„Informationelle Selbstbestimmung“ oder „Informationelle Bevormundung“
Ein Kommentar von Thomas Werning

Das Recht auf informationelle Selbstbestimmung leitet sich aus Artikel 2 des Grundgesetzes, „(1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“ ab.
Auch das Bundesdatenschutzgesetz greift in §1 „Zweck und Anwendungsbereich des Gesetzes“ diesen Ansatz auf: „(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“
Beides garantiert also eine freie Entfaltung ohne Beeinträchtigung.

Das Bundesdatenschutzgesetz schränkt dies im Prinzip erst mal dadurch ein, da es die Verarbeitung personenbezogener Daten an bestimmte Vorgaben knüpft. §4 (1) „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“
Hier bekommt der Betroffene nun das Recht, wie schon im Artikel 2 des GG bzw. auch in §1 BDSG, frei zu entscheiden. Der Betroffene muss sich allerdings, im Falle der freiwilligen Einwilligung, aktiv für die Erhebung, Verarbeitung und Nutzung entscheiden.

In vielen Diskussionen zum Thema Datenschutz stelle ich – gerade bei einigen Datenschützern – immer wieder fest, dass dort die Meinung herrscht, die Datenverarbeitung müsste auf jeden Fall eingeschränkt werden. Gerade bei „web2.0“ Services , Suchmaschinen, Onlinewerbung, Blogs, Communities etc., wird immer wieder der Punkt der Unbedarftheit des Betroffenen angeführt.

Ist der Datenschützer hier als „Privilegierter“ zu sehen welcher andere Personen vor sich selbst schützen muss? Ergibt sich hier nicht ein Verstoß gegen Artikel 2 GG „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit….“?
Natürlich, gerade bei vielen Communities und sogenannten „Sozialen Plattformen“ kam es in der Vergangenheit zu gravierenden Verstößen gegen den Datenschutz. Falsche oder versteckte Datenschutzerklärungen und unzureichende Absicherungsmaßnahmen (§9 BDSG) wurden zu Recht von Datenschützern bemängelt und veröffentlicht.
Hier steckt die wesentliche Aufgabe der Datenschützer. Die Datenverarbeitung zu kontrollieren, Fehler aufzuzeigen und die (potentiell) Betroffenen zu sensibilisieren. Für den betrieblichen Datenschutzbeauftragten, die nicht erfolgte Bestellung eines Datenschutzbeauftragten stellt übrigens auch für viele Unternehmen einen Verstoß dar, ist diese Aufgabe sogar gesetzlich festgeschrieben: §4g BDSG (1) „Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.“ Das bedeutet auch, der Datenschutzbeauftragte soll den Datenverarbeitenden unterstützen, seiner (sich selbst gestellten) Aufgabe (Geschäftszweck) nachzukommen und sich dabei an die gesetzlichen (und eventuell selbst auferlegten) Anforderungen zu halten.

Verstößt die Datenverarbeitung also gegen die gesetzlichen Anforderungen, so ist diese verboten. Das bedeutet aber auch, wenn die Datenverarbeitung den gesetzlichen Anforderungen entspricht und der Betroffene eine gesetzeskonforme Einwilligungserklärung gibt, dass die Datenverarbeitung erlaubt ist. Der Betroffene kann sein Grundrecht auf die freie Entfaltung seiner Persönlichkeit wahrnehmen. Dies mag auf so manchen erschreckend oder gar moralisch bedenklich wirken- aber haben moralische Grundsätze hier einen Stellenwert? Wenn ja, wessen moralischen Grundsätze zählen?

Aufgabe des Datenschützers ist es also meiner Ansicht nach, für eine gesetzeskonforme Datenverarbeitung zu sorgen, die Einhaltung zu überwachen und die Betroffenen zu sensibilisieren (Aufklärung im weitesten Sinne). Die Aufgabe des Datenschützers sollte aber nicht die grundsätzliche Verhinderung der Datenverarbeitung sein.

Dieses Image ist es, welches zu einem großen Teil Vorbehalte bei Unternehmen auslöst, sich näher mit dem Datenschutz zu beschäftigen. Datenschutz muss gelebt werden, damit er funktioniert. Reine Gesetze und medial wirksame Diskussionen helfen nicht, den Datenschutz zu verbessern. Dies geht nur in einem vertrauensvollen Miteinander um gemeinsam (Datenschützer und Datenverarbeiter) eine für den Betroffenen annehmbare Lösung zu schaffen, die im Idealfall über die gesetzlichen Anforderungen hinausgeht.

Wie viele Daten der Betroffene freiwillig preisgeben möchte, muss dieser selbst entscheiden. Würde dies der Datenschützer pauschal übernehmen, wäre dies Bevormundung, würde der Datenschützer die Möglichkeit im Vorhinein ausschließen, wäre es Zensur.

Statt die (legale) Datenverarbeitung zu verhindern sollten wir Datenschützer aufklären damit die Betroffenen sensibler mit Ihren eigenen Daten umgehen und von Ihrem Grundrecht der „freien Entfaltung“ überlegt Gebrauch machen.
Diese Aufklärung sollte Gefahren aufzeigen, Lösungen und Möglichkeiten der Anonymisierung darstellen und die Betroffenen über Ihre Rechte informieren. Panikmache und Verschwörungstheorien sind sicherlich wenig förderlich. Das Argument „KÖNNTE“ sollte hierbei aus dem Wortschatz gestrichen werden. In den bisherigen Diskussionen kam das Wort „könnte“ häufig als „Totschlagargument“ für ein nicht stattfindendes, und vom Ansatz her schon illegales, Beispiel der Datennutzung. Ein solches „könnte“ Beispiel lässt ich für fast jede Datenverarbeitung erstellen um diese in Richtung eines Datenschutzverstoßes zu rücken. Viel wichtiger ist es daran zu arbeiten, dass solche „könnte“ Beispiele nicht durch den Gesetzesgeber zu einer „kann“ Variante werden welche der Datenschützer dann mit zu vertreten hat. Eine Möglichkeit ist es sicherlich an den derzeit vielfältigen Möglichkeiten der legalen (und meiner Ansicht nach völlig ausreichenden) Datenverarbeitung mitzuwirken und für eine mindestens gesetzeskonforme Umsetzung zu sorgen.

Ich freue mich auf Anregungen und Kommentare.