Von Patrick von Braunmühl
Nationale Gesetze zur IT-Sicherheit und zum Datenschutz stoßen angesichts kurzer Innovationszyklen und immer neuer digitaler Produkte, die grenzüberschreitend genutzt werden, zunehmend an Grenzen. Instrumente der Selbstregulierung können den gesetzlichen Rahmen ergänzen und konkretisieren. Sie ermöglichen eine schnellere und flexiblere Reaktion auf neue Herausforderungen. Selbstverpflichtungen der Wirtschaft können einen wichtigen Beitrag liefern zu dem Anliegen, das Vertrauen der Bürger zu stärken und gleichzeitig bürokratische Hürden und Markteintrittsbarrieren zu verhindern. Gleichzeitig ist das Thema Selbstregulierung stark umstritten, teilweise aufgrund des extrem weiten und in sich widersprüchlichen Begriffs, teilweise aufgrund von Reputationsproblemen, welche ineffiziente oder strukturell mangelhafte Selbstregulierung in anderen Branchen hervorrief.
Beim Begriff „Selbstregulierung“ drängt sich vielen das berühmte Sprichwort „den Bock zum Gärtner machen“ auf. Tatsächlich wird kaum jemand Kinder ihren eigenen Fernsehkonsum oder Autofahrer die Verkehrsvorschriften regeln lassen wollen. Auch wenn es um Marktversagen in der Wirtschaft geht, ist es wenig wahrscheinlich, dass die beteiligten Marktakteure das Problem durch Selbstregulierung beheben werden.
Daher ist es wichtig, Selbstregulierung nicht als Allheilmittel zu verstehen, sondern klare Grenzen aufzuzeigen. Die Begriffe „Ko-Regulierung“ oder „regulierte Selbstregulierung“ haben den Vorteil, dass sie keine Verdrängung staatlicher Verantwortung implizieren, sondern ein sinnvolles Ineinandergreifen von gesetzlichem Rahmen und ergänzenden bzw. konkretisierenden Regeln durch Selbstverpflichtungen der Wirtschaft beinhalten. Voraussetzung ist in beiden Fällen die Feststellung, dass Regulierung zur Einschränkung individueller Freiheiten überhaupt notwendig ist und welches das dafür geeignete mildeste Mittel ist.
Unter „Selbstregulierung“ fällt eine Vielzahl unterschiedlicher Instrumente privater Regelsetzung oder Durchsetzung. Die Regeln können verbindlich oder unverbindlich, unternehmensintern oder branchenübergreifend, technisch, verhaltensbezogen oder ethischer Natur sein. Gleichwohl begegnet man in den Medien und in politischen Diskussionen nicht selten einer pauschalen Ablehnung von Selbstregulierung. Begründet wird dies zum einen mit der Gefahr einer „Privatisierung des Rechts“ und zum anderen mit dem Verweis auf Beispiele in anderen Branchen, bei denen sich Verhaltenskodizes auf reine Absichtserklärungen beschränken, Beschwerden nicht vorgesehen sind und im Falle eines Verstoßes keinerlei Konsequenzen drohen. Daher ist es wichtig, Instrument und Zielsetzung klar zu benennen und gleichzeitig Mindestanforderungen zu definieren, die eine glaubwürdige Umsetzung von Selbstverpflichtungen sicherstellen.
Bei Datenschutz und Datensicherheit geht es vor allem um Anforderungen an die Technik und um Verhaltensregeln. Im technischen Bereich ist Selbstregulierung in Form der Normung seit Jahrzehnten erfolgreich etabliert und durch überwiegend industriefinanzierte Normungsorganisationen institutionell verankert. Zum Abbau von Handelshemmnissen sind technische Normen heute ganz überwiegend international ausgerichtet, ganz im Gegensatz zum Ordnungsrecht.
Innerhalb der EU gilt der sogenannte „New Approach“, wonach EU-Richtlinien sich auf „wesentliche Anforderungen“ an Produkte beschränken. Diese werden durch Normen konkretisiert, deren Anwendung grundsätzlich freiwillig ist. Ein wichtiger Anreiz zur Befolgung der Norm besteht in der gesetzlichen Annahme, dass die Anwendung der Norm gleichzeitig die Konformität mit der entsprechen- den EU-Richtlinie impliziert.
Bei den Verhaltensregeln ist es noch ein weiter Weg bis zum Reifegrad der technischen Regulierung. Gerade in Deutschland ist nach wie vor eine Regulierungskultur vorherrschend, nach der alle Details im Gesetz stehen müssen. Gesetzliche Vorschriften zum Datenschutz verteilen sich auf eine Vielzahl von Bundes- und Landesgesetzen. Gleichzeitig leidet das Datenschutzrecht unter einem massiven Vollzugsdefizit. Anstatt hinzunehmen, dass eine vollständige Umsetzung einschlägiger Datenschutzvorschriften eher die Ausnahme und ein Privileg von Großkonzernen ist, könnte auch hier ein System der Ko-Regulierung der bessere Weg sein. Voraussetzung wäre allerdings ein anderer Umgang aller Akteure mit der möglichen Rolle von Verhaltenskodizes als Teil des Ordnungsrahmens für Datenschutz und Datensicherheit. Dabei können wir in Deutschland von internationalen Erfahrungen lernen, die unter anderem in Großbritannien, Niederlande und den skandinavischen Ländern gemacht wurden, die traditionell stärker auf Selbstregulierung setzen.
Die Politik würde gut daran tun, mehr Anreize zur Entwicklung und Umsetzung von Verhaltenskodizes zu setzen. Ein Anreiz könnte wie bei der technischen Normung in der Annahme der Gesetzeskonformität bei nachgewiesener Umsetzung eines Kodex bestehen. Eine andere Möglichkeit analog dem Jugendmedienschutz wäre die Zurückhaltung der Aufsichtsbehörden im Anwendungsbereich von Verhaltenskodizes, soweit diese im Rahmen einer funktionierenden Selbstkontrolle der Wirtschaft durchgesetzt werden. Dies setzt natürlich die vorherige Prüfung eines Kodex auf dessen Gesetzeskonformität und eine formale Anerkennung voraus.
Die in § 38a BDSG vorgesehene Anerkennung von Verhaltenskodizes beim Datenschutz hat sich allerdings nicht als praxistauglich erwiesen, da Prüfungsmaßstab und Verfahren nicht eindeutig sind. Diese müssten genauer beschrieben werden und die Entscheidung der zuständigen Aufsichtsbehörde sollte gerichtlich überprüfbar sein. Gleichzeitig sollten Mindestanforderungen an Verhaltenskodizes gestellt werden, um unseriöse Ansätze von vornherein auszuschließen. Dazu gehören:
Neben diesen politischen Rahmenbedingungen ist auch bei vielen Unternehmen ein Umdenken erforderlich. Der verbreitete Ansatz, Selbstregulierung als kurzfristiges Mittel zur Abwehr unmittelbar bevorstehender Gesetze zu sehen, ist nicht zielführend. Eine Früherkennung gesellschaftlicher Herausforderungen für neue Produkte und Innovationen und die Definition entsprechender Spielregeln könnte Medien-Skandalen oder politischem Aktionismus von vornherein den Wind aus den Segeln nehmen. Als Bei- trag zum Risikomanagement und zur Imageverbesserung wäre dies im langfristigen Interesse der Unternehmen und wäre gleichzeitig ein geeignetes Mittel, die Regulierungsdichte mittelfristig zu reduzieren. Im Umwelt- und Sozialbereich werden entsprechende „Corporate Social Responsibility“-Strategien von Investoren erwartet und sogar bei der Berechnung des Markenwertes berücksichtigt.
Aufsichtsbehörden und Verbraucher- verbände wiederum sollten Selbstregulierungsinitiativen der Wirtschaft als Beitrag zum Abbau des Vollzugsdefizits willkommen heißen und konstruktiv an ihnen mitwirken, statt sie pauschal zu kritisieren. Beim Anerkennungsverfahren nach § 38a sollten keine Bedingungen gestellt werden, die deutlich über die gesetzlichen Anforderungen hinausgehen.