Datenschutz: Thesen zum 69. Deutschen Juristentag München
Von Dr. Alexander Dix, LL.M.
Thesen zum Referat beim 69. Deutschen Juristentag München 2012 Abteilung IT- und Kommunikationsrecht, Persönlichkeits- und Datenschutz im Internet – Anforderungen und Grenzen einer Regulierung
1. Datenverarbeitung im Internet findet zwar grenzüberschreitend, aber nicht „ortlos“ oder nur virtuell statt. Sie wird von Unternehmen, öffentlichen Stellen und Personen unter Nutzung von Servern in der realen Welt durchgeführt. Datenverarbeitung im Internet kann deshalb reguliert werden. Die Durchsetzung entsprechender Regeln ist grenzüberschreitend sicherzustellen.
2. Das Recht auf informationelle Selbstbestimmung (Grundrecht auf Datenschutz) schützt die Handlungs-, Wahl- und Verhaltensfreiheit des Einzelnen auch im Internet. Es beschränkt sich nicht auf den Schutz der Privat- oder Intimsphäre oder auf sensitive Daten.
3. Die informationelle Selbstbestimmung als wesentliche Funktionsbedingung für freiheitliche Kommunikation ist Voraussetzung für die Wahrnehmung anderer Grundrechte und deshalb selbst konstitutive Voraussetzung für eine demokratische Gesellschaft. Das gilt nicht nur im Verhältnis zu staatlicher Gewalt, sondern auch zu privater Informationsmacht, wie sie sich gerade im Internet zunehmend konzentriert.
4. Die Grundrechte der Internet-Nutzer auf informationelle Selbstbestimmung und auf Integrität und Vertraulichkeit informationstechnischer Systeme sind zuvorderst durch das Datenschutzrecht zu konkretisieren. Verbraucherschutz-, AGB-, allgemeines Zivilrecht, Wettbewerbs- und Kartellrecht sollten den Schutz der Nutzer vor Beeinträchtigungen der informationellen Autonomie ergänzen. Allein durch zivilrechtliche Regelungen oder durch Rückgriff auf das AGB-Recht kann informationelle Selbstbestimmung nicht sichergestellt werden. Das Datenschutzrecht als Technikgestaltungsrecht hat eine wichtige, präventive Funktion, die über das Zivilrecht hinausgeht. Zudem wachen unabhängige Datenschutzbeauftragte über seine Einhaltung, die von Verfassungswegen die Aufgabe des vorbeugenden Grundrechtsschutzes haben.
5. Angesichts einer zunehmenden Oligopolisierung im Internet kann die Sicherung des informationellen Selbstbestimmungsrechts der Nutzer weder allein der Privatautonomie noch der Selbstregulierung durch die „unsichtbare Hand“ des Marktes noch der Netiquette der Internet-Community überlassen werden. Das grundsätzliche Verbot mit Erlaubnisvorbehalt ist deshalb beizubehalten. Der Staat und die Europäische Union haben gegenüber den Internet-Nutzern eine Schutzpflicht, in einem zeitgemäßen Datenschutzgesetz praktische Konkordanz zwischen den betroffenen Grundrechten herzustellen und für eine Infrastruktur zu sorgen, in der Nutzer die Chance haben, den Umgang mit ihren Daten zu kontrollieren.
6. Der Vorschlag der Europäischen Kommission für eine Datenschutz-Grundverordnung enthält eine gute, wenngleich noch verbesserungsbedürftige Grundlage für einen Grundrechtsausgleich auf europäischer Ebene. Zu unterstützen sind insbesondere die Vorschläge zu besserem Selbstdatenschutz (z.B. Recht auf Vergessenwerden und Datenportabilität), Systemdatenschutz und Datenschutz durch Voreinstellung (privacy by default) sowie zum anwendbaren Recht (Marktortpinzip).
7. Jede Kommunikation im Internet setzt nach dem gegenwärtigen Stand der Technik eine personenbezogene Adressierung voraus und hinterlässt auf der Ebene der Nutzungsdaten personenbezogene Spuren. Unverkürzte IP-Adressen sind entweder selbst personenbeziehbar oder werden mit solchen Daten gemeinsam verarbeitet und unterliegen deshalb dem Datenschutzrecht. Da der Personalisierungsgrad der Informationstechnik ständig zunimmt, sind künftig auch reine Maschinen- oder Chipadressen in den Schutzbereich des Datenschutzrechts einzubeziehen.
8. Der Grundansatz des Informations- und Kommunikationsdienstegesetzes von 1997 (Teledienstedatenschutzgesetz, heute Telemediengesetz), wonach die Nutzung des Internets prinzipiell unbeobachtet (anonym oder unter Pseudonym) ermöglicht werden muss, ist nach wie vor richtig. Allerdings sollte er insofern modifiziert werden, als ein Recht auf anonyme Nutzung nur derjenige Nutzer hat, der das Internet passiv als Informationsquelle nutzt. Für ihn sollte ein explizites Mediennutzungsgeheimnis geschaffen werden. Wer dagegen aktiv Informationen im Netz veröffentlicht, sollte dies in pseudonymer Form (oder unter Klarnamen) tun müssen. Nur so können Datenschutz- und andere Rechtsverstöße verfolgt werden. Eine generelle Pflicht der Zugangs- oder Diensteanbieter zur Überwachung der Netznutzung im Hinblick auf mögliche Rechtsverstöße ist abzulehnen.
9. Das Recht auf Pseudonymisierung als Mittel zu Datenminimierung wird in einem internettauglichen Datenschutzrecht noch größere Bedeutung erhalten als bisher. Dem trägt der Entwurf der Datenschutz-Grundverordnung bisher nicht ausreichend Rechnung. Profilbildung für Werbe- und andere Zwecke sowie Reichweitenmessung ist nur unter Pseudonym zulässig, wobei den Betroffenen wie bisher schon (§ 15 Abs. 3 TMG) ein Widerspruchsrecht zusteht. Anbieterübergreifende Profile dürfen dagegen nur mit Einwilligung des betroffenen Nutzers erstellt werden.
10. Sowohl auf nationaler als auch auf europäischer Ebene sollten die Normen über den datenschutzgerechten Umgang mit Verbindungs-, Nutzungs- und Inhaltsdaten in einem Rechtsakt zusammengefasst werden. Der gegenwärtige Entwurf der EU-Datenschutzgrundverordnung klärt das Verhältnis zur E-Privacy-Richtlinie nicht hinreichend.
11. Die Meinungsfreiheit findet im Internet wie in der realen Welt ihre Schranken in den Vorschriften der allgemeinen Gesetze. Dazu zählen auch die Datenschutzgesetze. Zwar ist stets eine Abwägung zwischen diesen allgemeinen Gesetzen und der Mei-nungsfreiheit nötig, die Meinungsfreiheit hat aber keineswegs prinzipiellen Vorrang. Insbesondere rechtfertigt sie weder eine Bloßstellung oder Anprangerung von Personen im virtuellen Raum noch den Verzicht auf bestimmte Transparenzpflichten.
12. Transparenz ist nur eine notwendige, aber keine hinreichende Bedingung für Datenschutz im Netz. Zusätzlich müssen Betroffene effektive Möglichkeiten erhalten, die Verarbeitung ihrer Daten zu kontrollieren und zu beeinflussen.
13. Es sollte eine Befugnis zur Veröffentlichung personenbezogener Daten im Internet in das Datenschutzrecht aufgenommen werden, die dem informationellen Selbstbestimmungsrecht angemessen Rechnung trägt. Dagegen besteht für eine Erweiterung des Medienprivilegs zugunsten nicht-kommerzieller Nutzer im Sinne eines „Internet-Grundrechts“ kein Anlass. Eine Einschränkung des Anwendungsbereichs des Datenschutzrechts durch die behutsame Erweiterung der Ausnahme für die Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten kommt angesichts der weitreichenden Auswirkungen von Rechtsverletzungen im Internet für die Betroffenen erst dann in Betracht, wenn der zivilrechtliche Persönlichkeitsschutz wesentlich verbessert worden ist. Dazu gehört z.B. die Einführung eines pauschalierten Schadensersatzanspruchs, der auch im Datenschutzrecht vorgesehen werden sollte.
14. Der Schutz des Rechts am eigenen Bild im Internet darf vor dem Hintergrund der um sich greifenden Gesichtserkennung nicht relativiert, sondern er muss im Gegenteil effektiviert werden.
15. Die gegenwärtig vorherrschenden Geschäftsmodelle, wonach Internet-Nutzer faktisch gezwungen sind, ihre durch systematische Beobachtung gewonnenen Daten zur unbegrenzten Kommerzialisierung freizugeben, um als Gegenleistung für die erhobenen Persönlichkeitsprofile Internet-Dienste in Anspruch nehmen zu können, führen häufig zu informationeller Fremdbestimmung. Es sind alternative datenschutzgerechte Geschäftsmodelle zu entwickeln und zu zertifizieren, die auf dem Prinzip des opt-in (permission marketing) beruhen.
16. Auch Netzabstinenz ist eine legitime Form der informationellen Selbstbestimmung. „Nonliner“, die freiwillig oder unfreiwillig auf einen Netzzugang verzichten, müssen deshalb gegen Diskriminierung geschützt werden. Ein faktischer oder gar rechtlicher „Anschluss- und Benutzungszwang“ für das Internet oder bestimmte Internet-Dienste wie soziale Netzwerke wäre nicht mit der informationellen Selbstbestimmung vereinbar.
17. Der Schutz minderjähriger Internet-Nutzer ist weniger ein rechtliches als vielmehr ein technisches und pädagogisches Problem, solange es keine effektiven Mittel der Altersverifikation gibt. Bestandteil der Schutzpflicht des Staates ist es, den Datenschutz gerade im Internet zum Bestandteil der Lehr- und Unterrichtspläne zu machen. Zur Medien- und Internetkompetenz, die dabei vermittelt werden sollte, gehören Werte wie Respekt vor der Würde anderer Nutzer ebenso wie Methoden des Selbstschutzes, z.B. der Verteidigung gegen Cybermobbing.
18. Ein etwaiges Interesse der Anbieter von „Cloud-Diensten“, den Ort der Datenverarbeitung (die Serverstandorte) vor Auftraggebern und Betroffenen geheim zu halten, ist nicht schutzwürdig.
19. Deutschland und die Europäische Union müssen sich dafür einsetzen, dass mittel-fristig der Persönlichkeits- und Datenschutz auch im Internet in einer Konvention der Vereinten Nationen geregelt wird.
20. Schon jetzt ist eine Verbesserung der grenzüberschreitenden Rechtsdurchsetzung nötig, um dem eklatanten Vollzugsdefizit im Internet zu begegnen. Das im Entwurf der Kommission vorgesehene Kohärenzverfahren ist prinzipiell richtig, die letzte Entscheidung über den Datenschutzstandard in der Europäischen Union sollte aber der künftige Europäische Datenschutzausschuss haben. Das vorgesehene Letztentscheidungsrecht der Kommission widerspricht dem Vertrag von Lissabon und der Europäischen Grundrechte-Charta. Zentralistische Aufsichtsstrukturen sind weder bürgernah noch effektiv.
Die Beschlüsse des 69. Deutschen Juristentages vom 18. bis 21. September 2012 können Sie hier einsehen. Welche Beschlüsse der Abteilung IT- und Kommunikationsrecht angenommen bzw. abgelehnt wurden, sind auf den Seiten 23 – 29 nachzulesen.
