3.4 Weniger Kontrolle, besserer Schutz? Regulierung der Datenverarbeitung

Die bislang aufgegriffenen Beiträge zu einem digitalen Menschenrecht auf Privatheit fallen in zwei Gruppen – jene, die staatliche Überwachung strikten Kriterien unterwerfen möchten, und solche, die Datensammlung im wirtschaftlichen Kontext betrachten und ein Maximum an Nutzer-Selbstbestimmung ermöglichen möchten. Dazwischen klafft eine Lücke: Nur wenige Aktivisten fordern, und meist auch eher nebenbei, dass auch die wirtschaftliche Datenverarbeitung prinzipiellen Einschränkungen zu unterwerfen sei, die bei einer Einwilligung nicht zur Disposition stehen. Ein solcher Ansatz geht in die von Ustaran und Mayer-Schöneberger geforderte Richtung, die Datenverarbeitung selbst zu regulieren, ergänzend oder sogar anstelle einer Regulierung der Nutzer-Unternehmen-Beziehung.

Das stärkste Plädoyer für allgemeine Datenschutzprinzipien findet sich bei der IRPC. Sie fordert „Mindeststandards bei der Benutzung persönlicher Daten“:

„Wenn persönliche Informationen erforderlich sind, darf nur das Minimum an notwendigen Daten gesammelt werden, und das nur für den kürzesten notwendigen Zeitraum. Daten müssen gelöscht werden, wenn sie nicht mehr länger für den Zweck, für den sie gesammelt wurden, notwendig sind“ (2014b: 19).

Wirklich neu sind diese Forderungen allenfalls in einem internationalen Kontext; das deutsche Bundesdatenschutzgesetz kennt die Prinzipien der „Datensparsamkeit“ (§ 3 a), der „Zweckbindung“ (§ 28 Abs. 1) und der „Löschungspflicht“ (§ 35, 2) schon länger. Es sind vor allem Datenschutzpraktiker, welche nicht zustimmungsbasierte Datenschutzgrundsätze propagieren. So fordert die „Madrid Resolution“, die 2009 auf einer Weltkonferenz der staatlichen Datenschutzbeauftragte verabschiedet wurde, u.a. die Prinzipien der Legalität, Zweckbindung, Proportionalität, Datenqualität und Rechenschaftspflicht (Madrid-Resolution 2009: 10-13). Auch eine bereits 1980 von der OECD verabschiedete und 2013 nochmals aktualisierte Datenschutz-Richtlinie formuliert ähnliche Kriterien, unter anderem auch zur Datensicherheit (vgl. OECD 2013: 23), die sich nicht vollständig auf eine Nutzerzustimmung zurückführen lassen.

Man erkennt darin einige der weiter oben in Anlehnung an die Ethik des „Gerechten Krieges“ diskutierte Kriterien. Entscheidend ist am Ende, wie diese Grundsätze ausgelegt werden. Wenn etwa der Zweck einer Datensammlung nicht nur die Abwicklung einer einmaligen Dienstleistung ist, sondern die Optimierung der Kundenbindung, so könnte die Dauer einer Datenverarbeitung potenziell bis zum Lebensende des Kunden reichen. Eine strenge Auslegung im Sinne des Privatsphärenschutzes würde einige für die Unternehmen schmerzliche Begrenzungen bei den gängigen Praktiken der Datenverarbeitung bedeuten.

Das wirtschaftsnahe „Center for Democracy and Technology“, eine amerikanische NGO1 , warnt vor einem „Datenpaternalismus“ (2014: 8-9), wenn das Prinzip der Nutzer-Selbstbestimmung zugunsten einer stärkeren Verantwortung der Unternehmen aufgeweicht würde. Es sieht darin eine Einschränkung der Nutzer-Autonomie. Inwiefern allerdings solche Konflikte von Autonomie und Paternalismus tatsächlich bestehen, wird nicht thematisiert. Mit einiger Plausibilität lässt sich wohl sagen, dass dieser Paternalismus eher die wirtschaftliche Freiheit betrifft als die Autonomie der Nutzer.

Die richtige Balance von wirtschaftlicher Freiheit und individuellem Privatsphärenschutz zu finden, ist eine Aufgabe, die jede Gesellschaft für sich lösen muss. Wer allerdings die Forderung nach einem Menschenrecht auf Privatsphäre erhebt, der hat sich im Prinzip schon für Letzteres entschieden, denn der Spielraum für die Einschränkung fundamentaler moralischer Rechte ist generell nicht groß. Die Privatsphären-Aktivisten jedenfalls sehen bislang die wirtschaftliche Freiheit im Vorteil. Dave Eggers, der unten ausführlicher besprochen wird, stellt zum Thema Privatsphäre und Big Data fest: „Wir haben alles reguliert, die Luftfahrtindustrie, die Pharmaindustrie, wir haben Regeln für Nahrungsherstellung, für Wasser, all diese Dinge haben wir erfolgreich reguliert. Nur diesen einen Bereich lassen wir komplett ungeregelt.“ Der Vergleich ist ein starkes Instrument ethischer Überlegungen: Wenn wir von einem allgemein akzeptierten Prinzip abweichen (hier: Verbraucherschutz), dann ist diese Abweichung in besonderer Weise begründungspflichtig.

Eine technische Regulierung dürfte sich zwar als schwierig erweisen. Es ist ein ehernes Gesetz, dass jede Software Fehler hat, weshalb ein digitales Produkt nicht wie eine Bohrmaschine geprüft und mit einem CE-Kennzeichen versehen werden kann. Allerdings kann eine Regulierung auch bei der Marktstruktur ansetzen. Monopole unterlaufen die digitale Souveränität, weil sie Wahlmöglichkeiten einschränken. Wir kommen hier also auf die Feststellung zurück, dass ein Menschenrecht zu haben bedeutet, ein Recht auf eine gesellschaftliche Organisation zu haben, die der Realisierung dieses Menschenrechts entgegenkommt.

Mangelnde Regulierung beeinträchtigt die Nutzersouveränität auch auf andere Weise: Sie können ohne klare Regeln nicht klagen, d.h. die Ressourcen des Rechtsstaats nicht in Anspruch nehmen. Laut Informationen des Deutschen Instituts für Menschenrechte ist derzeit die Möglichkeit eines rechtlichen Vorgehens gegen Datenschutzverletzungen stark eingeschränkt. Gründe dafür seien stark fragmentierte oder gänzlich fehlende Gesetze, ein Mangel an kompetenten Anwälten und Richtern und ein häufig zu geringer Streitwert. „In der Folge bleiben zahlreiche Rechtsfragen in Ermangelung von Präzedenzfällen ungeklärt. Derartige Leitentscheidungen würden aber nicht nur Gerechtigkeit im Einzelfall herbeiführen, sondern auch die Rechtslage für vergleichbare Fälle präzisieren helfen“ (DIM 2014a: 2).

Es ist ein Teufelskreis: Ohne Recht kein Klagen, aber ohne Klagemöglichkeit auch keine Rechtsentwicklung. Wenn die digitale Souveränität ausgerechnet beim Recht endet, zeigt dies, dass wir in der Praxis noch weit von einem Menschenrecht auf Privatheit entfernt sind.

  1. Das 1994 gegründete „Center for Democracy and Technology“ hat rund 30 Mitarbeiter und ein beachtliches Budget von knapp über 4 Mio. Dollar. Es beschreibt sich auf seiner Website zwar als „champion of global online civil liberties and human rights, driving policy outcomes that keep the Internet open, innovative, and free“. Da es jedoch fast ausschließlich von Internetkonzernen finanziert wird, ist eine gewisse Skepsis angebracht. Der Schwerpunkt dürfte eher darauf liegen, das Internet für die Wirtschaft „offen, innovativ und frei“ zu halten. []