3. Organisationen grundrechtskonform mit dem Standard-Datenschutzmodell gestalten

Seit David Humes und spätestens seit Immanuel Kants Wirken kann man wissen, dass aus dem Sein kein Sollen folgt, was die Logik der philosophischen Ethik in Form des kategorischen Imperativs der wechselseitigen Orientierung begründete. Insofern beeindruckt rechtsphilosophisch gebildete Juristinnen und Juristen die vielfach zu hörende Klage, dass die gegenwärtig so rasch sich ändernde Technik offenbar gar keine Auswirkungen auf das Datenschutzrecht zeige, gar nicht. Bei obendrein techniksoziologischer Bildung darf zudem ebenfalls als geklärt gelten, dass Techniken nicht unmittelbar durch Normen geformt werden, sondern ausschließlich im Durchgang durch Organisationen und deren Mitarbeiterinnen und Mitarbeiter, die Technik herstellen, ändern und betreiben. „Techniken sind Resultate sozialen Handelns“ (Rammert [1], S. 3). Entsprechend hält sich das Datenschutzrecht an Organisationen, die mit ganz eigennützigen Gründen den Eindruck befördern, es seien die Techniken selber und nicht sie, die angesichts der Möglichkeiten der Verarbeitung von Bürger-, Kunden- und Patientendaten auf eine Aufweichung des Datenschutzrechts drängen.

Und mit einem Mal kann es sehr bedrohlich sein, in der Vergangenheit bspw. in einer Whatsapp- oder Facebook-Gruppe eine despektierliche Bemerkung zu einem politischen Führer gemacht zu haben. Aus dem Nichts heraus schlägt ehemalige Lebensleichtigkeit in pure existentielle Angst um, wie es vielfach türkische Mitbürgerinnen und Mitbürger derzeit selbst in Deutschland erleben (August 2016).

An dieser Stelle erfolgt dann typisch die Ergänzung: Jedenfalls ist das im Prinzip möglich. Verweise auf Prinzipien sind im Allgemeinen Indikatoren für Letztprobleme, denen nur noch durch magische Formeln beizukommen ist.

Juristinnen und Juristen wähnen sich vielfach auf der sicheren Seite, wenn Schutzziele im Gesetztext benannt sind. An der zu leistenden Transformation ändert die nominalistisch getriebene Aufnahme der Begriffe in einem Gesetztext allein noch nichts.

Unter dem Begriff einer Bürgerin oder eines Bürgers sollen, wegen der zumindest mittelbaren Drittwirkung der Grundrechte auch im Privatrechtsverhältnis (vgl. BVerfGE 7, 198, Lüth-Urteil; Alexy [4]) nicht nur politische Wahlbürgerinnen Wahlbürger und Verwaltungsbürgerinnen und Verwaltungsbürger, sondern auch Kundinnen und Kunden, Patienten und Patientinnen, Mandanten und Mandantinnen, Menschen, Individuen, Subjekte verstanden werden.

Das führt zu anhaltend vergeblichen Versuchen einer Verankerung des praktischen Datenschutzes in psychischen Befindlichkeiten, die mal so und mal so sein können, von Menschen. Diese liberal-individualistische Interpretation von Datenschutz als Privatheitsanliegen ist Mainstream, nützt den Organisationen und findet sich bspw. hoch auflösend vorgeführt bei Rössler [5].

Diese Umbenennung von „Schutzziele“ in „Gewährleistungsziele“ geht auf die Initiative eines Bundeslandes zurück, dessen Landesdatenschutzgesetz die Bezeichnung „Schutzziele“ bereits enthielt, aber nicht das vollständige Set der Schutzziele gemäß SDM aufwies. Man bestand auf eine Umbenennung, weil man gegenüber dem Gesetzgeber keine Rechtschöpfung, durch Ausrufen weiterer, über die Liste im Gesetz hinausgehenden Schutzziele, begehen wollte. Mit der Orientierung an der DS-GVO, die stattdessen von Grundsätzen (Art. 5) spricht, bzw. dem Außerkraftsetzen der Landesdatenschutzgesetze könnte sich der konventionelle Sprachgebrauch „Schutzziele“ im SDM wieder durchsetzen.

Eine dreistufige Typisierung der Intensität von Grundrechtseingriffen (leicht, mittel, stark) findet sich bei Alexy [7].

Ebenso haben Bürger gerade dann einen besonderen Bedarf an Schutz vor Organisationen, wenn Behörden wie bspw. der Datenschutzaufsicht, Umweltaufsicht, Lebensmittelaufsicht oder Kartellaufsicht genau nicht agieren und ihrem Prüfauftrag gegenüber Organisationen nachkommen.

Man diskutiert bspw. über eine Gesundheitsapp für ein Smartphone, das unter Android läuft, subtile Details eines Kryptoverfahrens, und lässt dabei außer Acht, dass das Betriebssystem auf unzähligen Smartphones bereits kompromittiert ist; too big to fail.

Genau das ist der Fall beim IT-Sicherheitsgesetz (ITSiG) zum Schutz von kritischen Infrastrukturen.

Vgl. BVerfGE 65, 1, 43.

Wobei Big Data vermutlich das Ende der Anonymität einläutet bzw. bereits eingeläutet hat (vgl. Boehme-Neßler [8]). Wenn diese These zutrifft, und es spricht sehr viel für sie, dann hat das dramatische Folgen für den Fortbestand insbesondere demokratisch strukturierter Entscheidungsprozesse in Politik, Wissenschaft und Ökonomie moderner Gesellschaften (vgl. [9]). Auf diesen Aspekt wird kurz zum Schluss dieses Artikels noch einmal eingegangen.

Siehe: http://​eur-lex.​europa.​eu/​legal-content/​DE/​TXT/​?​uri=​uriserv:​OJ.​L_​.​2016.​119.​01.​0001.​01.​DEU&​toc=​OJ:​L:​2016:​119:​TOC.

Ausnahmen davon sind gesetzliche Regeln für Aktivitäten, die nicht in den Anwendungsbereich des Unionsrechts fallen (Selbstorganisation des Staates, Sozialdatenschutz, Justiz und Rechtspflege), die Außen- und Sicherheitspolitik, staatliche Gefahrenabwehr und Strafverfolgung, die Bestimmungen, die aus den vielen Öffnungsklauseln der DS-GVO folgen werden (bspw. zum Arbeitnehmerdatenschutz) sowie Ergänzungen und Konkretisierungen durch delegierte Rechtsakte der Kommission. Eine gute Zusammenfassung der europarechtlichen Zusammenhänge findet sich in der Übersicht bei Karg [10].

Siehe: Amtsblatt der europäischen Union: „Konsolidierte Fassungen des Vertrags“ über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (2010/C 83/01) http://​eur-lex.​europa.​eu/​legal-content/​DE/​TXT/​PDF/​?​uri=​OJ:​C:​2010:​083:​FULL&​from=​DE.

Siehe: CHARTA DER GRUNDRECHTE DER EUROPÄISCHEN UNION (2000/C 364/01) http://​www.​europarl.​europa.​eu/​charter/​pdf/​text_​de.​pdf.

Siehe: Amtsblatt der europäischen Union (2016), L119, Rechtsvorschriften, 59. Jahrgang, 4. Mai, enthält sowohl die DS-VGO als auch die Richtlinie zum Datenschutz bei Justiz und Polizei. http://​eur-lex.​europa.​eu/​legal-content/​DE/​TXT/​PDF/​?​uri=​OJ:​L:​2016:​119:​FULL&​from=​DE. Analog bedeutsam wie Art. 5 der DS-GVO ist Art. 4 der DS-Richtlinie für das SDM.

Zur ersten Welle der Systematisierung der Schutzziele siehe Federrath und Pfitzmann [12], für die zweite Welle siehe Rost und Pfitzmann [13] oder Bedner und Ackermann [14].

Siehe das EU Forschungsprojekt ABC4Trust („Attribute-Based Credentials for Trust“), https://​abc4trust.​eu/​.

Siehe zum Einstieg in die Systematisierung die Übersicht bei Federrath und Pfitzmann [12].

Deshalb ist eine begriffliche sowie inhaltliche Kehrtwende hin zu einem Grundrecht auf „informationelle Integrität“ wichtig: „Im deutschen Verfassungsrecht“ fehlt es insofern an einem Grundrecht auf Datenschutz. Nötig ist damit nicht eine anderweitige Verwurzelung des Rechts auf informationelle Selbstbestimmung, sondern die Entwicklung eines von der Privatsphäre emanzipierten Rechts auf informationelle Unversehrtheit“ ([19], S. 597).

Die Anleitung zum Durchführen eines DPIA nach DS-GVO des Forum Privatheit, die unter anderem von der Uni Karlsruhe und Fraunhofer/ISI erstellt wurde, weist einen solchen Angreiferkatalog auf (vgl. [11]).

Einen sehr guten Erfahrungsbericht zu insbesondere weltweit geltenden Datenschutz-Audits sowie Vorschlägen zu deren Weiterentwicklung findet sich bei Bock [20].

Eine gut gepflegte Übersicht zu Entschließungen der DSBK sowie insbesondere zu Orientierungshilfen ist auf den Webseiten des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern zu finden: https://​www.​datenschutz-mv.​de/​.

Sozialwissenschaftlich spräche man präziser von der „funktionalen Differenzierung der Moderne“ (vgl. [22]).

Und dass man bspw. nicht in technisch-organisatorische Maßnahmen einwilligen kann, die (notorisch) keine hinreichende Schutzwirkung entfalten, ist auch ein Umstand, der bislang viel zu wenig zur Kenntnis genommen wurde (vgl. [28]).

Wie ein Brain- und Speech-Washing funktioniert, wird im Kontext strategischer Kommunikation unter dem Stichwort „Framing“ diskutiert (vgl. Wehling [30]). Auch die Konzepte des Selbstdatenschutzes sind letztlich darauf angewiesen, dass Organisationen, die Techniken des „Identitätenmanagements“ (vgl. [31]) bereitstellen, fair und vertrauenswürdig agieren. Entscheidend für das Gelingen dieser Selbstschutzkonzepte ist die Verankerung der Techniken auf Seiten der Organisationen. Es zeigt sich wieder einmal, dass auch die Privatisierung des technischen Schutzes zu keiner Lösung des Datenschutzproblems führt.

Das ist wenig mehr als eine Aufsässigkeits- oder Souveränitätssimulationsgeste, die im politischen Framing hilft, den Grundrechtseingriff durch Ökonomisierung zu camouflieren. Dieses Framing entspricht weitgehend dem amerikanischen Verständnis von Datenschutz und findet seinen Widerhall im „Verbraucher-Datenschutz“, der als politische Forderungen weder auf die Umsetzung von Grundrechten besteht noch Maßnahmen zum Schutz von Menschen in den Blick bekommt sondern allenfalls mehr Transparenz als Selbstzweck oder als Voraussetzung, um den Markt sondieren zu können (typisch: Billen [32]). Die prominente Politikerin Renate Künast von DIE GRÜNEN, die sich als eine Partei mit substantieller Grundrechteorientierung versteht, hatte diesen Slogan im Bundestagswahlkampf 2013 gut vernehmbar genutzt.

Dabei ist die Frage nach der Sanktionskraft nicht allein von der Ausstattung der Datenschutzaufsichtsbehörden abhängig, die offensichtlich unzureichend ist (vgl. [33]), sondern ebenso von fachlicher Kompetenz und einem behördenuntypischen Engagement der Mitarbeiterinnen und Mitarbeiter.

Das methodische Hauptproblem von Big Data-Analysen im Rahmen von Profiling- und Scoringaktivitäten besteht vielfach darin, dass beliebige Korrelationen, bei denen alles mit allem verkettet und Imaginationen nach Belieben befeuert werden können, als Kausalbeziehungen interpretiert werden, siehe dazu kritisch-instruktiv Pohle [37].