Kölner Forum Medienrecht: Wo bleibt die Rote Linie?

Der Datenschutz in Deutschland sei gelähmt durch die veraltete Gesetzgebung: Diese negative Bilanz haben Vertreter von Politik, Wirtschaft und Behörden am Donnerstag auf dem Kölner Forum Medienrecht gezogen. Die Hoffnungen auf das so genannte Rote-Linien-Gesetz, mit dem die Bundesregierung die Persönlichkeitsrechte neu ordnen will, sind Ernüchterung gewichen.

"Wir brauchen ein Datenschutzrecht, das rote Linien aufzeigt, ohne jeden Dienst einzeln zu regulieren. Das wäre aussichtslos", forderte der Bundesbeauftragte für Datenschutz Peter Schaar im Kölner Rathaussaal. Das bisherige Bundesdatenschutzrecht stamme im wesentlichen aus dem Jahr 1977 und biete für die Kernfragen heutigen Datenschutzes kaum verbindliche Handhabe. "Was ist ein persönliches Datum? Was sind allgemein zugängliche Daten?", fragte Schaar. So sei es beispielsweise unklar, ob WLAN-Signale, die auf der Straße aufgefangen werden, gesetzlich geschützt seien.

Die Fortentwicklung des Datenschutzrechtes sei von den Gerichten übernommen worden, erklärte Schaar. Das Bundesverfassungsgericht habe seit dem Volkszählungsurteil, in dem das Recht auf informationelle Selbstbestimmung formuliert wurde, in seiner fortlaufenden Rechtsprechung das Datenschutzrecht ständig erweitert. Auch der BGH habe beispielsweise mit seiner Entscheidung zu dem Lehrerbewertungs-Portal Spickmich juristisches Neuland betreten. "Eigentlich sollte so etwas in unserer Rechtsordnung durch das Gesetze geregelt werden!, sagte Schaar. Doch die Bundesregierung trete bei dem aus Schaars Sicht viel versprechenden Rote-Linien-Gesetz auf die Bremse. Ob das Gesetz noch in diesem Jahr auf den Weg gebracht werde, sei völlig unklar.

Misstrauisch zeigte sich Schaar gegenüber den Selbstregulierungsmechanismen der Wirtschaft. So sei der Geodatenkodex im Prinzip zu begrüßen, doch stelle sich die Frage, wie solche Regelungen bei Unternehmen durchgesetzt werden könnten, die der Vereinbarung nicht freiwillig beitreten. "Der Gesetzgeber muss die wesentlichen Grundlagen setzen", forderte Schaar. Die Wirtschaft sei aber auch gefordert, den Datenschutz wesentlich ernster zu nehmen. Schaar forderte, dass die Wirtschaft den Grundsatz "privacy by default" beherzige: Geräte und Plattformen sollten so gestaltet werden, dass die Persönlichkeitsrechte der Nutzer ohne zusätzliche Eingriffe geschützt seien. Der Konsument müsse dann die Möglichkeit bekommen, informiert zu entscheiden, ob er weiterer Datenverarbeitung zustimmt.

Einen anderen Ansatz verfolgte Wolf Osthaus, Leiter des Bereich Politik und Regulierung bei der 1&1 Internet AG. Er sieht in dem auf Profilbildung basierenden "targeted marketing" Vorteile für beide Seiten. Dadurch, dass Kunden nur auf sie zugeschnittene Werbung erhielten, würde die Werbung für sie immer informativer, die Werbeumsätze garantierten das Fortbestehen freier Internet-Services. "Werbung wird zur modernen Lebensnavigation im Netz", sagte Osthausen. Die Persönlichkeitsrechte seien nicht betroffen, da die Profile pseudonymisiert und in Gruppen zusammenfasst würden.

Um den Kunden mehr Kontrolle zu geben, habe die Werbewirtschaft zusamen mit der Europäischen Union ein neues Modell erarbeitet. Die auf Targeting-Mechanismen zurückgehende Werbung solle zukünftig einheitlich gekennzeichnet werden. Der Kunde werde auf einer zentralen Seite die Möglichkeit bekommen, das Targeting zu deaktivieren. Werbeanbieter, die sich nicht an diese Regelung hielten, sollen angemahnt werden. "Man kann mit Selbstregulierung den schwarzen Schafen wirkungsvoll die Existenzgrundlage entziehen – viel besser als durch ein Bußgeld eines Datenschutzbeauftragten", sagte Osthaus. So bekomme eine Werbeagentur, die vom Zentralverband der deutschen Werbewirtschaft angemahnt werde, in Deutschland keine Aufträge mehr.

Professor Karl-Nikolaus Peifer, Leiter des Instituts für Medienrecht der Universität Köln, sieht die Lösung in einer regulierten Selbstregulierung. Zuerst müsse die Gesetzgebung aber die entsprechenden Rahmenbedingungen schaffen und Grundbegriffe des Datenschutzrechts definieren. So werde in dem vorgestellten Entwurf des Rote-Linien-Gesetzes die Profilbildung thematisiert – es sei aber nicht definiert, was denn ein solches Profil ausmache. So ist juristisch umstritten, ob nur personenbezogene oder bereits personenbeziehbare Informationen die Persönlichkeitsrechte der Bürger einschränkten.

Kritisch äußerte sich Peifer zur E-Privacy-Richtlinie der Europäischen Union, die Deutschland bis Ende Mai umsetzten müsse. Zwar sehe die Richtlinie ein generelles Opt-In-System zur Verarbeitung von Profildaten vor. Da diese Zustimmung aber auch pauschal über Browser-Voreinstellungen erteilt werden könne, sei zu befürchten, dass den Nutzern der Umfang ihrer Entscheidung nicht klar werde. "Ich bezweifle, dass die informierte Anwendung im Massenverkehr wie im Internet überhaupt zu erfüllen sind", sagte Peifer.

Um "Privacy by default" zu ermöglichen, müssten erst einmal Kriterien vorliegen, die auch maschinell ausgelesen werden könnten. Das Datenschutzrecht sei hierfür aber viel zu starr. Um dieses Dilemma möglichst reibungslos zu lösen, plädierte Peifer dafür, einen institutionellen Rahmen einzurichten, in dem mit den Unternehmen konkrete Verhaltenspflichten auferlegt würden. Dies könne aber nicht der Wirtschaft selbst überlassen bleiben: Die Durchsetzung der Richtlinien müsse von einer neutralen Aufsichtsbehörde durchgesetzt werden. Die könne Anbieter, die sich an die vereinbarten Regeln hielten, zertifizieren und so die Grundlage für eine datenschutzfreundliche Umsetzung neuer Dienste bieten.

Ob der Gesetzgeber diese klaren Vorgaben liefern kann, ist jedoch noch völlig unklar. Auf die Frage der unklaren Definition eines Nutzerprofils erklärte Jürgen Karwelat, Referatsleiter im Verbraucherschutzministerium, dass man in der Zusammenarbeit der verschiedenen Ministerien an der Frage arbeite, aber noch keinen Durchbruch erzielt habe. „Ein Profil muss eine größere Anhäufung von Daten enthalten, die einen Eindruck von der Person geben“, erklärte Karwelat. Bei fünf Merkmalen einer Person sei dies vermutlich noch nicht erreicht, bei zehn Merkmalen wahrscheinlich schon. Auch für die im Koalitionsvertrag vorgesehene Stiftung Datenschutz konnte Karwelat keine näheren Angaben machen. "Ich hoffe, dass wir dies noch in diesem Jahr zum Laufen bekommen", sagte er. Für die Errichtung der unabhängigen Stiftung Datenschutz sind in diesem Jahr Haushaltsmittel in Höhe von 10 Millionen Euro vorgesehen.

Harsche Kritik erntete die Bundesregierung von Klaus Müller, Vorstand der Verbraucherzentrale Nordrhein-Westfalen. "Unbestimmte Rechtsbegriffe sind ein Ausdruck für Feigheit in der Politik", erklärte Müller. Die Politik habe große Angst davor, bereits etablierte Geschäftsmodelle zu verhindern. "Das Dumme ist: Es werden inzwischen Fakten geschaffen."

Das Ergebnis dieser unklaren Lage zeigte sich in Köln auch in einem kurzen Schlagabtausch zwischen Arnd Haller, Justiziar von Google Deutschland, und anwesenden Datenschützern. So könnten Unternehmen in Deutschland nicht mit den Datenschutzbehörden kommunizieren, da diese lieber Pressestatements abgeben würden anstatt für Rechtssicherheit zu sorgen. "Wie kommt eine Behörde dazu, dass eine Behörde sagt Street View sei rechtswidrig?", fragte Haller und verwies auf mehrere Gerichtsentscheidungen, die das von den Datenschutzbehörden geforderte Vorab-Widerspruchsrecht verneint hätten.

Dabei schlug sich Haller auch auf die Seite des Konkurrenten Microsoft, der derzeit wegen seines Dienstes Bing Streetside mit den Datenschutzbehörden im Streit liegt. Microsoft habe sich vorab mit dem Innenministerium abgesprochen, doch diese Vereinbarung sei nachher von den Datenschutzbehörden nicht akzeptiert worden. "So wird Selbstregulierung ad absurdum geführt“, sagte Haller. Klaus Globig, stellvertretender Datenschutzbeauftragter des Landes Rheinland-Pfalz, entgegnete: "Die Problematik der unbestimmten Rechtsbegriffe ist uns bekannt. Die Entscheidung darüber ist aber Aufgabe der Aufsichtsbehörden, nicht die des Innenministers.“ (uk)