer Konkordanz) in einen Ausgleich gebracht würden, durch demokratischen Diskurs und auf Grundlage der Kraft rationaler Argumente.
Der Datenschutz reitet die Trendwelle (ohne Foil)
Insoweit kann man auf der Haben-Seite zugunsten des Datenschutzes verbuchen: Er ist dem Zeitgeist mehr als nur auf den Fersen. Er läuft ihm vielmehr schon seit Längerem voraus, als würde er von einem italienischen Problembären verfolgt. Hier soll die Rede allerdings von der Soll-Seite sein, und hier zeigt sich die Parallele zu der eingangs beschriebenen negativen gesamtgesellschaftlichen Entwicklung. Der Datenschutz ist in seiner jetzigen Ausgestaltung selbstreferentiell. Er ist egozentrisch wie ein Kreisel. Und die zu seiner Durchsetzung berufenen Behörden haben evident zu viel Zeit untereinander verbracht. Das zeigt sich prominent an einer „Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. März 2023“, die den Anlass dieses Beitrags bildet. Darin geht es um einen geplanten „sektorspezifischen Datenraum“ für Gesundheitsdaten; eine EU-Erfindung zur wirtschaftlichen Verwertung von Gesundheitsdaten unter Kontrolle der öffentlichen Hand. Man kann sich das vorstellen wie das Datensilo von Facebook, nur ineffizient verwaltet. Es sollen die Gesundheitsdaten der gesamten Bevölkerung zentral zu „Forschungszwecken“ – auch und gerade durch Privatunternehmen – zugänglich gemacht werden. Auf nationaler Ebene hat ein prominenter Pharmalobbyist, Karl Lauterbach, ein vergleichbares Vorhaben angeschoben: Das „Gesundheitsdatennutzungsgesetz“, kurz „GDNG“. Hierzu berichtet das Ärzteblatt:
Was soll schon schiefgehen?
Wer sich professionell mit Datenschutzrecht befasst, lacht trocken auf. Die Gesetzesvorhaben sehen vor, dass die Datennutzung auch durch die „forschende Industrie“ unabhängig vom Wissen und Wollen der Betroffenen (EU) oder ohne Einwilligung, allerdings zumindest mit opt out-Möglichkeit erfolgen soll (Pharma-Lobbyist). Als Maßnahme zur Gewährleistung einer risikoadäquaten Absicherung gegen Missbrauch oder auch nur Erkennbarkeit der im Intimbereich Betroffenen werden dabei im Wesentlichen „Forschungspseudonyme“ vorgesehen.
Das muss man sich vorstellen: Pseudonymisierung bietet gerade bei komplexen oder sehr individuellen Datensätzen eine bestenfalls (sic!) lückenhafte Sicherheit, weil sie entweder durch Zusatzinformationen oder ungewollte Offenbarung des Index aufgehoben werden kann. Es handelt sich um eine risikomindernde, nicht -ausschließende Maßnahme (s. etwa EwG 28 DSGVO). Und jetzt kommt der (Unions-) Gesetzgeber und sagt: Klar, die Verarbeitung von Gesundheitsdaten ist verboten, Art. 9 DSGVO; das ist das Heiligste vom Heiligen. Aber: „It’s ok if it’s us doing it.“
Wird die Gefahr sich realisieren? Aber klar. Nur ein Beispiel: Seit der Entwicklung der Möglichkeit der Identifikation von Erbkrankheiten durch Genomsequenzierung vor über 20 Jahren liegt das Missbrauchspotential durch Lebensversicherungen so offen zu Tage, dass es etwa in Großbritannien spezifische Verhaltensregeln dagegen gibt. Sind Daten verfügbar und kann mit ihnen Geld verdient werden, passiert das auch, Gesetze hin oder her. Man muss sich die Zahlen vor Augen führen, die im Spiel sind: Ein einzelner Interessent für eine Lebensversicherung wird in Versicherungsvermittlungskreisen für dreistellige Eurobeträge gehandelt. Was zahlt eine Versicherung wohl für den gleichen Lead, wenn glaubhaft versichert werden kann, dass ein Waschabgleich gemacht wurde und der Betreffende mit hoher Wahrscheinlichkeit keiner Risikogruppe angehört? Und, wichtiger: Was passiert mit Leuten, bei denen der Waschabgleich – selbst ohne eindeutige Identifizierung – anhand der Übereinstimmung mit Merkmalen eines pseudonymisierten Patienten eine erhöhte Wahrscheinlichkeit künftiger Krankheiten oder sonstiger Risiken ergibt?
Kurz: Den Vorhaben der „forschenden Industrie“ (schon der amtliche Euphemismus, vorletzter Bulletpoint, spricht Bände) und ihrer Interessenvertreter in der Politik steht die Einseitigkeit auf die Stirn geschrieben.
Steht der Datenschutz der Forschung im Weg?
Klar, das liegt in der Natur der Sache. Wie oben bereits erwähnt: Praktische Konkordanz ist gefragt. Das krude Konzept von „Datenräumen“ befreit nicht davon. Man könnte sie auch „Datenhalden“ nennen und würde es eher treffen. Die Größe von Datenhalden ist äquivalent zur Risikoerhöhung bei ihrer Nutzung: Das wirtschaftliche Interesse wächst, die Ertragsmöglichkeiten wachsen, die Anwendungsszenarien wachsen, legal wie illegal. Diese simple Erkenntnis hat überhaupt erst zum Entstehen des Datenschutzrechts geführt. Daran ändert sich nichts, nur weil der Staat oder ein zuletzt durch Korruption ins Gerede gekommener Staatenbund meint, er könne bei der Schatzkammer „die Tür machen“ wie bei einer Dorfdisko. Die dazu ausgedachten Regeln sind nichts anderes als profane TOM: technisch-organisatorische Maßnahmen zur (vermeintlichen) Gewährleistung von Datensicherheit. Und es sind, wie oben gezeigt, sehr schlechte, nicht risikoadäquate TOM, wenn zum Beispiel Pseudonymisierung im Zentrum steht. Das ist albern.
Selbst-Delegitimierung des Datenschutzes
Die jetzt mit großer Geste angekündigten Vorhaben – der Gesundheits-„Datenraum“ soll nur der Grundstein eines ganzen Wolkenschlosses voller Datenräume werden – beruhen nicht nur auf der Korrumpiertheit handelnder Personen oder Inkompetenz. Die Welt ist nicht schwarz-weiß. Das Vorhaben ist zugleich auf richtige und wichtige Ziele gerichtet, nämlich wirtschaftliche Prosperität, technischen Fortschritt und internationale Wettbewerbsfähigkeit. Problematisch ist die angesprochene Einseitigkeit, das Problem unserer Zeit: Jedes noch so wirre Partikularanliegen wird ins Absurde überhöht und zur Rechtfertigung noch so drastischer Eingriffe missbraucht. Und genau das passiert gerade beim Beispiel des „Gesundheits“-„Datenraums“. Die Gefahren, die die nur schlecht kaschierte völlige Freigabe intimster Daten gegenüber öffentlichen und privaten Stellen eröffnet, werden ignoriert. Es findet keine Abwägung statt; man will den ganzen Kuchen, sofort. Und man setzt sich über Dinge hinweg, die man den Rechtsunterworfenen gerade noch mit mahnendem Zeigefinger als das unverzichtbare Einmaleins verkaufen wollte:
- Transparenz,
- Zweckbindung,
- Datenminimierung,
- Dokumentationspflichten,
- Informationspflichten,
- Datensouveränität.
Das alles ist plötzlich egal.
Wie will der Gesetzgeber oder der intransparent agierende Staatenbund mit dem pittoresken Demokratiedefizit diesen Widerspruch auflösen? Er fordert – „on pain of pain“, wie unsere angelsächsischen Erbfreunde sagen würden – in jeder Lebenslage akribischste Abwägungen und deren Dokumentation. Jeder Kioskbesitzer wird genötigt, „Verfahrensverzeichnisse“ zu führen. Bußgelder werden verhängt und durchgesetzt. Es werden an Strafschadensersatz grenzende Ansprüche für Verarbeitungsvorgänge zuerkannt, die nicht ansatzweise so risikoreich sind wie das, was der Staat und die EU sich jetzt einfach so, nur kraft Gesetzgebungskompetenz, dauerhaft herausnehmen wollen. Man kann es nicht treffender sagen als Heinrich Heine in „Deutschland. Ein Wintermärchen“:
„Sie sang das alte Entsagungslied,
Das Eyapopeya vom Himmel,
Womit man einlullt, wenn es greint,
Das Volk, den großen Lümmel.Ich kenne die Weise, ich kenne den Text,
Ich kenn’ auch die Herren Verfasser;
Ich weiß, sie tranken heimlich Wein
Und predigten öffentlich Wasser.“
Das Datenschutzniveau, wie es in der DSGVO angelegt ist, kann eigentlich nur in Bezug auf staatliche Verarbeitung gerechtfertigt werden. Bei privater Verarbeitung ist das Risiko mangels Gewaltmonopols prinzipbedingt um Potenzen kleiner. Insoweit bestand kein Anlass, den zentralen Konstruktionsfehler des alten BDSG zu wiederholen und zu versuchen, einheitliche Regeln für Staat und Bürger aufzustellen. Das Ergebnis ist: „One size fits nobody“. Wenn der Gesetzgeber sich aber wie geschehen entscheidet, pröbstlicher als der Probst zu sein, gebietet es der Grundsatz der Einheitlichkeit der Rechtsordnung, dass er den Grundrechten Privatheit und Datenschutz (Art. 7 und 8 GRChr) auch in der übrigen Gesetzgebung einen zumindest ansatzweise äquivalenten Stellenwert einräumt. Der Datenraum-Alptraum steht für das Gegenteil.
Was tun die Hüter des Wahren Schönen Guten?
Wie eingangs schon erwähnt, gibt es einen Anlass für diesen Beitrag, nämlich eine Äußerung der deutschen Datenschutzkonferenz. Sie übt, was gut ist, Kritik. Was nicht gut ist: Sie tut das mit der völlig falschen Begründung. Um ein plakatives Zitat herauszugreifen:
„Es ist klarzustellen, dass die EHDS‐VO‐E den Rechtsrahmen der DS‐GVO respektiert, die dort vorgesehenen Regelungsräume also nutzt, aber nicht das Schutzniveau unterläuft.“
Das muss man sich auf der Zunge zergehen lassen: Da sitzen insgesamt 18 ausgewachsene Datenschutz-Aufsichtsbehörden und glauben ernsthaft, der Maßstab zur Beurteilung von Unionsgesetzgebung sei – ein Unionsgesetz. Sie beklagen, dass der Unionsgesetzgeber sich nicht wie alle anderen Kioskbesitzer auch an die Vorgaben der DSGVO halten will (über den falschen Bindestrich in der Abkürzung der Datenschutzgrundverordnung durch die DS-K soll an dieser Stelle höflich der Mantel des Schweigens gebreitet werden). Und das Zitat ist kein Ausreißer: In der gesamten Stellungnahme werden die DSGVO und Grundrechte gleichgestellt. Hier ist sie wieder, die eingangs angesprochene Egozentrik: Für den Datenschützer ist die DSGVO das Weltgesetz, dem sich alles unterzuordnen hat. Das ist so traurig, dass es fast schon wieder lustig ist. Der Gesetzgeber kann in einer Demokratie das Verlassen von Wohnungen nach Einbruch der Dunkelheit untersagen, wenn er in „Risikoabwägung“ nicht so gut aufgepasst hat, wie das BVerfG unlängst glauben machen wollte. Und natürlich kann er – bis zur Grenze, die der Grundsatz der Einheitlichkeit der Rechtsordnung zieht – ziemlich frei Regeln für bestimmte Felder aufstellen, die von allgemeineren Regeln wie denen der DSGVO abweichen. So ist das halt, wenn man in einer Demokratie der Souverän ist (oder ein zuletzt verstärkt korruptionsverdächtiger Staatenbund, der sich an seine Stelle setzt).
Was bleibt?
Wohin man schaut: Elend. Wir haben das Schlechteste aller Welten. Eine Gesetzeslage, die die Allgemeine Handlungsfreiheit – die wesentliche Errungenschaft der Aufklärung neben der Verwaltungsgerichtsbarkeit – in ein Verbot mit Erlaubnisvorbehalt umdeuten will. Einen Gesetzgeber, den sein Gewäsch von gestern nichts kümmert, wenn es den Interessen bestimmter Industrien dient, und der mit zweierlei Maß misst. Und Aufsichtsbehörden, die sich so ein bisschen in den Gedanken ihrer eigenen Weltnabeligkeit hineingesteigert haben und konsequent am Punkt vorbeisegeln (ohne Foil).
Das Experiment „DSGVO“ ist gescheitert. Was nötig ist, ist ein „Lex Augenmaß“:
- Unterschiedliche Regeln für Private und die öffentliche Hand.
- Unterschiedliche Regeln für unterschiedliche Risiken, die klar definiert werden.
- Viel weniger Regeln.
- Eine ehrliche Auseinandersetzung mit dem Stellenwert von Privatheit und Datenschutz im Verhältnis zu anderen Grundrechten – ja, auch der unternehmerischen Freiheit, Art. 16 GRChr.
Hybris überwinden
Der Datenschutz steht damit, Stand heute, exemplarisch für die zentralen gesellschaftlichen Probleme unserer Zeit: Hybris und Polarisierung. Niemand, der seine Band „Niggaz Wit Attitudes (N.W.A)“ nennt und derb gegen alles austeilt, was nicht zu seiner Gang gehört (namentlich Frauen), weint sich in den Schlaf, weil er sein Aspirin in der Mohrenapotheke kaufen muss. Hätte Pornographie ernsthafte entwicklungsbeeinträchtigende Auswirkungen, müssten nach fast 30 Jahren vollkommen ungehinderter Verfügbarkeit und bei einer Konsumquote nördlich von 90 Prozent bei Jugendlichen fast alle unter 40 – insgesamt 42,9% der Bevölkerung – sexuell derangierte Psychopathen sein. Das gleiche Phänomen wie mit Zeitreisenden: Es gibt keine. Was valide Aussagen über die Möglichkeit von Zeitreisen zulässt. Und es entwickelt auch niemand, der eine Spam-Mail erhält, deshalb „Unwohlsein“ oder „Angst“.
Was haben all diese Beispiele gemeinsam? Sie zeigen, dass Sachdebatten zur Durchsetzung gesellschaftspolitischer Ziele instrumentalisiert werden. Das Verbot der Pornographie wurde in Deutschland zum Beispiel auf Betreiben der Kirchen anlässlich der Einführung politischer Zensur „huckepack“ eingeführt, um deren Moralvorstellungen gesetzlich zu verankern. „Jugendschutz“? Pustekuchen. Und so verhält es sich auch beim Versuch, Sprachhoheit zu beanspruchen, um identitätspolitische Vorstellungen durchzusetzen („Er hat Jehova/Mohr/{bitte einsetzen} gesagt!“) – und beim Datenschutz. Die Orthodoxie hat einen gesellschaftspolitischen, konkret: „antikapitalistischen“ Hintergrund. Eingeführt als non tariff trade barrier zur Einhegung der US-amerikanischen Digitalkonzerne, wendet sich das zweckentfremdete Instrument gegen die eigene soziale Marktwirtschaft und die freie Gesellschaft als solche. Wie will man das Verbot trivialer Fotos bei Schulveranstaltungen rechtfertigen, wenn 86,5% aller Deutschen social media nutzen und sich damit selbst in die Netz-Öffentlichkeit begeben? Wohin man auch blickt: Wertungswidersprüche.
Man kann die DSGVO nicht retten. Sie wurde aus den falschen Gründen eingeführt, sie hat ein rechtsstaatsfeindliches Regelungssystem, sie ist handwerklich auf peinliche Art und Weise schlecht gemacht und auch aus diesem Grund in einer freien Gesellschaft weder einhaltbar noch durchsetzbar. Sie führt zu Willkür, was bei der Störerauswahl beginnt: Da sich prinzipbedingt niemand rechtskonform verhalten kann, ohne aufzuhören zu atmen, ist jede Störerauswahl ermessensfehlerhaft. Und wenn dann noch, wie es sich jetzt abzeichnet, ein privilegiertes Parallelsystem für bestimmte Industriezweige geschaffen wird, entfällt auch der letzte Anschein von Legitimität.
Es ist Zeit für einen Datenschutz-Aufbruch. Es wird ein langer Weg; die Beharrenskräfte sind gerade wegen des politischen Missbrauchs des Themas sehr groß. Aber er ist bitter nötig. Denn Datenschutz ist in einem freiheitlichen demokratischen Rechtsstaat unverzichtbar. Und auch damit hat Heinrich Heine in seinem „Wintermärchen“ Recht:
„Ein neues Lied, ein besseres Lied,
O Freunde, will ich Euch dichten!
Wir wollen hier auf Erden schon
Das Himmelreich errichten.Wir wollen auf Erden glücklich seyn,
Und wollen nicht mehr darben;
Verschlemmen soll nicht der faule Bauch,
Was fleißige Hände erwarben.Es wächst hienieden Brod genug
Für alle Menschenkinder,
Auch Rosen und Myrthen, Schönheit und Lust,
Und Zuckererbsen nicht minder.“
Wir haben’s in der Hand. Es ist keine Frage der (gesellschafts-) politischen Ausrichtung, ob man für eine auf die konkrete Sache bezogen gerechte Gesetzeslage eintritt. Die ist vielmehr die Voraussetzung von Allem.
