Der institutionelle Datenschutz - "unabhängig" aber machtlos?

Inhalt

Der institutionelle Datenschutz: „unabhängig“ aber machtlos?

1. Der institutionelle Datenschutz in der Bundesrepublik Deutschland
1a. Entwicklungsgeschichte des Datenschutzes
1b. Aufgaben und Verortung des BfDI

2. Einflußmöglichkeiten und ihre Grenzen des behördlichen Datenschutzes
2a. Einflußmöglichkeiten durch Kontrolle
2b. Grenzen

3. Europäische Dimension des institutionellen Datenschutzes

4. Schlußbetrachtung

Literaturverzeichnis

Der institutionelle Datenschutz: „unabhängig“ aber machtlos?

Der ambivalente -weil unpräzise- Begriff „Datenschutz“, mit dem eigentlich das Recht auf informationelle Selbstbestimmung des Betroffenen gemeint ist, existiert, seit der technische Fortschritt in den 60er Jahren eine Speicherung von Daten in Rechenzentren ermöglicht. Im gegenwärtigen Informationszeitalter (ubiquitous computing)^[1] und infolge der extensiven Entwicklung und Verbreitung moderner (mobiler) Kommunikationstechnologien, ihrer Anwendung in Wirtschaft, Politik und Verwaltung und besonders seit der islamistischen Terrorzäsur im Jahre 2001 vergeht kein Monat, in dem sich nicht Datenschutzbeauftragte zu (sicherheitspolitischen) Reformbestrebungen zumeist kritisch/warnend in Stellungnahmen oder Beiträgen äußern. Auf einer Sonderveranstaltung der Frankfurter Römerberggespräche im Juni 2007 zur Datensicherheit („Intervention. Abhören, Überwachen, Speichern“) äußerte man u.a. die Vermutung, daß die rechnersozialisierte Generation eine technische Überwachung akzeptiere bzw. vielmehr auf den Staat als Moderator setze.^[2] Das Politikfeld „Datenschutz“ wuchs somit zu einem beachteten und vieldiskutierten Rechtsgebiet und einer Gestaltungsaufgabe von erstrangiger Bedeutung heran.^[3] Als eine „unabhängige“ Verwaltungsbehörde mit wichtigen Kontrollfunktionen entstand auf Bundes- und Landesebene der institutionelle Datenschutzbeauftragte. Nachfolgender Aufsatz soll, neben einer problemorientierten Einführung in das Thema, die Einflußmöglichkeiten (outcome) und die Grenzen, also die Auswirkung des institutionalisierten Datenschutzes im policy-making- Prozeß, kritisch beleuchten und die Ansatzpunkte für eine Reformbedürftigkeit aufzeigen.

1. Der institutionelle Datenschutz in der Bundesrepublik Deutschland

Der amtliche Datenschutz, der sich auch für die Informationsfreiheit der Bürger stark macht und maßgeblich vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (künftig: BfDI) als eine zum Selbstdatenschutz flankierende Datenschutzkontrolleinrichtung – seit 2003 von Peter Schaar in zweiter Amtszeit von seiner Dienststelle aus Bonn^[4] verkörpert wird, hat ein weitreichendes Aufgabengebiet. Neben dem Datenschutz mit wirtschaftlichem Hintergrund – etwa bei Computerdelikten wie Pishing, der Warnung vor der RFID-Technologie,^[5] der fragwürdigen Datensammlung der GEZ oder der Vermarktung der Schufa-Datenbank – begleitet er kritisch den gegenwärtigen sicherheitspolitischen Reformprozeß, der die informationelle Selbstbestimmung drastisch zu beschränken droht. In diesem Zusammenhang beanstanden die Datenschutzbeauftragten z.B. die neuen biometrischen Reisepässe (ePass),^[6] das Fluggastabkommen zwischen USA und EU,^[7] die angestrebte Vorratsdatenspeicherung der EU (Schengener Informationssystem: SIS & SIS II, Visainformationssystem: VIS & VIS II), die geplante Nutzung der Toll-Collect -Daten, die Observierung von öffentlichen Plätzen und Bahnhöfen, die geheime Kontenabfrage, Online -Durchsuchung und die höchst umstrittene Implementierung der sogenannten „Anti-Terror-Datei“ mit einer nicht zweckgebundenen generalpräventiven Wirkung.

Daneben appelliert der behördliche Datenschutz auch an die Informations- und Einflußmöglichkeit des einzelnen, das Prinzip der Datenvermeidung und des Selbstdatenschutzes zu befolgen. Diesen Prinzipien entgegenstehend, sei auf den freizügigen Datenumgang im Web 2.0 (Blogosphere, Pod-/Vodcast und Portale wie: Xing, YouTube.com, Flickr.com, Myspace.com usw.) und den Exhibitionismus von Konsumgewohnheiten durch den Einsatz sogenannter Pay-Back -Karten auf der vermeintlichen Jagd nach Konsum-„Schnäppchen“ und Rabatten hingewiesen, der auf ein geringes Bewußtsein in der Gesellschaft für das hohe, aber gefährdete Gut der informellen Selbstbestimmung schließen läßt.

Während ANDREAS ROßNAGEL auf diesem Anwendungsgebiet des Datenschutzes sich einsetzt für eine Ergänzung der normativen Schutzprogramme durch Gestaltungs- und Verarbeitungsregeln, Technikgestaltung und Vorsorge, um eine freie und demokratische Informationsgesellschaft zu erhalten,^[8] plädiert im Gegensatz hierzu HANS-CHRISTIAN BOOS für eine massenweise Datenerzeugung, die eine Auswertung der Information über eine Person schwieriger und teurer gestalte, je mehr Daten es über sie gibt.^[9] Im Zusammenhang mit letzterem „Lösungsansatz“ bleibt fraglich, wer die Zeit und Energie aufbringen möchte, sich mit der Entsorgung des realen und virtuellen spamming zu beschäftigen. Dem unkontrollierten Datenmißbrauch wird demzufolge kein wirkungsvolles Mittel entgegengesetzt. Weiterhin verursacht die massenweise Datenerzeugung erhebliche Kosten und blockiert den allseits geschätzten Nutzen der technischen Innovationen.

1a. Entwicklungsgeschichte des Datenschutzes

Das relativ junge Politikfeld/Rechtsgebiet „Datenschutz“ ist erst seit dem 7. Oktober 1970 mit Einführung des weltweit ersten Datenschutzgesetzes im Bundesland Hessen gesetzlich normiert. Ihm ging eine Diskussion über den Schutz der Privatsphäre voraus, die aufgrund Befürchtungen entstanden war, der Staat könnte neben der Tätigkeit des administrativen Verfassungsschutzes heimlich allgemeine Informationen über seine Bürger sammeln und speichern. Sinn und Zweck des Gesetzes war der Schutz vor unbefugtem Zugriff auf elektronisch verarbeitete Daten, eine Verschwiegenheitspflicht sowie das Recht zur Berichtigung von unrichtigen Daten. Die Einrichtung eines unabhängigen^[10] Datenschutzbeauftragten besaß Vorbildcharakter für das 1977 verabschiedete Bundesdatenschutzgesetz. Seit dem 13. Februar 1978 wird der Datenschutzbeauftragte von der Bundesregierung für jeweils fünf Jahre vorgeschlagen, seit der Novellierung des BSDG von 1990 wird er zusätzlich vom Parlament gewählt. Diese parlamentarische Wahl unterstreicht seitdem das Interesse der Volksvertretung an der Institution des BfDI und erhöht sein politisches und funktionales Gewicht.^[11] Der Gewählte wird durch den Bundespräsidenten durch Vollziehung der Ernennungsurkunde ernannt.

Eine vorhergehende Zäsur für die Entwicklung des Datenschutzes in der Bundesrepublik stellt das sogenannte „Volkszählungsurteil“ vom 15. Dezember 1983^[12] dar, aufgrund dessen ein Grundrecht auf Datenschutz etabliert wurde. Das „Recht auf informationelle Selbstbestimmung“ wird aus dem Art. 1 Abs. 1 und dem Art. 2 Abs. 1 GG abgeleitet und bildet somit die gesetzliche Grundnorm für den Datenschutz.^[13] Aufgrund des vorgenannten Urteils wurden umfangreiche Novellierungen der Bundes- und Landesdatenschutzgesetze und der weiteren Bundes- und Landesgesetze durchgeführt und Datenschutzregelungen für einzelne bereichsspezifische Politikbereiche staatlicher Tätigkeit (z.B. BND-Gesetz oder Landespolizeigesetze) eingeführt. Das Bundesdatenschutzgesetz (BDSG) wird auch als ein allgemeines Querschnittsgesetz bezeichnet. Bei seinen Schutznormen handelt es sich im wesentlichen um abgeleitete Regelungen, die eine grundsätzliche Wirkung erzielen und analog auf eine Vielzahl von datenschutzrelevanten Thematiken anwendbar sind. Mit diesen, im Vergleich zu anderen Staaten, profunden Erfahrungen auf dem Gebiet des institutionellen Datenschutzes gilt die Bundesrepublik auch als Vorbild für eine angestrebte Harmonisierung und den Ausbau der Europäischen Datenschutzrichtlinie (vgl. 3.).

1b. Aufgaben und Verortung des BfDI

Originäre Aufgabe des Bundesdatenschutzbeauftragten ist die Datenschutz kontrolle bei den Bundesbehörden und anderen öffentlichen Stellen des Bundes, sowie bei Telekommunikations- und Postunternehmen (§§ 24f. BDSG). Dieser ergänzt damit maßgeblich den Grundsatz der Selbstkontrolle (§ 18 BDSG) durch das Prinzip der Fremdkontrolle (§ 22ff. BDSG) in seiner konkreten Ausgestaltung am Vorbild eines Ombudsmans (§§ 21 u. § 22 Abs. 4 BDSG). Die Landesbeauftragten kontrollieren den Datenschutz im Bereich der Verwaltungen der Länder und Gemeinden. Die Datenschutzbeauftragten der Länder kontrollieren und beraten datenschutzrechtliche Belange im privaten Bereich, also bei Unternehmen, Verbänden oder Selbstständigen. Die christlichen Kirchen haben, aufgrund des verfassungsrechtlichen Selbstbestimmungsrechts von Religionsgemeinschaften, im übrigen eigene Datenschutzbestimmungen erlassen, die sich analog an den bundesgesetzlichen Vorschriften orientieren.

[...]

^[1] Allgegenwärtige Datenverarbeitung, die alle Lebensbereiche durchdringt.

^[2] Otto, Martin: Privat war gestern. Ein Römerberggespräch über die Zukunft der Überwachung, Frankfurter Allgemeine Zeitung, 25.06.2007, S. 33.

^[3] Neben der EU-Datenschutzrichtlinie, den Bundes- und Landesdatenschutzgesetzen lassen sich auf Bundesebene in über 450 Gesetzen bereichsspezifische datenschutzrechtliche Bestimmungen nachweisen, von denen einige „Fachgesetze“ sogar ausschließliche Regelungen für spezifische Teilgebiete (z.B. Polizeidatenverarbeitung oder Gesundheitsdatenschutz) normieren, vgl.: Engelien-Schulz, Thomas: Praxishandbuch des Datenschutzes bei Bundesbehörden, Frechen 2004, S. 44.

^[4] Durch die Eröffnung eines Verbindungsbüros erhofft der BfDI seine gesetzlichen Aufgaben und Befugnisse im notwendigen und angemessenen Umfang wieder realisieren zu können, vgl.: Schaar, Peter: Tätigkeitsbericht 2005 und 2006 des Bundesbeauftragten für den Datenschutz und Informationsfreiheit – 21. Tätigkeitsbericht -, Bonn 2007, S. 155.

^[5] Radio Frequency Identification Devices = elektronische Funketiketten und Ortungsgeräte, eine Weiterentwicklung des Strichcodes, stellt nach MICHAEL TEN HOMPEL (Vorstandsvorsitzender des Informationszentrums RFID und Leiter des Dortmunder Fraunhofer-Instituts für Materialfluß und Logistik (IML)) eine Schlüsseltechnologie des 21. Jahrhunderts dar, vgl.: Bünder, Helmut: Logistik 2.0, Frankfurter Allgemeine Zeitung, 21.06.2007, S. 16.

^[6] Datenschützer sprechen im Zusammenhang mit dem biometrischen Reisepaß von einem „Datenschutz-Desaster“.

^[7] Zur Genese des Fluggastabkommens und seiner juristischen Überprüfung, vgl.: Martino, Alessandra di: Datenschutz im europäischen Recht, Baden-Baden 2005, S. 70-76; Mit Urteil vom 30.05.2006 entschied der EuGH, daß das Abkommen spätestens bis Ende September 2006 zu kündigen sei, vgl.: Schaar, Peter: Tätigkeitsbericht 2005 und 2006 des Bundesbeauftragten für den Datenschutz und Informationsfreiheit – 21. Tätigkeitsbericht, Bonn 2007, S. 33f..

^[8] Roßnagel, Alexander: Datenschutz im 21. Jahrhundert, APuZ 5-6/2006, S. 9-15, hier: S. 13f.; Roßnagel, Alexander: Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2/2005, S. 71-75, hier: S. 73-75; Roßnagel, Alexander: Verantwortung für Datenschutz, Informatik_Spektrum, 12/2005, S. 462-473, hier: S. 464.

^[9] Heinzl, Armin; Autzen, Birte: Interview mit Hans-Christian Boos zum Thema „Unternehmertum in der IT-Branche“, Wirtschaftsinformatik 48 (2006) 6, S. 446-448, hier: S. 447f..

^[10] Dieses konstitutionelle Merkmal des institutionalisierten Datenschutz ergibt sich aus einigen höchstrichterlichen Urteilen, vgl.: BVerfGE 30, 1f., 23f. u. 30f.; 65, 1f., 46; 100, 313, 361f..

^[11] Heil, Helmut: 5.1 Bundesbeauftragter für den Datenschutz, in: Roßnagel, Alexander: Handbuch Datenschutzrecht. Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003, S. 744-786, hier: S. 756.

^[12] BVerfGE 65, 1; Diesem Urteil folgten mehrere aufeinander bezugnehmende Entscheidungen zur besonderen Rolle unabhängiger Kontrollinstanzen für den Bereich der öffentlichen Datenverarbeitung, vgl. Rechtsprechungsübersicht bei: Heil, Helmut: 5.1 Bundesbeauftragter für den Datenschutz, in: Roßnagel, Alexander: Handbuch Datenschutzrecht. Die neuen Grundlagen für Wirtschaft und Verwaltung, München 2003, S. 744-786, hier: S. 448 u. 753f..

^[13] BVerfGE 65, 1 (43) (Volkszählungsurteil).