Reform des Datenschutzes soll anonymen Netzzugang fördern
In Berlin startet die Diskussion um die zweite Stufe der Modernisierung des Bundesdatenschutzgesetzes
Die grundlegende Reform des Bundesdatenschutzgesetzes ist längst überfällig: In seiner heutigen Form ist das BDSG weder auf neue Techniken wie das Internet noch die Videoüberwachung eingestellt, noch hat es sich in Wirtschaft oder Verwaltung mit seinen Hunderten von "bereichsspezifischen" Regelungen wie etwa zu den Datenverarbeitungsmöglichkeiten einzelner Opernhäuser Freunde gewonnen. Durch die jetzt auf den Weg gebrachte Modernisierung soll das BDSG nun den Selbstschutz der Nutzer fördern und zum Wettbewerbsvorteil für Deutschland werden.
Datenschutz hängt gerade in der Wirtschaft seit langem der Ruf des "notwendigen Übels" und des "überflüssigen Kostenfaktors" an. Statt Daten zu vermeiden, werden gerade im Netz überall Profile von Nutzern erstellt, um ihnen personalisierte Kaufangebote zu unterbreiten. Die Surfer selbst geben ihre zur Währung avancierten persönlichen Informationen bereitwillig heraus, um auch auf dem x-ten Portal freundlich mit dem eigenen Namen begrüßt zu werden oder Rabattpunkte beim (Online-)Shoppen zu erwerben. Was die Marketingstellen mit ihren persönlichen Profilen anstellen, erfährt man meist erst zu einem späteren Zeitpunkt.
Um den Datenschutz dem Online-Zeitalter anzupassen und sein Image zu verbessern, will die rot-grüne Bundesregierung das in die Jahre gekommene und ausgefranste Bundesdatenschutzgesetz (BDSG) grundlegend modernisieren (Vom gläsernen Bürger zum gläsernen Staat?). Angekündigt war dieses Vorhaben bereits in der Koalitionsvereinbarung, doch seitdem ist wenig geschehen. Immerhin soll die erste Stufe des "Updates" nun in den nächsten Wochen im Parlament beraten werden. Claus-Henning Schapper, Staatssekretär im Bundesinnenministerium (BMI), ist zuversichtlich, dass sie nach Zustimmung von Bundestag und Bundesrat im "April oder Mai" in Kraft treten kann.
Viel spannender als die von der Europäischen Union vorgegebene Pflichtarbeit, die letztlich nur eine konservative Umsetzung der Vorgaben der fünf Jahre alten Datenschutzrichtlinie aus Brüssel bringt, gestaltet sich aber das Design der zweiten Stufe der BDSG-Reform, die mit der heutigen konstituierenden Sitzung eines neuen Begleitausschusses des Bundestags zur "Modernisierung des Datenschutzrechtes" Hand und Fuß anzunehmen beginnt. Eingerichtet wurde die an den Unterausschuss "Neue Medien" angekoppelte Debattierrunde vor allem auf Drängen des innenpolitischen Sprechers der Bündnisgrünen, Cem Özdemir, sowie Jörg Tauss, forschungspolitischer Sprecher der SPD.
Opt-in statt opt-out
Am Rande der Sitzung stellten die Initiatoren zusammen mit weiteren Beteiligten erste Grundzüge der zweiten Reformstufe vor, für die das BMI ein Gutachten bei Alexander Roßnagel, Rechtsprofessor an der Universität Kassel, dem Dresdner Informatikprofessor Andreas Pfitzmann sowie dem Berliner Beauftragten für Datenschutz und Akteneinsicht, Hansjürgen Garstka, in Auftrag gegeben hat.
Grundlegendes Ziel des Projektes solle es sein, so Garstka, "Datenschutz als Akzeptanz- und Vertrauensfaktor für alle Formen des E-Commerce" zu etablieren. Dabei komme vor allem der Technik, dem "Selbstdatenschutz", der Datenvermeidung durch pseudonyme oder anonyme Nutzung von Informationsdiensten sowie der Offenlegung von Datensammel-Funktionen in Software mehr Gewicht zu.
Eine wichtige Frage des Selbstschutzes sei es beispielsweise, führte Garstka aus, technische Infrastrukturen zu schaffen, die die beim Surfen bisher anfallenden Spuren unkenntlich machen. Heute lesen Marketingabteilungen von Unternehmen und Media-Agenturen wie selbstverständlich die IP-Adresse der User aus oder heften ihnen Cookies bzw. Identifikationsnummern über die Websiteadresse an, die ihren "Clickstream", ihre Wanderungen über das Angebot, verfolgbar machen. Die gewonnen Informationen werden beispielsweise für die Schaltung von Werbebannern verwendet. "Diese Situation müssen wir umkehren", fordert Garstka. Der Surfer müsse vor der Auswertung seiner Daten gefragt werden, inwiefern sie überhaupt genutzt, weiterverarbeitet oder gar weiterverkauft werden dürfen und dazu sein ein technisches Instrumentarium erforderlich. Opt-in statt opt-out laute das Motto.
Die Hersteller von Software möchte Garstka gleichzeitig dazu verpflichten, bisher undokumentierte Funktionen ihrer Software offenzulegen. Der Berliner Datenschutzbeauftragte denkt dabei etwa an das Rätsel rund um Windows 2000, in das auf Betreiben von Firmen aus dem Umfeld der Scientology-Sekte eine "Falltür" für Daten eingebaut worden sein soll. Um mehr Transparenz zu schaffen, setzt Garstka allerdings nicht auf Zwangsmaßnahmen, sondern auf das Datenschutzaudit als privatwirtschaftliches Kontrollmittel. Wie bereits in der ersten Stufe der BDSG-Reform angedacht, sollen Firmen dabei Zertifizierungen für ihre Software erwerben können und sich so einen Wettbewerbsvorteil verschaffen. Besonders punkten dürften aus Sicht der Datenschützer beim Audit Hersteller von Open-Source-Software, bei denen der Quellcode vollständig überprüft werden kann.
Anonym per Voreinstellung
Pfitzmanns Vorstellungen über Datenschutz durch Technik gehen sogar noch einen Schritt weiter. Dem Dresdner Informatikexperten schweben Infrastrukturen vor, die beispielsweise fürs Browsen im Web vollkommen anonyme Zugänge zur Regel machen. "Wir müssen damit experimentieren, ob das Providen von Anomymität für ISPs ein Geschäftsmodell sein kann." Dazu sei zunächst mehr technischer Aufwand zur Ausfilterung der beim Surfen anfallenden Datenströme notwendig, doch könne sich das Anbieten dieses Mehrwerts durchaus bezahlt machen.
Dem Gutachter schwebt vor, dass sich der Nutzer bei der Verwendung von Pseudonymen im Netz auch bei einem Strafverfahren in Zukunft selbst dafür entscheiden können solle, ob er seine Identität offenlegt. "Es sind durchaus auch Gerichtsverhandlungen denkbar, bei denen der Angeklagte anonym bleibt", spinnt der Datenschutzadvokat seine Idee weiter, die Strafverfolgern nicht besonders gefallen dürfte.
Generell ist bisher unklar, wie die Bemühungen der Datenschützer mit den Begehren von Polizei und Politikern harmonieren sollen, praktisch jeden Klick in Echtzeit und auf Monate hinaus verfolgen zu können. Nicht nur die Innenminister der Länder fordern deutlich ausgeweitete Überwachungsbefugnisse (Deutsche Innenminister wollen Rundumbeobachtung der Internetnutzung), sondern Ungemach droht den Surfern auch aus Kreisen des Europarats (Nur kosmetische Korrekturen beim Cybercrime-Abkommen) sowie der Europäischen Kommission (Europäische Kommission ruft zum Kampf gegen Cyberkriminalität).
Staatssekretär Schapper, dem man seine "Begeisterung" über die Datenschutzreform bei jedem Satz deutlich anmerkte, drückte sich heute jedenfalls um eine klare Antwort und murmelte etwas von "verschiedenen Bereichen" und einer zunächst erforderlichen "grundsätzlichen Novellierung" des Datenschutzrechts, die allerdings andere, vorzuziehende Regelungen nicht ausschließe. Wenn beispielsweise die Innenminister die Veranlassung gesehen hätten, "die Speicherung von Daten zu regeln", könne man darüber diskutieren.
Garstka beteuerte gleichzeitig, dass die Gutachter für das Reformvorhaben "nicht primär von den Bedingungen der Sicherheitsbehörden" ausgingen, sondern vom Grundgesetz. Pfitzmann hatte bei einem Treffen in Sevilla zudem Abgesandten von Europol und der Europäischen Kommission jüngst die Gefahr vor Augen geführt, die das Einbauen weiterer Überwachungsschnittstellen und Datensammelstellen in den Netzverkehr mit sich bringt. Seiner Ansicht nach wird dadurch die organisierte Kriminalität gerade erst ermöglicht, weil diese Server zu bevorzugten Angriffspunkten würden - zumal, wenn sie wie gewöhnlich unter Windows liefen. Die Beamten seien blass geworden, schildert Pfitzmann die Begegnung, als er ihnen die Möglichkeiten schilderte, zu was Einbrecher oder andere Gangster die gesammelten Bewegungsprofilen gebrauchen könnten.
Webforum stand bisher unter keinem günstigen Stern
Neben den offiziell bestellten Gutachtern sollen zum ersten Mal bei einem Verfahren zur Entwicklung eines neuen Gesetzes auch allgemeine Sachverständige und die Öffentlichkeit zu Wort kommen. Unter der Adresse www.moderner-datenschutz.de wird dazu gerade ein Webforum entwickelt. So wie das ganze Gesetzesvorhaben hat sich der Aufbau der Site allerdings mehrfach verzögert: Zuerst bastelten im Juni Mitarbeiter von Tauss an der virtuellen Diskussionsrunde, bis sich plötzlich IBM bereit erklärte, das Unterfangen zu hosten. Doch "die haben das auch nicht auf die Reihe gekriegt", ärgert sich der Netzexperte der SPD, so dass der Server jetzt wieder in seinem Büro steht.
Insgesamt haben sich Tauss und Özdemir noch viel vorgenommen mit ihrem Pilotprojekt, das rechtlichen Beistand von Johann Bizer von der Universität Frankfurt erhält und auch von der Münsteraner Kommunikationswissenschaftlerin Miriam Meckel analysiert werden soll. "Bis zum Ende der Legislaturperiode wollen wir das durchziehen", legt Özdemir den Zeitplan offen.
Bleibt nur zu hoffen, dass der Elan nicht wieder unter die Räder kommt wie bei der bisherigen, mehr als schleppend verlaufenen BDSG-Reform: Die Zeit drängt momentan vor allem bei der Umsetzung der ersten, längst überfälligen Stufe, da beim Europäischen Gerichtshof ein Vertragsverletzungsverfahren läuft. Um einer kostspieligen Verurteilung zu entgehen, müssen auch die Länder ihre Datenschutzgesetze modernisieren. Erst fünf von 16 Bundesländern - darunter Berlin, Nordrhein-Westfalen und Schleswig-Holstein - haben ihre Hausaufgaben gemacht und die erforderlichen Anpassungen verabschiedet. Schapper appeliert daher nun an die Länder, die Reformen endlich abzuschließen.
Doch noch sind nicht alle Punkte geklärt, besonders bei den Regelungen zur Videoüberwachung durch private Stellen knirscht es noch zwischen Rot und Grün. Die Bündnisgrünen wollen dabei durchaus "stärker zupacken", wie Özdemir sagt, um zu verhindern, dass aus dem öffentlichen Raum "ein zoologischer Garten", werde, indem sich die Menschen nur noch in überwachten Käfigen bewegen. Zahlreiche SPD-Länder wollen dagegen die Videoüberwachung deutlich ausweiten.