Gastkommentar

Die Pandemie zeigt: Es braucht eine Neujustierung des Datenschutzes

In der Pandemie stellt sich die dringliche Frage, welches denn tatsächlich die Risiken sind, um derentwillen wir auf eine wirksame Kontaktverfolgung verzichten. Zumal Selbstbestimmung über die «eigenen» Daten nach wie vor nur in geringem Umfang möglich ist.

Hans Peter Bull 15 Kommentare
Drucken
Noch immer besteht grosse Unsicherheit darüber, wozu Datenschutz eigentlich benötigt wird.

Noch immer besteht grosse Unsicherheit darüber, wozu Datenschutz eigentlich benötigt wird.

Jacopo Landi / Nurphoto / Getty

Zu Unrecht behaupten seit Jahrzehnten prominente Welterklärer, Deutschland hinke bei der Entwicklung und Einführung neuer Technologien hoffnungslos hinter anderen Ländern her.

Abgesehen davon, dass diese deutsche Selbstkritik unbegründet ist, erstaunt es in diesem Kontext umso mehr, dass die Informationstechnik nicht ausreichend zur Bekämpfung der Corona-Pandemie genutzt wird. Die Gesundheitsämter haben versucht, in Tausenden Telefongesprächen die Kontaktpersonen von Infizierten herauszufinden – ein fast aussichtsloses Unterfangen. Die lange diskutierte Corona-Warn-App meldet «riskante Begegnungen» nur, wenn Infizierte ihr Testergebnis freiwillig in das System eingegeben haben; dabei bleiben aber die Menschen, die mich eventuell infiziert haben, anonym. Die Behörden tappen bei der Aufklärung der Infektionsketten im Dunkeln.

In verschiedenen asiatischen Ländern – insbesondere Südkorea und Taiwan – werden Bewegungsprofile basierend auf den Handydaten zur Kontaktverfolgung und zur Isolierung Infizierter benutzt. Nicht nur das autoritär regierte China betreibt eine informationstechnische Beobachtung der Bevölkerung zur Seuchenbekämpfung, sondern auch demokratische Staaten. Weil manche dieser Länder mit ähnlichen Instrumenten aber auch die politische Zuverlässigkeit und die Gehorsamsbereitschaft der Menschen sichern wollen, wird in westlichen Rechtsstaaten auf die entsprechenden Techniken verzichtet.

In Deutschland sind Vorstösse, effektive technische Instrumente für das gezielte Aufspüren der Infektionsketten zu nutzen, in der Öffentlichkeit sogleich mit Empörung zurückgewiesen worden, weil sie angeblich gegen «den Datenschutz» verstiessen, und die Politik versucht gar nicht erst, gegen diese Stimmung anzugehen. Man setzt auf die freiwillige Mitarbeit der gesamten Bevölkerung. Gravierende Eingriffe in die persönliche Freiheit, die Schliessung ganzer Wirtschaftszweige und die Stilllegung fast des gesamten Kulturbetriebs werden weitgehend geduldig hingenommen – doch die Sorge um die Daten wird zum Totschlagargument gegen technische Hilfsmittel.

Missbrauchsgefahr ist überschaubar

Aber welches sind die Risiken, derentwegen wir auf eine wirksame Kontaktverfolgung verzichten? Tatsächlich bestünde die Gefahr, dass Angaben über Infektionen, Risikobegegnungen und Testergebnisse auch solchen Stellen bekanntwürden, die über diese Daten verfügen wollen, weil sie neugierig sind oder den Betroffenen schaden wollen. Indes ist die Gefahr einer solchen Zweckentfremdung ausserordentlich gering, und wenn es tatsächlich Lecks bei der Verarbeitung der Daten geben sollte, wäre der Schaden minimal.

Und besteht in Deutschland (oder seinen europäischen Nachbarländern) wirklich die ernsthafte Gefahr, dass eine autoritäre Regierung sich daranmacht, die Bürger total zu überwachen? Diese These wird von einigen besorgten Datenschützern vertreten. Sie ist hier und heute durch nichts begründet. Und wenn eine künftige deutsche Regierung gegen alle Wahrscheinlichkeit doch alle rechtsstaatlichen Grundsätze verraten wollte, würde sie keine datenschutzrechtliche Vorkehrung daran hindern.

Wozu Datenschutz?

Noch immer besteht grosse Unsicherheit darüber, wozu Datenschutz eigentlich benötigt wird. Datenschutz soll die «informationelle Selbstbestimmung» sichern – aber es ist klar, dass diese umfassende Selbstbestimmung unmöglich ist, weil unzählige Daten aus legitimen Gründen vom Staat und von Privaten auch gegen den Willen der Betroffenen benötigt werden. Zum einen geht es also um die Sicherheit gespeicherter und übermittelter Daten: Unbefugte sollen nicht an persönliche Angaben über Mitbürger herankommen. Zum anderen wird eine «informationelle Gewaltenteilung» angestrebt, also die Aufteilung der durch Datenbesitz vermittelten Macht.

Die Konkretisierung dieser Prinzipien ist in den verschiedenen allgemeinen und besonderen Datenschutzgesetzen und in der europäischen Datenschutz-Grundverordnung versucht worden. Die Grundverordnung, die als ein Durchbruch zu entschiedenem Datenschutz gefeiert worden ist, bekräftigt die allgemeinen Grundsätze, lässt aber viele konkrete Streitfragen offen. Der Anspruch, in einem einzigen Rechtsakt alle künftig denkbaren Konflikte um persönliche Daten zu lösen, ist nicht erfüllt worden – er war von vornherein unerfüllbar. Wer dieser Intention folgt, überschätzt die Reichweite des Rechts und verfehlt die Aufgabe, soziale Konflikte gerecht zu lösen.

Übertriebenes Sicherheitsdenken

Die Datenschutzaufsichtsbehörden bemühen sich gleichwohl, Lösungen zu erarbeiten, und der Europäische Gerichtshof hat sich in verschiedenen Entscheidungen als Vorkämpfer für einen wirksamen Datenschutz profiliert. Aber das Recht der Datenverarbeitung wird dabei immer komplizierter und weniger bürgerfreundlich. Die Grossunternehmen arrangieren sich ganz gut mit den Forderungen der Datenschutzbehörden, während kleine Unternehmen, Vereine aller Art und viele IT-Nutzer sich durch formale Vorschriften gegängelt fühlen. Die Sicherheitsbehörden klagen mit Recht über die zahlreichen Einschränkungen ihrer Informationstätigkeit, die vom Bundesverfassungsgericht in seinen bekannten Urteilen über die verschiedenen Ermittlungsinstrumente – von der «Rasterfahndung» bis zur automatischen Ablesung der Kfz-Kennzeichen – verfügt worden sind.

Ursächlich für diese Entwicklung ist ein übertriebenes Sicherheitsdenken: Nach der herrschenden Lehre, die den Regelungen des deutschen und des europäischen Rechts zugrunde liegt, gilt jede Form des Umgangs mit Daten, die sich auf natürliche Personen beziehen, als «gefährlich», weil es fast immer möglich sei, die gespeicherten Angaben zum Nachteil der Betroffenen zu verwenden, also zu «missbrauchen». Diese «abstrakte Gefährdungsvermutung» beruht allein darauf, dass Missbrauch möglich ist; es wird nicht geprüft, wie wahrscheinlich er ist. In dieser Perspektive gibt es keine harmlosen Daten; selbst Speicherungen, die nach kurzer Zeit gelöscht werden, gelten als unzulässig.

Die juristische Konsequenz aus dieser Wahrnehmung besteht darin, dass für jede Form der Sammlung, Aufbewahrung und Verwendung personenbezogener Daten eine gesetzliche Erlaubnis vorliegen muss. Schon bald nachdem das Bundesverfassungsgericht diese Forderung aufgestellt hatte, zeigte sich, dass dazu eine unermessliche Fülle einzelner gesetzlicher Regelungen beschlossen und in Kraft gesetzt werden musste – eine noch grössere Regelungsflut als das Steuerrecht, das bis dahin als weltweit grösstes Bürokratieprodukt galt. Trotz allen Bemühungen ist es nicht gelungen, die Datensammlungen der Wirtschaft und der Verwaltung wesentlich einzuschränken. Selbstbestimmung über die «eigenen» Daten ist nach wie vor nur in geringem Umfang möglich.

Die ellenlangen Einwilligungsformulare der grossen Internetanbieter werden nicht gelesen; die Einwilligung wird in Wahrheit nicht freiwillig erteilt. Zwar wird neuerdings mehr als früher darauf geachtet, dass die Verwendung von Cookies genehmigt sein muss. Aber die Firmen haben sich darauf eingestellt und ihre Internetauftritte so umgestaltet, dass die Nutzer möglichst pauschal einwilligen.

Es ist also an der Zeit, an eine grundsätzliche Neujustierung des Datenschutzes heranzugehen. Die Alternative ist nicht Virenschutz statt Datenschutz, wie eine Zeitung getitelt hat, sondern Datennutzung statt Passivität – nach Abwägung der tatsächlichen Risiken.

Hans Peter Bull hat an der Universität Hamburg öffentliches Recht gelehrt. Er war der erste Bundesbeauftragte für den Datenschutz (1978–1983) und Innenminister des Landes Schleswig-Holstein (1988–1995).

15 Kommentare
T. F.

Also, wieso Datenschutz wichtiger sein soll als zum Beispiel freie Atmung (ohne Maske), das erschliesst sich mir nicht. Wieso Google wissen darf, wo ich mich wann aufgehalten habe, aber eine demokratisch kontrollierte Organisation nicht, noch viel weniger. Hätte man die Corona-App europaweit koordiniert zum Contact Tracing eingesetzt, und obligatorisch gemacht, müssten jetzt nicht wieder Grenzschliessungen befürchtet werden.

Dr. Karsten Jung

Der Beitrag verkennt die Realität in Deutschland völlig. Natürlich kann man lange darüber streiten, ob wirklich keine Gefahr für den Rechtsstaat in Deutschland besteht, wie Bull behauptet. Angesichts des Umstandes, dass der Regierung kaum etwas Anderes einfällt, als Grundrechtseinschränkungen, habe ich - ebenso wie zahlreiche namhafte Verfassungsrechtler - erhebliche Zweifel am Optimismus Bulls. Aber selbst wenn man das außer Acht lässt, liegt das Problem der schlechten Pandemiebekämpfung nicht am eventuell überbordenden Datenschutz, sondern ganz woanders. Ich selbst hatte Corona. Schnelltest an einem Freitag positiv. Allein: Der Schnelltest interessiert deutsche Behörden nicht, die reagieren nur auf PCR. Bis das Ergebnis vorlag, war es Dienstag, und bis die zuständige Behörde mich zur Kontaktverfolgung anrief dann Mittwoch. Ich habe vorher meine Kontakte eigenständig informiert und mich selbst freiwillig in Quarantäne begeben, was ich rein formal nicht gemusst hätte. An diesem sehr typischen Beispiel sieht man, dass unser Hauptproblem Behördenversagen ist. Das ist nicht mal den kleinen Mitarbeitern im lokalen Gesundheitsamt vorzuwerfen, die ihr Bestes geben, sondern an der Politik, die jetzt die Ernte für jahrelange Versäumnisse einfährt. Hinzu kommt, dass wir eine funktionierende App haben: Sie zeigt an, ob ein Risiko besteht. Es ist für den User vollkommen irrelevant, durch ob er von Herrn Müller oder Frau Meier angesteckt wurde. Der Datenschutz ist somit kein Hindernis.