Datenschutz. Eine gute Idee, ein wichtiges Konzept und über Bande durch die »informationelle Selbstbestimmung« seit einem Verfassungsgerichtsurteil von 1983 auch grundgesetzlich geschützt . Irgendwie. Und natürlich ist Datenschutz in Zeiten von digital angetriebenen Überwachungsmöglichkeiten essenziell, bestimmte persönliche Daten gehen den Staat nichts an und alle anderen auch nicht. Leider gibt es ein Aber. Denn die Idee Datenschutz unterscheidet sich erheblich von dem, womit man in der Netz- und IT-Welt fast täglich konfrontiert wird.

In Deutschland herrscht nicht ein menschenzugewandter, aufgeklärter, progressiver Datenschutz vor, sondern ein real existierender Datenschutz. Natürlich gibt es eine Vielzahl von Leuten, die einen modernen, aufgeklärten Datenschutz propagieren, vielleicht sind sie sogar in der Mehrheit. Es wäre aber eine sehr leise Mehrheit, denn der Diskurs und damit auch die öffentliche Meinung wird geprägt von so lauten wie oft fundamentalistischen Neinsagern. Real existierender Datenschutz basiert nicht auf der sinnvollen Übertragung von Grundwerten ins digitale 21. Jahrhundert – sondern auf einem veralteten, dysfunktionalen Bild der digitalen Gesellschaft und einer Reihe von längst nicht mehr haltbaren Erzählungen.

Damit beginnt das Problem, denn Datenschutz und die dazugehörige Gesetzgebung ist so oft umständlich und im Detail unklar, dass man auf Vermutungen und Erzählungen zurückgreift, selbst in informierten Kreisen. Konkret bedeutet das, dass ein und derselbe Sachverhalt von unterschiedlichen Fachleuten derart unterschiedlich interpretiert wird, dass man oft nicht einmal ein Mindestmaß an Gewissheit erreichen kann. Dieses im digitalwirtschaftlichen Alltag lähmende Manko ist entgegen dem Mantra vieler Datenschützer durch die DSGVO vielleicht besser, aber noch lange nicht gut geworden. Wie man zum Beispiel am fortlaufenden deutschen E-Rezept-Fiasko  erkennen kann.

Staatliche und halbstaatliche IT-Projekte sind in Deutschland ohnehin eine Abfolge von 50 Shades of Scheitern. So sollte das E-Rezept schon mehrfach längst eingeführt worden sein, die dahinterstehenden Technologien sind auch wirklich kein magisches Hexenwerk digitaler Aliens. E-Rezept-Konzepte werden in Europa angewendet in Albanien, Kroatien, Dänemark, Estland, Finnland, Island, Lettland, Litauen, Tschechien, Griechenland, Malta, Montenegro, Norwegen, Portugal, Rumänien, Slowenien, Schweden, Spanien, der Ukraine, den Niederlanden, Frankreich, Italien, Russland und im Vereinigten Königreich. Außerhalb von Europa in China, Indien, Südafrika, Bangladesch, Ägypten, Malaysia, Australien, Ruanda, den Philippinen, Brasilien, Israel, Thailand, Kanada, Ecuador, Kenia, Bolivien, Panama, Costa Rica, Paraguay und jeder Menge anderer Länder.

Selbst Österreich, das sonst in digitalstaatlichen Dingen unter starkem Deutschlandverdacht steht, hat diesen Sommer das E-Rezept eingeführt. Die Größenordnung der Veränderung lässt sich in den USA erkennen, wo 2020 84 Prozent aller Rezepte (Prescriptions) digital waren . In Deutschland aber wurde der für Anfang September angesetzte regionale Testlauf in Schleswig-Holstein kurz vorher von der Kassenärztlichen Vereinigung abgesagt . Und zwar mit der Begründung: Das hat die Datenschutzbehörde untersagt. Zwei Wochen vor dem Start.

Hier lohnt es sich ausnahmsweise mal nicht, genauer hinzuschauen, schon weil man dann völlig verzweifelt wäre und alles anzünden wollen würde. Aber die erste sinnvolle Reaktion auf diese Absage ist ja komplett inhalteunabhängig, denn sie lautet zwingend: Moment – hätte man das nicht vorher wissen können? Ja, hätte man sogar müssen. Aber hier zeigt sich das ganze Elend des real existierenden Datenschutzes: Er ist durch eine Vielzahl von Absurditäten, Inkonsistenzen und Fortschrittsfeindlichkeiten zu einer intransparenten Verhinderungswaffe geworden.

Es lässt sich von außen und bei einer Vielzahl von Projekten sogar von innen kaum sagen, ob Datenschutz hier wirklich Probleme gemacht hätte oder nicht. Ob es simple, datenschutzkonforme Möglichkeiten gegeben hätte oder nicht. Worunter viele aufgeklärte Datenschützer selbst enorm leiden, denn das heißt: Mit einem hartnäckigen Verweis auf Datenschutz kann man mahnend und warnend und Strafen an die Wand malend selbst dann unliebsame Projekte killen, wenn eigentlich datenschutzrechtlich gar nichts dagegen spricht. Datenschutz ist deshalb in Deutschland nicht nur das größte digitale Verhinderungsinstrument, sondern zugleich auch der größte digitale Sündenbock.

Datenschützer selbst sind an diesem Zustand aber nicht völlig unschuldig. Beim Datenschutz gibt es wie bei ungefähr allem anderen verschiedene Schulen und Strömungen. Einige darunter haben über Jahrzehnte sehr laut und sehr unnachgiebig und sehr schwer nachvollziehbar gegen fast jede Form von Datengebrauch gewettert. So hat sich ein selbstverstärkendes Bild verfestigt: Wer in der Öffentlichkeit in erster Linie mit Warnungen, Mahnungen und Verboten präsent ist und dann auch noch schwer nachvollziehbar oder lebensfern kommuniziert, trägt eine gehörige Mitverantwortung für das Gefühl in so vielen Köpfen: Datenschutz nervt und verhindert.

Die öffentlich empfundene Unnachgiebigkeit des Datenschutzes liegt vor allem an einer in Deutschland sehr einflussreichen Strömung des Datenschutzes, die im deutschen Mekka des Datenschutzes, Schleswig-Holstein, geprägt wurde. Sie beruft sich auf sehr unerquickliche Weise auf das oben angeführte Urteil des Bundesverfassungsgerichts mit dem Grundrecht auf informationelle Selbstbestimmung. Das Gericht hat damals maßgeblich mit dem Artikel 1 des Grundgesetzes argumentiert, also: »Die Würde des Menschen ist unantastbar.«

Das liegt nahe, aber hat heute in der harten Ausdeutung der radikalen Datenschutzfraktion die Folge, dass es den Interessenausgleich erschwert oder verunmöglicht. Wenn Datenschutz praktisch gleich Würde ist, dann ist jede Verhandlung aussichtslos oder sogar frevelhaft, weil die Würde ja unverhandelbar ist. Das ist der Kern meiner Kritik am real existierenden Datenschutz: Es geht zu selten um praktische Abwägung von Nutzen und Kosten und viel zu oft um vorgeblich unverhandelbare Absolutheiten.

Daraus entstehen groteske Situationen. Während der Pandemie wollte im Sommer 2021 der hessische Landesdatenschutzbeauftragte den Schulen Videokonferenzsysteme wie Microsoft Teams verbieten und begründete dies damit, dass im neuen Schuljahr ein landeseigenes Videokonferenzsystem zur Verfügung stehen würde . Doch die Landesregierung sagte die Einführung dieses Systems kurzfristig wieder ab, sodass die Schulen völlig umsonst vor den Kopf gestoßen wurden. Datenschilda.

Die Problematik ist neben solchen Grotesken sogar noch viel größer. Datenschutz schützt auch Leute, die das gar nicht wollen, in Situationen, die sie gar nicht als Schutz empfinden. Sondern als Bevormundung. Eigentlich bizarr: Man kann sich zwar auf Wunsch völlig legal eine vorsätzliche Körperverletzung machen lassen, aber es gibt eine Reihe von Datenschutzregeln, die man selbst auf Wunsch der unmittelbar Betroffenen faktisch nicht aushebeln kann. Denn im digitalen Alltag entstehen häufiger Situationen, die etwa so aussehen:

Person: Sie bieten Service X an, nutze ich gern, aber ich möchte Funktion Y.

Unternehmen: Y? Das dürfen wir nicht, Datenschutz.

Person: Ja, aber ich will, dass Sie meine Daten auf diese Weise benutzen. Hier ist meine Einwilligung.

Unternehmen: Mag sein, aber Einwilligung hin oder her, dürfen wir trotzdem nicht, glaubt unser Datenschutzbeauftragter jedenfalls, und wenn wir es eventuell dürften, wäre es viel zu riskant.

Und weil sich die maßgeblich deutsch geprägte Datenschutz-Orientierung inzwischen mit der DSGVO auch in Europa durchgesetzt hat, hat dieses »riskant« ein solides EU-Preisschild bekommen. Soeben muss Instagram in Irland 405 Millionen Euro Strafe bezahlen für Datenschutzverstöße . Ha! Rufen einige da sicher, völlig verdient! Das Problem ist aber, dass diese doch recht umfangreiche Strafe für einen Sondersonderfall ausgesprochen wurde. Nämlich für die Situation, dass Minderjährige hätten Business-Konten betreiben können, bei denen sie unter besonderen Umständen ihre E-Mail-Adresse und ihre Telefonnummer hätten absichtlich und wissentlich veröffentlichen können.

Das wirkt umständlich formuliert, aber es geht tatsächlich gar nicht so sehr um die faktischen Begebenheiten. Also ob und wie oft das wirklich passiert ist. Sondern darum, ob es möglich war. Es ist nicht so, dass der Mutterkonzern Meta nicht jede Menge Dinge tun würde, die unbedingt kritikwürdig wären. Ich sehe viel unbedingt Strafwürdiges, etwa den kreuzerbärmlichen, völlig ungenügenden Umgang mit Hatespeech sowie den Missbrauch der Instrumente gegen Hatespeech. Aber ist die zeitweise bloße Möglichkeit der absichtsvollen Veröffentlichung einer E-Mail-Adresse wirklich ein derart katastrophaler Datenschutzverstoß, dass man eine knappe halbe Milliarde Euro dafür zahlen muss?

Nein, aber darum geht es gar nicht. Denn der real existierende Datenschutz bietet ein Einfallstor für Leute und Sichtweisen, die soziale Medien prinzipiell ablehnen und auch die entsprechenden Verhaltensweisen in der Bevölkerung geradezu verachten. Manchmal beobachte ich auch eine regelrechte Feindlichkeit gegenüber digitalem Unternehmertum. »Aber muss man mit dem Internet überhaupt Geld verdienen?« – war ein ernsthaftes Argument in einer Diskussion um Internetwerbung, die ich mit einem Datenschützer geführt habe.

Dazu findet sich manchmal selbst auf höchster Datenschützer-Ebene etwas, das ich bigott nennen würde. Thilo Weichert, ehemaliger Datenschutzbeauftragter und eine Art Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule, hat über Jahre mit dem metaphorischen Schrotgewehr gegen alle Formen sozialer Medien von bösen Digitalkonzernen geschossen. Er, der große Verhinderungsprediger, hatte dann aber nichts gegen eine Form der Vorratsdatenspeicherung einzuwenden .