Sie sind hier: RAV > PublikationenInfobriefeInfobrief #102, 2009 > Neue Herausforderungen für die informationelle Selbstbestimmung

Neue Herausforderungen für die informationelle Selbstbestimmung

Ubiquitous Computing und die Überwachung durch das Internet der Dinge

Alexander Roßnagel

Die allgegenwärtige Verarbeitung personenbezogener Daten wird nicht nur neue Missbrauchsmöglichkeiten bieten, sondern zentrale Grundlagen des Datenschutzrechts in Frage stellen. Sie verursacht nicht nur ein Vollzugs-, sondern ein grundlegendes Konzeptproblem. Aber auch in dieser Welt bleibt eine gesellschaftliche Kommunikation unverzichtbar, die auf informationeller Selbstbestimmung beruht. Bedingung informationeller Selbstbestimmung ist jedoch ein grundsätzlich modifiziertes Schutzprogramm des Datenschutzrechts, das den tief greifenden Umwälzungen durch allgegenwärtige Datenverarbeitung gerecht wird.

1. Träume und Alpträume

Mit allgegenwärtiger Datenverarbeitung werden viele Hoffnungen verbunden.(1) Weltweit wird geforscht und entwickelt, um eine Welt Wirklichkeit werden zu lassen, in der viele Alltagsgegenstände mit Sensor-, Kommunikations- und Rechnertechnik ausgestattet sind, in der die Datenverarbeitung zwar allgegenwärtig, aber in den Hintergrund getreten ist.(2) Der Mensch hat nicht mehr nur ein einziges für die Datenverarbeitung bestimmtes Gerät (Computer), vielmehr ist seine gesamte Umgebung mit der Kapazität zur Datenverarbeitung und zur Kommunikation ausgestattet. Die ihn umgebenden Dinge können (durch Sensoren) ihre Umgebung wahrnehmen. Jedem Ding ist eine Webseite zugeordnet, auf der diese Informationen gespeichert und abgerufen werden können. Im Internet der Dinge erhalten die Gegenstände ein »Gedächtnis« und können ihre Informationen (Nutzungsgeschichte, Gebrauchsanweisung, Reparaturanleitung und ähnliche Informationen) dem Nutzer mitteilen. Viele konzeptionelle Untersuchungen und szenarienhafte Darstellungen beschreiben die Zielsetzung dieser Forschung und Entwicklung als eine Zukunft, in der die Informationstechnik lang gehegte Menschheitsträume erfüllt.(3)

Der Traum verspricht zum einen eine Erweiterung der Sinne. Vielfältigste Alltagsgegenstände nehmen am Arbeitsplatz, im Privatbereich oder in der Öffentlichkeit über Sensoren, Mikrofone oder Minikameras Veränderungen in ihrer Umgebung wahr und bestimmen über Ortungsgeräte ihren jeweiligen Aufenthaltsort. Diese Angaben können sie aufgrund eines Modells ihrer Umwelt einordnen und bewerten. Sie bieten dem Nutzer quasi »mitdenkend« kontextbezogen umfangreiche Zusatz- und Hintergrundinformationen an. Die Kommunikation zwischen Mensch und Gegenstand erfolgt durch der Situation angepasste Eingabemedien wie Sprach-, Handschrift- und Bilderkennung sowie durch Ausgabemedien wie Sprache, Projektionen auf Wände oder die Netzhaut oder leuchtfähiges Plastik. Dadurch kann die körperliche Welt um zusätzliche Informationen angereichert werden. So kann etwa eine anfahrende Straßenbahn dem Reisenden ihre Endstation und die bis dahin noch anzufahrenden Stationen auf seinem Endgerät mitteilen.

Der Traum betrifft zum anderen die Erweiterung des Gedächtnisses. Die Dinge können ihre »Erfahrungen« protokollieren und dadurch ein eigenes »Gedächtnis« entwickeln. Diese Inhalte stehen dem Nutzer zur Verfügung. Durch die Fähigkeit, sich selbst zu erklären, können etwa Produkte über Verfallsdatum, Gebraushinweise oder Unverträglichkeiten informieren. Das Auto und die Heizung können ihren Nutzer erkennen und sich von selbst auf ihn einstellen (Spiegel, Sitz, Temperatur, Luftfeuchtigkeit). Dinge können ihre Nutzer an Orte, Personen, Ereignisse oder Zustände kontextbezogen erinnern, etwa der PDA, der den Gesprächspartner erkennt, an ein bestimmtes Gesprächsthema. Der Traum verspricht, drittens, eine Befreiung von Arbeit. Allgegenwärtige Datenverarbeitung entlastet vor allem am Arbeitsplatz von Routineaufgaben und Alltagsentscheidungen.

Allgegenwärtige Datenverarbeitung ist aber auch der Stoff für Alpträume. Auf Potenziale und Risiken gesellschaftlicher Kontrolle und individueller Fremdsteuerung wurde nicht nur literarisch, sondern auch in wissenschaftlich fundierten Szenarien aufmerksam gemacht.(4) Wird der Einzelne durch die Datenverarbeitung in seiner Umgebung und den Alltagsgegenständen allgegenwärtig begleitet, wird sie unmerklich Teil seines Verhaltens und seines Handelns. Die Vielfalt der Datenverarbeitung führt zu einer exponentiellen Zunahme von personenbezogenen Daten mit hoher Aussagekraft. Sie erlauben, individuelles Verhalten ebenso detailliert nachzuvollziehen wie kollektive Lebensstrukturen.

Allgegenwärtige Datenverarbeitung erfordert eine Infrastruktur zur ständigen Erhebung und situationsadäquaten Auswertung personenbezogener Daten, die zwangsläufig eine potenziell perfekte Überwachung ermöglicht. 5 Interessiert an diesen Daten könnten zum Beispiel Anbieter von Waren und Dienstleistungen, Arbeitgeber, Versicherungen, Auskunfteien oder staatliche Überwachungsbehörden, aber auch der neugierige Nachbar oder ein eifersüchtiger Liebhaber (6) sein.

Die weltweite Entwicklung tendiert zu vielfältigen Anwendungen der allgegenwärtigen Datenverarbeitung. Selbst wenn sie jemand aufhalten wollte, er hätte hierfür keine Instrumente und wäre den vielen Interessen, die in diese Richtung drängen, hoffnungslos unterlegen. Wenn diese Entwicklung die Welt lebenswerter machen soll, muss es jedoch gelingen, die Potentiale zur Verwirklichung der Träume von den Potenzialen zur Realisierung der Alpträume zu trennen. Freiheit, Entfaltung und Demokratie zu fördern und - auch gegen technische Sachzwänge - zu schützen ist die Aufgabe von Staat und Recht.(7) Gegenwärtig erfüllen beide diese Aufgabe durch das Datenschutzrecht und dessen Vollzug. Ob dies in der Welt des allgegenwärtigen Rechnens ausreichen kann, ist der Gegenstand dieses Beitrags.

2. Schutz der informationellen Selbstbestimmung durch Datenschutz

Datenschutz ist eigentlich ein irreführender Begriff. Durch Datenschutz und Datenschutzrecht sollen nämlich nicht die Daten (des Datenbesitzers) geschützt werden, sondern die informationelle Selbstbestimmung (des Betroffenen - vorrangig gegen den Datenverarbeiter). 8 Datenschutz ist daher keine Frage des Schutzes von Verfügungsrechten, sondern der Freiheit.

Als die verfassungsrechtliche Antwort auf »die modernen Bedingungen der Datenverarbeitung « hat das BVerfG die informationelle Selbstbestimmung als Grundrecht aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG abgeleitet. »Das Grundrecht gewährleistet die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.« (9) Um das Grundrecht wirksam werden zu lassen, hat das BVerfG in mehreren Entscheidungen Anforderungen zu seinem Schutz abgeleitet. (10) Die Vorschriften des Datenschutzrechts können vielfach als Umsetzung dieses normativen Schutzprogramms verstanden werden. Danach ist jeder Umgang mit personenbezogenen Daten ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung. (11) Er soll daher soweit möglich vermieden werden. Zulässig ist er nur, wenn der Gesetzgeber oder der Betroffene ihn hinsichtlich Umfang und Zweck gebilligt haben. Er muss dem Betroffenen gegenüber transparent gemacht werden, um ihm die Überprüfung der Rechtmäßigkeit und die Geltendmachung seiner Mitwirkungsrechte zu ermöglichen. Der Umgang mit den Daten ist auf den gebilligten Zweck beschränkt und darf nur soweit und solange erfolgen, wie dies für die Erreichung dieses Zwecks erforderlich ist. Diese Grundsätze sind durch technisch-organisatorische Maßnahmen abzusichern.

3. Möglichkeiten normativen Schutzes

Das Datenschutzrecht enthält zwar keine speziellen Regelungen für Anwendungen allgegenwärtigen Rechnens. Sein normatives Schutzkonzept kann aber grundsätzlich auch für diese Anwendungen taugliche normative Lösungen bieten, die erwartbare Interessenkonflikte in akzeptabler Weise regeln.(12) Dies setzt aber voraus, dass

-     nur wenige Instanzen mit klarer Rollenzuweisen beteiligt sind. Soweit der Staat Überwachungsdaten erhebt, der Arbeitgeber mit Logistikdaten auch Daten seines Arbeitnehmers speichert, der Vermieter in seinem Haus Daten über den individuellen Energieverbrauch seiner Mieter verarbeitet, der Verkäufer dem Kunden nur mit RFID-Marken versehene Waren anbietet, oder die Autoversicherung das Fahrverhalten der Versicherungsnehmer für die Prämienberechnung aufzeichnet, besteht eine klare und einfache »Frontstellung« zwischen Datenverarbeiter und Betroffenem.

-     die Verhältnisse überschaubar sind. Soweit nur wenige Beteiligte einzelne Schritte der Datenerhebung, Verarbeitung und Nutzung durchführen und damit eindeutige Zwecke verfolgen, herrschen klar strukturierte Prozesse, deren Wirkungen einzelnen Verantwortlichen zuzurechnen sind.

-     die zu beurteilenden Handlungen nur Einzelfälle betreffen. Soweit der Umgang mit den Daten bekannt oder aufklärbar ist und die Zusammenhänge und Verantwortlichkeiten durchschaubar sind, können der Betroffene oder die Datenschutzaufsicht sich auf das Ereignis konzentrieren und ihre Kontrollrechte geltend machen.

In solchen Konstellationen wird allgegenwärtiges Rechnen die Möglichkeiten der Interessendurchsetzung zwischen den Beteiligten verschieben und für die Datenverarbeiter auch neue Missbrauchsmöglichkeiten eröffnen. Dennoch entsprechen die neuen Problemstellungen dem »Erwartungshorizont« des Datenschutzrechts und es ist weiterhin möglich, die rechtliche Erlaubnis einer Datenverwendung zu überprüfen und datenschutzrechtliche Grundsätze wie Transparenz für den Betroffenen sowie Zweckbindung und Erforderlichkeit der Datenverarbeitung zur Anwendung zu bringen.

4. Grenzen normativen Schutzes

Allgegenwärtiges Rechnen schafft aber nicht nur neue Handlungsmöglichkeiten zur Interessendurchsetzung und zum Datenmissbrauch. Es verändert auch die Form der Interaktion des Menschen mit Informationstechnik grundsätzlich und schafft dadurch Verhältnisse in denen

-         viele Beteiligte mit ständig wechselnden Rollen beteiligt sind,

-         vielfältige Zwecke gleichzeitig verfolgt werden,

-         Daten auch in privaten oder gemischt privat/geschäftlichen Kontexten verwendet werden,

-         die Datenverarbeitung spontan von den Techniksystemen selbst organisiert wird,

-         die Datenverarbeitung für den Betroffenen unbemerkt erfolgt und in ihren Wirkungen undurchschaubar ist.

Auf diese neuen Verhältnisse sind die Grundsätze des datenschutzrechtlichen Schutzprogramms kaum anwendbar. Die Ziele, die mit dem Einsatz allgegenwärtigen Rechnens verfolgt werden, widersprechen den Zielen, die mit den Prinzipien des Datenschutzrechts verfolgt werden. In dem Konflikt zwischen beiden dürfte entscheidend sein, dass die Anwendungen des allgegenwärtigen Rechnens den Betroffenen in den meisten Fällen nicht aufgedrängt - in diesem Fall dürften die Datenschutzprinzipien greifen - (13), sondern von diesen gewollt werden. Sie wollen sich mit ihrer Hilfe die Träume erfüllen, die mit allgegenwärtigem Rechnen verbunden sind.(14) Sie werden dann als Konsequenz auch damit einverstanden sein müssen, dass die Hintergrundsysteme die notwendige Kenntnis über ihre Lebensweise, Gewohnheiten, Einstellungen und Präferenzen erhalten. In diesen neuen Verhältnissen wird das bisherige Schutzprogramm als solches in jedem seiner Bestandteile in Frage gestellt.

4.1 Transparenz
Der Grundsatz der Transparenz fordert, die Daten grundsätzlich bei dem Betroffenen zu erheben und ihn zuvor zu unterrichten. Bei jeder neuen Speicherung ist er zu benachrichtigen. Gegenüber der verantwortlichen Stelle hat er Auskunftsrechte.

Diese Instrumente der Transparenz stoßen künftig an subjektive Grenzen. Allein die zu erwartende Vervielfachung der Datenverarbeitungsvorgänge in allen Lebensbereichen übersteigt die mögliche Aufmerksamkeit um ein Vielfaches. Zudem soll die allgegenwärtige Rechnertechnik gerade im Hintergrund und damit unmerklich den Menschen bei vielen Alltagshandlungen unterstützen. Niemand würde es akzeptieren, wenn er täglich tausendfach bei meist alltäglichen Verrichtungen Anzeigen, Unterrichtungen oder Hinweise zur Kenntnis nehmen müsste.

Vielfach wird eine unerwünschte (Mit-) Erhebung durch die mobilen Geräte anderer Kooperationspartner erfolgen. Viele Anwendungen werden ineinander greifen und verteilte Ressourcen nutzen (z.B. Mitnutzung des Ausgabemediums eines anderen Gegenstands). Andere Anwendungen müssen zu ihrer Funktionserfüllung benötigte Daten austauschen (z.B. Ereignisdienst braucht externe Information über Ereigniseintritt). Eine Erhebung beim Betroffenen und erst recht seine Unterrichtung über die zu erhebenden Daten und den Zweck ihrer Verarbeitung wird daher vielfach unmöglich oder sehr schwierig sein.

4.2 Zweckbindung
Die Zweckbindung soll dem Betroffenen ermöglichen, die Preisgabe von Daten entsprechend seiner sozialen Rolle im jeweiligen sozialen Kontext selbst zu steuern. Mit ihr ist ein Zugriff Unberechtigter auf die Daten, eine Datenverarbeitung auf Vorrat und die Bildung umfassender Profile nicht zu vereinbaren.(15)
Bereits das Ziel, die Datenverarbeitung zu steuern und auf den festgelegten Zweck zu begrenzen, widerspricht der Idee einer unbemerkten, komplexen und spontanen technischen Unterstützung. Je vielfältiger und umfassender die zu erfassenden Alltagshandlungen sind, umso schwieriger wird es, den Zweck einzelner Datenverarbeitungen vorab festzulegen und zu begrenzen.(16)
Daher stellt sich die Frage, ob der bereichsspezifisch, klar und präzise festgelegte Zweck, den das Bundesverfassungsgericht fordert,(17) noch das angemessene Kriterium sein kann, um die zulässige Datenverarbeitung abzugrenzen.(18) Soll etwa »Ad-Hoc- Kommunikation« als eine Form der Telekommunikation zugelassen werden, für die sich die Infrastruktur jeweils situationsabhängig und ständig wechselnd mit Hilfe der Endgeräte der Kommunikationspartner und unbeteiligter Dritter bildet,(19) kann nicht vorherbestimmt werden, welche Beteiligten zu welchen Zwecken welche Daten erhalten und verarbeiten. Jeder kann ein solches mobiles Ad-Hoc-Netz sozial betrachtet für beliebige Zwecke benutzen. Jeder kann in diesem Netz technisch betrachtet - zeitweise und abwechselnd - als Sender, Mittler und Empfänger wirken. Werden dabei die Vorgänge in verschiedenen Lebensbereichen miteinander verknüpft oder werden technische Funktionen miteinander verschmolzen, wechselt der Zweck, zu dem Daten anfänglich erhoben und verarbeitet wurden, mehrfach - ohne dass dies dem vom Gesetzgeber oder dem Betroffenen gewünschten Ziel widerspricht.
Werden aber Daten für vielfältige und wechselnde Zwecke erhoben, sind eine an einem begrenzten Zweck orientierte Abschottung von Daten, ein daran anknüpfender Zugriffsschutz und eine auf der Zweckunterscheidung aufbauende informationelle Gewaltenteilung schwierig zu verwirklichen, vielfach sogar unpassend. Ähnlich verhält es sich mit dem Verbot einer Datenhaltung auf Vorrat und einer Profilbildung. Wenn viele Anwendungen ineinander greifen, Daten aus anderen Anwendungen übernehmen, für den Nutzer Erinnerungsfunktionen für künftige Zwecke erfüllen sollen, die noch nicht bestimmt werden können, sind Datenspeicherungen auf Vorrat nicht zu vermeiden. Wenn die Umgebungssysteme kontextsensitiv und selbstlernend sein sollen, werden sie aus den vielfältigen Datenspuren, die der Nutzer bei seinen Alltagshandlungen hinterlässt, und seinen Präferenzen, die seinen Handlungen implizit entnommen werden können, vielfältige Profile erzeugen.(20)
Das Problem der Zweckbindung könnte formal durch eine weite Fassung der Zweckbestimmung gelöst werden. Dadurch wird aber die Steuerungswirkung der Zweckbestimmung nicht verbessert. Im Gegenteil - Generalklauseln wie das »berechtigte Interesse« in §§ 28 und 29 BDSG und Gebote zur Abwägung mit »schutzwürdigen Interessen« des Betroffenen wären für die informationelle Selbstbestimmung kontraproduktiv, weil sie praktisch die Datenverarbeitung freigeben und für den Betroffenen unkontrollierbar machen.(21)
Mit der vielfältigen - oft unbewussten - Verfügbarkeit über personenbezogene Daten könnten sich faktisch neue Offenbarungspflichten ergeben, die zu einer nachträglichen Zweckänderung führen. Wenn die Dinge vieles um sie herum registrieren und speichern, könnte man durch Zusammenführung der gespeicherten Daten die Vergangenheit rekonstruieren und damit in vielen Fällen der Wahrheitsfindung dienen. Soll in der Familie, im Wohnumfeld, am Arbeitsplatz, im Rahmen der öffentlichen Sicherheit oder der gerichtlichen Beweisaufnahme geklärt werden, wie sich ein Ereignis zugetragen hat, könnte sich jeder verpflichtet fühlen oder verpflichtet werden, die Daten seiner Gegenstände zur Verfügung zu stellen.
Allgegenwärtige Datenverarbeitung bringt umfangreiche und aussagekräftige personenbezogene Daten hervor, die für Sicherheitsinstitutionen von größtem Interesse sind. Bisher haben die Gesetzgeber früher oder später ihrem Drängen nachgegeben, auch auf die Daten neuer Anwendungen zugreifen zu können. Daher muss damit gerechnet werden, dass alle personenbezogenen Daten, die in Alltagsgegenständen verarbeitet werden, über kurz oder lang entgegen ihrem ursprünglichen Verarbeitungszweck diesen Institutionen zur Verfügung gestellt werden müssen. Die Verpflichtung zur Vorratsdatenspeicherung bei Anbietern öffentlicher Kommunikationsdienste ist nur ein Schritt auf diesem Weg.(22)

4.3. Erforderlichkeit und Datensparsamkeit
Da das Prinzip der Erforderlichkeit, das inhaltlich, modal und zeitlich die Datenverarbeitung begrenzen soll, am Zweck der Datenverarbeitung ausgerichtet ist, erleidet es die gleiche Schwächung wie das Prinzip der Zweckbindung. Soll die Datenverarbeitung im Hintergrund ablaufen, auf Daten zugreifen, die durch andere Anwendungen bereits generiert wurden, und gerade dadurch einen besonderen Mehrwert erzeugen, wird es schwierig sein, für jede einzelne Anwendung eine Begrenzung der zu erhebenden Daten oder deren frühzeitige Löschung durchzusetzen. Auch die Einbeziehung von Umweltbedingungen mittels Sensortechnik in einer dynamischen, also laufend aktualisierenden Weise begrenzt zudem die Begrenzungsfunktion des Erforderlichkeitsprinzips. Sensorbestückte Gegenstände und Umgebungen sind fast immer aktiv und erheben eine Unmenge Daten, um den Nutzern nach ihrem - sich ständig ändernden - Bedarf jederzeit ihre Dienste anbieten zu können (23). Das »Gedächtnis« der Gegenstände ermöglicht, eine Art »Fahrtenschreiber« der Dinge zu entwickeln und ihre »Lebensspur« zu rekonstruieren, immer zu wissen, wo sich ein Ding aufhält und verlorene Dinge immer wieder zu finden. Werden mehrere »Lebensspuren « mit einander abgeglichen, kann der gemeinsame Kontext verschiedener Dinge ermittelt werden - und damit auch ihrer Besitzer. Nutzen die Betroffenen diese Gedächtnisfunktion der Gegenstände, um dadurch ihr eigenes löchriges Gedächtnis zu erweitern, lässt dies das Erforderlichkeitsprinzip gänzlich leer laufen. Für diese Funktion sind alle Daten für sehr lange Zeit erforderlich, weil niemand wissen kann, an was man sich irgendwann einmal erinnern möchte.

Aus vergleichbaren Zwängen stößt auch der Grundsatz, möglichst keine oder wenige personenbezogene Daten zu erheben, zu speichern und zu verarbeiten, an Grenzen. Oft kann erst eine Vielzahl langfristig gespeicherter Daten die gewünschte Unterstützungsleistung bieten.

5. Ansätze zur Bewahrung informationeller Selbstbestimmung

Durch allgegenwärtige Datenverarbeitung können somit die zentralen Grundsätze des datenschutzrechtlichen Schutzprogramms ausgehöhlt oder überspielt werden. Das Schutzprogramm für dieses Grundrecht muss den neuen Herausforderungen angepasst werden.

5.1. Gestaltungs- und Verarbeitungsregeln
Die Zulassungsregeln müssen durch Gestaltungs- und Verarbeitungsregeln ergänzt werden. Statt das Schwergewicht auf eine einmalige, lange vor der Datenverarbeitung liegende Zulassungsentscheidung durch Zwecksetzung des Gesetzgebers oder des Betroffenen zu legen, sollte Datenschutz künftig vorrangig durch Gestaltungs- und Verarbeitungsregeln bewirkt werden, die permanent zu beachten sind.(24) So könnte zum Beispiel Transparenz statt auf einzelne Daten stärker auf Strukturinformationen bezogen sein und statt durch eine einmalige Unterrichtung durch eine ständig einsehbare Datenschutzerklärung im Internet gewährleistet werden. Eine andere Transparenzforderung könnte sein, von allen Alltagsgegenständen eine technisch auswertbare Signalisierung zu fordern, wenn sie Daten erheben. Statt einer Einwilligung könnte als Option auch anzusehen sein, wenn der Betroffene freiwillig seine individuellen Fähigkeiten unterstützende und verstärkende Techniksysteme und Dienste nutzt. Zum Ausgleich müssten diese so gestaltet sein, dass sie über Datenschutzfunktionen verfügen, die er auswählen und für sich konfigurieren kann. (25)

5.2. Datenschutz durch Technikgestaltung
Die Gestaltungs- und Verarbeitungsregeln sind auf eine technische Umsetzung angewiesen. (26) Selbstbestimmung muss durch Infrastrukturen unterstützt werden, die ermöglichen, auf Gefährdungen automatisch zu reagieren, ohne dass dies aufdringlich oder belästigend wirkt. Die Durchsetzung von Verarbeitungsregeln muss im Regelfall durch Technik und nicht durch persönliches Handeln des Betroffenen erreicht werden.(27) Technischer Datenschutz hat gegenüber rein rechtlichem Datenschutz Effektivitätsvorteile: Was technisch verhindert wird, muss nicht mehr verboten werden. Gegen Verhaltensregeln kann verstoßen werden, gegen technische Begrenzungen nicht. Datenschutztechnik kann so Kontrollen und Strafen überflüssig machen.

5.3 Vorsorge für informationelle Selbstbestimmung

Wie in anderen Rechtsbereichen muss Vorsorge die Gefahrenabwehr ergänzen, zum einen durch die Reduzierung von Risiken und zum anderen durch präventive Folgenbegrenzungen potenzieller Schäden. Die Risiken für die informationelle Selbstbestimmung sind in einer Welt allgegenwärtiger Datenverarbeitung nicht mehr ausreichend zu bewältigen, wenn nur auf die Verarbeitung personenbezogener Daten abgestellt wird. Vielmehr sind im Sinn vorgreifender Folgenbegrenzung auch Situationen zu regeln, in denen noch keine personenbezogenen Daten entstanden sind. So bedürfen zum Beispiel die Sammlungen von Sensorinformationen, Umgebungsdaten oder von pseudonymen Präferenzen einer vorsorgenden Regelung, wenn die Möglichkeit oder gar die Absicht besteht, sie irgendwann einmal mit einem Personenbezug zu versehen. (28)

5.4. Technikgestalter als Regelungsadressaten
Regelungen, die sich nur an Datenverarbeiter richten, dürften viele Gestaltungsziele nicht erreichen. In viel stärkerem Maß sind daher die Technikgestalter anzusprechen. Diese sollten vor allem Prüfpflichten für eine datenschutzkonforme Gestaltung ihrer Produkte, eine Pflicht zur Dokumentation dieser Prüfungen für bestimmte Systeme und Hinweispflichten für verbleibende Risiken treffen. (29) Auch sollten sie verpflichtet werden, ihre Produkte mit datenschutzkonformen Defaulteinstellungen auszuliefern.

5.5 Anreize und Belohnungen
Die datenschutzgerechte Gestaltung der künftigen Welt allgegenwärtiger Datenverarbeitung fordert die aktive Mitwirkung der Entwickler, Gestalter und Anwender. Sie werden hierfür aber nur zu gewinnen sein, wenn sie davon einen Vorteil haben. Daher sollte die Verfolgung legitimen Eigennutzes in einer Form ermöglicht werden, die zugleich auch Gemeinwohlbelangen dient. Datenschutz muss daher zu einem Werbeargument und Wettbewerbsvorteil werden.

5.6 Institutionalisierte Grundrechtskontrolle
Der Schutz der informationellen Selbstbestimmung bedarf schließlich einer objektiven Ordnung, die in der Praxis mehr und mehr an die Stelle individueller Rechtewahrnehmung tritt. Die Einhaltung von Datenschutzvorgaben kann künftig immer weniger von der individuellen Kontrolle des Betroffenen abhängig gemacht werden. Sie muss in noch viel stärkerem Maß stellvertretend Kontrollverfahren und Kontrollstellen übertragen werden, die das Vertrauen der Betroffenen genießen. Gegenstand der Kontrolle müssen Systeme mit ihren Funktionen und Strukturen sein, nicht so sehr die individuellen Daten. Ziel der Kontrolle muss es sein, die individuellen und gesellschaftlichen Wirkungen der technischen Systeme zu überprüfen und diese datenschutzgerecht zu gestalten.

6. Künftige Chancen der Selbstbestimmung

Allgegenwärtiges Rechnen ermöglicht Erleichterungen und Unterstützungen durch Delegation von unerwünschten Aufgaben an Technik, kontextbezogene Assistenz und Ergänzung unserer körperlichen und geistigen Fähigkeiten. Sie ermöglicht aber auch eine umfassende Überwachung und Rekonstruktion vieler oder gar aller Ereignisse im Leben eines Menschen. Dadurch kann nicht nur der Große Bruder gestärkt werden, auch viele kleine Schwestern sind möglich. Ob wir mit dieser Technologie besser leben als ohne sie, ist letztlich eine Frage des Datenschutzes.

Auf das Datenschutzrecht kann nur begrenzt vertraut werden, weil die Entwicklung zu einer Welt allgegenwärtiger Datenverarbeitung vielfach dessen gegenwärtiges Schutzprogramm leer laufen lässt. Bedingung für die künftige Verwirklichung informationeller Selbstbestimmung ist ein modifiziertes und ergänztes Schutzprogramm, in dem die Konzepte und Instrumente des Datenschutzes der Allgegenwärtigkeit der Datenverarbeitung angepasst sind. Notwendig ist eine objektivierte Ordnung der Datenverarbeitung und -kommunikation bei professioneller Kontrolle, mit vorsorgender Gestaltung von Strukturen und Systemen, der Inpflichtnahme von Herstellern zur Umsetzung von Datenschutz in Technik sowie der Nutzung von Eigennutz durch Anreize zu datenschutzgerechtem Handeln. Diese Bedingung ist eine notwendige, aber keine hinreichende. Hinzukommen müssen bei den Individuen das Bewusstsein, dass informationelle Selbstbestimmung ein hohes, aber gefährdetes Gut ist, und der Wunsch, es zu bewahren, und in der Gesellschaft die Erkenntnis, dass hierfür Strukturänderungen erforderlich sind, und der politische Wille, sie auch umzusetzen.
 

Prof. Dr. Alexander Roßnagel ist Vizepräsident der Universität Kassel, dort Universitätsprofessor am Institut für Wirtschaftsrecht der Universität Kassel und Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Forschungszentrum für Informationstechnik-Gestaltung (iteg) sowie Wissenschaftlicher Direktor des Institut für europäisches Medienrecht (eMr) in Saarbrücken.

Fußnoten:

1 Teile dieses Beitrags beruhen auf früheren Veröffentlichungen des Autors, s. vor allem Roßnagel, Datenschutz in einem informatisierten Alltag, Friedrich-Ebert-Stiftung, Berlin 2007, und Roßnagel/Sommerlatte/winand (Hrsg.), Digitale Visionen - Zur Gestaltung allgegenwärtiger Informationstechnologien, Berlin u.a. 2008, s. auch Roßnagel/ Müller, Ubiquitous Computing - Neue Herausforderungen für den Datenschutz, CR 2004, 625; Roßnagel, Das rechtliche Konzept der Selbstbestimmung in der mobilen Gesellschaft, in: Taeger/wiebe (Hrsg.), Mobilität - Telematik - Recht, Köln, 2005, 53 ff.

2 Zu den vielfältigen technischen Entwicklungen, die dies ermöglichen s. z.B. Mattern, Total vernetzt, Szenarien einer informatisierten Welt, Berlin 2003; BSI, Kommunikations- und Informationstechnik 2010+3: Neue Trends und Entwicklungen in Technologien, Anwendungen und Sicherheit, Ingelheim 2003; Fleisch/Mattern (Hrsg.), Das Internet der Dinge, Berlin 2005; Eberspächer/v. Reden (Hrsg.), Umhegt oder abhängig. Der Mensch in einer digitalen Umgebung, Berlin 2006; Rand Corporation, eine neue Zeit. Deutschland und die Informations- und Kommunikationstechnologie im Jahr 2015, Bonn 2005; Roßnagel, Datenschutz in einem informatisierten Alltag, Friedrich-Ebert-Stiftung, Berlin 2007.

3 Weiser, The Computer for the 21st Century, Scientific American 265/3 (1991), 94 ff.; Ducatel et al., Scenarios for Ambient Intelligence in 2010, Sevilla 2001; Coroama u.a., Szenarien des Kollegs Leben in einer smarten Umgebung, Ladenburg 2003; Mattern, Ubiquitous Computing - Szenarien einer informatisierten Welt, in: Zerdick u.a. (Hrsg.), e-Merging Media - Digitalisierung der Medienwirtschaft, berlin 2003, 3 ff.; Roßnagel, Datenschutz 2015 - in einer Welt des Ubiquitous Computing, in: Bizer u.a. (Hrsg.), Innovativer Datenschutz - wünsche, Wege, Wirklichkeit, FS Bäumler, Kiel 2004 , 335 ff.; Hilty u.a., Das Vorsorgeprinzip in der Informationsgesellschaft - Auswirkungen des Pervasive Computing auf Gesundheit und Umwelt, Bern 2003; Roßnagel, Datenschutz in einem informatisierten Alltag, Friedrich-Ebert-Stiftung, Berlin 2007; Mattern, in: Roßnagel/Sommerlatte/Winand (Hrsg.), Digitale Visionen - Zur Gestaltung allgegenwärtiger Informationstechnologien, Berlin u.a. 2008, 3 ff.

4 S. z.B. Punie et al., Dark Scenarios on Ambient Intelligence, www.swami.jrc.es.

5 S. hierzu auch Langheinrich, Die Privatsphäre im Ubiquitous Computing, in: Fleisch/Mattern (fn. 2), 336f.

6 Zur Reduzierung der technischen Hemmschwelle für das private, gelegentliche bespitzeln s. Mattern, Ubiquitous Computing, in: Taeger/Wiebe (fn. 1), 21.

7 S. z.B. 49, 89 (125 ff.); 65, 1 (56); 112, 304 (316).

8 S. näher Roßnagel, Verantwortung für Datenschutz, Informatik Spektrum 2005, 462 ff.

9 BVerfGE 65, 1 (43).

10 BVerfGE, 65, 1 (44 ff.); 84, 192 (195); 100, 313 (358 ff.); 110, 33 (52 ff.); 113, 348 (364 ff.).

11 S. BVerfGE 100, 313 (366); dies gilt auch für die Datenverwendung durch private Stellen - s. BVerfGE 84, 192 (195).

12 Roßnagel/Jandt/Müller u.a., Datenschutzfragen mobiler kontextbezogener Systeme, Wiesbaden 2006.

13 S. Abschnitt 3.

14 S. Abschnitt 1.

15 S. BVerfGE 65, 1 (49); Scholz, Datenschutz bei Data warehousing und Data Mining, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, 1845 ff. 16 S. hierzu auch Langheinrich (Fn. 5), 337.

17 BVerfGE 65, 1 (44, 46).

18 S. kritisch aus anderen Gründen Roßnagel/Pfitzmann/ Garstka, Modernisierung des Datenschutzrechts. Bundesministerium des Inneren, Berlin 2001, 29 ff.

19 S. zu Ad-Hoc-Netzen auch ernst, Rechtliche Probleme mobiler Ad-Hoc-Netze, in: Taeger/Wiebe (Fn. 1), 127 ff.

20 S. hierzu Schwenke, Individualisierung und Datenschutz, Wiesbaden 2006.

21 S. kritisch Roßnagel/Pfitzmann/Garstka (Fn. 21), 77f.

22 S. Roßnagel, Vorratsspeicherung von Verkehrsdaten in Europa, EuZ 2006, 30 ff.
23 S. Mattern (Fn. 6), 18.

24 S. Roßnagel/Pfitzmann/Garstka (Fn. 21), 70 ff.

25 S. auch Roßnagel (Fn. 3), 335 ff.

26 S. Köhntopp und Nedden, Datenschutz und »Privacy enhancing Technologies«, in: Roßnagel (Hrsg.), Allianz von Medienrecht und Informationstechnik?, Baden-Baden, 2001, 55 ff. und 67 ff.

27 S. z.B. für RfID Müller/Handy, RfID und Datenschutzrecht, DuD 2004, 629.

28 S. Roßnagel/Scholz, Datenschutz durch Anonymität und Pseudonymität, MMR 2000, 728 ff.

29 S. näher Roßnagel/Pfitzmann/Garstka (Fn. 21), 143 ff.

Lupe