Spaß mit Datenschutzrecht (und Informationsfreiheit)

Sie kennen die Datenschutz-Grundverordnung? Sie Streber. Macht aber nichts. Die Älteren werden sich vielleicht noch daran erinnern, dass es eine Zeit gab, als der Datenschutz nicht als Verordnung, sondern als Richtlinie daherkam. Kurz gesagt, gelten Verordnungen der EU direkt und sofort in der ganzen EU und Richtlinien müssen erst noch in nationales Gesetz gegossen werden. Und so war es 1995 mit der Datschutzrichtlinie auch der Fall. Doch der Reihe nach. Es war die Zeit, in der Kapitäne des Traumschiffs stets am Ende einer Folge großkotzig in ihrer Abschlussrede durchscheinen ließen, dass natürlich eine Vollüberwachung auf dem Schiff erfolgte. Schließlich wusste er stets, wer da mit wem was angefangen hatte und welche Schicksale sich in Wohlbefinden aufgelöst hatten. Und zum Schrecken jedes zuschauenden Datenschützers wurde das auch von den Betroffenen einfach weggelächelt. Der blanke Horror – freigegeben ab 6 Jahren und bezahlt von unseren Gebühren. Das ist heute auch noch immer so. Warum ich das hier erzähle? Weil ich nicht wusste, wo ich den Gag sonst unterbringen sollte. Doch zurück zur Datenschutzrichtlinie. Die hört auf den schönen Namen „Richtlinie 95/46/EG“, was einem ja gleich Lust darauf macht, sich mit ihr zu beschäftigen. Die Idee, das Thema Datenschutz auf europäischer Ebene anzugehen, stammt schon aus der Mitte der 70er Jahre. Das Europäische Parlament sah da schon die Gefahr, dass persönliche Daten der Bürger missbraucht werden könnten – von öffentlichen wie privaten Stellen. Die Kommission hingegen war nicht ganz so Feuer und Flamme. Die hatte eher den gemeinsamen Markt und den freien Handel im Blick. Und dafür ist es gut, wenn Daten ungehindert fließen können. Keine Ahnung, ob da schon in der Kantine der Kommission von „Daten als neues Öl“ geschwärmt wurde. Auf jeden Fall brauchte es zwanzig Jahre, bis man über ein eher als Empfehlung anzusehendes Übereinkommen des Europarats hinaus ging und die Datenschutzrichtlinie mit dem tollen Namen erließ. Mich persönlich nervt es  immer wieder in solchen Büchern, wenn alle davon ausgehen, dass man die Institutionen der EU draufhat. Daher hier für das nächste Partygespräch eine kurze Auffrischung. Die haben Sie natürlich nicht nötig. Aber vielleicht ist der folgende Absatz ja gut für den Kollegen, dem Sie das Buch demnächst mal ausleihen wollen. Das, was wir regelmäßig bei der „Europawahl“ wählen, ist das Europäische Parlament. Das ist ein wenig vergleichbar mit unserem Bundestag, auch wenn es nicht ganz so weitreichende Rechte hat. Aber hier werden die europäischen Rechtsvorschriften gefasst. Die Initiative dafür stammt oft von der Europäischen Kommission. Das ist quasi die Regierung. Und dann gibt es noch etwas wie den Bundesrat, das ist der Rat der Europäischen Union. In dem sitzen die Ministerinnen und Minister der Mitgliedsstaaten. Und schließlich haben wir da noch so etwas wie eine Lenkungsgruppe oder einen Aufsichtsrat, der die EU als Ganzes im Blick hat: der Europäische Rat. Der setzt sich aus den Staats- und Regierungschefs der Mitgliedsstaaten zusammen. Gesetze erlassen ist nicht deren Ding, aber die EU-Verträge haben sie unter ihrer Kontrolle – quasi das Herzstück Europas, das zum Glück die kriegerische Auseinandersetzung ersetzt hat. Großartig, dass es sowohl den „Rat der Europäischen Union“, wie auch den „Europäischen Rat“ gibt. Das hilft sicherlich, dieses Konstrukt über Ratesendungen hinaus populär zu machen. Von solchen Marketingsünden gibt es so einige bei der EU. Neben dem Europäischen Gerichtshof (EuGH, für Gebildete auch Gerichtshof der Europäischen Union genannt) gibt es noch das Gericht der Europäischen Union (EuG), quasi die Vorinstanz des EuGH. Und daneben existiert noch der Europäische Gerichtshof für Menschenrechte, der die Einhaltung der Europäischen Menschenrechtskonvention sicherstellt. Irgendetwas müssen wir Juristen ja im Studium lernen … und ich verspreche Ihnen, mit diesem Wissen sind Sie der Renner bei jedem Speeddating – zumindest, wenn es um die Geschwindigkeit bei dem Wechsel der Gesprächspartner geht. Die Älteren erinnern sich noch, wir waren bei der Datenschutzrichtlinie. Ich erwähnte, dass Richtlinien erst noch in nationales Recht gepackt werden müssen. Dafür hatten die Mitgliedsstaaten immerhin fast drei Jahre bis zum Herbst 1998 Zeit. Deutschland nahm sich noch ein paar Sabbatjahre zusätzlich und kam dem erst im Mai 2001 mit der Änderung des Bundesdatenschutzgesetzes nach. Das auch erst, nachdem die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hatte. Und weil man schonmal dabei war, sich ehrenlos zu verhalten, war die Umsetzung der Richtlinie auch noch teilweise Mist, zumindest in den Bundesländern. Denn die Datenschutzaufsichtsbehörden waren nicht ausreichend unabhängig ausgestaltet worden. Teilweise hatte z. B. der Ministerpräsident noch ein Wörtchen mitzureden. Bei einer Behörde, die auch ihn kontrollieren soll, keine gute Lösung. Wieder gab es ein Vertragsverletzungsverfahren. Und 2010 entschied der EuGH, dass die Vorgaben in Deutschland tatsächlich falsch umgesetzt worden waren. Ehre genommen, Danke ! Inhaltlich war aber ansonsten in der Richtlinie Vieles, was wir in der heutige Datenschutz-Grundverordnung wieder entdecken werden. Zum Beispiel war man schon sehr sensibel, was sensible Daten anging. Kommen wir noch zu. Auch war die Einwilligung die Grundlage von fast allem. Klingt nach Bundesverfassungsgericht und jeder soll gefälligst selbst entscheiden, wer was wann über einen weiß. Ist aber leider dann doch nicht immer die perfekte Lösung. Warum? Hier wird noch nicht gespoilert. Wie kreativ-zurückhaltend man jedoch bei der Umsetzung von Richtlinien trotz eindeutigem Wortlaut sein konnte, dafür gibt es zur Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) ein prägnantes Beispiel. Das war die Sonder-Datenschutzrichtlinie für den Telekommunikationsbereich von 2002. Immerhin hatte man dafür schnell einen griffigeren Namen bei der Hand: ePrivacy-Richtlinie, oder gehässiger: Cookie-Richtlinie. Funfact: Auch die ePrivacy-Verordnung sollte passend zur Datenschutz-Grundverordnung ebenfalls ab 2018 wirksam sein. Ob es die EU bis heute geschafft hat, diesen nicht ganz banalen Bereich angemessen zu regeln? Bleiben Sie dran und lesen Sie weiter … Besagte ePrivacy-Richtlinie sah in Art. 5 Abs. 3 vor, dass beim Einsatz von technisch nicht notwendigen Cookies der Nutzer einwilligen muss. Cookies sind kleine Dateien auf dem Rechner des Nutzers, die z. B. eine Webseite dort hinterlegt, um den Nutzer wieder zu erkennen und insbesondere über sein bisheriges Verhalten und seine Eingaben Notizen zu machen. Das klingt erst einmal sehr perfide, schließlich nutzt man die eigene Hardware seines Opfers, um ihn zu zwingen, sich beim Surfen im Internet kenntlich zu machen. Oftmals ist es das auch, etwa wenn Informationen über viele Webseiten hinweg ausgewertet werden, die alle die gleichen Werbenetzwerke nutzen. Es kann aber auch sinnvoll sein, etwa wenn man keinen Bock hat, sich immer wieder bei einer Webseite anzumelden oder man möchte einen Warenkorb beim Bestellen bis zum Gang zur Kasse aufzubewahren. Kurz gesagt, Cookies sind im Guten wie im Bösen aus dem Internet nicht wegzudenken. Gut, wenn man dann eine Regelung macht, die verlangt, dass der Nutzer selber entscheiden soll, ob er das will? Klingt richtig, fühlt sich aber nach wenigen Minuten Surfen im Internet nervig an. Denn Cookies sind überall. Und Webseiten sind schon lange nicht nur einfache Webseiten. Teilweise sind Dutzende oder noch mehr Anbietern involviert. Und alle wollen sie was vom Kuchen … äh Cookie … abhaben. Und dann kommt man ggf. nicht mehr aus dem Einwilligen hinaus. Synonym für diese Einwilligungen sind die sogenannten Cookie-Banner. Aber darüber wollen wir weiter hinten noch reden. Das ist für Internet-Nerds wirklich spannend und herausfordernd. Und für alle anderen ist dann die Zeit schon abgelaufen, wo sie dieses Buch innerhalb der gesetzlichen Widerrufsfrist zurückgeben können. Einigen wir uns darauf, dass die Idee der Einwilligung in Cookies im Jahr 2002 noch eine gute Idee und die Richtlinie da auch in ihrer Formulierung eindeutig war: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“ Wir merken uns also das Wort „Einwilligung“. Der deutsche Gesetzgeber war nun also aufgefordert, dieses in ein nationales Gesetz zu überführen. Und diese Regelung fand sich in § 15 Abs. 3 Telemediengesetz (TMG). Das Gesetz gibt es heute nicht mehr, sondern ist Teil eines anderen Gesetzes geworden, wo die Wortschöpfungsmafia wirklich ganze Arbeit geleistet hat. Freuen Sie sich auf den Abschnitt zum „TDDDG“. In besagtem § 15 Abs. 3 TMG stand nun Folgendes: „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“ Sehen Sie, wo das Wort „Einwilligung“ versteckt ist? Nein? Schauen Sie nochmal ganz genau hin bitte! Denn auf Nachfrage behaupteten die zuständigen Stellen, dass das schon passen würde. Nicht widersprechen sei doch das gleiche wie Einwilligen. Im häuslichen Kontext mag das hinkommen. Wenn mein Sohn spontan mehr Medienzeit familientarifrechtlich auszuhandeln wünscht und ich nicht augenblicklich während meines Toilettengangs durch die gesamte Wohnung brüllend widerspreche, dann nimmt er das auch als Einwilligung. Zu Recht? Wohl eher nicht. Und mit dieser ablehnenden Haltung zu „Einwilligung ist gleich fehlender Widerspruch“ sind wir nicht allein. Das sah auch der EuGH 2019 so (Az. C-673/17): Einwilligungspflicht gilt. Basta! Gefragt hatte der Bundesgerichtshof (BGH) und wer fragt muss mit der Antwort leben. Das führte dazu, dass der BGH entschied, dass der § 15 Abs. 3 TMG richtlinienkonform ausgelegt werden muss und wo „nicht widerspricht“ steht, muss „einwilligt“ gelesen werden. Steht da also doch, man sieht es nur nicht. It’s Magic! Das also war die Geschichte von der seltsam kreativen Umsetzung einer Richtlinie. Paulanergarten, da kannst Du einpacken, oder?

Die Vorgeschichte Es begab sich Anfang der 1980er Jahre, dass sich das ganze deutsche Volk schätzen lassen sollte. Und wenn die Deutschen etwas wissen wollen, dann machten sie es damals noch sehr gründlich. Sie erließen ein Volkszählungsgesetz und planten die Totalerhebung. Verwaltungsmitarbeiter sollten zu allen Menschen in Deutschland gehen und mal durchzählen. Aber eben nicht nur das. Wenn diese Erhebungsbeamten schon so nett beim Zählen waren, dann konnte man ja gleich noch ein paar weitere Fragen stellen, die den Staat so interessierten. Nichts, was nicht der typische Social-Media-Nutzer heute schon in der Profilbeschreibung hätte. Aber damals wurde man schon fuchsig, wenn es um Informationen zum genutzten Verkehrsmittel oder die Entfernung zur Arbeitsstelle ging. Der Staat war das Unterfangen der Volkszählung akribisch angegangen. Immerhin 600.000 Zählbeauftragte sollten den Bürger in 25 Millionen Haushalten in Westdeutschland besuchen. Viel Papier war zum Beschreiben vorbereitet worden. So viel, dass man sich im Vorfeld ernsthafte Sorgen um die Deckenbelastung einiger Behörden machte. Und damit der Bürger nicht unbeobachtet Schindluder beim Ausfüllen der Zettel machte, war ein Zurücksenden der Fragezettel etwa per Post durch eine Größenwahl für die Zettel ein ganz kleines Bisschen über DIN-A-4 erschwert worden. Gerade so viele Millimeter wurden draufgegeben, dass ein entsprechender Umschlag nicht mehr passte. Pfiffig … Um sich in seinem behördlichen Tun nicht unnötig Stress zu machen, hatte man die Datenschutzbeauftragten aus dem Ganzen lieber rausgelassen. Wie der Spiegel berichtete, fanden Aufkleber wie „Meine Daten gehören mir“ oder auch „Betteln, Hausieren und Volkszählen verboten“ reißenden Absatz. Und wenn sich doch ein Zählbeauftragter zu einem wagte, dann kündigten nicht wenige an, bei der Ausfüllung der Zettel fantasievoll und kreativ vorzugehen. Dabei war die Grundidee gar nicht so verwerflich. Wollte man doch die Datenbanken der Einwohnermeldeämter aktualisieren, Karteileichen entfernen und dabei auch noch einige Informationen bekommen, um etwa Verkehrsentscheidungen bedarfsgerecht fällen zu können. Auf der Gegenseite entstanden Ängste, dass sich der Bürger allzu nackig machen würde. Psychologisch hilfreich war da sicherlich, dass der Roman von Orwell „1984“ mit seinem Big Brother zufällig genau ins folgende Jahr vom Autor datiert worden war. Immerhin mehr als 500 Verfassungsbeschwerden wurden eingereicht. Der Bürger war angezündet, wütend und streitlustig. Und er wollte nicht zu einer Nummer degradiert werden. Sah das Verfahren doch eine achtstellige Kennung vor, die drohte als Personenkennzeichen die Verknüpfung mit anderen Daten zu erleichtern. Eine Diskussion, die auch heute noch wieder sehr aktuell ist. Will man doch endlich das Behördenwesen auf die digitale Ebene heben und Anträge so leicht wie einen Einkauf bei Amazon gestalten. Warum dann Daten, die der Staat eh hat, erneut eingeben? Wäre dafür eine übergreifende Kennung nicht hilfreich, wie es in vielen anderen Ländern die Regel ist? Oder gibt es auch jetzt noch Gründe, da vorsichtig zu sein? Das ist ein anderes Thema für viel viel später in diesem Buch. Wo waren wir? Ach ja, der Deutsche ging also 1983 auf die Straße und fand diese ganze Volkszählung in weiten Teilen der Bevölkerung ziemlich uncool. 52% der Bundesbürger waren laut einer ZDF-Umfrage kritisch und 25% wollten erst gar nicht mitmachen. Plötzlich war der Datenschutz in aller Munde. Ganz im Gegensatz dazu noch die Situation 13 Jahre vorher, als in Nordrhein-Westfalen bei einer Volkszählung gerade mal 23 Rückmeldungen der Bürger Grund für ein Bußgeldverfahren lieferten. Ganz selbstlos war auch der Bürger von 1983 wohl bei seiner neuen Liebe für den Datenschutz nicht. Schließlich sollten u. a. Gemeinden die Befugnis erhalten, einen Abgleich ihrer Register mit den Umfrageergebnissen vorzunehmen. Eigener kreativer Umgang mit Meldungen zum Wohnen oder Vermieten an die Behörden inkl. steuerlich relevanter Daten konnte da auch finanzielle Anreize schaffen, den Datenschutz gerade bei dieser Volkszählung unheimlich wichtig zu finden … der Menschenrechte wegen natürlich. Auf der Gegenseite war der Staat, der immerhin bis zu 10.000 Mark Strafe androhte, sollten unvollständige oder unrichtige Angeben gemacht werden. Den Staat zu ärgern, war aber auch sehr einfach. Es reichte schon aus, statt eines Bleistifts einen Füllfederhalter zu verwenden. Waren doch die Lesegeräte zur Auswertung nur auf Graphitspuren ausgelegt. Damit hatte man übrigens schon den echten Hanseaten zurückgelassen. Schließlich war es rund um Finkenwerder und Blankenese üblich, alles Wichtige mit dem Familienfüller auszufüllen – ein Umstand, der viele Jahre später auch den zarten Versuchen einer elektronischen Wahl der Bürgerschaft einen Knüppel zwischen die Beine warf. Übrigens war damals für Gegner des Genderns (hätte es sie schon gegeben) und Befürworter der klassischen Familie die Welt noch in Ordnung. Erfasste doch das Volkszählungsgesetz in § 2 Nr. 4 die „Beteiligung am Erwerbsleben“ und dazu gehörte neben „Schüler, Student“ auch die „Eigenschaft als Hausfrau“. Der Hausmann wartete noch auf seine Anerkennung durch die Gesellschaft.   Der damalige Bundesdatenschutzbeauftragte Hans Peter Bull sah sein Heil bei der Kritik an der ganzen Aktion im Gesetz. Verbot dieses doch im Rahmen des Statistikgeheimnisses eine De-Anonymisierung unter Strafandrohung. Die Welt konnte so einfach sein. Warum ist man in anderen Bereichen noch nicht auf die Idee gekommen, Unerwünschtes einfach zu verbieten? Vielen Landesdatenschutzbeauftragten reichte das auch nicht aus. Und auch nicht einer Gruppe Männer im beschaulichen Karlsruhe. 2. Das Urteil Das Bundesverfassungsgericht verschaffte allen, deren Fetisch der Datenschutz war, ein vorzeitiges Weihnachtsgeschenk. Am 15. Dezember 1983 erblickte das Recht auf informationelle Selbstbestimmung das Licht der Welt – eine Welt, die danach nicht mehr dieselbe sein sollte. Naja, zumindest die deutsche Welt. Weite Teile von Europa mussten bis 2018 warten, bis sie diese Errungenschaften in vollem Umfang genießen durften. Obwohl das eigentlich schon 1995 der Fall war, was aber kaum einen interessierte. Das schonmal als kleiner Spoiler. Lust auf ein wenig Bundesverfassungsgericht-Porn? Dann hier der entscheidende Leitsatz: „Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art 2 Abs. 1 in Verbindung mit Art 1 Abs. 1 (Grundgesetz) umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Die beim Bundesverfassungsgericht haben es einfach drauf, wenn es darum geht, einfache Dinge in wichtiger Sprache zu verpacken. Dabei ist es eigentlich ganz einfach. Der zentrale Satz steht unter Randnummer 146 des Urteils: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“ Anders gesagt: Jeder soll das Recht haben selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über ihn weiß. So einfach kann es sein, auch wenn ich in den Satz gerne mehr Kommas gepackt hätte. Und tatsächlich hilft einem dieser Satz eigentlich in allen Lebenslagen – zumindest denen, in denen man sich mit Datenschutz beschäftigt. Jeder soll gefälligst selbst darüber entscheiden, was andere über ihn wissen dürfen. Möchte ich der verschlossene mysteriöse Nachbar sein, der alles zwischen Geheimagent und Massenmörder sein kann? Mein Ding. Will ich im Netz mein Leben ausleben. Auch meine Entscheidung. Muss ich dafür gegenüber anderen Rechenschaft ablegen? Nö. Mein Leben, meine Entscheidung. Wobei ganz so einfach ist es dann natürlich doch nicht, sonst hätte ich dieses Buch auch als Bierdeckel herausbringen können. Wie bei jedem guten Thriller startet die Geschichte harmlos, bis dann die spannungsgeladenen Wendungen kommen. Ein echter Fitzek. Das Bundesverfassungsgericht war erstaunlich modern und hatte Big Data lange, bevor es Modewort einer CeBIT (Gott sei ihrer Seele gnädig) geworden war, für sich erkannt. So heißt es unter Rn. 150, dass es unter den Bedingungen der automatischen Datenverarbeitung kein “belangloses” Datum mehr gebe. Zwei Dinge gilt es daraus zu lernen. Zum einen ist die Einzahl von „Daten“ tatsächlich „Datum“ und zum anderen können selbst die banalsten Informationen über mich zu unliebsamen Rückschlüssen führen. Das Schreckensgespenst des Bundesverfassungsgerichts in diesem Zusammenhang sind die „der Informationstechnologie eigenen Verarbeitungs- und Verknüpfungsmöglichkeiten“. Aus großen Datenmengen folgt große Verantwortung. Das hätten schon die Jedi gewusst, hätten sie bei diesem Urteil eine Erschütterung der Macht bemerkt. Beispiel gefällig? Der Umstand, dass Sie gerade jetzt dieses Buch lesen, ist ziemlich banal. Nun gut, vielleicht hätten Ihre Vorgesetzten da etwas Seriöseres für Ihre Fortbildung erhofft. Aber nichts, wofür man sich schämen müsste. Nehmen wir nun noch ein paar weitere banale Daten dazu, wie zum Beispiel die Uhrzeit, zu der sie lesen. Daraus kann man dann auch ihre Lesegeschwindigkeit leicht errechnen (nutzen Sie einen eBook-Reader wie den Kindle, so bekommen sie das sogar direkt auf Wunsch angezeigt). Beobachten wir das dann über einen längeren Zeitraum, so wird es spannend. Nimmt die Lesegeschwindigkeit ab? Oh oh, Doktor Google findet da sicherlich schnell eine passende tödliche Krankheit zu. Oder lesen Sie immer mehr? Na, da hat wohl jemand zu viel Freizeit? Lesen Sie immer mal wieder mitten in der Nacht? Senile Bettflucht wäre da noch das Harmloseste, ich (bzw. der Algorithmus, der sich der Daten fürsorglich angenommen hat) gehe/geht da eher von Schlaflosigkeit wegen psychischer Probleme aus. Nicht gut für Beziehung, Job und Krankenversicherungstarif. Nicht alles davon wird nun den Weg ins Rechenzentrum finden, zumindest wenn Sie noch ganz traditionell das gedruckte Buch für Ihre lasterhaften Leseorgien heranziehen. Oder haben Sie was zu verbergen, weil für Ihre zwanghafte Anonymität Bäume sterben müssen? Aber banal ist es nun auch nicht. Alles und jedes Datum kann im Zusammenspiel mit den Massen anderer Daten zu fast allen Rückschlüssen herangezogen werden. Und das wusste man schon 1983! Das war das Jahr, als Hochleistungsrechner eine Rechenleistung von gerade mal bis zu 800 Megaflops hatten. Schon das iPhone 6 hatte vor einigen Jahren 120 GIGA(!)Flops und die Playstation 5 bringt es auf 10280 Gigaflops. Apropos Flop: auch wenn einige Regelungen des Volkszählungsgesetzes durchgewunken wurden (etwa hinsichtlich der Verwendung der Daten für die Forschung), so war es doch ein überwiegender Sieg für die Kläger. Viele Vorschriften des Gesetzes verstießen gegen das neue „Recht auf informationelle Selbstbestimmung“. Und das Bundesverfassungsgericht wäre nicht das Bundesverfassungsgericht, würde es nicht irgendwie das Grundgesetz dabei mit heranziehen. Und wenn es wie hier Menschen betrifft, dann passt eigentlich immer auch die Menschwürde aus Artikel 1 des Grundgesetzes. Aber das wäre doch ein wenig billig. Bei etwas so Wegweisendem und Neuen bekommt man gleich zwei Grundrechte als Begründung zum Preis für ein Neues. Sicher ist sicher. Und da nahm man dazu noch Artikel 2 Abs. 1 des Grundgesetzes, das Recht auf freie Entfaltung der Persönlichkeit. Wer will bei so viel Menschenwürde und Persönlichkeit widersprechen. Und da damit Grundrechte verletzt wurden, konnte das Bundesverfassungsgericht einige der Vorschriften des Volkszählungsgesetzes als verfassungswidrig einstufen. Die waren dann gleich mal nichtig und der Rest konnte eh nicht alleine bestehen bleiben. Sieg für den Datenschutz! 1987 kam es dann zum zweiten Versuch einer Volkszählung. Zentrale Änderung war, dass die personenbezogenen Angaben getrennt von den Fragebögen blieben, um die Anonymität zu erreichen. Wobei der Kenner weiß, echte Anonymität gibt es (fast) gar nicht. Aber man hat sich zumindest bemüht, dass auch aus den Antworten beim Fragebogen nicht allzu einfach auf den Menschen dahinter geschlossen werden konnte. Übrigens gab es auch gegen dieses Vorgehen Proteste, u. a. von den Grünen, die damals relativ frisch mit im Bundestag dabei waren. Zu behaupten, dass nun auch hieran irgendwie Habeck Schuld sei, ist dann aber in Anbetracht der vergangenen Zeit, doch etwas übertrieben. Immerhin fand man durch die Volkszählung plötzlich eine Million mehr Erwerbstätige in Deutschland. Hatten die doch gearbeitet und keiner hat es mitbekommen. Allerdings macht das Sinn, schließlich fand man auch heraus, dass es in Wirklichkeit ca. eine Million weniger Wohnungen gab. Die Erwerbstätigen konnten also quasi nichts anderes machen als zu arbeiten. Und da der Begriff Volkszählung dann noch ziemlich negativ belastet war, machte man es im Folgenden wie eine gute Marketingabteilung. Weist Dir Stiftung Warentest Schadstoffe im Produkt nach, nenne es um. Und so wurde aus der Volkszählung der Zensus und Schuld war dann 2011 nicht Merkel oder die SPD, sondern die EU, die das ja wollte. Noch unschuldiger und süßer ist da nur noch der „Mikrozensus“, in dem regelmäßig Stichproben gezogen werden. Mehr würde die Bevölkerung wahrscheinlich eh nur verunsichern … Damit verlassen wir das weite Feld der Volkszählungen. Aber das Bundesverfassungsgericht hatte noch so einiges im Köcher. Doch zunächst müssen wir uns der EU zuwenden. Denn die entdeckte mit entspannter Verzögerung in den 90er Jahren den Hype um den Datenschutz und wollte auch ihren Teil des Kuchens.

Warum Datenschutzrecht wichtig ist. Um die Frage der Überschrift gleich am Anfang zu beantworten: Ja, es gibt was Schöneres als Datenschutz. Aber es gibt auch viel viel Schlimmeres. Und es ist ungemein abwechslungsreich. Es ist Sex (zum Beispiel, wenn Wildkameras erstaunlich detailreich das Liebesspiel im stockdunklen Jagdgebiet des Landadels aufzeichnen), Drugs (wenn bei der Alkoholkontrolle überraschend spritige Werte aufgezeichnet werden) und Rock ´n´ Roll (wenn die Datenschützer aus Baden-Württemberg zur Gitarre greifen). Aber es ist auch Zweckbindungsprinzip, Datenschutzfolgenabschätzung und Auftragsverarbeitung. Doch auch gerade darin kann viel Poesie liegen. Sie sehen sie nur noch nicht.  Dafür bin ich ja nun mit diesem Buch da und führe Sie in ein Land, wo ganz viel personenbezogene Milch und verarbeitender Honig fließen. Ich bin Jurist, arbeite seit bald 25 Jahren in einer Behörde zum Thema Datenschutz und leite dort ein Referat. Und ich kann noch lächeln und gehe gerne zur Arbeit, zumindest regelmäßig. Ich meine daher schon ein bisschen Ahnung davon zu haben, worüber ich hier schreibe. Und vor allem habe ich gelernt, dass Datenschutz wirklich einfach sein kann – wenn man ein wenig auf sein Bauchgefühl hört, Sinn und Zweck der Idee des Datenschutzes im Blick behält und sich einfach auch etwas gesunden Menschenverstand bewahrt. Natürlich darf ich das als Jurist nicht öffentlich zugeben. Schließlich wird von mir erwartet, dass ich in strenger Subsumtion nur durch Blick in Gesetzesbücher und die zugehörigen Kommentare zu ungeahnten Weisheiten komme.  Erkenntnisse, zu denen Normalsterbliche gar nicht in der Lage sind, sie kognitiv zu verarbeiten. Wir Juristen sind Halbgötter mit Schönfelder unter dem Arm. Aber da Sie nun entsprechend zu mir aufschauen, kann ich beruhigt zu Ihnen hinabsteigen und in den Niederungen dieses Buches Spaß am Datenschutz und sogar dem Datenschutzrecht vermitteln. Und ganz nebenbei könnten einige Informationen abfallen, die Ihnen entweder beim Jauch bei der 250.000 Euro Frage helfen oder zumindest Sie dazu befähigen, ein Datenschutzbeauftragter Ihrer Behörde oder Firma zu werden, bei dem nicht alle Gespräche automatisch verstummen, wenn er oder sie den Raum betritt. Sie werden beliebt und sexy sein, nur Kraft Ihrer kompetent lebensnahen Einstellung zum Thema Datenschutz. Alle 11 Minuten verliebt sich jemand in einen Datenschützer – nur bekommt das leider keiner mit, weil … Sie ahnen es schon … „Datenschutz“. 2. Die Geschichte des Datenschutzes ist eine Geschichte voller Missverständnisse Sie können mit der Anspielung dieser Überschrift etwas anfangen? Gratulation, dann sind Sie ungefähr in meiner Altersliga und haben den Großteil Ihres Berufslebens schon hinter sich. Aber für alle Leser gilt: Es ist nie zu spät, etwas Neues zu erleben. Und sei es das ungewohnte Gefühl beim Thema „Datenschutz“ den Fluchtreflex erfolgreich unterdrücken zu können. Wir wollen jetzt hier nicht bei Adam und Eva anfangen. Aber bei Adam und Eva war das Thema Datenschutz auch schon sehr präsent. Spätestens mit dem Biss in den Apfel kam die Erkenntnis, dass es gut sein kann, bestimmte Informationen für sich zu behalten. Wir wissen alle, dass das da nur so semi geklappt hat und die Vertreibung aus dem Paradies aufgrund der erdrückenden Informationslage schnell folgte. Nun kann man durchaus hinterfragen, auf welcher Rechtsgrundlage dieser „Gott“ eigentlich seine sehr umfassende Datenverarbeitung fußte. Denn von einer irgendwie gearteten Einwilligungserklärung, erst recht einer informierten, ist nirgendwo in der Bibel die Rede. Selbst die Bibel war noch nicht in Kraft. Nun halten sich gute Geschichten von Bond bis Potter selten mit solchem formalen Kram auf, wo doch das Böse bekämpft werden muss. Aber bei lebensnaher Auslegung wird man zu dem Ergebnis kommen, dass Gott wohl allem Anschein nach das Kleingedruckte in den sieben Tagen nicht auch noch erschaffen konnte – der Jurist war ja schließlich noch nicht geboren. Wobei übrigens die Einwilligungserklärung alles anderes als kleingedruckt sein darf, um wirksam zu sein. Aber dazu später mehr. Allerdings zieht sich das fehlende Unrechtsbewusstsein von Gott bei der Datenerfassung wie ein roter Faden durch die Bibel. Vieles wäre wohl in der biblischen Menschheitsgeschichte anders gelaufen, hätte Gott da ein wenig mehr informelle Selbstbestimmung walten lassen. Sei es der dann ungesühnte Tanz um das goldene Kalb oder auch ein auf dem trockenen gebliebener Moses. Erschreckend ist auch, dass der Datenschutz in den zehn Geboten sehr stiefmütterlich und teilweise recht einseitig geregelt wurde. So hat das Verbot des falsch Zeugnis Ablegens zwar seine Aktualität mit der heutigen Fake-News Debatte bewahrt. Im modernen Datenschutzrecht taucht das rudimentär erst in Artikel 16 Datenschutz-Grundverordnung (DSGVO) auf, wonach die Berichtigung von unrichtigen personenbezogenen Daten von dem Verantwortlichen verlangt werden kann. Die unwahre Tatsachenbehauptung ist da eher eine strafrechtliche Angelegenheit, handelt es sich doch um Verleumdung im Sinne des § 187 Strafgesetzbuch (StGB). In der Praxis ist da eher das Problem, wann tatsächlich Unwahrheiten verbreitet wurden, oder ob da nicht doch eher eine Meinung kundgetan wurde. Und dann wäre da noch die Kunstfreiheit … Sie merken, da hört gerade der Spaß auf und es wird eklig in der Diskussion. Deshalb zurück zu den Schönheiten des Datenschutzes. Wo waren wir? Ach ja, die zehn Gebote. Da wäre noch das zweite Gebot, das zumindest in einigen Versionen des Bibeltextes verbietet, ein Bildnis zu erstellen. Da ist Gott allerdings recht eigensinnig und bezieht dieses Recht am eigenen Bildnis ausschließlich auf sich. Heutzutage hat jeder dieses Recht, kann aber im Zuge seiner angehenden Influenzertätigkeit auch jederzeit durch eine Einwilligung darauf verzichten. Da war Gott recht strikt. Freigaben oder Lizenzen an seinem Konterfei hat er ausdrücklich und absolut ausgeschlossen. Für ein ansonsten doch auf Popularität aus seiendes Wesen recht ungewöhnlich. Das kennt man doch eher von den Aldi-Brüdern oder Herrn Raab im Zusammenhang mit deren Privatleben. Und das war noch zu Zeiten, wo der Gott-Paparazzi nicht auf Auslöser drücken konnte, sondern selbst zu Hammer und Meißel greifen musste. Aber vielleicht lag darin auch das Problem, wissen wir doch spätestens seit der Statue von Ronaldo, dass Bildhauer nicht immer das Schönste aus ihrem Modell herausholen und auch noch ihren eigenen künstlerischen Anspruch verwirklichen wollen. Konsequent, dann durch ein eigenes Gebot solche misslichen Situationen zu vermeiden. Allerdings zeigt auch ein Besuch in einer Kirche Ihrer Wahl, dass schon damals Verbote nur noch mehr das Umgehen derselben befeuert haben. Und wenn schon der feine Herr selbst nicht abgebildet werden will, dann nimmt man eben seinen Sohn. Aber zu den Problemen der Einwilligung durch Kinder kommen wir noch später. Losgelöst von aller Flachserei dürfte der Wunsch, einige Fakten für sich zu behalten, zu den Urwünschen der Menschen gehören. Schon 500 v. Chr. war es Teil des Hippokratischen Eids, dass Informationen über Behandlungen und das Drumherum als ein Geheimnis betrachtet werden sollten. Die Verschwiegenheitspflicht war geboren. Und immer wieder kam es in der Geschichte der Menschheit dazu, dass persönliche Daten für Schindluder missbraucht wurden. Sei es, dass die Hexenverbrennung auf Gerüchten über bestimmte Handlungsweisen von Menschen aufgebaut wurde. Oder sei es die Inquisition, die Menschen mit abweichenden religiösen Einstellungen ermittelte und nicht davor zurückschreckte, ihre Informationsbeschaffung auch mal auf Folter aufzubauen. Später waren es dann etwa der NS-Staat oder auch die Stasi in der DDR, die Schlimmes mit Menschen machten, über die sie mehr wussten oder zu wissen glaubten, als den Betroffenen recht war. Es waren also vor allem zunächst die übermächtigen Organisationen wie Kirche oder Staat, die den Bürger mit Wissen über ihn in Schach hielten. Keine schöne Situation, will man eine Gesellschaft, die frei und ungezwungen agieren will. Die Amerikaner hatten da schon länger ein ambivalentes Verhältnis zu allem, was sich außerhalb ihres Grundstückes abspielte. Getreu dem Motto, dass der Mensch dem Menschen das größte Ungeheuer sei, gehört es wohl zum ureigenen Recht in einigen Gegenden der USA, sich notfalls mit Waffengewalt dem Eindringling in den Weg zu stellen – insbesondere, wenn er vom Staat kommt und wie in den 60er Jahren ein nationales Datenzentrum einrichten will. Aber auch dort ist inzwischen der beherzte Schuss aus dem Schrotgewähr beim Kontakt mit Staatsbediensteten etwas aus der Mode gekommen, so dass man das „Right to be (left) alone“ inzwischen als verfassungsrechtlich geboten ansieht. Wer nicht möchte, muss auch nicht parshippen. Ein echtes Recht auf Einsamkeit, oder wie Menschen auf dem Dorf sagen würden: Städter. Da so ein Ausdruck jedoch auch etwas sperrig ist, hatte man sich dann schließlich auf das deutlich griffigere „Privacy“ geeinigt. Klingt ja noch einigermaßen sexy und positiv. Und auch hier werden die Deutschen wieder ihrem Ruf gerecht, alles irgendwie rechtlich Relevante maximal dröge und sperrig ausdrücken zu müssen. Wir nennen es „Datenschutz“. Und warum? Laut Wikipedia, da man sich an den Begriff „Maschinenschutz“ anlehnen wollte. Na vielen Dank. Da hatte man ja das Coolste rausgeholt, was der deutsche Sprachschatz so an Erotik zu entlocken war. Rammstein hätte es nicht besser für einen Titel nehmen können. Und dann ist er auch noch falsch. Schließlich sollen hier gar keine Daten geschützt werden, das macht ja schon die Datensicherheit. Es geht um den Schutz der Menschen. Obwohl „Menschenschutz“ wäre wohl auch nicht so richtig zielführend gewesen. Nun ja, nehmen wir es so hin. Ändern können wir es nicht mehr. Aber immerhin nutze ich gleich mal hier die Gelegenheit und nehme einem gebräuchlichen Missverständnis den Wind aus den Segeln: Datenschutz und Datensicherheit sind nämlich entgegen einer Volksmeinung zwei völlig verschiedene Dinge … obwohl … die Datensicherheit sehen einige wiederum als eines der Prinzipien des Datenschutzes an. Nicht schön, aber so ist Fußball. Ernsthaft aufgenommen haben den Begriff als erste die Hessen in Deutschland. Die haben nämlich 1970 das erste Datenschutzgesetz erlassen – der Welt! Bitte merken, das kann beim Jauch auch vielleicht sogar 500.000 Euro wert sein. Der Bund zog erst sieben Jahre später 1977 nach. Kein Wunder, dass Bundeskanzler Helmut Kohl noch in seiner Amtszeit in einer vom Fernsehen durchgeführten Bürgersprechstunde auf die Frage nach der Datenautobahn auf den Verkehrsminister verwies. Die letzten der alten Bundesländer ohne Datenschutzgesetz waren übrigens … nicht die Bayern. Die bekamen ihres schon im April 1978. Die Letzten waren am 31. März 1981 die Hamburger. Es sei ihnen mittlerweile verziehen. Sind sie dafür doch inzwischen beim Thema Transparenzgesetz ganz vorne dabei. Aber das ist ein ganz anderes Thema für ein anderes Kapitel. Das Bundesdatenschutzgesetz von 1977 machte schon damals mit dem ersten Satz in § 1 Absatz 1 große Lust darauf auch die übrigen 46 Paragrafen zu lesen: „Aufgabe des Datenschutzes ist es, durch den Schutz personenbezogener Daten vor Mißbrauch bei ihrer Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegenzuwirken.“ Meines Erachtens hätte man auch einfach schreiben können, dass der Datenschutz alle Menschen davor schützt, dass andere mit deren Daten einen solchen Mist bauen, dass sie das richtig anko… äh… ärgert. Wer es dennoch versucht, der muss entweder einen richtig guten gesetzlichen Grund haben oder aber der Betroffene wollte das ganz ausdrücklich. So oder so ähnlich stand es in § 3 des Bundesdatenschutzgesetzes (BDSG). Bämm! Mic Drop. Nimm das, du Datenverarbeiter. Obwohl, ein wenig Luft nach oben war bei dem Thema Datenschutz in Deutschland noch. Aber dann, im Jahre 1983, nahm sich eine echte Institution in Deutschland dem Thema an. Was sage ich, es war die Institution der Institutionen. Es war der Jauch unter den Institutionen. Über jeden Zweifel erhaben und mit Reputation und Vertrauen ausgestattet, jede Frage korrekt beantworten zu können: Das Bundesverfassungsgericht.