APUZ Dossier Bild
Pfeil links 1 | 2 | 3 | 4 | 5 Pfeil rechts

Datenschutz im 21. Jahrhundert

25.1.2006

Herausforderungen durch allgegenwärtige Datenverarbeitung



Die Gewährleistung der informationellen Selbstbestimmung durch dieses normative Schutzprogramm ist durch die Entwicklung zu einer allgegenwärtigen Datenverarbeitung gefährdet. Dadurch wird nicht die Notwendigkeit informationeller Selbstbestimmung in Frage gestellt. Wenn die Welt allgegenwärtiger Datenverarbeitung human und lebenswert sein soll, muss diese Selbstbestimmung mehr noch als heute gewährleistet sein. Fraglich ist jedoch, ob das bisherige datenschutzrechtliche Schutzprogramm für dieses Grundrecht noch angemessen ist.[7]

Die meisten Anwendungen allgegenwärtiger Informationstechnik werden von den Betroffenen selbst gewählt und gern genutzt, weil sie ihnen Erweiterungen ihrer geistigen und körperlichen Fähigkeiten bieten, sie bei Routineaufgaben unterstützen, ihnen Entscheidungen abnehmen und das Leben bequemer machen. Sie werden individualisierte Dienste und Geräte fordern, die sich ihnen anpassen, und im Gegenzug - mehr oder weniger notgedrungen - damit einverstanden sein, dass die Hintergrundsysteme die notwendige Kenntnis über ihre Lebensweisen, Gewohnheiten, Einstellungen und Präferenzen erhalten. Zwar wird es auch künftig klare und einfache Frontstellungen zwischen Betroffenen und Datenverarbeitern geben, die zum Beispiel Waren mit RFID[8] versehen, diese auswerten und ihren Kunden keine Wahlmöglichkeit lassen. Hierfür werden dem bestehenden Datenschutzprogramm klare Antworten zu entnehmen sein, die den Aufsichtsbehörden ein passendes Verhalten ermöglichen. Im Regelfall werden aber die Verhältnisse komplizierter und schwieriger zu bewerten sein.

Computerisierte Alltagsgegenstände begleiten die Menschen bei ihren Tätigkeiten und unterstützen sie - scheinbar mitdenkend - in einer sich selbst organisierenden Weise. Sie fungieren nicht mehr nur als Träger und Mittler von Daten, sondern generieren Daten selbst, die sie untereinander austauschen, und "entwickeln" ein eigenes "Gedächtnis". Sie werden unmerklich Teil des Verhaltens und Handelns ihrer Nutzer. Sie ermöglichen es, von den Betroffenen sehr präzise Profile über ihre Handlungen, Bewegungen, Beziehungen, Verhaltensweisen, Einstellungen und Präferenzen in der körperlichen Welt zu erzeugen. Interessenten für diese Daten könnten zum Beispiel Anbieter von Waren und Dienstleistungen, Arbeitgeber, Versicherungen, Auskunfteien oder staatliche Überwachungsbehörden, aber auch der neugierige Nachbar oder ein eifersüchtiger Liebhaber sein. Mit der allgegenwärtigen Datenverarbeitung wird eine potenziell perfekte Überwachungsinfrastruktur aufgebaut. Durch die Pflicht von Telekommunikationsanbietern zur Vorratsdatenspeicherung wurde für staatliche Überwachungsbehörden hierzu auch schon ein Zugang eröffnet.

Durch allgegenwärtige Datenverarbeitung werden nicht nur neue Missbrauchsmöglichkeiten eröffnet. Diesen könnte man durchaus mit dem bisherigen Schutzprogramm (und eventuell besser ausgestatteten Aufsichtsbehörden) begegnen. Entscheidender ist, dass durch allgegenwärtige Datenverarbeitung das bisherige Schutzprogramm als solches in jedem seiner Bestandteile in Frage gestellt wird.

So stoßen zum Beispiel die bisherigen Instrumente der Transparenz an subjektive Grenzen. Allein die zu erwartende Vervielfachung der Datenverarbeitungsvorgänge in allen Lebensbereichen übersteigt die mögliche Aufmerksamkeit um ein Vielfaches. Zudem soll die allgegenwärtige Rechnertechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen. Niemand würde es akzeptieren, wenn er täglich tausendfach bei meist alltäglichen Tätigkeiten Anzeigen, Unterrichtungen oder Hinweise zur Kenntnis nehmen müsste. Selbst wenn er dies wollte, stehen oft keine oder keine adäquaten Ausgabemedien zur Verfügung. Außerdem setzen hohe Komplexität und vielfältige Zwecke der möglichen Transparenz objektive Grenzen. Statt eines einfachen Datensatzes (z.B. Postadresse) würde dem Betroffenen bei einer Auskunft über die verarbeiteten Daten ein komplexes Sensordestillat präsentiert, bei dem meist nur vermutet werden kann, dass es die betroffene Person meint.[9] Für viele Anwendungen wird bei der Datenerhebung unklar sein, ob die Daten personenbezogen sind. Sie erhalten den Personenbezug - wenn überhaupt - oft erst viel später. Vielfach wird die (Mit-)Erhebung von Daten (durch Kamera oder Sensor) sogar unerwünscht sein. Eine Unterrichtung des Betroffenen wird daher vielfach unmöglich oder sehr schwierig sein.

Eine Einwilligung für jeden Akt der Datenverarbeitung zu fordern, würde angesichts der Fülle und Vielfalt der Vorgänge und der Unzahl von verantwortlichen Stellen zu einer Überforderung aller Beteiligten führen. Noch weniger umsetzbar wäre es, hierfür die geltenden Formvorschriften - Schriftform oder elektronische Form - zu fordern. Selbst eine Einwilligung in der für das Internet gedachten Form einer elektronischen Bestätigung[10] dürfte unter diesen Umständen meist nicht praktikabel sein. In dieser Welt wird die Einwilligung als Instrument des Datenschutzrechts in bisher bekannter Form nur in generalisierter Anwendung überleben können. Bei vorher bekannten Dienstleistungen werden die Betroffenen in Rahmenverträgen mit allgemeinen Zweckbestimmungen ihre Einwilligung erteilen. Damit wird die Steuerungskraft der Einwilligung für die Zulässigkeit der Datenverarbeitung noch weiter sinken. Für spontane Kommunikationen wird die Einwilligung ihre Bedeutung ganz verlieren.

Die Zweckbindung widerspricht der Idee einer unbemerkten, komplexen und spontanen technischen Unterstützung. Je vielfältiger und umfassender die zu erfassenden Alltagshandlungen sind, umso schwieriger wird es, den Zweck einzelner Datenverarbeitungen vorab festzulegen und zu begrenzen.[11] Die klare Bestimmung des Zwecks, der oft durch die funktionale Zuordnung zu einem Gerät abgegrenzt war (zum Beispiel: Fernsprechapparat für Sprachkommunikation), ist nicht mehr möglich. Daher stellt sich die Frage, ob der bereichsspezifisch, klar und präzise festgelegte Zweck, den das BVerfG fordert,[12] noch das angemessene Kriterium sein kann, um die zulässige Datenverarbeitung abzugrenzen.[13] So kann etwa für Ad-hoc-Kommunikation, für die sich die Infrastruktur jeweils situationsabhängig und ständig wechselnd mit Hilfe der Endgeräte der Kommunikationspartner und unbeteiligter Dritter bildet, nicht vorherbestimmt werden, welche Beteiligten zu welchen Zwecken welche Daten erhalten und verarbeiten.[14] Jeder kann ein mobiles Ad-hoc-Netz, sozial betrachtet, für beliebige Zwecke benutzen. Jeder kann in diesem Netz, technisch betrachtet, zeitweise und abwechselnd als Sender, Mittler und Empfänger wirken. Werden dabei die Vorgänge in verschiedenen Lebensbereichen miteinander verknüpft oder werden technische Funktionen miteinander verschmolzen, wechselt der Zweck, zu dem Daten anfänglich erhoben und verarbeitet wurden, mehrfach - ohne dass dies dem vom Gesetzgeber oder dem Betroffenen gewünschten Ziel widerspricht.

Werden aber Daten für vielfältige und wechselnde Zwecke erhoben, sind eine an einem begrenzten Zweck orientierte Abschottung von Daten, ein daran anknüpfender Zugriffsschutz und eine auf der Zweckunterscheidung aufbauende informationelle Gewaltenteilung schwierig zu verwirklichen, vielfach sogar unpassend. Ähnlich verhält es sich mit dem Verbot einer Datenhaltung auf Vorrat und einer Profilbildung. Wenn Anwendungen Erinnerungsfunktionen für künftige Zwecke erfüllen sollen, die noch nicht bestimmt werden können, sind Datenspeicherungen auf Vorrat nicht zu vermeiden. Wenn die Systeme kontextsensitiv und selbstlernend sein sollen, werden sie aus den vielfältigen Datenspuren, die der Nutzer bei seinen Alltagshandlungen hinterlässt, und seinen Präferenzen, die seinen Handlungen implizit entnommen werden können, vielfältige Profile erzeugen müssen.

Das Problem der Zweckbindung könnte formal durch eine weite Fassung der Zweckbestimmung gelöst werden. Dadurch wird aber die Steuerungswirkung der Zweckbestimmung nicht verbessert. Im Gegenteil - Generalklauseln wie das "berechtigte Interesse" und Gebote zur Abwägung mit "schutzwürdigen Interessen" des Betroffenen[15] wären für die informationelle Selbstbestimmung kontraproduktiv, weil sie praktisch die Datenverarbeitung freigeben und für den Betroffene unkontrollierbar machen.[16] Bleiben solche Generalklauseln bestehen, werden sie bei einer allgegenwärtigen Datenverarbeitung mit neuen Bedeutungen gefüllt. Sie werden in der Praxis die "Freikarte" für alle Interessierten sein, die vielfältigen und umfassenden Datenspuren für ihre Zwecke zu verarbeiten.

Da das Prinzip der Erforderlichkeit am Zweck der Datenverarbeitung ausgerichtet ist, erleidet es die gleiche Schwächung wie das Prinzip der Zweckbindung. Soll die Datenverarbeitung im Hintergrund ablaufen, auf Daten zugreifen, die durch andere Anwendungen bereits generiert wurden, und gerade dadurch einen besonderen Mehrwert erzeugen, wird es schwierig sein, für jede einzelne Anwendung eine Begrenzung der zu erhebenden Daten oder deren frühzeitige Löschung durchzusetzen. Auch die Einbeziehung von Umweltbedingungen mittels Sensortechnik in einer dynamischen, laufend aktualisierenden Weise beschränkt zudem die Begrenzungsfunktion des Erforderlichkeitsprinzips. Das Ziel, die Gegenstände mit einem "Gedächtnis" auszustatten, um dadurch das löchrige Gedächtnis des Nutzers zu erweitern, lässt das Erforderlichkeitsprinzip leer laufen.[17]

Aus dem gleichen Grund stößt der Grundsatz der Datenvermeidung an Grenzen. Vielfach kann erst eine Vielzahl langfristig gespeicherter Daten die gewünschte Unterstützungsleistung bieten. Auch die Verarbeitung anonymer und pseudonymer Daten kann ungeeignet sein, weil die Daten oftmals unmittelbar erhoben werden: Eine Kamera, ein Mikrofon oder ein Sensor nehmen anders als ein Webformular den Benutzer direkt wahr und können vielfach nicht ohne Offenlegung der Identität des Benutzers verwendet werden. Indirekte Sensoren wie zum Beispiel druckempfindliche Bodenplatten können auch ohne direkte Wahrnehmung primärer biometrischer Attribute durch Data-Mining-Techniken Menschen etwa an ihrem Gang identifizieren. Die für die allgegenwärtige Datenverarbeitung typische enge Verknüpfung der Sensorinformation mit Ereignissen der realen Welt erlaubt selbst bei konsequenter Verwendung von Pseudonymen in vielen Fällen eine einfache Personenidentifikation. So können zum Beispiel bei einem Indoor-Lokalisierungssystem die pseudonymen Benutzer anhand ihres bevorzugten Aufenthaltsortes identifiziert werden.[18]

Mitwirkungs- und Korrekturrechte des Betroffenen werden wegen der Vervielfachung und Komplexität der Datenverarbeitung im Alltag, die oft unmerklich stattfinden wird, an Durchsetzungsfähigkeit verlieren. Außerdem werden die Vielzahl der beteiligten Akteure, die spontane Ver- und Entnetzung sowie der ständige Rollenwechsel zwischen Datenverarbeiter und Betroffenem zu einer Zersplitterung der Verantwortung für die Datenverarbeitung führen. Schließlich werden die verantwortlichen Stellen selbst oft nicht wissen, welche personenbezogenen Daten sie verarbeiten. Vorgänge aber zu protokollieren, um Auskunfts- und Korrekturrechte erfüllen zu können, wäre in vielen Fällen im Hinblick auf Datensparsamkeit kontraproduktiv.

Zusammenfassend ist festzustellen: Alle Bestandteile des überkommenen Schutzprogramms werden durch allgegenwärtige Datenverarbeitung ausgehöhlt oder überspielt. Daher ist die Frage ganz grundsätzlich zu stellen, ob unter diesen Verhältnissen informationelle Selbstbestimmung überhaupt noch möglich ist.



Fußnoten

7.
Vgl. hierzu auch Alexander Roßnagel/Jürgen Müller, Ubiquitous Computing - neue Herausforderungen für den Datenschutz. Ein Paradigmenwechsel und die von ihm betroffenen normativen Ansätze, in: Computer und Recht, (2004), S. 628ff.
8.
RFID = Radio Frequency Identification. Anm. der Red.: Vgl. dazu den Beitrag von Britta Oertel und Michaela Wölk in diesem Heft.
9.
Vgl. auch Marc Langheinrich, Die Privatsphäre im Ubiquitous Computing - Datenschutzaspekte der RFID-Technologie, www.vs.inf.eth.ch/publ/papers/langhein2004rfid.pdf, S. 12.
10.
Vgl. § 4 Abs. 2 Teledienstedatenschutzgesetz und § 18 Abs. 2 Mediendienstestaatsvertrag.
11.
Vgl. hierzu auch M. Langheinrich (Anm. 9), S. 9.
12.
BVerfGE 65, 1 (44, 46).
13.
Vgl. kritisch aus anderen Gründen Alexander Roßnagel/Andreas Pfitzmann/Hansjürgen Garstka, Modernisierung des Datenschutzrechts, Gutachten für das Bundesministerium des Innern, 2001, S. 29ff.
14.
Vgl. Stefan Ernst, Rechtliche Probleme mobiler Ad-hoc-Netze, in: J. Taeger/A. Wiebe (Anm. 3), S. 127ff.
15.
S. §§ 28 und 29 Bundesdatenschutzgesetz.
16.
Vgl. kritisch A. Roßnagel/A. Pfitzmann/H. Garstka (Anm. 13), S. 77f.
17.
Vgl. auch Friedemann Mattern, Ubiquitous Computing, in: J. Taeger/A. Wiebe (Anm. 3), 28ff.
18.
Vgl. M. Langheinrich (Anm. 9), S. 11f.