Freundesgabe für Alfred Büllesbach

Umbruch von
Regelungssystemen
in der
Informationsgesellschaft
Freundesgabe für
Alfred Büllesbach
Johann Bizer
Bernd Lutterbeck
Joachim Rieß
(Herausgeber)
Freundesgabe für
Alfred Büllesbach
Freundesgabe Büllesbach 2002
Umbruch von Regelungssystemen
in der Informationsgesellschaft
Freundesgabe für Alfred Büllesbach
Herausgeber:
Johann Bizer
Bernd Lutterbeck
Joachim Rieß
ISBN 3-00-009813-5
Dieses Buch und jeder Artikel
steht elektronisch als Download
im Internet zu Verfügung:
www.alfred-buellesbach.de
Jede Verwertung des Werkes zum Beispiel
in anderen Publikationen, als Nachdruck
oder als Übersetzung bedarf der Genehmigung
durch die Herausgeber, die Verwertung einzelner
Aufsätze der Genehmigung durch die Autoren.
Anfragen über www.alfred-buellesbach.de
Zitiervorschlag:
Autor, Titel des Beitrages, in: Freundesgabe für A. Büllesbach 2002, S. ...
z.B. Bernd Lutterbeck, Umbruch, in: Freundesgabe für A. Büllesbach 2002, S. 6
Satz und Gestaltung: Tom Niemeier, Stuttgart
Druck und Weiterverarbeitung: J. F. Steinkopf Druck, Stuttgart
Webseitengestaltung: Bernhard Kühne, Stuttgart
Freundesgabe Büllesbach 2002
Inhaltsverzeichnis
VORWORT
Johann Bizer, Bernd Lutterbeck und Joachim Rieß
Umbruch von Regelungssystemen . . . . . . . . . . . . . . . . . . . . . . . . 9
1.
ZUR PERSON: ALFRED BÜLLESBACH
Bernd Lutterbeck
Im Umbruch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Hans Koschnik
Datenschutz und Staat –
ein unbequemes Stück Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Manfred Gentz
Datenschutz im Unternehmen –
eine Gratwanderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Ulfrid Neumann
Was die Schildkröte zu Achilles wirklich sagte . . . . . . . . . . . . . .19
2.
GOOD GOVERNANCE
Bernd Lutterbeck
Die Wissensgesellschaft bauen! . . . . . . . . . . . . . . . . . . . . . . . . . 23
Eckard Minx, Harald Preissler
Ortswechsel – Regeln in informatisierten Gesellschaften . . . . . . 39
Sebastian Dworatschek
Projektorganisationen und IT-Dienstleistungen . . . . . . . . . . . . . . 49
Thomas Dreier
Informationsrecht in der Informationsgesellschaft . . . . . . . . . . . 65
Herbert Kubicek
Ausbruch aus den Kästchen: Begleitendes Lernen
durch institutionenübergreifendes IT-Management . . . . . . . . . . 77
Freundesgabe Büllesbach 2002
Inhaltsverzeichnis
Wolfgang Coy
Weder vollständig noch widerspruchsfrei . . . . . . . . . . . . . . . . . . 87
Günter Müller
Enthält die Informatik Sprengkraft
für Regulierungssysteme? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
3.
DER DATENSCHUTZ AUF DEM WEG IN DIE MARKTWIRTSCHAFT?
Helmut Bäumler
Marktwirtschaftlicher Datenschutz . . . . . . . . . . . . . . . . . . . . . . .105
Jörg Tauss
Modernisierung des Datenschutzrechtes –
eine Art Zwischenbilanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Alexander Roßnagel
Marktwirtschaftlicher Datenschutz –
eine Regulierungsperspektive . . . . . . . . . . . . . . . . . . . . . . . . . . .131
Wolfgang Kilian
Rekonzeptualisierung des Datenschutzrechts
durch Technisierung und Selbstregulierung? . . . . . . . . . . . . . .151
Bettina Sokol/Roul Tiaden
Big Brother und die schöne neue Welt der Vermarktung
personenbezogener Informationen . . . . . . . . . . . . . . . . . . . . . .161
Alexander Dix
Bedroht der Datenschutz die Informationsfreiheit? . . . . . . . . . .169
Gerald Spindler
Die Verantwortlichkeit für den Datenschutz im
Unternehmen und im Konzern . . . . . . . . . . . . . . . . . . . . . . . . .177
4.
DIE CODIERUNG DES DATENSCHUTZES
Johann Bizer
Der Code – gestaltbar für und gegen den Datenschutz . . . . . . .193
Joachim Jacob/Helmut Heil
Datenschutz im Spannungsfeld von
staatlicher Kontrolle und Selbstregulierung . . . . . . . . . . . . . . . 213
Freundesgabe Büllesbach 2002
Inhaltsverzeichnis
Winfried Hassemer
Staat, Sicherheit und Information . . . . . . . . . . . . . . . . . . . . . . . 225
Michael Hange
Wirksamkeit von Regelungen und Empfehlungen
in der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
5.
GLOBALISIERUNG UND ENTGRENZUNG DES RECHTS
Joachim Rieß
Baustellen globaler Architekturen des Rechts . . . . . . . . . . . . . . 253
Otfried Höffe
Daten- und Persönlichkeitsschutz im Zeitalter
der Globalisierung. Philosophische Bausteine . . . . . . . . . . . . . 257
Jackson Janes
The Transformation of the German-American
Debate over Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Anja Miedbrodt
Unterschiede im Regulierungsverständnis der
deutschen und der amerikanischen Rechtskultur . . . . . . . . . . . 273
Peter J. Hustinx
Co-regulation or self-regulation by public and
private bodies – the case of data protection . . . . . . . . . . . . . . . 283
Ulf Brühann
Selbstregulierungsinstrumente zur Liberalisierung
des Datenexports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Stefan Walz
EG-Datenschutzrichtlinie und Selbstregulierung –
Umsetzungsdefizite beim Medienprivileg des BDSG . . . . . . . . 301
Anne Carblanc
Building bridges between different
approaches of privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311
Hans Jürgen Kranz
Selbstregulierter Datenschutz im internationalen
Luftverkehr – eine Fallstudie . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Freundesgabe Büllesbach 2002
Inhaltsverzeichnis
6.
HERAUSFORDERUNGEN DES STRAFRECHTS
Hansjörg Geiger
Internationaler Strafgerichtshof und Aspekte
eines neuen Völkerstrafgesetzbuches . . . . . . . . . . . . . . . . . . . . 327
Irini E. Vassilaki
Materielles Strafrecht, Strafprozessrecht,
Rechtsinformatik und Informationsgesellschaft . . . . . . . . . . . . 347
7.
BAUSTELLEN DES IT- UND TELEKOMMUNIKATIONSRECHTES
Thomas Hoene
Planung und Steuerung von IT-Großprojekten nach
modernisiertem Schuldrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Jochen Schneider
Rechtliche Konzepte für den Softwarevertrieb . . . . . . . . . . . . . 367
Ursula Widmer
Entbündelung der letzten Meile – Ohnmacht
trotz Regulierung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
Verzeichnis der Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Lebenslauf von Alfred Büllesbach
und eine Auswahl seiner Veröffentlichungen . . . . . . . . . . . . . . 419
Freundesgabe Büllesbach 2002
9
VORWORT
Johann Bizer, Bernd Lutterbeck, Joachim Rieß
Umbruch von Regelungssystemen
»Mit dem Beginn des 21. Jahrhunderts stehen weitere dramatische Umwälzungen in Wirtschaft und Gesellschaft (auf) der Tagesordnung. Das zunehmende Zusammenwachsen internationaler Märkte, die Einführung grundlegend neuer Technologien sowie eine sich verstärkende Wissensintensität
menschlicher Tätigkeit deuten auf eine außerordentlich komplexe Welt von
morgen. Aber wer soll diese Entwicklungen steuern? Und in welche Bahnen
sollen sie gelenkt werden? Welche organisatorischen und institutionellen Voraussetzungen und welche Entscheidungsstrukturen und -prozesse werden auf
lokaler, nationaler und globaler Ebene benötigt, um diesen Herausforderungen begegnen zu können?«
Mit diesen Worten stellt die OECD ihr neues Buch über »Governance im
21. Jahrhundert« im Klappentext vor. Der Text fährt mit Worten fort, die die
Grundeinsicht der meisten Beiträge dieses Bandes zusammenfassen könnten:
»Sicher erscheint, dass traditionelle Formen der Steuerung, Lenkung, Kontrolle und Entscheidungsfindung (Governance oder Gouvernanz) im öffentlichen Sektor, im Unternehmensbereich und in der Gesellschaft weitgehend
überholt sind.« (OECD 2001).
Ist es also der Begriff »Governance«, über den sich die Unruhe so vieler
Rechtsinformatiker und das Unbehagen an nicht stimmigen rechtlichen Lösungen kanalisieren ließe?
Indessen, die Gefahr ist groß, den Governance-Begriff als »Container1
begriff« zu gebrauchen – man schüttet alles hinein, ohne zu klären, »was in
den Container hinein darf und was nicht«. Die Schwierigkeiten zeigen sich
bereits daran, dass es trotz einiger Diskussion in den letzten Jahren nicht
gelungen ist, eine adäquate deutsche Übersetzung für den angelsächsischen
Terminus zu finden. In dem Wort »Governance« schwingen so viele rechtliche,
nicht-rechtliche und kulturelle Faktoren mit, dass eine Gleichsetzung etwa mit
2
dem Wort »Regieren« eine zu starke Verkürzung wäre. Am brauchbarsten ist
vielleicht die Definition der Vereinten Nationen: »Governance is the sum of the
many ways individuals and institutions, public and private, manage their common affairs. It is the continuing process through which conflicting or diverse
interests may be accomodated and cooperative action may be taken. It includes formal institutions and regimes enpowered to enforce compliance, as
well as informal arrangements that people and institutions either have agreed
to or perceive to be their interest.« (Commission on Global Governance 2000).
Diese Definition betont die weichen Übergänge zwischen unterschiedlichen
Typen von Regularien und die Verbindung rechtlicher und gesellschaftlicher
3
Aktivitäten, insbesondere auch das Handeln nicht-staatlicher Akteure.
Will man allen Schwierigkeiten aus dem Weg gehen, muss man also die
Probleme benennen, die man mit Hilfe dieser Begrifflichkeit besser klären will.
Freundesgabe Büllesbach 2002
10
Bizer/Lutterbeck/Rieß
Auf einer noch allgemeinen Ebene dürfte die Antwort der OECD international
weitgehend konsensfähig sein. Sie unterscheidet zwei Ebenen, für die neue
Governance-Formen gefunden werden müssen:
– Makroebene
»… die Ablösung vorgegebener, rigider Organisationsstrukturen durch
weit spontanere, flexiblere und aufgabenorientierte Konzepte«;
– Mikroebene
»… die Notwendigkeit, hierarchische Beziehungen, Gewohnheiten und
Traditionen zu überwinden, die zu einem im Laufe der Zeit festen Bestandteil des Denkens und Handelns der Menschen geworden sind«
(Michalski/Miller/Stevens 2001, S. 30).
Wie könnten nun die Governance-Strukturen für die sich anbahnende Wissensgesellschaft aussehen? Welche statischen Prizipien halten diese Gesellschaft zusammen und welche lassen sie zusammenbrechen? Was ist die Rolle
des Rechts und der Juristen? Was muss der Gesetzgeber – regional und lokal
– tun, was muss er lassen?
Es hat den Anschein, dass man Antworten leichter finden kann, wenn man
ökonomische Überlegungen stärker in die Konzeptbildung einbezieht. Jedenfalls die amerikanische Rechtsinformatik ist diesen Weg gegangen. Sie hat
sich dabei an die prägende Rolle sozialer Normen erinnern lassen müssen. Es
hat nämlich den Anschein, dass die treibende Kraft dieser neuen Gesellschaftsformation implizite Regeln sind und nicht explizite. Es verdichten sich
auch die Hinweise, das explizite Regeln hauptsächlich durch Code – Softwarecode – und nicht durch Gesetze klassischen Typs gesetzt werden.
Sieht man die Dinge so, erschließt sich dem Regulierer ein neuer Raum
gegenseitiger Abhängigkeiten. Der inzwischen zu Weltruhm gelangte amerikanische Rechtswissenschaftler Lawrence Lessig (1999) hat diesen Raum an4
schaulich in einem Bild so dargestellt:
Freundesgabe Büllesbach 2002
Vorwort: Umbruch von Regelungssystemen
11
Vielleicht hilft das Bild, Strukturen ein wenig besser erfassen als vorher.
Aber Lösungen bleiben schwer, weil man Altes und Bewährtes nicht einreißen
sollte, ohne den Menschen erklären zu können, weshalb das Neue für sie besser ist. Wir haben versucht, diese Herausforderung durch die Überschrift dieser Freundesgabe deutlich zu machen: Umbruch von Regelungssystemen.
Wir hoffen, dass wir in diesem Band eine Reihe von Ansätzen versammeln
konnten, die diesem Umbruch aus ganz unterschiedlicher fachlicher Perspektive ein Gesicht gegeben haben.
Nicht zuletzt soll die Form dieser Freundesgabe ein Zeichen für den
Umbruch sein: sie erscheint nämlich zugleich im Eigenvertrieb und online, mit
einer eigenen Website. Für diese Lösung sprachen auch Kostengründe. Aber
tragend war für uns die Überlegung, bei einem solchen Thema, Inhalt und
Form stärker miteinander zu verzahnen. Wo das Neue nur in Ansätzen schon
sichtbar ist, sollte man auch neuen Formen eine Chance geben. Das Printprodukt ist, so hoffen wir, ansehnlich. Der Onlineauftritt ermuntert zu Diskussionen und schafft eine Verbreitung, die eine übliche Festschrift niemals erreichen kann. Natürlich hoffen wir, Netzwerkexternalitäten für uns arbeiten zu
lassen. Man wird sehen.
Diese Freundesgabe ist in sehr kurzer Zeit entstanden. Ohne die Bereitschaft
der Autoren, unsere engen Zeitvorgaben einzuhalten, hätten wir natürlich nicht
Erfolg haben können. Unser Dank gilt deshalb den Autoren, vor allem den
Praktikern, deren Hauptaufgabe es bekanntlich nicht ist, Texte zu produzieren.
1
2
3
4
Minx und Preissler in diesem Band.
Dies hindert die Europäische Kommission nicht, das Wort »European Governance« mit
»Europäisches Regieren« zu übersetzen, vgl. Kommission der Europäischen Gemeinschaften
2000 einerseits, Commission of the European Communities 2001 andererseits.
Zu weiteren Präzisierungen, insb. auch für Zwecke des Wirtschaftsrechts s. Lutterbeck 2000.
Lessig variiert das Bild in seinem Buch durch ständig anders gerichtete Pfeile mehrfach, je
nach den Schwerpunkten seiner Aussage. Wir benutzen hier das Grundmodell aus S. 88,
sprachlich leicht verändert.
Literatur
Benkler, Yochai (CLJ 2000): From Consumers to Users: Shifting the Deeper
Structures of Regulation Toward Sustainable Commons and User Access.
Federal Communications Journal Vol. 52 (2000), pp 561.
Bude, Heinz (NZZ 2001): Das Ende der Gesellschaft. Intellektuelle in der Ära
des »Lebens«. In: Neue Zürcher Zeitung v. 15.12.2001.
Camp, Jean, Lewis, Ken (2001): Code as Speech. John F. Kennedy School of
Government. Faculty Research Working Papers RWP01-007 Series. Harvard
University, February 2001.
Commission on Global Governance (2000): Our Global Neighbourhood.
1. Kapitel, http://www.cgg.ch/CHAP1.html, 14.3.2000.
Commission of the European Communities (2001): European Governance.
A white Paper. COM(2001) 428, Brussels, 25.7.2001.
Freundesgabe Büllesbach 2002
12
Bizer/Lutterbeck/Rieß
Grewlich, Klaus W. (1999): Conflict and good Governance in »Cyberspace«.
Multi-level and Multi-actor Constitutionalisation. In: Understanding the
Impact of Global Networks on Local, Social, Political and Cultural Values.
Second Symposium of the German American Academic Council’s Project
»Global Networks and Local Values«, Woods Hole, Massachusetts, June
3 – 5, 1999. Max Planck Projektgruppe Recht der Gemeinschaftsgüter,
http://www.mpp-rdg.mpg.de, 1.5.2002.
Holznagel, Bernd (Verwaltung 2001): Regulierte Selbstregulierung im
Medienrecht. In: Regulierte Selbstregulierung als Steuerungskonzept des
Gewährleistungsstaats, Die Verwaltung Beiheft 4, Berlin, 2001, 81.
Klöpfer, Michael (2000): Rechtsfragen der europäischen Informationsgesellschaft. In: Europarecht 2000, S. 512.
Keohane, Robert O., Nye, Joseph S. Jr. (2000): Introduction. In: Nye, Joseph
S. Jr., Donahue, John D. (ed): Governance in a globalizing world. Cambridge, Ma, Washington D.C. 2000, pp 1.
Kommission der Europäischen Gemeinschaften (2000):
Weissbuch: Regieren in der Europäischen Union. Die Demokratie in der
Europäischen Union vertiefen. Arbeitsprogramm SEK(2000) 1547/7 endg.
Brüssel, 11.10.2000.
Lessig, Lawrence (1999): Code and other laws of cyberspace. New York 1999.
Lutterbeck, Bernd (2000): Internet Governance. In: Bäumler, H. (Hrsg.):
E-Privacy. Datenschutz im Internet. Braunschweig, Wiesbaden 2000, S. 47.
Michalski, W., Miller, R., Stevens, B. (2001): Governance im 21. Jahrhundert:
Machtverteilung in der globalen wissensbasierten Wirtschaft und
Gesellschaft. In: OECD 2001, S. 9.
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD
2001): Governance im 21. Jahrhundert. Paris 2001.
Rosenau J. N.(1992): Governance, order, and change in world politics. In:
Rosenau/Czempiel (eds), Governance without government: Order and change in world politics. Cambridge 1992, pp 1.
Roßnagel, Alexander (1997): Globale Datennetze. Ohnmacht des Staates –
Selbstschutz der Bürger. In: ZRP 1997, 26.
Schröder, Gerhard (ed) (2002): Progressive Governance for the XXI Century.
München 2002.
Syme, Serena, Camp, L. Jean (2001): Code as Governance. The Governance of
Code. John F. Kennedy School of Government, Faculty Research Working
Papers Series RWP01-014. Harvard University April 2001.
Wolf, Klaus Dieter (2001): Globalisierung, Global Governance und Demokratie.
Gutachten für die Enquete-Kommission »Globalisierung der Weltwirtschaft
– Herausforderungen und Antworten, – AU Stud 14/13. Berlin 2001.«
Freundesgabe Büllesbach 2002
13
1. ZUR PERSON: ALFRED BÜLLESBACH
Bernd Lutterbeck
Im Umbruch
Alfred Büllesbach ist in eine unruhige Zeit hineingeboren: Krieg und
Vertreibung aus dem Land der Väter, gerade mal mit dem Nötigsten das rettende Ufer erreicht. So etwas schafft Motivation, aber den Bruch in der
Biographie wird man so schnell nicht wieder los.
Irgendwie schleppen die meisten unserer Generation solche Brüche mit
sich herum. Natürlich können wir inzwischen damit leben, aber die Narben
melden sich immer wieder, mal mit Schmerz, mal schwächer. Wir waren
schon davon überzeugt, dass man das Recht von Grund auf renovieren muss,
dass man überflüssigen Ballast entsorgen muss – Festschriften und Festgaben
eingeschlossen. Natürlich fühlten wir uns moralisch überlegen. Das frühe
Eintreten für ein Gebiet wie den Datenschutz war ja aus der Furcht geboren,
dass ein neuer Souverän sich unserer freiheitlichen Ordnung bemächtigen
könnte. Wir waren unruhig und sahen uns als die Bewahrer der reinen Lehre.
Leider haben wir nicht geahnt, dass nicht abstrakte Ideen, sondern Menschen
die Dinge voranbringen.
Vage Gefühle also. Wir machten uns auf den Weg.
Schon am Beginn des Weges war ein Widerspruch: Wir wollten alles besser
machen als die Väter, aber ohne sie hätten wir gar nicht beginnen können.
Rückblickend war es ein glücklicher Zufall, dass sich zu dieser Zeit, 1969/1970,
um die Lehrstühle der Rechtsphilosophen Arthur Kaufmann in München und
Wilhelm Steinmüller in Regensburg ein Kreis neugieriger junger Juristen versammelte, die das Fach Rechtsinformatik aus der Taufe hoben. Es musste im
Gebälk knirschen, wenn der weltberühmte Philosoph aus München und der
Draufgänger und junge Wilde aus Regensburg ihre Truppen aufeinander losließen. Heute müssen wir zugeben, dass uns damals ein ganz entscheidender
intellektueller Input entgangen ist: Ohne die Verbindungen zur Theologie, für
die zuförderst der Name Roman Herzog stand, wäre das Ganze wohl nicht entstanden.
Dieser Gründungsimpuls der Väter hat das berufliche Leben von Alfred
Büllesbach und den meisten anderen, die in diesem Buch schreiben, geprägt.
Die Arbeit an der Informationsgesellschaft und ihre rechtliche Gestaltung ist
für fast alle von uns ein Lebensthema geworden. Wahrscheinlich lag es an
unserem rechtsphilosophischen Hintergrund, dass wir fachlich immer über
den Zaun geguckt haben. Viele von uns haben berufliche Wege gewählt, die
sie in die Informatik, die Ökonomie oder die Sozialwissenschaften geführt
haben. Es war eher selbstverständlich zwischen Wissenschaft und Praxis und
Freundesgabe Büllesbach 2002
14
im Umbruch
vor allem der Politik hin- und her zu wandern. Alfred Büllesbach hat auf das
Ganze noch mal »draufgesattelt«. Zu einer Zeit, in der das noch unüblich war,
hat er seinen sicheren Beamtenposten in Bremen verlassen und ist in die
Privatwirtschaft gewechselt. Es gibt nicht wenige, die dies, wenn auch hinter
vorgehaltener Hand, als Verrat bezeichnen.
Auf meine Bitte um Mitarbeit an diesem Buch hat mich eine Bemerkung
besonders beschäftigt – die von Stefan Walz. Auch ihn kenne ich seit ewigen
Zeiten und schätze ihn persönlich und fachlich sehr. »Also weißt Du, dass ausgerechnet Du eine Festschrift machen willst.« Lieber Stefan: Also erstens ist
eine »Freundes«gabe und keine Festschrift und zweitens haben wir gelernt,
dass auch Formen ihre Berechtigung haben können. Meist lohnt es nicht, darüber zu streiten. Wir sind uns aber weiterhin einig: Wenn Formen mit der bloß
hohlen Phrase verbunden sind, lohnt sich jeder Streit. Insoweit sollen die hier
versammelten Texte für sich sprechen. Sie geben eine Zustandsbeschreibung
dessen, wofür unsere Generation noch steht. Sind wir schon angekommen
und haben uns ein gemütliches Nest gebaut? Oder haben wir ein Anliegen,
das durch unsere Narben kenntlich gemacht ist?
Durch eine Mischung älterer und jüngerer Autoren wollten wir den Leser1
innen und Lesern die Antwort erleichtern.
Ich glaube, Alfred Büllesbach ist unter uns die Person, über die sich die meisten Geschichten erzählen lassen. Man erinnert sich ja bekanntlich auch nur
an die Lehrer, die man über eine Geschichte in Erinnerung hat. Weil das so ist,
kann ich der Idee einer Freundesgabe nur Gutes abgewinnen.
1
Aus dem E-Mail-Verkehr der Herausgeber: »Lieber Bernd, auf welche Frage? Meine Mitwirkung gilt generationsbedingt der Wertschätzung für Alfred. Eure Narben und Wunden sind
nicht die meinen. Wir haben andere ... (bspw. dass früher immer alles besser gewesen sein
soll ... ;-)).«
Freundesgabe Büllesbach 2002
15
Hans Koschnick
Datenschutz im Staat – ein unbequemes Stück Arbeit
Ich hatte das Vergnügen – na, ein reines Vergnügen war es nicht immer –
Dr. Alfred Büllesbach als Datenschutzbeauftragten des Landes Bremen kennen
zu lernen. Es ging um die Datenschutzkonzeptionen moderner Zeit. Skeptisch
war ich damals schon bei der Berufung eines Datenschutzbeauftragten und
der damit verbundenen Neuorientierung in Parlament und Verwaltung.
Schließlich war damit die Preisgabe eines Prinzips verbunden, das wir in
unserem Leben so sehr geschätzt hatten: »Das war schon immer so, das war
noch nie so und da kann ja ein Jeder kommen«. Zudem war die notwendige
Gewährleistung von Weisungsunabhängigkeit für Parlament und Regierung
keineswegs nur erfreulich. Doch wir überwanden unsere Bauchschmerzen
und gingen daran, die nicht mehr zu verhindernde Datenschutzposition positiv zu konkretisieren. Waren die Aufgaben des ersten Datenschutzbeauftragten
– Hans Schepp – mit Schwerpunkt auf die Propagierung und Sicherung der
individuellen Schutzrechte gerichtet, so kam bei unserem zweiten Datenschutzbeauftragten, Dr. Alfred Büllesbach, der eigentliche Wirkungsbereich
zur Geltung. Nämlich voraussorgend in den Regelungen für Gesetze und
Rechtsverordnungen Maßstäben sachgerechten Persönlichkeitsschutzes
Rechnung zu tragen.
Hier fand der spätere Professor, Dr. Alfred Büllesbach, (s)ein eigentliches
Arbeitsfeld. Die Rechtssetzung rechtzeitig zu begleiten, um die notwendigen
Bedingungen des Datenschutzes von Anfang an in die Überlegungen einzubeziehen war gewiss ein unbequemes Stück Arbeit, brachte aber auch Erfolg.
Erfolg dann umso mehr, wenn es gelang, den nicht besonders sensibilisierten
»Herrschaften« die Notwendigkeiten des Datenschutzes als ihr eigenes spezielles Anliegen näher zu bringen. Alfred Büllesbach minimierte so von vornherein Reibungsmomente. Diese Leistungen waren für mich Kennzeichen seines Wirkens als Bremischer Landesbeauftragter für den Datenschutz. Seine
besondere Handschrift finden wir im Bremischen Verfassungsschutzgesetz
und im Bremischen Polizeigesetz. Beide Gesetze hatten für viele Jahre Bestand und drängten übertriebene Staatsschutzerwartungen zurück. Es mag
sein, dass ich als ehemaliger Innensenator die Bedeutung dieser beiden Gesetze etwas überschätze (insbesondere nach der neuen Bundesgesetzgebung
als Konsequenz aus den Terroranschlägen von New York), nicht aber den
Einfluss, den Alfred Büllesbach auf sie genommen hat. Sie hatten damals
Vorreiterfunktion.
Freundesgabe Büllesbach 2002
16
Freundesgabe Büllesbach 2002
17
Manfred Gentz
Datenschutz im Unternehmen – eine Gratwanderung zwischen
Persönlichkeitsschutz und bürokratischer Geschäftsbeschränkung
Ein Datenschutzgesetz und damit einen in einem Spezialgesetz geregelten
gesetzlichen Datenschutz gibt es in der Bundesrepublik Deutschland seit 1977.
Damit wurde aber der Schutz personenbezogener Daten nicht »erfunden«, er
geht vielmehr auf den Persönlichkeitsschutz zurück, der über lange Jahre in
der Rechtsprechung entwickelt wurde und letztlich auf das allgemeine
Persönlichkeitsrecht des Artikels 2 des Grundgesetzes zurückzuführen ist.
Gesetzlicher Datenschutz ist zu einem dringlichen Anliegen geworden, weil
die elektronische Datenverarbeitung die Möglichkeiten des Datentransfers,
der Datenkombination und der Datenauswertung sprunghaft vermehrt hatte.
Und dieser Prozess ist keineswegs zu Ende. Diskussion und Komplexität von
Datenverarbeitungssystemen lassen auch heute noch ständig steigende
Verknüpfungsmöglichkeiten zu. Das Internet ermöglicht globale Datentransfers, die früher kaum denkbar waren. E-Business ist zwar kein ganz neues
Phänomen, die technische Realisierbarkeit nahezu unbegrenzter Verknüpfungen von Mitarbeiter-, Kunden-, Lieferanten- und Herstellerdaten gibt aber Anlass, nicht nur über die Chancen, sondern auch über Gefahren und Risiken
nachzudenken.
Internet und global betriebenes E-Business lassen Datenschutz allein auf
nationaler Ebene kaum noch effizient erscheinen. Nationale Regeln, die personenbezogene Daten im jeweiligen Land restriktiv – im Sinne des
Persönlichkeitsrechts – schützen wollen, werden durch internationale Datentransfers allzu leicht löchrig und weitgehend wirkungslos. Sie können aber
den internationalen Geschäftsverkehr nationaler Unternehmen auch erheblich
beeinträchtigen und zu Wettbewerbsnachteilen führen, wenn die Unternehmen sich an die strengen Vorschriften halten.
Deshalb braucht Datenschutz heute, wenn er effizient gestaltet werden soll,
internationale Regeln, die jeweils in nationales Recht umgesetzt werden müssen. Die EU hat sich auf derartige Regeln verständigt, kann aber noch nicht auf
globale Regeln zurückgreifen. Immerhin ist festzustellen, dass inzwischen
viele Länder außerhalb Europas sich tendenziell den europäischen Grundsätzen annähern. Bis zu einem globalen Datenschutzsystem ist es allerdings
noch ein weiter Weg. Die großen, international bzw. global tätigen Unternehmen können und sollten hier Vorreiter und Anreger sein.
Beim Datenschutz ist immer sehr gründlich abzuwägen zwischen den wirklich schutzwürdigen Interessen des Individuums und den praktischen und
legitimen Anforderungen an ein funktionierendes Geschäftssystem. Das gilt
im Bereich der öffentlichen Verwaltung ebenso wie im Bereich der Wirtschaft.
In der öffentlichen Verwaltung darf Datenschutz z. B. nicht dazu herhalten, den
Missbrauch unseres sozialen Netzes in der Bundesrepublik zu erleichtern, zu
ermöglichen oder gar abzusichern. Manches, was unter dem Rubrum DatenFreundesgabe Büllesbach 2002
18
Gentz
schutz segelt, dürfte allerdings eher die Unfähigkeit von Verwaltungen sein, in
zulässiger Weise Daten abzugleichen.
In der Wirtschaft werden Daten häufig ausgetauscht, um für Firmen neue
Geschäftsmöglichkeiten zu eröffnen und bisher unbekannte und unzugängliche Kunden zu gewinnen. Insoweit bedarf es sicher klarer Regeln, unter welchen Voraussetzungen, zu welchem Zweck und in welchem Umfang Dateien
zugänglich gemacht werden dürfen. Der Einzelne muss auch die Möglichkeit
haben, sich vor einer allgemeinen Verfügbarkeit seiner Daten zu schützen und
wirksam gegen den unzulässigen Gebrauch seiner individuellen Daten anzugehen. Das Internet mit seinen vielfältigen Möglichkeiten, E-Mail-Adressen
auszutauschen, kann zu Datenzugänglichkeiten führen, die über die bloße Lästigkeit weit hinausgehen, sich mit E-Mails unbekannter Anbieter konfrontiert
zu sehen.
Dagegen muss es zulässig sein, vorhandene Kunden gezielt anzusprechen
und sie in geeigneter Form zu betreuen. Hier besteht nicht nur ein berechtigtes Interesse des Unternehmens, sondern auch des Kunden, wenn beispielsweise Nachbesserungsaktionen oder gar Sicherheitsrückrufe die Nutzung personenbezogener Daten geradezu erfordern. Die Grenze liegt immer in der
ungezielten Ansprache neuer Kunden und der Beschaffung und Nutzung ihrer
Daten, für die es Regeln geben muss.
So gibt es eine feine Gratwanderung zwischen dem wünschenswerten, aber
nicht überzogenen Schutz personenbezogener Daten und allzu strikten, bürokratisch schwerfälligen und überwachten Regeln, die die Grenzen zu eng ziehen wollen. Diesen feinen Grat zu definieren und dem Gesetzgeber nahezubringen, ihn durch zulässige Auslegung und Interpretation geltender Gesetze
zu finden, bedarf nicht nur tiefgründiger Kenntnisse, sondern auch der Fähigkeit, berechtigte Interessen gegeneinander abzuwägen und in praktikable
Lösungen umzusetzen.
Einer, der dies kann und mit hervorragendem Erfolg national und international bewiesen hat und täglich wieder beweist, ist Alfred Büllesbach. Auf der
Basis herausragender Kenntnisse, mit viel Phantasie und großem Einfühlungsvermögen, mit gutem Verständnis für Abläufe und Prozesse und mit
einem praktischen Sinn hat er immer wieder auch in diffizilen Problemen
rechtlich zulässige, praktikable Wege aufgezeigt, die Akzeptanz bei allen
Beteiligten finden konnten. Dafür sei ihm aus Anlass seines 60. Geburtstages
herzlich gedankt.
Freundesgabe Büllesbach 2002
19
Ulfrid Neumann
Was die Schildkröte zu Achilles wirklich sagte
In den gemeinsamen Assistentenjahren bei Arthur Kaufmann am Institut für
Rechtsphilosophie und Rechtsinformatik der Universität München habe ich
mit Alfred Büllesbach gelegentlich auch über die Rolle der Logik im Recht diskutiert, der er aus der Perspektive des auch sozialwissenschaftlich geschulten
Juristen (noch) skeptischer gegenüber stand als ich. Der Erinnerung an diese
gemeinsamen Zeiten und Gespräche soll die nachfolgende Wiedergabe eines
kürzlich bei neueren Ausgrabungen am Hügel von Hissarlik aufgefundenen
Textes dienen, auf den im logischen Schrifttum mehrfach Bezug genommen
wurde (vgl. Carroll, Mind 1895, S. 278 ff.; Thomson, Ratio 1950, 83 ff.), der bis
dato aber als verschollen galt und der von nicht wenigen Forschern den apokryphen logischen Schriften zugerechnet wurde. Ich widme die Erstveröffentlichung dieses archaischen Textes Alfred Büllesbach in alter Freundschaft.
Schildkröte: Warum soll Hektor sterben?
Achilles: Weil er ein Trojaner ist.
Schildkröte: Und warum soll er deshalb sterben, weil er ein Trojaner ist?
Achilles: Alle Trojaner sollen sterben. Priamos soll sterben, Paris soll sterben,
Polydamas soll sterben, Agenor soll sterben...
Schildkröte: Aber warum soll Hektor deshalb sterben, weil Priamos und Paris
und Polydamas und Agenor sterben sollen?
Achilles: Hektor soll nicht deshalb sterben, weil Priamos und Paris und
Polydamas und Agenor sterben sollen, sondern weil er ein Trojaner ist und
weil alle Trojaner...
Schildkröte: ... das sagtest Du schon. Aber »alle Trojaner«, das sind doch:
Priamos, Paris, Polydamas, Agenor und ... und ... und ... und Hektor. Und wenn
Hektor nicht deshalb sterben soll, weil Priamos und Paris und Polydamas und
Agenor und ... und ... und ... sterben sollen, soll Hektor dann deshalb sterben,
weil Hektor sterben soll? Das käme mir irgendwie ...
Achilles: »Alle Trojaner«, das meint nicht nur: Priamos und Paris und
Polydamas und Agenor und ... und ... und Hektor. Auch Aias sollte sterben,
wenn er Trojaner wäre, und selbstverständlich Agamemnon ...
Schildkröte: Und Patroklos?
Freundesgabe Büllesbach 2002
20
Neumann
Achilles: Hm ... vielleicht sollten doch nicht alle Trojaner sterben, wenn
Patroklos Trojaner wäre ... Wenn Patroklos Trojaner wäre und nicht sterben
sollte, dann sollten eben nicht alle Trojaner sterben.
Schildkröte: Gut. Aber auch wenn Hektor nicht sterben sollte, sollten nicht alle
Trojaner sterben. Wie kannst Du dann sagen, dass Hektor deshalb sterben soll,
weil alle Trojaner sterben sollen?
Achilles: Man kann doch auch nicht sagen »Wenn Zeus nicht unsterblich wäre,
wären nicht alle Götter unsterblich«. Götter sind eben unsterblich, und wenn
Zeus nicht unsterblich wäre, wäre er kein Gott, und wenn er kein Gott wäre,
wäre er nicht Zeus...
Schildkröte: ... und wenn Hektor nicht sterben sollte, wäre er kein Trojaner,
und wenn er kein Trojaner wäre, wäre er nicht Hektor ... das wolltest Du doch
sagen?
Achilles: Ich weiß nicht, ob ich das sagen wollte. Ich weiß nur, dass Hektor
sterben soll, weil alle Trojaner...
Schildkröte: Schon gut. Aber dass Hektor als Trojaner sterben soll, wenn alle
Trojaner sterben sollen, folgt nur, wenn man die Prämisse voraussetzt »Wenn
alle Trojaner sterben sollen und Hektor ein Trojaner ist, dann soll Hektor sterben«. Wenn ich Dir zustimmen soll, musst Du mich bitten, diese Prämisse zu
akzeptieren.
Achilles: Ich bitte Dich darum.
Schildkröte: Gut. Aber dass Hektor als Trojaner sterben soll, folgt auch dann
nur, wenn man die Prämisse voraussetzt: »Wenn gilt: Falls Hektor sterben soll,
wenn alle Trojaner sterben sollen und Hektor ein Trojaner ist; und wenn alle
Trojaner sterben sollen, und wenn Hektor ein Trojaner ist: dann soll Hektor
sterben.« Du musst mich bitten, auch diese Prämisse zu akzeptieren.
Achilles: Ich bitte Dich darum.
Schildkröte: Gut. Aber dass Hektor sterben soll, folgt aus diesen Prämissen
nur, wenn man die weitere Prämisse voraussetzt, dass...
Achilles: Du entschuldigst mich jetzt. Morgen erwartet uns wieder ein Tag härtesten Kampfes mit den Trojanern.
Schildkröte: Es ist nicht wahr, dass morgen ein Kampf mit den Trojanern stattfinden wird.
Freundesgabe Büllesbach 2002
Was die Schildkröte zu Achilles wirklich sagte
21
Achilles: Wie kannst Du behaupten, dass es morgen keinen Kampf mit den
Trojanern geben wird?
Schildkröte: Ich habe nicht gesagt, dass es morgen keinen Kampf mit den
Trojanern geben wird. Ich habe nur gesagt, dass es nicht wahr ist, dass es
morgen einen Kampf mit den Trojanern geben wird.
Achilles: Aber wenn es nicht wahr ist, dass es morgen einen Kampf geben
wird, dann heißt das doch, dass es morgen keinen Kampf geben wird.
Schildkröte: Nein
Achilles: Und wenn es morgen keinen Kampf geben wird, dann ist es wahr,
dass es morgen keinen Kampf geben wird.
Schildkröte: Nein. Wahr ist nur, dass entweder ein Kampf oder aber kein
Kampf stattfinden wird. Dass es einen Kampf geben wird ist ebenso wenig
wahr wie dass es keinen Kampf geben wird.
Achilles: Wenn wahr ist, dass entweder ein Kampf oder kein Kampf stattfinden
wird, dann ist entweder wahr, dass ein Kampf stattfinden wird, oder es ist
wahr, dass kein Kampf stattfinden wird.
Schildkröte: Nein. – Aber vielleicht solltest Du Dich jetzt doch für den morgigen Kampf mit den Trojanern schonen. Gute Nacht.
Freundesgabe Büllesbach 2002
22
Freundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
23
2. GOOD GOVERNANCE
Bernd Lutterbeck
Die Wissensgesellschaft bauen!*
Ein Spiel und seine Regeln
Eine Gesellschaft muss sich neu erfinden können, will sie nicht immobil werden. Dem Philosophen Helmut Spinner verdanken wir die Einsicht, dass diese
Fähigkeit im Informationszeitalter durch eine spezielle Ordnung hergestellt
werden muss: die Wissensordnung (Spinner 1994; Spinner/Nagenburg/Weber
2001). Eine Wissensordnung hat die Institutionen bereit zu halten, mit deren
Hilfe eine Gesellschaft »Innovation« erzeugen kann. Das erste Urheberrechtsgesetz der Welt, das britische Statute of Anne, hat die tragende Idee dieser
Institutionen in seiner Überschrift so auf den Begriff gebracht: »An act for the
1
encouragement of learning« . Dieser eigentlich simple Gedanke, der auch die
Väter der US-Verfassung geleitet hat 2, ist immer mehr in Vergessenheit geraten. Ich fürchte, dass unsere Gesellschaft für diese Vergesslichkeit einen
hohen, einen zu hohen Preis bezahlen muss.
Wenn wir die Reden um die Informations- und Wissensgesellschaft wissenschaftlich ein wenig ernst nehmen, muss man den inneren Aufbau, die Struktur unserer Gesellschaften verstehen wollen. Man muss sich insbesondere
eine Vorstellung davon machen, wie wir in Zukunft die Welt des »geistigen
Eigentums« organisieren müssen und wie besser nicht. Eine solche Aufgabe
verlangt eher Demut denn teutonisches Getöse. Schon beim ersten Hinsehen
kann man vor der Größe der Aufgabe eigentlich nur erschauern. Was nicht
zuletzt daran liegt, dass bestimmte akademische Disziplinen mit Zuständigkeiten in diesem Bereich irgendwie gar nicht präsent sind. Vernünftigerweise
muss man also von diesem Thema die Finger lassen.
Indessen, die Politik ist weniger skrupelhaft und liefert ständig irgendwelche Bauelemente – zumeist Rechtsregeln –, häufig in geradezu beängstigender Hektik. Ein Konzept, das diese Hektik leitet, ist nicht sichtbar. Dem zunächst
sprachlosen wissenschaftlichen Beobachter bleibt da häufig nur das Mittel
3
milder Ironie oder beißenden Spotts . Wenn man als Wissenschaftler trotzdem mitbauen will, weil man den vollmundigen Versprechungen der Akteure
misstraut, sollte man sich ein besseres Verfahren überlegen.
Deswegen ein Spiel. Ein Spiel mit groben Klötzen. Auch Kinder fangen ja
nicht damit an, die wirkliche Welt umzugestalten. Die ersten Modelle sind aus
der Sicht der Erwachsenen eher wirr. Sobald sie greifen können, kommen die
Duplos. Das wird dann bald langweilig. Dann bauen sie mit Lego immer komplexere Modelle, von den modernen Computerspielen ganz zu schweigen.
Und irgendwann sollten sie das, was sie bei der Modellbildung gelernt haben,
in der Wirklichkeit anwenden: Erst Krakeln, dann Duplo, dann Lego, dann die
Freundesgabe Büllesbach 2002
24
Lutterbeck
wirkliche Welt. Die Duplo-Regeln sind denkbar einfach. Es gibt Bausteine, die
man zusammenstecken muss. Immerhin müssen sie aufeinander passen.
Ich will im Folgenden drei elementare Bausteine der Wissensgesellschaft
vorstellen und vier Regeln benennen, mit denen sich die Gestalt der Wissensordnung jedenfalls erahnen lässt.
Der erste Baustein: Indirekte Reziprozität
Solange es Menschen gibt, hat es immer Aktivitäten gegeben, die sie gemeinsam verrichten mussten: Fischen, Jagen großer Tiere, Krieg, Bewahrung gemeinsamer Eigentumsressourcen. Jeder in einer Gruppe profitierte von dem
4
so konstituierten öffentlichen Gut , also auch diejenigen, die nichts zum Ergebnis beigetragen hatten: die Trittbrettfahrer. Trotzdem hat in der Evolution
die Kooperation überwogen. Dieses Ergebnis überrascht, da die Teilnahme
durchaus kostenintensiv ist. Eigentlich müsste es sich lohnen, das Gut zu genießen und sich im Übrigen vor Arbeit und Todesgefahr zu drücken.
Die Frage ist also: Welcher Mechanismus sorgt dafür, dass menschliche
Kooperation bei der Konstituierung öffentlicher Güter anscheinend der
Normalfall ist?
Ernst Fehr und Simon Wächter, Ökonomen der Universitäten Zürich und
Sankt Gallen, haben zur Klärung dieser Frage ein bemerkenswertes Einzelergebnis beigetragen (Nature 2002).
»Fehr und Wächter teilten 240 Studenten in Vierergruppen ein. Jedes
Gruppenmitglied erhielt 20 Franken. Einen Teil dieses Betrages – auch alles
oder gar nichts – konnten die Studenten anonym in ein Gemeinschaftsprojekt,
ein öffentliches Gut investieren.
Hätten die Studenten nur ihren Vorteil im Auge und würden diesen nach
rein rationalen Gesichtspunkten suchen, wie die Spieltheorie besagt, so
würde sicherlich keiner der Spieler einen einzigen Franken in das Gemeinschaftsprojekt stecken.
In der ersten Runde des Spiels zahlten die Teilnehmer jedoch durchschnittlich zehn Franken ein. Die Trittbrettfahrer aber überhaupt nichts. Wer viel investierte, machte also Verluste und änderte in der nächsten Runde sein Verhalten. Dieses »Wie Du mir, so ich Dir« setzte sich fort. In der sechsten Runde
wurden im Durchschnitt weniger als sechs Franken eingesetzt.
Ab der siebten Runde wurde eine zusätzliche Regel eingeführt: Nachdem
jeder Spieler seinen Betrag investiert hatte, wurde die Gruppe über alle Einzahlungen informiert. Daraufhin durfte jeder Teilnehmer seine Mitspieler mit
einem Bußgeld belegen, musste allerdings eine entsprechende Gebühr für
diese Strafaktion entrichten. Obwohl die Bestrafung von Trittbrettfahrern also
den eigenen Gewinn reduzierte, wandten 84 Prozent diese Maßnahme an.«
(Bettenworth Tagesspiegel 2002)
In diesem Experiment ist also die Kooperation durch Bestrafung der Gruppenmitglieder aufrecht erhalten geblieben. Warum?
Freundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
25
Offensichtlich spielte die Stärke der Gefühle eine Rolle. Die Stärke dieser
Gefühle korrelierte mit der Ausbeute: Je weniger die Trittbrettfahrer zum
Gemeingut beitrugen, desto größer der Ärger der anderen. Um diese Gefühle
auszuleben, nahmen viele Spieler Kosten auf sich.
Anscheinend hat sich in der Evolution das altruistische Bestrafen durchgesetzt. Das im Experiment beobachtete emotionale Verhalten muss also mit
Vorteilen verbunden sein. »Eine mögliche Erklärung wäre die indirekte Reziprozität: Lebt man in einer kleinen Gruppe, so treffen deren Mitglieder immer
wieder aufeinander. Es spricht sich schnell herum, wer sich ausnutzen lässt
und wer nicht. In diesem Fall ist es wichtig, sich Respekt zu verschaffen und
zukünftiger Ausbeutung vorzubeugen.«
Mein erster Baustein steht somit für die folgende These:
Öffentliche Güter werden durch Handlungen vieler Menschen konstituiert.
Gruppen koordinieren sich durch selbstloses Bestrafen. Koordination erfolgt
durch soziale Normen, deren Befolgung sich im Laufe der Evolution als Vorteil
erwiesen hat.
Dies gilt im Experiment und für kleine Gruppen.
Der zweite Baustein: Reputation
Wie ist es nun, wenn größere Entitäten ein öffentliches Gut nutzen? Werden
die Menschen sich auch hier koordinieren oder werden die Trittbrettfahrer siegen?
Common
Gemeindeland, Allmende, Gemeindewiese; gemeinsames Benutzungsrecht; Unterhaus;
in common
gemeinschaftlich, gemeinsam.
(Schüler, Ökonomisches Wörterbuch, Berlin (DDR) 1986)
Commons
»a resource held in common, to be held or enjoyed equally by a number of persons. In this
sense, e resource held »in common« is »free« to those »persons«. In most cases, the commons is a resource to which anyone within the relevant community has a right without
obtaining the permission of anyone else.
Examples:
Public streets; Parks and beaches; Einstein´s theory
Writings in public domain are free, e. g. Shakespeare. (Lessig Foreign Policy 2001)
»I define commons as a resource that is either completely unowned or whose access is
granted to people equally.« (Lessig Multinational Monitor 2002)
»…And one good definition of the public domain is that it's a lawyer-free zone.«
(Lessig oreillynet 2002)
Freundesgabe Büllesbach 2002
26
Lutterbeck
Der Biologe Garrett Hardin hat 1968 in einem Artikel für die Zeitschrift
»Science« eine Antwort gegeben: »The Tragedy of the Commons«. Hardins
provozierende These war denkbar düster: Wenn viele Individuen eine knappe
Ressource nutzen, ist Übernutzung des öffentlichen Guts der Normalfall, weil
Trittbrettfahrer keine Anreize haben, ihr Verhalten mit anderen zu koordinieren. Sie sind Gefangene ihrer eigenen Logik. Um die damalige Sprengkraft
dieser These heute zu erfassen, muss man sich zurückerinnern: an den eskalierenden Ost-West-Konflikt, der unausweichlich auf einen Atomkrieg hinzusteuern schien; an die dramatische Verschlechterung der Umwelt, die damals
erst entdeckt wurde; an die Gewissheit, dass die Fischbestände in Neufundland und Kalifornien völlig leer gefischt waren und Hunderttausende Fischer
ihre Arbeit verloren hatten. Wer heute John Steinbecks »Straße der Ölsardinen« aufsucht, wird bitter enttäuscht sein: Weit und breit keine kalifornische
Sardine zu sehen.
Wissenschaftlern wie Politikern war klar, dass unverzügliches Handeln
geboten war. Hardin und die damals vorherrschende Meinung konnten sich
eine Lösung nur vorstellen, wenn entweder staatliches oder privates Eigentum begründet wurde, um Trittbrettfahrer auszuschließen. Umweltprobleme
wurden also als Folge des Fehlens von Property Rights oder Eigentumsrechten angesehen. Die Staaten, so nahmen die Autoren an, müssen also ihre
Rechtsordnungen mobilisieren, um das Schlimmste zu verhindern.
Diese Lösung musste andere Wissenschaftler beunruhigen. Sie verlangt ja
einen immer stärker werdenden Staat, der seine Eigentumsordnung gegen
widerstreitende Interessen durchsetzt. Letztlich musste man befürchten, dass
die westlichen Gesellschaften bei einer Art Ökodiktatur landen werden. Seit
Hardins Aufsatz suchen ganze Forschergenerationen, vor allem aus der politischen Ökonomie, seit gut zehn Jahren auch der (vor allem) amerikanischen
Rechtswissenschaften nach Auswegen.
Ist die Tragik der Allmende unausweichlich? Nein. Inzwischen kann die
Wissenschaft teilweise Entwarnung geben. Die Ergebnisse verdanken sich vor
allem den bahnbrechenden Felduntersuchungen der amerikanischen Sozialwissenschaftlerin Elinor Ostrom. Sie hat sie in einem Buch zusammengefasst,
das zehn Jahre nach der englischen Fassung auf Deutsch erschienen ist: Der
englische Titel »Governing the Commons« trifft genauer, was in der deutschen Übersetzung »Die Verfassung der Allmende« heißt. Das Wort
»Verfassung« hat eine juristische Konnotation. Gerade die ist aber bei Ostrom
nicht gemeint. Andererseits zeigt der deutsche Untertitel an, wo der Sprengsatz liegen könnte: »Jenseits von Staat und Markt«.
In den Jahrzehnten nach Hardins Aufsatz hat Frau Ostrom im Feld geforscht
und hat überall auf der Welt Allmenden untersucht: Wassernutzung in Los
Angeles, in Spanien und auf den Philippinen, Almen in den europäischen
Alpen, Fischereigründe in der Türkei. Auf dieser reichhaltigen Empirie ist ein
beeindruckendes theoretisches Gebäude entstanden, eine Theorie der Allmenderessourcen.
Ostrom konnte zeigen, dass viele Allmenden zum Teil schon seit JahrhunFreundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
27
derten sehr gut funktionieren. Sie funktionieren, weil soziale Normen von den
Akteuren eingehalten werden. Rechtliche Regeln spielen eine höchstens marginale Rolle. Dieser Aspekt muss Juristen beunruhigen, denn er erschüttert
die logische Basis des Staates. Es gibt freilich auch Hardin-typische Allmenden, die genau so funktionieren, wie in der Theorie vorhergesagt. Elinor
Ostrom hat eine bahnbrechende Entdeckung gemacht. Sie konnte beweisen,
dass die Verwaltung knapper Ressourcen effizienter funktionieren kann, wenn
sie außerhalb der klassischen Eigentumsordnung verwaltet werden.
Commons, der englische Ausdruck, ist noch gebräuchlicher als das deutsche
Wort Allmende, sind also nicht ein Relikt aus grauer Vorzeit, sondern ein sehr
modernes Institut, um z. B. die Wasserbewirtschaftung in Los Angeles effizienter zu bewerkstelligen.
Welcher Mechanismus bringt nun Allmenden zum Funktionieren? Warum
kommt es häufig nicht zur Tragödie, sondern zur Kooperation? Warum gibt es
die von Ostrom beobachtete »[q]uasi-freiwillige Regelkonformität: Ich verpflichte mich, die gemeinsam entwickelten Regeln bis auf äußerste Notfälle
immer einzuhalten, wenn auch andere Beteiligte die gleiche Verpflichtung eingehen und entsprechend handeln?«
Hierzu stellt Ostrom am Anfang ihres Buches folgende These auf:
»Es gibt gewichtige Belege dafür, dass die Menschen eine ererbte Fähigkeit
besitzen zu lernen, Reziprozität und soziale Regeln so zu nutzen, dass sie
damit ein breites Spektrum sozialer Dilemmata überwinden können.« (Ostrom
1999, XIX)
Zentral ist der Zusammenhang zwischen
– dem Vertrauen, das die Individuen in die anderen haben,
– dem Aufwand, den die anderen in glaubwürdige Reputationen investieren, und
– der Wahrscheinlichkeit, dass die Akteure Normen reziproken Handelns
verwenden.
Ich habe alle Argumente beisammen, um die These meines zweiten Bausteins
zu formulieren: Gelingende Koordination bei der Nutzung öffentlicher Güter
ist der Normalfall. Hardin hat lediglich einen in der Realität durchaus vorkommenden Unterfall formuliert. Die Koordination erfolgt, weil soziale Normen
eingehalten werden. Rechtsregeln spielen dafür kaum eine Rolle. Dafür sorgt
das in der Evolution erworbene Prinzip der Reziprozität.
Der dritte Baustein: Intrinsische Motivation
Die untersuchten Allmenden sind größer als kleine Gruppen, aber immer noch
klein. Kann Koordination in noch größeren Gruppen und Zusammenhängen
und grenzüberschreitend gelingen?
Ist es insbesondere möglich, diese inzwischen wohl gesicherten wissenschaftlichen Erkenntnisse auf die Governance des Netzes zu übertragen?
Ostroms Forschungsergebnisse beweisen zunächst, dass allzu simple MoFreundesgabe Büllesbach 2002
28
Lutterbeck
delle von rechtlicher Regulierung falsch sind. Insbesondere zeigen sie, dass
die Verwaltung von Gemeinschaftsgütern außerhalb der klassischen Eigentumsordnung erfolgreich sein kann – das Vorhandensein bestimmter institutioneller Arrangements vorausgesetzt5. Da das Internet als eine freiheitliche
Ressource – nicht freie im Sinne von »Freibier« – entstanden ist, lag es nahe,
die Idee des Commons auch auf das Internet anzuwenden. Allerdings hat eine
eher feuilletonistische und ideologische Sicht den Blick auf die technischen
und ökonomischen Realitäten über Jahre verstellt. Zwei unterschiedliche Entwicklungslinien haben schließlich den Durchbruch gebracht:
– Die Entdeckung eines neuen Typs von Eigentum durch den amerikanischen
Rechtswissenschaftler Michael Heller: das »Anticommons« (Heller HLR
1998; Heller Science 1998);
– die Bewegung um Open Source Software, die zur Überraschung aller vor
6
allem auch von deutschen Informatikern vorangetrieben wurde.
Das Bauprinzip für die Verbindung beider Linien hat schließlich der Rechtswissenschaftler Lawrence Lessig aus Stanford entdeckt: Man muss technische
Designentscheidungen für das Netz – das sog. End-to-end Argument (Saltzer/
7
Reed/Clark 1984) – und Wettbewerbsüberlegungen miteinander verbinden
(Lessig American Prospect 2000). Diesen inneren Zusammenhang zwischen
der technischen Infrastruktur einerseits und gesellschaftlicher sowie wirtschaftlicher Innovation andererseits drückt sich in dem programmatischen
Untertitel seines neuesten Buches aus: »The fate of the commons in a connected world«.
Die Statik einer Wissensgesellschaft hat, wenn man das Bild weiter strapazieren will, einen Kern, ohne dessen Funktionalität das Ganze nicht Gebäude
werden kann. Lessig und ihm inzwischen folgend alle führenden Rechtsfakultäten der Vereinigten Staaten sind der Überzeugung, dass dieser Kern
8
durch ein sog. »creative commons« gebildet werden muss. Es ist eine fundamentale Einsicht, dass die Wissensgesellschaft erst durch die Kreativität vieler Menschen entstehen kann. Kreativität braucht aber bestimmte institutionelle Arrangements, ggf. auch Rechtsnormen, um zur Entfaltung zu gelangen.
Kreativität braucht Freiheit, sich zu entfalten.
Inzwischen bestehen wohl kaum noch Zweifel, dass der rechtliche Kern dieses Arrangements durch das Recht des sog. Geistigen Eigentums gebildet
9
wird. Insofern hat sich dieses Rechtsgebiet von einem Gebiet für wenige
Spezialisten zu einer Materie gewandelt, die über die Gestalt dieser neuen
Gesellschaftsformation entscheidet. Grundlegende Prinzipien und die meisten
Einzelheiten sind zwischen den unterschiedlichen ökonomischen Interessen naturgemäß noch bestritten. Die führenden Rechtswissenschaftler und
Ökonomen der USA sowie eine stärker werdende Mindermeinung in
der Bundesrepublik sind jedoch der Auffassung, dass die Vorstellungen, die
das Gebiet des Geistigen Eigentums seit den großen Verträgen des
19. Jahrhunderts geformt haben, auf die Bedingungen einer Wissensgesellschaft nicht mehr passen. Vor allem hat die Diskussion um Hardins
Thesen die Wissenschaft dazu geführt, behutsamer bei der rechtlichen ReguFreundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
29
lierung von Problemen vorzugehen. Das Ergebnis dieser Diskussionen ist
auch eine große fachliche Sicherheit amerikanischer Wissenschaftler bei der
rechtlichen Strukturierung neuer Sachverhalte.
1998 ist diese schon beeindruckende Selbstsicherheit nochmals bestärkt
worden: In diesem Jahr hat Michael Heller Ökonomen und Juristen mit der
Entdeckung eines weiteren Eigentumstyps elektrisiert: The Tragedy of the
Anticommons. In einem Beitrag für die Harvard Law Review, den Frau Ostrom
als bahnbrechend bezeichnet, schreibt er (Heller HLR 1998, 624):
»Anticommons-Eigentum kann am besten als Spiegelbild von AllmendeEigentum verstanden werden.
In einer Tragödie der Allmende neigt eine Ressource zur Übernutzung,
wenn zu viele Eigner ein Privileg haben, die Ressource zu nutzen und
keiner das Recht hat, andere von der Nutzung auszuschließen.
In der Tragödie der Anti-Allmende neigen Ressourcen zur Unternutzung,
wenn viele Eigentümer das Recht haben, andere von der Nutzung knapper
Ressourcen auszuschließen und keiner einen privilegierten Zugang zur
10
Nutzung hat.«
Naturgemäß gibt es noch keinen gesicherten Stand über diesen neuen Typus
des Eigentums, insbesondere keine ausgefeilte Empirie. Starke Belege für die
Richtigkeit diese Ansatzes gibt Heller 1998 für den Bereich biomedizinischer
Patente (Heller/Eisenberg Science 1998). Je mehr Anstrengungen unternommen werden, die biomedizinische Forschung durch Patente zu monopolisieren, je mehr Anstrengungen unternommen werden, das Patentportfolio von
Forschern und Universitäten zu vergrößern, umso größer ist die Gefahr, dass
Anticommons-Eigentum produziert wird. Patente wirken dann als Innovationsbremse. Die Entwicklung lebensnotwendiger Medikamente wird so
immer unwahrscheinlicher.
Interessanterweise stimmt diese Theorie mit unseren eigenen Ergebnissen
überein, die wir 2000 im Auftrag des Bundeswirtschaftsministeriums über
Softwarepatente publiziert haben (Lutterbeck/Horns/Gehring 2000). Die
Arbeiten von Heller haben wir damals noch nicht gekannt. Wir haben in diesem Gutachten nach der ökonomischen Fundierung des Patentrechts gesucht.
Das Ergebnis hat uns alle überrascht. Es gibt weltweit nicht einen einzigen
Beweis für die Notwendigkeit derartiger Monopole. Hinzu kommt, dass die
Mehrheit der Ökonomen in den letzten 200 Jahren schon immer den Zusammenhang von Patenten und Innovation verneint hat (Machlup 1958), z.B. auch
Walter Euken, einer der Väter des Modells der Sozialen Marktwirtschaft
(Euken 1990, S. 269 f.).
Zu starke rechtliche Regulierung kann also Anticommons-Eigentum erzeugen. Dies scheint besonders der Fall zu sein in Bereichen mit hohem Innovationspotential, wie der Entwicklung von Software. Da die Infrastruktur der
Informations- oder Wissensgesellschaft wesentlich durch Software bereitgestellt wird, kann es nicht gleichgültig sein, wenn seine Baumeister in die Tragödie der Anti-Allmende tappen.
Freundesgabe Büllesbach 2002
30
Lutterbeck
Ist diese Tragödie unvermeidlich? Auch hier gibt es erste Hinweise für eine
Entwarnung.
Der große Markterfolg »Quelloffener Software« hat die Frage entstehen lassen, warum solche Software überhaupt entsteht. Warum gelingt die Kooperation so offensichtlich, wo doch große Projekte weltweit koordiniert werden
müssen? Welchen Anreiz haben die Beteiligten, wo doch unmittelbare monetäre Anreize als Erklärung ausscheiden?
In den letzten Jahren hat sich die Ökonomie von dem klassischen Homo
Oeconomicus verabschiedet und bietet zunehmend psychologische und sozialwissenschaftliche Erklärungen an. Einer ihrer wichtigsten europäischen Vertreter, Bruno Frey aus Zürich, hat die Ergebnisse seiner langjährigen empirischen Forschungen so zusammengefasst:
Im Vordergrund steht die Motivation für menschliches Handeln: Der
Mensch tut vieles einfach aus sich selbst heraus (intrinsische Motivation); er
handelt nicht nur, weil er dazu von außen einen – oft monetären – Anreiz
erhält (extrinsische Motivation). Intrinsische und extrinsische Motivation lassen sich nicht einfach zusammenzählen. Sie sind unter bestimmten Bedingungen negativ miteinander verknüpft: Von außen kommende Eingriffe können die intrinsische Motivation beeinträchtigen: »Kinder, die sich ursprünglich für ihre Schularbeiten interessierten, verlieren einen Teil des Interesses,
wenn ihnen eine Belohnung für die Erfüllung der Aufgabe in Aussicht gestellt
wird. Die Eltern erreichen damit, dass das Kind fast nur noch gegen Geld
Schularbeiten macht. Damit ist ein Verdrängungseffekt eingetreten. Im
schlimmsten Fall stellt das Kind auch den Müll nur noch gegen Entgelt vor die
11
Haustür.« (Frey NZZ 2001)
Open Source Software entsteht, weil die Beteiligten intrinsisch motiviert
sind. Im Übrigen dürften die gleichen Reputationsmechanismen wirksam
12
sein, die Elinor Ostrom für Allmenderessourcen zusammengetragen hat.
Ich will es jetzt kurz machen und meine dritte These endgültig formulieren.
Die Steine passen zusammen, wenn auch noch nicht ganz so gut wie die ersten beiden:
Die Tragödie der Anticommons ist jedenfalls dann nicht unausweichlich,
wenn Rechtsregeln die Anreize für intrinsische Motivation nicht behindern.
Wo sie es tun, müssen sie fallen.
Die Gestalt der Wissensordnung
Mitte der neunziger Jahre waren Politik und Wirtschaft und ihr folgend eine
Mehrheit der Rechtswissenschaftler optimistisch, Bauprinzipien und Regeln
gefunden zu haben, mit denen sich die Herausforderungen eines »Multimediazeitalters« rechtlich bewältigen lassen. Die Bundesrepublik hat hierbei
eine Art Führerschaft in Europa übernommen und mit einer Reihe von Gesetzen Neuland betreten.
Inzwischen ist Ernüchterung eingekehrt. In der Wirtschaft, weil sich ein
Freundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
31
boomender E-Commerce nicht so recht einstellen will,13 und bei den Regelungsgebern, weil die gewünschten Effekte noch nicht sichtbar sind. Ziemlich
gut untersucht ist diese Diskrepanz zwischen Wunsch und Wirklichkeit für ein
Herzstück des neuen Multimediarechts: die elektronischen Signaturen.
Noch 1999 waren alle Beteiligten fest davon überzeugt, dass diese Signaturen eine »unverzichtbare Voraussetzung für die Sicherheit des elektronischen
Rechtsverkehrs« sind, dass die Nutzung dieser Signaturen »erst am Anfang«
stünden. Inzwischen steht fest: Sie haben praktisch keine Bedeutung. Johann
Bizer (Bizer DuD 2002) hat Aufstieg und Fall dieses Instituts jüngst detailliert
nachgezeichnet und eine bemerkenswerte Alternative aufgezeigt: Das Herzstück des neuen Rechts sei ökonomisch fehlerhaft konstruiert, weil es Anreize
setzt, die mit den eigenen Prämissen nicht kompatibel seien. »Die Alternative
in der Praxis des E-Commerce ist die Generierung einer Sicherheit durch Regeln der Interaktion, die mittlerweile auch gesetzlich geregelt worden ist.« (S. 280)
Bizers Ansatz deckt sich mit unseren eigenen Ergebnissen (Langenbach/
14
Ulrich 2002), wir gehen aber in einem entscheidenden Punkt darüber hinaus:
Es ist ein gedanklicher Fehler, elektronische Signaturen mit eigenhändigen
Unterschriften gleichzusetzen. Sie sind in ihrer Sicherheitsqualität grundverschieden. (Langenbach/Ulrich 2002, S. 15). Geht man demgegenüber so vor
wie deutsche und europäische Gesetzgeber, übersieht man die Bedeutung der
Unterschrift als Kulturtechnik, die in einem komplexen und im Einzelnen noch
15
nicht bekannten Geschehen Sicherheit erzeugt.
Deutsche und europäische Regelungsgeber haben so vorschnell einen
Sachverhalt reguliert, den sie noch nicht verstanden haben. Ebenso wie die
oben beschriebenen Sachverhalte verweist auch dieses Beispiel elektronischer Signaturen auf die Existenz sozialer Normen, die Verhalten festlegen.
Ein Gesetzgeber, der diesen Sachverhalt missachtet, scheitert. Um ein solches
durchaus kostenintensives Scheitern in Zukunft zu verhindern, schlage ich
vor, mit Hilfe meiner drei Bausteine behutsam an der Wissensgesellschaft
weiterzubauen. Für den Anfang bieten sich vier Bauregeln an:
1. Die Wissensgesellschaft kann nicht (allein oder überwiegend) auf einem
altertümlichen Modell von Eigentum aufgebaut werden. Für viele Fälle
dürfte die Organisationsform der Allmende überlegen sein.
In neueren Forschungen wendet Ostrom ihr Allmende-Modell auf die
Stukturierung von Problemen der Wissensgesellschaft an. Sie unterscheidet
vier Typen von Gütern:
Ostrom differenziert diese vier Klassen nach zwei Attributen:
Das Attribut »Subtractability« fragt, ob die Vorteile, die ein Individuum aus
dem Gut zieht, den anderen abgezogen werden.
Das Attribut »Exclusion« fragt, wie teuer es ist, andere durch physische Barrieren oder durch Rechtsregeln vom Genuss auszuschließen. (Ostrom/Hess
2001)
Freundesgabe Büllesbach 2002
32
Lutterbeck
Diese Typisierungen belegen zumindest, dass man die Probleme der
Wissensordnung nicht über den Begriff des Eigentums thematisieren darf.
Denn »die Benutzung des Wortes Eigentum bestärkt den Eindruck, dass die
Güter, die diese Attribute teilen, immer auch dem gleichen Eigentumsregime
unterliegen. Dies ist zweifellos nicht der Fall. … Allmenderessourcen gehören
mal dem Staat, mal einer Kommune, mal einer Genossenschaft, mal einer
Gruppe usw. Die Welt der Eigentumsrechte ist also viel komplexer, als es einfache Dichotomien wahr haben wollen.«
2. Die Bauprinzipien des Gebäudes sind evolutionär
Es sind Menschen, die die Wissensgesellschaft bauen. Wer die Geschichte des
Internets verstanden hat, weiß, dass die Handlungen der Akteure dezentral,
nicht zentral koordiniert wurden. Es war Chaos zu erwarten, aber Ordnung ist
entstanden, weil die Beteiligten nach dem Prinzip der Evolution vorgegangen
sind. Denn die Evolution kennt keinen Masterplan, keine vorgegebene Vision.
Ordnung entsteht aus Unordnung, die von vielen Akteuren gleichzeitig erzielt
wird. Der Linux-Kernel und die offensichtliche wirtschaftliche und technische
Überlegenheit vieler Open-Source-Produkte sind ein Beispiel für die Richtigkeit dieses Ansatzes:
»… the beauty of evolutionary theory is that it explains how, given the
essential ingredients of evolution – random variation, nonrandom selection,
and retention – any system, natural or artificial, can evolve into a complex
design through incremental changes explored in parallel.
Freundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
33
…The fundamental processes of evolution are the same in the Linux project
as for the biological world. The Linux kernel developed incrementally over the
span of several years, through gradual additions and modifications in the
hands of variation, selection, and replication…« (Kuwabara firstmonday 2000)
3. Je weniger fremdbestimmt das Handeln, um so besser das Ergebnis
Anscheinend gelingt altruistisches Handeln um so besser, je offener die
(rechtlichen) Rahmenbedingungen formuliert sind. Wie das Beispiel »Open
Source Software« zeigt, kommt Innovation hier nicht durch Exklusion zustande, sondern durch das Gegenteil.
Dieses Beispiel ist so mächtig, dass es inzwischen auch auf andere Bereiche
ausgestrahlt hat. Zu denken ist etwa an das »Open Courseware«-Konzept des
MIT. Das MIT hat 1999 beschlossen, sein gesamtes Kursmaterial offen zugänglich im Internet zur Verfügung zu stellen (Ishii/Lutterbeck firstmonday 2001).
Man wird sicher nicht unterstellen dürfen, dass eine führende technische
Universität der Welt wie das MIT zu naiv ist, um den ökonomischen Nutzen
dieses Strategiewechsels richtig einzuschätzen. Dieser Strategiewechsel hat
zwei Aspekte:
– Der erste, vordergründige, verkehrt listig den ökonomischen Sinn des
Urheberrechts in sein Gegenteil: Denn die Lizenzen werden ja auf Basis
des geltenden Urheberrechts erteilt. Auch wird die Gefahr des Entstehens von Anticommons-Eigentum geringer.
– Der zweite Aspekt beruht auf einer fundamentalen Einsicht über den
prozessualen Charakter von Wissen.
In vielen Publikationen versuchen die Autoren die »Was ist«-Frage zu beantworten. Was ist Wissen, was ist Information, was ist die Wissensgesellschaft?
Gewiss interessante Fragen. Irgendwann wird man eine Antwort wissen wollen.
Aber die Open-Source-Bewegung und Open-Courseware-Initiative gleichen
sich darin, dass diese Frage gerade nicht im Zentrum ihres Interesses steht.
Der Schlüssel zum Verständnis ist der Prozess, nicht das Produkt. In den
Worten des MIT: Der alles entscheidende Punkt ist der Lernprozess, die Interaktion zwischen Fakultät und Studenten, das Gespräch zwischen den Studenten selber.
4. Ohne Software-Technik kann man eine Wissensgesellschaft nicht bauen.
Man baut ja auch keinen Wolkenkratzer ohne Stahlträger.
Die Regel ist eigentlich selbstverständlich, gewissermaßen ein Platzhalter. Bei
den meisten Diskussionen wird jedoch häufig vergessen, dass es eine spezifische Technik ist, die uns von einer Wissensgesellschaft reden lässt. Man darf
insbesondere nicht übersehen, dass natürlich viele Baumeister Informatiker sind.
Freundesgabe Büllesbach 2002
34
Lutterbeck
Vom Spiel zurück ins Leben
Alle Einzelforschungen, die ich hier zusammengetragen habe, belegen,
dass die Menschen hervorragende Ergebnisse erzielen können, wenn sie
untereinander evolutionär die Prozesse koordinieren dürfen. Sie benötigen
hierfür nicht ohne Weiteres und nicht immer (juristische) Mediatoren. Die
Konsequenz dieser eigentlich trivialen Einsicht geht ziemlich weit. Man kann
sich nämlich ein ziemlich anderes institutionelles Arrangement insbesondere
zwischen Staat und Bürger vorstellen.
Teil eines solchen neuen Arrangements müsste nach heutigen Vorstellungen das oben schon erwähnte »creative commons« sein. Naturgemäß befindet es sich noch im Rohbau und weist fürs Erste zwei Funktionalitäten auf:
– Es muss einen Satz informatischer Instrumente allgemein zugänglich
machen, mit denen die geistig Schaffenden, die Innovatoren, ihr Wissen
gezielt und vor allem differenziert der Öffentlichkeit zugänglich machen.
– Es könnte ein Ort werden, in der das für weitere Innovationen wichtige
oder herausragend wichtige Wissen unter für Jeden und Jede akzeptablen Lizenzbedingungen aufbewahrt wird (»intellectual property conservancy«): »Like a land trust or nature preserve, the conservancy will protect works of special public value from exclusionary private ownership
and from obsolescence due to neglect or technological change. The
conservancy will house a rich repository of high-quality works in a variety of media, and help foster an ethos of sharing, public education, and
16
creative interactivity.«
Die Idee, dass ein »creative commons« ein schon identifizierter Baustein der
Wissensgesellschaft sein könnte, ist ohne die Erfolge der Open-SourceBewegung schlechterdings nicht vorstellbar. Es lässt sich z.B. beweisen, dass
die in Industriegesellschaften unerlässliche IT-Sicherheit nach gegenwärtigem
Kenntnisstand nur mit solcher Software zu erreichen ist, die nach Open
Source-Bedingungen lizensiert ist. (Lutterbeck/Gehring/Horns 2000) »Creative
commons« arbeitet also innerhalb des geltenden Rechts, nicht außerhalb:
»Creative Commons will work within the copyright system to help reduce
these barriers to creativity.«
Wahrscheinlich neigen Juristen überall auf der Welt dazu, die Bedeutung
von Rechtsnormen zu hoch und die von sozialen Normen zu niedrig einzuschätzen (Hadfield 2000). Natürlich will ein brillianter Jurist wie Lawrence
Lessig provozieren, wenn er »Public domain« als eine »Zone ohne Juristen
(lawyerfree zone)« definiert (Lessig oreillynet 2002). Aber seine provozierende
Äußerung verweist auf die wesentliche Eigenschaft der Wissensgesellschaft,
die durch die Kreativität aller Menschen gebildet wird. In einer solchen
Gesellschaft darf nicht eine Berufsgruppe – wer immer es sei – über viele
andere Gruppen und Menschen bestimmen wollen, wenn man die Innovationskraft unserer Gesellschaft nicht zerstören will. Die moderne Ökonomie
kann beweisen, dass die Menschen dabei nicht prinzipienlos vorgehen.
Dies ist die Lektion, die der deutsche Gesetzgeber zu begreifen hat: Ein
Freundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
35
wenig mehr Verständnis für die Ökonomie und mehr Einfühlungsvermögen in
die sozialen Normen, die die Menschen leiten, könnte zu realitätsnäheren
Ergebnissen führen. Eigentlich müsste die Wissenschaft dem Gesetzgeber
dabei helfen. Je eher beide ihre Aufgaben verstanden haben, um so eher
nimmt die Wissensgesellschaft Gestalt an – eine Gesellschaft mit menschlichem Maß, wie die Ökonomen und viele (amerikanische) Juristen behaupten.
* Überarbeitete Version meines Vortrages »Commons und Anticommons« auf dem Abschiedskolloquium »Der Karlsruher Ansatz der integrierten Wissensforschung« anlässlich des
Ausscheidens von Prof. Dr. Helmut F. Spinner. Universität Karlsruhe, 22./23.2.2002.
1 Statute of Anne, 8 Anne, c. 19 (1710).
2 »The Congress shall have Power . . . To promote the Progress of Science and useful Arts, …«,
U. S. Constitution, art. I, § 8, cl. 8 von 1787.
3 Siehe etwa den Kommentar von Hoeren (Hoeren 2002) zum Referentenentwurf eines Gesetzes
zur Regelung des Urheberrechts in der Informationsgesellschaft.
4 Ökonomen definieren den Begriff »öffentliches Gut« durch zwei Eigenschaften:
(1) Nichtrivalität im Konsum: der Konsum eines Individuums schränkt die Möglichkeit anderer Individuen nicht ein, dieselbe Ware oder Dienstleistung ebenfalls zu konsumieren;
(2) Nichtausschließbarkeit im Konsum: Situationen, in denen niemand vom Konsum ausgeschlossen werden kann, weil es technisch oder rechtlich nicht möglich ist oder extrem aufwändig wäre, vgl. Donges/Freytag 2001, 133. Wie schwierig eine auch für Juristen akzeptable
Definition ist, zeigt sich gut an den in Nuancen unterschiedlichen Definitionen auf der Website
der Max-Planck-Projektgruppe »Recht der Gemeinschaftsgüter«, http://www.mpp-rdg.mpg.de/
deutsch/forsch.html, 1.5.2002.
5 Einen Überblick über derartige »Bauprinzipien und die Qualität von Institutionen«, die über
Erfolg und Misserfolg von Allmenden Auskunft geben, gibt Ostrom in einer Tabelle (Ostrom
1999, S. 235).
6 Eine umfangreiche ökonomische und rechtliche Analyse findet sich in unserem Gutachten für
das Bundeswirtschaftsministerium, vgl. Lutterbeck/Gehring/Horns 2000.
7 Frau Barbara van Schewick bearbeitet diesen Zusammenhang in einer Dissertation, die von
Herrn Lessig und mir betreut wird: The End-to-End Principle in Network Design, its Impact on
Innovation and Competition in the Internet, and its Impact in the Network Architecture of the
Next Generation Internet. Lessig (2001) berichtet über diese Arbeit auf S. 47 Fn 69 seines
Buches; die herausgehobene Bedeutung des Prinzips Wettbewerb zeigt sich besonders an
dem nicht enden wollenden Fall Microsoft, hierzu Bresnahan 2002 und Ishii/Lutterbeck 2002.
8 »In a boon to the arts and the software industry, Creative Commons will make available flexible, customizable intellectual-property licenses that artists, writers, programmers and others
can obtain free of charge to legally define what constitutes acceptable uses of their work. The
new forms of licenses will provide an alternative to traditional copyrights by establishing a
useful middle ground between full copyright control and the unprotected public domain.«,
Plotkin sfgate 2002; vgl. noch Creative Commons 2002, ein Policy-Dokument, das von der
Harvard Law School bereitgestellt wurde.
9 Das Regime für dieses Arrangement ist das Urheber-Patent-Paradigma, mit dem die
Industriegesellschaften seit Ende des 19. Jahrhunderts ihr Innovationsgeschehen regulieren.
Dass Urheberrechte und Patente als Monopole gedanklich zusammen gehören, gibt der Text
der U.S.-Verfassung noch treffend wieder: »… to promote the progress of science and useful
arts«. 1994 hat eine Reihe herausragender Juristen, Ökonomen und Informatiker der USA die
Konsequenzen dieser Tatsache für die rechtliche Einordnung von Software in einem Manifest
publiziert (Manifesto 1994), das maßgeblich durch die Arbeiten Reichmans (1994) beeinflusst
ist. Es ist erstaunlich, dass diese herausragenden Arbeiten von der deutschen Rechtswissenschaft – über bloße Zitate hinaus – nicht rezipiert wurden.
10 Die Diskussion um Hellers Anticommons-These wird längst weltweit geführt; aus Deutschland
vgl. man Parisi/Schulz/Depoorter 2000.
11 Vgl. noch die ebenso in Zürich herausgegebene Aufsatzsammlung von Fehr und Schwarz
(2002), auch dieses Buch mit einem plastischen Untertitel: Ȇber Vernunft und Eigennutz
hinaus«, sowie Fehr/Falk 2002.
Freundesgabe Büllesbach 2002
36
12
13
14
15
16
Lutterbeck
Die Zusammenhänge sind in der Ökonomie inzwischen gut erforscht, umfassend
Nüttgens/Tesei (2000a, 2000b, 2000c) und Lerner/Tirole 2000; aus der politischen Ökonomie
Weber 2000, aus der Soziologie Kuwabara firstmonday 2000 und Grassmuck 2002.
Ein neuerer Bericht für die Schweiz findet sich bei Quadri NZZ 2002.
In dem Projekt, das von der Europäischen Akademie Neuenahr betreut wurde, haben
Wissenschaftler und Praktiker aus sechs Ländern Europas mitgewirkt. Die Mitwirkenden hatten Qualifikationen als Juristen, Ökonomen, Informatiker, Philosophen und Kulturwissenschaftler. Im September 2002 wird unser Bericht auf Englisch erscheinen.
Die Bedeutung des Kulturellen zeigt sich besonders eindringlich bei einem Vergleich von
Unterschriften und elektronischen Signaturen mit Stempeln in der Rechtskultur des modernen
Japan. Diesen Teil des Berichts der Europäischen Akademie hat Kei Ishii bearbeitet. In
Anbetracht von äußerst schwierigen technischen Problemen bei der Umsetzung japanischer
Schriftzeichen ist der Bericht »Japanische Unterschriftenstempel – Gegenwart und
Geschichte« (September 2001) nur über unsere Homepage verfügbar, http://ig.cs.tu-berlin.
de/ap/ki/index.html.
Aus der Presseerklärung, mit der die Nonprofit-Institution »creativecommons.org« am 16. 5.
2002 der Öffentlichkeit vorgestellt wurde. Cc ist eine Initiative, die von führenden
Persönlichkeiten der Universitäten Duke, Harvard, MIT, Stanford und Villanova getragen wird.
Wichtigster Geldgeber ist augenblicklich wohl das Stanford Law School Center for Internet
and Society. Erster CEO ist Lawrence Lessig. Stets tagesaktuelle Informationen sind verfügbar
über die gleichnamige Site www.creativecommons.org und die Harvard Law School (Creative
Commons 2002). Für Leserinnen, die ständig informiert sein wollen, lohnt sich der Bezug des
fachlich ausgezeichneten Newsletters »filter«, der von der Harvard Law School herausgegeben
wird, http://cyber.law.harvard.edu/filter/subscribe.
Literatur
Benkler, Yochai (ACM 2001): The Battle over the the institutional ecosystem in the
digital environment. In: Communications of the ACM February 2001 Vol. 44, No. 2,
pp 84.
Benkler, Yochai (CLJ 2001): From Consumers to Users: Shifting the Deeper Structures
of Regulation Toward Sustainable Commons and User Access. Federal Communications Journal Vol. 52 (2000), pp 561.
Bettenworth, Vera (Tagesspiegel 2002): Trittbrettfahrer kriegen was auf die Finger.
In: Der Tagesspiegel v. 16.01.2002.
Johann Bizer (DuD 2002): Sicherheit durch Interaktion. Alternative zu gesetzeskonformen Signaturen im E-Commerce. Datenschutz und Datensicherung 2002, S. 276.
James Boyle (2001): The Second Enclosure Movement and the Construction of the
Public Domain. In: Duke conference on the public domain (2001).
Bresnahan, Timothy F. (2002): The Economics of the Microsoft Case. Stanford Law
School, John M. Olin Program in Law and Economics. Working Paper 232, March
2002. Social Science Research Network Electronic Paper Collection, http://papers.
ssrn.com/ paper.taf?abstract_id=304701.
Bude, Heinz (NZZ 2001): Das Ende der Gesellschaft. Intellektuelle in der Ära des
»Lebens«. In: Neue Zürcher Zeitung v. 15.12.2001.
Creative Commons (2002): The Berkman Center for Internet & Society at Harvard Law
School (2002): Executive Summary of Issues facing Creative Commons,
http://cyber.law.harvard.edu/CreativeCommons/exec.html, 1. 5. 2002.
Davis, Randall (ACM 2001): The Digital Dilemma. Communications of the ACM
February 2001 Vol. 44, No. 2, pp 77.
Donges, Juergen B., Freytag, Andreas (2001): Allgemeine Wirtschaftspolitik. Stuttgart
2001.
Duke conference on the public domain (2001): Duke University November 9-11. Focus
papers and discussion drafts, http://www.law.duke.edu/pdf, 1.5.2002.
Eucken, Walter (1990): Grundsätze der Wirtschaftspolitik. 6. Aufl. Tübingen 1990.
Falk, Arnim, Fehr, Ernest (2002): Psychological Foundations of Incentives. Institute for
Empirical Economic Research Zurich. CEPR Discussion Paper No. 3185, January
2002, available from the SSRN Electronic Paper Collection, http://papers.ssrn.com/
paper.taf?abstract_id=301322.
Freundesgabe Büllesbach 2002
Die Wissensgesellschaft bauen
37
Fehr, Ernst, Gächter, Simon (Nature 2002): Cooperation and Punishment in Public
Goods Experiments. In: Nature Vol. 415 (10) January 2002, S. 137.
Fehr, Ernst, Schwarz, Gerhard (Hrsg.) (2002): Psychologische Grundlagen der Ökonomie. Zürich 2002.
Frey, Bruno S. (NZZ 2001): Die Grenzen ökonomischer Anreize. Was Menschen motiviert. In: Neue Zürcher Zeitung v. 18. 5. 2001.
Grassmuck, Volker (2002): Freie Software zwischen Privat- und Gemeineigentum. Bonn
2002.
Hadfield, Gillian K. (2000): Privatizing Commercial Law: Lessons from the Middle and
the Digital Ages. Faculty of Law, University of Toronto. March 2000,
http://www.aei.brookings.org/publications/ related/hadfield.pdf, 1.5.2002.
Hardin, Garret (Science 1968): The Tragedy of the Commons. In: Science Vol. 162
(1968), pp 1243.
Heller, Michael A. (HLR 1998): The Tragedy of the Anticommons. Property in the
Transition from Marx to Markets. In: Harvard Law Review Vol. 111 (1998), pp 622.
Heller, Michael A., Eisenberg, Rebecca S. (Science 1998): Can Patents Deter
Innovation? The Anticommons in Biomedical Research. Science Volume 280,
Number 5364, Issue of 1 May 1998, pp 698-701.
Holznagel, Bernd (Verwaltung 2001): Regulierte Selbstregulierung im Medienrecht. In:
Regulierte Selbstregulierung als Steuerungskonzept des Gewährleistungsstaats, Die
Verwaltung Beiheft 4, Berlin, 2001, S. 81.
Ishii, Kei, Lutterbeck, Bernd (firstmonday 2001): Unexploited Resources of Online
Education for Democracy – Why the Future Should Belong to «OpenCourseWare».
First Monday, Vol. 6 (2001), Issue 11, nur online unter http://www.firstmonday.org/
issues/issue6_11/ishii/.
Ishii, Kei, Lutterbeck, Bernd (2002): Der Microsoft-Prozeß. In: Roesler, Alexander,
Stiegler Bernd (Hrsg.): Microsoft. Medien – Macht – Monopol. Suhrkamp (erscheint
voraussichtlich im Oktober 2002).
Kuwabara, Ko (firstmonday 2000): A Bazaar at the Edge of Chaos. Firstmonday Vol. 5
(2000) Issue 3, nur online unter http://www.firstmonday.org/issues/issue5_3/kuwabara/.
Langenbach, Christian, Ulrich, Otto (Hrsg.) (2002): Elektronische Signaturen. Kulturelle
Rahmenbedingungen einer technischen Entwicklung. Berlin, New York ea 2002.
(B.L. ist einer der Mitautoren)
Lerner, Josh, Tirole, Jean (2000): The Simple Economics of Open Source. Harvard
Business School, December 29, 2000, http://www.people.hbs.edu/jlerner/simple.pdf,
1.5.2002.
Lessig, Lawrence (American Prospect 2000): Innovation, Regulation and the Internet,
The American Prospect Vol.11 no.10, March 27-April 10, 2000, http://www.prospect.org/archives/V11-10/lessig-l.html, 26. 5.2000.
Lessig, Lawrence (2001): The Future of Ideas. The Fate of the Commons in a Connected
World. New York 2001.
Lessig, Lawrence (Foreign Policy 2001): The Internet Under Siege. Foreign Policy
Magazine, November/December 2001, http://www.foreignpolicy.com/issue_novdec_2001/lessig.html.
Lessig, Lawrence (Wired 2001): May the Source Be With You. The laws protecting software code are stifling creativity, destroying knowledge, and betraying the public
trust. Wired 9.12 – December 2001.
Lessig, Lawrence (oreillynet 2002): Lessig on the Future of the Public Domain.
Published by Richard Koman on The O'Reilly Network on 04/02/2002,
http://www.oreillynet.com/pub/a/network/2002/04/02/lessig.html.
Lessig, Lawrence (Multinational Monitor 2002): Controlling the ‘Net. How Vested
Interests Are Enclosing the CyberCommons and Underming Internet Freedom.
Multinational Monitor March 2002 – Vol. 23 - No. 3, http://multinationalmonitor.org/
mm2002/02march/march02interviewlessig.html, 1. 5. 2002.
Lutterbeck, Bernd, Horns, Axel H., Gehring, Robert (2000): Sicherheit in der Informationstechnologie und Patentschutz für Software Produkte – Ein Widerspruch?
Gutachten der Forschungsgruppe Internet Governance für den Bundesminister für
Wirtschaft und Technologie vom Dezember 2000, nur online unter http://www.
sicherheit-im-internet.de/news/news.phtml?nnid=588, 29.03.2001.
Freundesgabe Büllesbach 2002
38
Lutterbeck
Fritz Machlup (1958): Die wirtschaftlichen Grundlagen des Patentrechts. Deutsche
Übersetzung eines Berichts an den Senat der USA von 1958, http://www.sffo.de/
machlup1.htm, 29.3. 2001.
Manifesto (1994): Samuelson, Pamela Davis, Randall. Kapor Mitchell D, Reichman,
Jerome: A Manifesto Concerning the Legal Protection of Computer Programs.
Symposium. Toward a third intellectual property paradigm. Columbia Law Review
94 (1994) no 8, 2308.
Nüttgens, Markus, Tesei, Enrico (2000a): Open Source: Konzept, Communities und
Institutionen. Forschungsberichte des Instituts für Wirtschaftsinformatik, Universität
des Saarlandes. IWi-Heft 156, Saarbrücken 2000, im Internet: http://www.iwi.unisb.de/iwi-hefte/heft156.pdf (15. 9. 2000).
Nüttgens, Markus, Tesei, Enrico (2000b): Open Source: Produktion, Organisation und
Lizenzen. Forschungsberichte des Instituts für Wirtschaftsinformatik, Universität des
Saarlandes. IWi-Heft 157, Saarbrücken 2000, im Internet: http://www.iwi.unisb.de/iwi-hefte/heft157.pdf (15. 9. 2000).
Nüttgens, Markus, Tesei, Enrico (2000c): Open Source: Marktmodelle und Netzwerke.
Forschungsberichte des Instituts für Wirtschaftsinformatik, Universität des
Saarlandes. IWi-Heft 158, Saarbrücken 2000, im Internet: http://www.iwi.uni-sb.de/
iwi-hefte/heft158.pdf (15. 9. 2000).
Magrit Osterloh, Bruno S. Frey (1999): Motivation, Knowledge Transfer, and
Organizational Forms. Institute for Empirical Research in Economics. University of
Zurich Working Paper Series, November 1999, http://www.iew.unizh.ch/wp/
iewwp027.pdf, 1. 5. 2002.
Ostrom, Elinor (1998): Self-governance of common-pool resources. In: The New
Palgrave Dictionary of Economics and the Law. Bd. 3. London 1988, pp 424.
Ostrom, Elinor (1999): Die Verfassung der Allmende. Jenseits von Staat und Markt.
Tübingen 1999.
Ostrom, Elinor, Hess, Charlotte (2001): Artifacts, Facilities, And Content: Information as
a Common-pool Resource. In: Duke conference on the public domain (2001).
Parisi, Francesco, Schulz, Norbert, Depoorter, Ben (2000): Duality in Property:
Commons and Anticommons. Würzburg Economic Papers Nr. 21 as of May 2000,
http://www.wifak.uni-wuerzburg.de/wilan/wifak/vwl/vwl1/wepdownload/wep21.pdf,
1. 5. 2002.
Plotkin, Hal (sfgate 2002): All Hail Creative Commons. Stanford professor and author
Lawrence Lessig plans a legal insurrection, Special to SF Gate Monday, February 11,
2002: http://www.sfgate.com/cgi-bin/article.cgi?file=/gate/archive/2002/02/11/creatcom.DTL, 1. 5. 2002
Quadri, Peter (NZZ 2002): Wo steht die Informationsgesellschaft in der Schweiz? Trotz
guten Ansätzen bleibt noch viel zu tun. In: Neue Zürcher Zeitung v. 4. 5. 2002.
Reichman, Jerome H (CLR 1994): Legal Hybrids between the Patent and Copyright
Paradigms. In: Columbia Law Review Vol. 94 (1994) No. 8, 2432.
Röttgers, Jank (telepolis 2002): Wird Lawrence Lessig CEO? Lizenz-Plattform »Creative
Commons« startet im Mai. Telepolis v. 13. 2. 2002, http://www.heise.de/tp/deutsch/
inhalt/te/11840/1.html, 1. 5. 2002.
Jerome H. Saltzer, David P. Reed and David D. Clark (ACM 1984): End-to-End
Arguments in System Design, ACM Transactions on Computer Systems 2,4
(November 1984), 277. Die erste Version erschien in The Second International
Conference on Distributed Computing Systems, April 1981, 509, http://www.reed.
com/Papers/EndtoEnd.html.
Spinner, Helmut F. (1994): Die Wissensordnung. Ein Leitkonzept für die dritte
Grundordnung des Informationszeitalters. Opladen 1994.
Spinner, H., Nagenborg, M., Weber, K. (2001): Bausteine zu einer Informationsethik.
Berlin/Wien 2001.
Weber, Steven (2000): The Political Economy of Open Source Software. BRIE Working
Paper 140. University of Berkeley, California, June 2000.
Freundesgabe Büllesbach 2002
39
Eckard Minx, Harald Preissler
Ortswechsel –
Regeln in informatisierten Gesellschaften
1. Von expliziten Regeln
Paragraph 108 ist eindeutig: »Die Schenkin, die als Zahlung der Getränke nicht
Korn, sondern Geld zu höherer Taxe nimmt, so dass der Geldbetrag den Wert
der Getränke übersteigt, wird mit dem Wassertod bestraft.«
Abb. 1: Hammurabis Stein.
(Codex 2002)
Vor mehr als 3500 Jahren setzte sich der babylonische König Hammurabi
das Ziel, »alle Klassen der babylonischen Gesellschaft, Frauen und Sklaven
eingeschlossen, zu schützen« (Codex 2002). Die insgesamt 282 Gesetze regeln
vertragliche Beziehungen, setzen Preise für Güter und Dienstleistungen fest,
definieren Eigentums- und Personenrechte, kurzum: die Strukturen und Prozesse der babylonischen Gesellschaft, die sich zum damaligen Zeitpunkt in
einer spannungsgeladenen Phase des Umbruchs befand. Damit verbunden
war der absolute Anspruch Hammurabis, seine Macht auch zukünftig abzusichern und mit Mitteln der Alleinherrschaft durchzusetzen.
Zeitsprung: »Ist Globalisierung ein neues Phänomen oder nicht? Überwiegen deren Vor- oder Nachteile? Sind mehr oder weniger politische Maßnahmen zur Steuerung der Weltwirtschaft nötig?« Mit Fragen dieses Kalibers widmet sich die Arbeitsgruppe »Global Governance« der Enquete-Kommission
des 14. Deutschen Bundestages »Globalisierung der Weltwirtschaft – Herausforderungen und Antworten« den gesellschaftlichen Gestaltungsmöglichkeiten der Globalisierung (Brand u. Brunnengräber Blätter 2002).
Am Globalisierungsbegriff machen sich heute unterschiedlichste politische
Ziele, Hoffnungen aber auch viele Ängste fest. Er ist auch ein Symbol für eine
in Bewegung geratene Gesellschaft, die um neue Zukunftskonzepte ringt.
Das deutsche Parlament fragt in diesem Kontext nach seinen politischen
Zukunftsvorstellungen sowie nach Möglichkeiten, diese unter den Bedingungen von Globalisierung durchzusetzen.
Freundesgabe Büllesbach 2002
40
Minx/Preissler
Ortssprung: »You want us to pay? We want you to pay attention. Don't
worry, you can still make money. That is, as long as it's not the only thing on
your mind. Have you noticed that, in itself, money is kind of one-dimensional
and boring? What else can we talk about?« In den 95 Thesen des CluetrainManifests, das im Frühling 2000 im World Wide Web veröffentlicht wurde
(www.cluetrain.com), geht es um das Verhältnis von Unternehmen und
Kunden bzw. Wirtschaft und Gesellschaft.
Abb. 2: Governance im Cyberspace –
das Cluetrain-Manifest
Obwohl das Cluetrain-Manifest und seine Unterzeichner in der Öffentlichkeit
keine nachhaltige Sichtbarkeit erlangt haben, trifft es den Zeitgeist an einer
empfindlichen Stelle: Die »unverstellte Stimme des Menschen« kommt zu
Wort (Baer Brandeins 2000). Beispiel Unternehmenskommunikation: Kann
Authentizität vorgetäuscht werden? Warum sind Unternehmen unfähig, mit
menschlicher Stimme zu sprechen?
Wie auch immer, der Cyberspace ruft nach Regeln. Wieder geht es um die
Formulierung zukunftsweisender Ziele sowie um Mittel, diese zu erreichen.
Diese sind nicht mehr die der Alleinherrschaft eines Hammurabi. Im
Gegenteil: Seine Unterzeichner sind keine Herrscher, auch keine demokratisch
legitimierten Volksvertreter. Sie agieren als Bürger aus rein individuellen
Motiven und sprechen im Cluetrain-Manifest eine Sprache der Beteiligung.
Viele Thesen sind als Fragen formuliert, entstanden in einem Prozess, in dem
viele ihren Einfluss geltend machen.
Den drei Beispielen aus unterschiedlichen Zeiten und Kulturen sind folgende Punkte gemein:
– Governance: Es geht immer wieder neu um die Formulierung und Durchsetzung von Visionen bzw. Zielen. Es geht um Governance im Sinne der
Frage: Welche Akteure und Institutionen sind in der Lage, konsistente
Zukunftsvorstellungen zu entwickeln und umzusetzen?
– Kontextbezug: Hammurabis Gesetze sind auf die im Umbruch und Chaos
befindliche babylonische Gesellschaft zugeschnitten und suchen diese zu
regeln. Die Cluetrain-Thesen sind stark durch die individualistische
Sichtweise der sozio-ökonomischen Elite der nordamerikanischen Internetvordenker geprägt. Das Misstrauen gegen jede Form institutioneller
Macht, sei es die Regierung, seien es aggressiv auftretende Unternehmen, kommt darin zum Ausdruck. Die Enquete-Kommission debattiert im
Freundesgabe Büllesbach 2002
Ortswechsel – Regeln in informatisierten Gesellschaften
41
scheinbar alternativlosen, komplexen, von wirtschaftlichen Interessen
dominierten Kontext der hochentwickelten Industriestaaten mit ihrer
Ausrichtung auf Wettbewerbsfähigkeit sowie einer Laissez-faire-Haltung
gegenüber wirtschaftlichen Akteuren.
– Explizite Festschreibung: Hammurabis Gesetz, eingemeißelt in einer steinernen Stele, macht Rechtsprechung »sichtbar«. Die schriftliche Fixierung, für damalige Zeiten ungewöhnlich, erschwert unterschiedliche
Auslegungen und nachträgliche Manipulation. Das gilt auch für die
Positionen der Enquete-Kommission sowie das Cluetrain-Manifest. In all
diesen Fällen sind die Governance-Bemühungen explizit, in Worten festgeschrieben. Ziel ist, durch schriftliche Normensetzung Visionen gesellschaftlicher Zukünfte transparent zu machen, Orientierung zu geben und
die jeweiligen Ziele umzusetzen.
Doch die explizit festgeschriebenen Regelwerke decken nur Teile der komplexen Lebenswelt ab. Trotz, vielleicht auch gerade wegen, der heutigen Wortbzw. Informationsflut, die aus unterschiedlichsten Quellen und Kanälen über
uns hereinbricht, besteht gleichzeitig eine große Nachfrage nach Transparenz
und Orientierungswissen. Während Zeitdiagnostiker in den Feuilletons unserer Zeitungen von emergenten Phänomenen, autopoietischen Strukturen und
Sachzwängen schreiben, wächst in der Gesellschaft die Sehnsucht nach konkret handelnden Menschen, an denen Visionen und Verantwortung festzumachen sind. Deshalb ist der Boden fruchtbar für Formeln wie der »Kampf des
Guten gegen Achsen des Bösen«, die so selbstverständlich daherkommen, als
ob wir alle implizit wüssten, was denn das Gute und das Böse sei.
Dies wirft die Frage auf, ob es neben den offiziellen und expliziten Governance-Feldern noch ganz andere Quellen für wirkungsmächtige Regeln unserer Gesellschaft gibt. Gibt es eine unsichtbare Governance des Alltags, deren
implizite, nicht festgeschriebene Regeln wir nur schwer erkennen können, und
die deshalb mit der aktuellen Governance-Debatte kaum in Zusammenhang
gebracht werden?
2. Von impliziten Regeln
Wie kommen wir dieser Normenwelt des Alltags näher? Können wir aus der
Beobachtung dessen, was wir alltäglich tun bzw. womit wir alltäglich umgeben sind, etwas über implizite Regeln und Formen der Governance lernen?
Blicken wir zum Test in die Themenfelder Marketing, Architektur und Fortschritt.
Marketing: »If you can get children by the age of two and target them incessantly between the ages of three and eight, they become lifelong consumers
of your product.« (Leary Adbusters 2001). Konsum bestimmt unser Leben und
immer stärker versuchen Werbestrategen, Markenprägungen bereits in der
frühen Kindheit zu setzen.
Freundesgabe Büllesbach 2002
42
Minx/Preissler
Abb. 3: Frühe Markenprägung.
Quelle: Adbusters Magazine 08/01
Schon 1910 hatten »Kundenwerber« wie der Leipziger Johannes Weidenmüller erkannt: »Werbung ist Nachricht von Ware oder Dienstleitung oder
Geschäft in willenbewegender Form« (Schindelbeck Universitas 2002). Es
geht hier nicht darum, wie man diese subtile Form der Beeinflussung menschlicher mentaler Modelle moralisch bewertet. Vielmehr geht es darum, sie als
eine hochwirksame Form der Governance zu begreifen, denn Werbeexperten
haben »die einmalige Chance, nicht nur Produkte zu verkaufen, sondern
Ideen, die zu einem besseren Leben führen können, in Europa und möglicherweise auf der ganzen Welt« (Schindelbeck Universitas 2002). Mit diesen
Worten wies Eric Woldemar Stoetzner schon 1943 darauf hin, wie das mentale Terrain im Nachkriegsdeutschland mit Mitteln der Public Relations reif für
»den amerikanischen Pflug« gemacht werden könne. Die Verwirklichung einer
»Konsumdemokratie« war das Ziel (Schindelbeck Universitas 2002).
Architektur – Auch die Entwürfe von Architekten und Stadtplanern drücken
implizit Vorstellungen darüber aus, wie menschliches Zusammenleben und
die Gesellschaft organisiert werden sollen. Beispiel: die »Städte des Maschinenzeitalters« (Eaton 2001) spiegeln in deren statischen und wabenförmig
gegliederten Strukturen die Ideale einer Massen- und Fließbandproduktion
wider. Die entsprechend gestalteten Wohnblocks suchen auch jenseits der Arbeitsorte die Lebensweise der Menschen in entsprechende Regeln zu fassen.
Abb. 4: Städte
des Maschinenzeitalters.
Quelle: Eaton, R.
2001
Freundesgabe Büllesbach 2002
Ortswechsel – Regeln in informatisierten Gesellschaften
43
Im Gegensatz dazu verwiesen beispielsweise die Situationisten mit ihrer Idee
des Homo Ludens auf eine spielerische Deregulierung der starren städtischen
Formen: »Wir glauben vor allem, dass die Welt geändert werden muss. Wir
wollen die denkbar befreiendste Transformation der Gesellschaft und des
Lebens, in die wir eingesperrt sind«.
Abb. 5: Städte des
Homo Ludens.
Quelle: Eaton,
R. 2001
Guy Debord beschreibt 1957 die wechselseitigen Beeinflussungen von
(urbanen) Lebenswelten und menschlichem Verhalten wie folgt: »Wir müssen
neue Umwelten schaffen, die zugleich das Produkt und das Instrument neuer
Verhaltensweisen sind« (Eaton 2001). Welches Stadtbild würde unseren heutigen Governance-Zielen entsprechen?
Fortschritt: Fortschrittliches Denken wird heute in Ermangelung alternativer Gesellschaftskonzepte vielfach mit ökonomischem Denken identifiziert
(Herzinger 2001). Es geht um internationale Wettbewerbsfähigkeit, Wirtschaftsstandorte und deren Fähigkeit, Kapital von den globalen Finanzmärkten anzuziehen. Die Kategorie Wert hat sich entsprechend in Richtung
ökonomischer Dimensionen bewegt. Regionen und Kommunen werden nach
Investitionskriterien beurteilt, Unternehmenswerte in Aktienkursen ausgedrückt und Menschen als Humankapital vermessen. Der Idealtyp der »Neuen
Ökonomie« ist der Agent, der mit selbstbewusstem Wissen über seine jeweiligen Präferenzen aktiv und selbstbestimmt lebt. Preise, die im »idealen
Markt« die einzig relevante Information sind, um über Produkte und Services
Bescheid zu wissen, sind die Grundlage, um agieren zu können. Der Fortschritt bzw. die Qualität von Wirtschaftssystemen werden am BIP festgemacht: je höher das BIP/Kopf, desto höher ist die Lebensqualität.
Dies alles erscheint wie eine Naturgewalt, an die man sich anpassen muss,
um nicht daran zu Grunde zu gehen. Trotzdem scheint das alles so richtig nicht
aufzugehen. Wir wissen, so wenig es ideale Märkte gibt, auf denen »rational
agierende Nutzenmaximierer« interagieren, so wenig werden die Versprechungen von »reibungsfreien Ökonomien« eingelöst werden können. Dies gilt
ebenso für die aktuellen Visionen von Stadt- und Raumplanung mit den damit
Freundesgabe Büllesbach 2002
44
Minx/Preissler
zusammenhängenden Fragen des modernen städtischen Lebens. Auch die
neuen Versprechen von Ganzheit, wie sie Richard Herzinger in der integrativen Konsum- und Warenwelt und der zugehörigen künftigen Konsumentendemokratie sieht (Herzinger 2001), sind aus heutiger Sicht alles andere als
abgemachte Sache.
Insgesamt ist dem englischen Management-Berater Charles Leadbeater
zuzustimmen, wenn er attestiert, dass eine »motivierende utopische Vision,
wie unsere Gesellschaft künftig aussehen könnte« derzeit nicht in Sicht ist. Die
alte Formel, wonach »wer hart arbeitet und sparsam ist, ein Leben in
Sicherheit mit stetig steigendem Einkommen hat und einem stabilen und ruhigen Lebensabend zusteuert«, klingt heute jedenfalls antiquiert (Scitovsky
1992).
Die Governance künftiger Gesellschaften hängt aber davon ab, wie wir
Gesellschaften wahrnehmen bzw. aus welcher Perspektive wir auf sie blicken.
Wo suchen wir überhaupt nach Fortschritt bzw. nach Zukunft? Ein vielfach
gehandelter Kandidat ist die Informationsgesellschaft.
3. Die Informationsgesellschaft – Idee oder Realität?
Immer stärker tritt der Begriff »Information« als charakterisierende Größe der
modernen Welt hervor, und Länder wie die USA, Japan und Deutschland werden als die Informationsgesellschaften von morgen identifiziert. Dabei sind
folgende Perspektiven im Spiel (Preissler 1997):
– Die technische Sicht – die Datenautobahn: Dieses Bild der Informationsgesellschaft ist wesentlich geprägt durch die Leistungssteigerung der
Informations- und Kommunikationstechnologie. Die gleichzeitige Konvergenz von Rechnerleistung, Telekommunikation und Medien ist unbestritten der Trend der neunziger Jahre. Unbeantwortet bleibt jedoch die
Frage, wie viel Informations- und Kommunikations-Technologie notwendig ist, um eine Informations- von einer Industriegesellschaft unterscheiden zu können (Webster 1995).
– Die ökonomische Sicht – die »New Economy«: Der Internet-Boom führte
zur oft geäußerten Meinung, die Wirtschaft habe die Ära der zyklischen
Entwicklung überwunden und befinde sich nun in einer Phase des langen
Aufschwunges (Porat 1977). Das Platzen der Spekulationsblase bestätigte die Kritiker und enttäuschte diejenigen, die in der Tat auf eine »Neue
Ökonomie« gehofft und in diese Hoffnung investiert hatten. Insgesamt ist
die Bedeutung von Informationstechnologien für Wirtschaft und
Gesellschaft unbestritten. Jedoch ist die Wirtschaft nach wie vor stark
durch die Nutzung bodenständiger Faktoren, von natürlichen Ressourcen
bis hin zu menschlicher Arbeitskraft geprägt, die sich nicht ohne weiteres
»virtualisieren« lassen.
– Die soziale Sicht – Information als gesellschaftlicher Machtfaktor: Aus
dieser Perspektive wird versucht, die Informationsgesellschaft über die
Freundesgabe Büllesbach 2002
Ortswechsel – Regeln in informatisierten Gesellschaften
45
Nutzung von Technologien sowie deren gesellschaftliche Bedingungen
zu interpretieren. Was sind die Rahmenbedingungen der Nutzung von
Informations- und Kommunikationstechnologien (Kosten, Qualifikation,
Demographie)? Wie steht es um die mögliche Überwachung von Mitarbeitern mittels Technologien? Trotz weiter steigender Durchdringung
der Gesellschaft mit Technologien ist deren Nutzung nach wie vor stark
unterschiedlich ausgeprägt (Castells 2001).
– Arbeit – die »Informationsarbeiter«: Die Informationsgesellschaft wird
vielfach aus der Anzahl der Erwerbstätigen definiert, deren Arbeit der
Umgang mit sogenannter Information ist. Wenn die Zahl der Lehrer,
Rechtsanwälte, Finanzdienstleister und Unterhalter die Zahl der Stahl-,
Werft- und Bauarbeiter übersteige, so konstituiere dies die Informationsgesellschaft. Auch diese Definition ist wegen des Zuordnungsproblems
umstritten. Ist der Bahnangestellte im Stellwerk, der Zugfahrpläne verarbeitet, mit anderen Stellwerken kommuniziert und die Streckenbenutzung regelt, ein Informationsarbeiter? Laut Statistik ist er bisher ein
»Industriearbeiter«.
– Kultur – die Sucht nach weniger und mehr Information: Der Begriff Kultur
bezeichnet einen Satz von gemeinsam getragenen – meist impliziten –
Theorien, Meinungen und Anschauungen darüber, wie das gesellschaftliche Leben abläuft. In den hochentwickelten, westlichen Gesellschaften
ist die Alltagserfahrung in einem bisher nie da gewesenen Umfang durch
Medien und eine anwachsende Informationsflut gekennzeichnet. Paradoxerweise ist es gerade diese starke Zunahme von medialer Information, die Kritiker aufgreifen, um vom »Ende der Informationsgesellschaft« zu sprechen. Die schiere Informationsmenge, deren extreme Vielfalt, Kurzlebigkeit und Widersprüchlichkeit mache sie selbst bedeutungslos.
Was also soll die Informationsgesellschaft sein? Außer der Meinung, dass
Information einen zunehmenden Stellenwert in der Gesellschaft einnehme,
gibt es kaum Übereinstimmung über deren wesentliche Merkmale. Wir werden auch künftig mit der Spannung zwischen Euphorie und grundsätzlichen
Zweifeln über die Legitimität des Konzeptes leben müssen.
4. Zukunft anders denken und schaffen
Doch das ist nicht neu. Im Gegenteil: Vorschnelle Euphorien haben eine ebenso lange Tradition wie Fehlprognosen. So meinte der berühmte Mathematiker
und Erfinder Lord Kelvin im Jahr 1897, »Das Radio hat absolut keine Zukunft«.
Thomas J. Watson, Vorstandsvorsitzender der IBM, meinte 1943: »Ich glaube,
auf dem Weltmarkt besteht Bedarf für fünf Computer, nicht mehr«. Und Ken
Olsen, CEO des Computerherstellers Digital, sah noch 1977 keinen Grund,
»warum einzelne Individuen ihren eigenen Computer haben sollten«.
Gesellschaftliche Entwicklungen entziehen sich wegen ihrer inhärenten
Freundesgabe Büllesbach 2002
46
Minx/Preissler
Dynamik, Komplexität und Widersprüchlichkeit der exakten Vorhersage. Aber
darauf kommt es nicht an. Es geht nicht darum, die Zukunft vorzusagen, es
geht vielmehr darum, sie mitzugestalten. Das bedeutet auch: Die Zukunft ist
kein von vorneherein feststehender Endzustand, der uns von außen aufgezwungen wird.
Was bedeuten nun diese Bemerkungen zu expliziten und impliziten Regeln
sowie dem Umgang mit Zukunft für Governance?
Zunächst zur Nichtvorhersagbarkeit von Zukunft: wegen der prinzipiellen
Offenheit der gesellschaftlichen Entwicklung wird es keine GovernancePatentrezepte geben. Aber gleichzeitig gilt, dass erst wenn wir die Zukunft als
gestaltbar erkennen, statt auf scheinbar alternativlose Entwicklungen lediglich
zu reagieren, können wir daran gehen, unsere Zukunft bewusst mitzuprägen.
Entsprechend ist und bleibt ein kritisches Begreifen der Wirklichkeit, die
Akzeptanz von Alternativen, Voraussetzung für politisch angemessenes
Handeln. Denn wo es keine Alternativen gibt, wo Sachzwänge herrschen und
Notwendigkeiten regieren, besteht kein Bedarf an parlamentarischer Regelung. Die Dinge regeln sich gemäß einem inhärenten Plan gleichsam selbst.
Das bedeutet auch die Akzeptanz von Widersprüchen, Offenheit und Ambivalenz. Dafür kommt es in vielen Fällen eher darauf an, richtige Fragen zu stellen, als »richtige« Antworten geben zu wollen.
In diesem Sinn ist Friedrich Hayek zuzustimmen: »Liberty is essential in
order to leave room for the unforeseeable and unpredictable; we want it,
because we have learned to expect from it the opportunity of realizing many
of our aims. It is, because each individual knows so little and, in particular,
because we rarely know which of us knows best that we trust the independent
and competitive efforts of many to induce the emergence of what we shall
want when we see it« (Hayek 1960).
Was zeigt der Blick auf die expliziten Regeln der Gesellschaft? Die
Governance eines Hammurabi, der als Alleinherrscher, ausgestattet mit göttlicher Macht, gesellschaftliche Regeln einsetzt, ist heute nicht in Sicht. Schon
eher scheint das aus diversen Subkulturen geborene Cluetrain-Manifest in
seiner diskursiven Art zur heutigen, an vielen Konfliktlinien gebrochenen,
komplexen Gesellschaft zu passen. Governance muss den Ansprüchen pluraler Gesellschaften entsprechen, die keine Mitte, keinen gemeinsamen Kern
haben. Zu fragen ist, ob gar die Idee gesamtgesellschaftlicher Ziele vielleicht
überholt ist und Governance-Systeme nur noch Regeln für den Ausgleich individualisierter und partikularer Interessen schaffen müssen. Es wird dann wichtiger, dass die konkret handelnden Akteure mit ihren normativen und utopischen Positionen deutlich werden.
Auch müssen wir unterscheiden zwischen Zielen einerseits und Mitteln,
diese zu erreichen, andererseits. Wenn wir z. B. richtigerweise Bildung und
Erziehung als wesentlich für die weitere Entwicklung einer Informationsgesellschaft ansehen, muss es nachdenklich stimmen, wenn der Fortschritt
auf diesem Weg lediglich anhand von Statistiken über die Computernutzung
in Schulen ermittelt wird. Was ist hier Mittel, was ist Zweck? Auch eine
Freundesgabe Büllesbach 2002
Ortswechsel – Regeln in informatisierten Gesellschaften
47
100%ige Durchdringung unserer Schulen mit Computern wird nichts grundsätzlich an der Thematik ändern, wie unsere Kindern z. B. lernen zu lernen.
Hier müssen die Bildungsinstitutionen insgesamt kritisch überdacht werden,
vor dem Hintergrund, was denn mögliche Bildungsziele und -inhalte für morgen sein müssten. Gibt es z. B. so etwas wie zukunftsfeste Bildungsinhalte und
wenn ja, wie sehen diese aus und wie lassen sie sich vermitteln?
Es ist ebenso zu fragen, was wir im Hinblick auf die laut geforderte
Sozialkompetenz aufgeben, wenn wir Erziehungsaufgaben immer früher »professionalisieren«, indem Kindergarten- und Vorschulkinder zwar »Full time«
versorgt sind, gleichzeitig aber berufstätige Eltern immer weniger für sie da
sind, damit die »Haushaltskasse stimmt«.
Was bedeuten schließlich die impliziten Regeln der Gesellschaft für
Governance? Die Beispiele aus den Bereichen Marketing, Wirtschaft und
Architektur zeigen den subtilen Einfluss einer Normenwelt des Alltags auf
unsere Vorstellungen von wünschbaren Zukünften ebenso, wie sie die faktische Umsetzung gesellschaftlicher Interessen und Machtverhältnisse ausdrücken. In der bewussten Wahrnehmung und Mitgestaltung dieser Felder liegen große Gestaltungsfelder und Potenziale künftiger Regulierung.
Das Gesagte ist deshalb ein Plädoyer für eine Erweiterung des Blickfeldes
in der Governance-Diskussion. Governance-Systeme müssen selbst zu einem
Governance-Thema werden. So treten zu den traditionellen GovernanceAkteuren wie z. B. politische Institutionen, Nicht-Regierungsorganisationen,
Verbände, etc. neue, wirkungsmächtige Akteure, die maßgeblichen Einfluss
auf die Entwicklung haben. In einer Gesellschaft, die maßgeblich mit Informationsströmen durchdrungen ist, könnten dies z. B. die von Robert Reich
genannten Symbolic Analysts sein, die wesentlich die mentalen Modelle von
Menschen prägen, wie z. B. die Werbewirtschaft, Medien, Lehrer, etc.
Die Reflexion des Inhaltes und der Reichweite des Governance-Begriffes ist
auch deshalb wichtig, weil Governance oft als »Containerbegriff« gebraucht
wird und unklar ist, welche Akteure bzw. welche Diskurse darüber entscheiden, was in den Container darf und was nicht – grundlegend kritische
Positionen zumeist nicht (Brand Freitag 2000). Hierzu könnte das Konzept
einer Global Public Policy, die ein Netzwerk zwischen öffentlichen, privaten,
nationalen, regionalen und kulturellen Organisationen einschließt, hilfreich
sein (Reinicke 1998).
Governance, die auf einfache Wahrheiten baut, alternativlose Zukünfte proklamiert und sich auf kategorische Aufteilungen der Welt bezieht, kann vielleicht eine Zeitlang – oft nur durch Einsatz von Gewalt – wirksam sein, langfristig wird sie scheitern. Und: Die 4000 Jahre Governance seit Hammurabi
zeigen: Es gibt keine Regel, wonach sich Regeln bilden.
Literatur
Baer, O. 2000: Miteinander reden. brandeins, 03/2000, in: http://www.brandeins.de/magazin/archiv/2000/ausgabe_03/cluetrain/artikel4_1.html
Freundesgabe Büllesbach 2002
48
Minx/Preissler
Brand, U., Brunnengräber, A. (2002): Auf der Suche nach der anderen
Globalisierung. Zum Zwischenbericht der Enquete-Kommission. Blätter für
deutsche und internationale Politik 2/2002, Bonn 2002
Brand (Freitag 2000), Global Governance. Der Ruf nach einer »neuen
Weltordnungspolitik« und der Rückkehr zu staatlicher Steuerungsfähigkeit.
In: Freitag 16, 14. April 2000
Castells, M. (2001): Die Netzwerkgesellschaft. Opladen 2001
Codex 2002: Übers. aus: Peiser, F. E, Kohler, J. (1904): Hammurabis Gesetz. Bd.
I. Leipzig 1904. In: http://www.weltrecht.de/kontakt/texte/hammurabi.htm
Eaton, R. (2001): Die ideale Stadt. Berlin 2001
Hayek, F., A. (1960): The Constitution of Liberty, London 1960
Herzinger, R. (2001): Republik ohne Mitte. Ein politischer Essay. Berlin 2001
Leary Adbusters 2001: Kevin O‘Leary, President der Learning Company Inc.
Zitiert in: Adbusters 08/01, Media Foundation, Vancouver 2001
Martin, W., J., The Global Information Society, Aslib Gower, London, 1995
Porat, M. (1977): The Information Economy: Definition and Measurement, OT
Special Publ. 77-12 (1), US Department of Commerce, Washington DC 1977
Preissler, H. (1997): Kundenkommunikation in der Informationsgesellschaft.
DaimlerChrysler AG, Berlin 1997
Reinicke, W. H. (1998): Global Public Policy. Governing without Government?
Washington 1998
Schindelbeck 2002: Was eine Gesellschaft zusammenhält. Kleine Konsumgeschichte der Bundesrepublik Deutschland 1945-1990. In: Universitas 03/
2002, Nr. 669, Stuttgart 2002
Scitovsky, T. (1992): The Joyless Economy, Oxford, 1992
Webster, F. (1995): Theories of the Information Society, London 1995
Freundesgabe Büllesbach 2002
49
Sebastian Dworatschek
Projektorganisationen und IT-Dienstleistungen
Innovation in Organisation und IT-Infrastruktur
Informationstechnologische Infrastrukturen, bestehend aus ComputerHardware und -Software und telekommunikativen Netzen (Internet etc.), bieten heute wesentliche instrumentelle Hilfen, um betriebliche Aufgaben
methodisch lösen zu können – in Unternehmen verschiedener Branchen, in
Wissenschaftsorganisationen und öffentlichen Verwaltungen. Darüber hinaus
aber prägen IT-Ausstattungen immer mehr auch die Organisationsstrukturen und die Formen der Zusammenarbeit in Produktion, Dienstleistung und
Wissenschaft.
Einen zweiten, einflussreichen Faktor kann man in der neuen (Inter-)Disziplin »Projektmanagement« erkennen, mit deren Einführung viele Organisationen derzeit befasst sind. Sie überprüfen ihre traditionellen hierarchischen
Organisationsstrukturen und erproben immer mehr neue Formen der Projektorganisation. Zwischen beiden Faktoren »IT-Ausstattung« und »Projektorganisation« entwickeln sich synergetische Effekte.
Widersprüchliche Organisationsbewertungen
Jeder Betrieb – sei es ein Handwerksbetrieb, ein Multi-Konzern oder eine
öffentliche Verwaltung – ist in irgendeiner Weise organisiert. Die Intensität, in
der ein Betrieb durchorganisiert ist, kann mehr oder weniger formal oder
informell ausgeprägt sein; seine Organisationsform kann gewachsen oder willentlich gestaltet, deutlich sichtbar oder nur vage erkennbar sein. Befragungen
in Fortbildungsseminaren haben ergeben, dass ein Großteil der Teilnehmer
nicht in der Lage war, das Organisationsmodell des eigenen Betriebes anzugeben.
Diese Schwierigkeiten, die eigene Organisationsform zu beschreiben,
braucht nicht weiter zu verwundern. Die Größe heutiger Organisationen in
Wirtschaft und Verwaltung, die Komplexität computergestützter Dienstleistungs- und Produktionsprozesse, Fusionierungen und Globalisierung, die
Mischformen aus den Organisationsmodellen und nicht zuletzt widersprüchliche Organisationsregeln tragen zu dieser Desorientierung bei.
Die Organisationstheorie tut sich schwer, widerspruchsfreie Organisationsregeln und praktisch umsetzbare Gestaltungsempfehlungen zu geben. Der
Organisationspraktiker bleibt doch oft auf die Methode »Versuch und Irrtum«
angewiesen. Anhänger der Zentralisation vertreten ihren Standpunkt ebenso
überzeugt wie die Vertreter der Dezentralisierung. Lehrbücher der Organisation verfechten nach wie vor kompromisslos die Forderung nach »personenunabhängiger« Organisationsgestaltung – obwohl jeder Praktiker weiß, dass
Freundesgabe Büllesbach 2002
50
Dworatschek
viele Organisationen um das Merkmalsprofil dominierender Führungskräfte
oder Firmeninhaber herum aufgebaut werden. »Lean Management« fordert,
die Zahl der Hierarchieebenen und Rangstufen zu verringern. Gesellschaft,
Bildungssystem und betriebliche Karriereversprechungen erziehen aber zu
einer Erwartungshaltung nach programmiertem »beruflichen Aufstieg«. Seit
H. Fayol wiederholen Lehrbücher den Grundsatz »Einheit der Auftragserteilung«. Diesem Hierarchieprinzip hat bereits W. Taylor die Idee der »fachbezogenen Mehrfachunterstellung« entgegengesetzt. Heute sind zweidimensionale Matrixorganisationen weit verbreitet.
Als Symptom für das weit verbreitete Unbehagen an dogmatischen
Organisationsregeln können Bücher gelten, die sich ironisch mit solchen
Grundsätzen beschäftigen, wie: »Parkinsons Gesetz«, »Das Peter-Prinzip«,
»Hoch lebe die Organisation«, »Der Karriere-Terror« und »Management durch
Fehlentscheidungen«.
Die Mitglieder einer Organisation und externe Berater scheinen sich einig
zu sein, dass eine optimale Organisationsform für das Funktionieren eines
Betriebes außerordentlich wichtig ist – auch wenn es bei einer konkreten
Organisation widersprüchliche Bewertung gibt. Ein Sachbearbeiter rügt beispielsweise bei auftretenden Schwierigkeiten im Arbeitsablauf die schlechte
Organisation der Firma. Ein Abteilungsleiter entschuldigt ungenügenden
Informationsaustausch mit anderen Abteilungen mit Mängeln in der ITOrganisation. Gleichzeitig rühmt der Vorstandssprecher auf einer Pressekonferenz das fortschrittliche Organisationsmodell seiner Unternehmung. Jeder
der drei genannten Beurteiler bewertet die Organisation so, wie er sie erlebt,
wie sie auf ihn wirkt, ihn einschränkt oder ihm Freiheitsgrade bringt. Ihre
Interessen und Forderungen an die Organisation sind zwar in vielem gleich,
keineswegs aber identisch.
Das Management beurteilt die Effizienz eines Organisationsmodells
danach, wie weit das erwünschte Leistungsergebnis (Leistungsmenge,
Gewinn, Rentabilität usw.) erreicht werden kann. Ferner: Wie gut die verfügbaren Ressourcen (Betriebsmittel, Rohstoffe, Personal, Patente usw.) genutzt
werden. Auch: Wie gut kann der Produktions- bzw. Leistungsprozess gesteuert und kontrolliert werden: Wie schnell und geschickt kann die Organisation
auf veränderte Umweltanforderungen (geänderte Kundenwünsche), Umweltstörungen (Konkurrenzaktionen) und rechtliche Rahmenbedingungen (Wirtschaftsgesetze) reagieren.
Als Mitglied einer Organisation bewertet der Arbeitnehmer diese danach,
wie weit sie seine eigenen Interessen erfüllt und wie weit er eigene Zielvorstellungen in das Zielsystem der Organisation mit einbringen kann. Insbesondere kann er die Organisation danach beurteilen, wie weit sie ihm ermöglicht, mit seinem persönlichen Arbeitseinsatz eine sichtbare Leistung zu
erbringen und diese entsprechend entgolten zu bekommen. Ferner prüft er,
wie weit die Arbeitsorganisation ihm Freiheitsgrade verschafft: körperliche
(Bindung an die Maschine), geistige (Vielfalt der Tätigkeiten), psychische
(Monotonie, Stress), soziale (Kontakte zu Kollegen, Gruppenbeziehungen), inFreundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
51
formationelle (Überblick und Transparenz der Organisationsstruktur und der
Arbeitsprozesse). Einen wesentlichen Einfluss üben heute die informationstechnologischen Hilfsmittel (PC, Notebook, Software, Internet etc.) aus. Methoden der Tätigkeitsanalyse (u.a. Analyse der Unfallgefährdung, der ergonomischen Belastungen, der Software-Hilfen, der IT-Akzeptanz) helfen dem Arbeitnehmer, seine Arbeitsorganisation nach diesen Kriterien hin zu überprüfen.
Informationstechnologie und Projektorganisation
»Organisationen« lassen sich als »soziale Gebilde, die dauerhaft ein Ziel verfolgen und eine formale Struktur aufweisen, mit deren Hilfe Aktivitäten der
Mitglieder auf das verfolgte Ziel ausgerichtet werden sollen« charakterisieren
(Kieser u. Kubicek 1983, S. 1, 79, 224), wobei fünf Hauptdimensionen der Beschreibung dienen: Spezialisierung (Arbeitsteilung), Koordination, Konfiguration (Leitungssystem), Entscheidungsdelegation (Kompetenzverteilung) und
Formalisierung. Der »Situative Ansatz« formuliert – auf der Grundlage internationaler, empirischer Studien – interne Situationsfaktoren der Organisationsstruktur: Leistungsprogramm, Fertigungstechnologie, Informationstechnologie, Rechtsform und Eigentumsverhältnisse, Alter der Organisation, Art
der Gründung, Entwicklungsstadium der Organisation. Zu den externen
Situationsfaktoren zählen: Konkurrenzverhältnisse, Kundenstruktur, Technologische Dynamik, Gesellschaftliche Bedingungen und Kulturelle Bedingungen.
Dieser situative Dimensionierungsansatz weist u.a. deutlich auf technologische Einflussfaktoren der Organisations(struktur)entwicklung hin – intern die
»Informationstechnologie« und extern die »Technologische Dynamik«.
Tendenzen waren früh erkennbar: »Vor allem hat die Entwicklung der Informationstechnologie durch die Verwendung von Mikroprozessoren und durch
ihre Verknüpfung mit der Nachrichten- oder Kommunikationstechnik einen
großen Sprung getan, dessen Auswirkungen erst in Ansätzen erkennbar sind
und heute äußerst kontrovers diskutiert werden« (Kieser u. Kubicek 1983,
S. 314).
Heute prägt sicherlich intern die »Informationstechnologie«-Ausstattung
(PC, Server, Intranet, Internet , Netze etc.) wesentlich die Organisation der Arbeitsprozesse. Auch muss bezüglich des externen Faktors »Technologische
Dynamik« deutlich von einer überaus hohen Produkt- und Marktdynamik
gesprochen werden – sowohl was die IT-Innovationsraten (Produkt-Lebenszyklen) als auch die Globalisierung betrifft. Informationstechnologien in ihrer
Dynamik und ihrer Vielfalt, in ihren neuartigen Nutzerfunktionen und sich ausweitenden Anwendungsfeldern nehmen maßgeblich Einfluss auf die Organisationsstrukturen innerhalb von Unternehmen (vernetzte PC-Arbeitsplätze,
etc.) als auch in den Außenkooperationen (z.B. E-Commerce, globale Arbeitsteilung).
Einfluss und Dynamik der IT-Ausstattungen in Organisationen unterstützen
den Trend, die Organisationsformen der Unternehmen häufiger in Frage zu
Freundesgabe Büllesbach 2002
52
Dworatschek
stellen, zu verändern und neuen Umfeldsituationen anzupassen; IT-Ausstattungen und IT-Infrastrukturen können einen dominierenden Einfluss auf
die Auswahl der Unternehmensorganisation haben.
Wesentlich unterstützt wird dieser Trend, Organisations-Überprüfung,
-Reengineering und -Entwicklung häufiger zu wagen, durch einen weiteren
Veränderungsfaktor. Die Führungskonzeption »Projektmanagement« prägt
zunehmend die Diskussion in der Organisationstheorie und die organisationspraktischen Experimente in der Betriebswirklichkeit – bis hin zur »Projektorientierten Unternehmung«. Dabei stellt sich die Frage, wie angesichts neuer
unternehmensstrategischer Herausforderungen (Partnersuche in Ost- und
Westeuropa, Globaler Wettbewerb, Risikoinvestitionen, Innovationsrate, IT/Wissenssysteme etc.) eine geeignete »Projektorganisation« gefunden werden
kann.
In diesem Zusammenhang wurde bereits vor Jahren eine breite »Lean«Diskussion in Gang gesetzt. Mit den ursprünglich direkt auf den Produktionsprozess bezogenen Schlagworten »Lean Production« oder »schlanke Organisation« verbanden sich Visionen, Konzepte und Methoden, um bestimmte
Strukturen und Prozesse zu analysieren und zu gestalten. Zu nennen sind:
Business-Reengineering, Profitcenter, dezentrale Geschäftseinheiten (business units), Kernkompetenz, Make-or-Buy-Analyse, Outsourcing (Aufgaben
auslagern), Management buy out, Privatisierung (von Verwaltungen), ABCAnalysen; Portfolioanalyse; Design-to-Cost; Target Costing, GemeinkostenWertanalyse; Aufgabenkritik, Benchmarking, Total Quality Management TQM,
Simultaneous Engineering, Rapid Prototyping, Time to Market, Just-in-Time
JIT und Kanban/KVP.
Über die formale Strukturgestaltung hinaus ergeben sich weitergehende
Gestaltungsparameter für eine optimale Projektorganisation: »Eine Organisation strukturiert sich nach den Gesetzen des Verstandes in der ersten Dimension (formale Organisation, d. V.), sie hat ihr Gefühlsleben (Klima, Image,
Ausstrahlung) in der zweiten Dimension und entwickelt eine Eigendynamik in
der dritten Dimension. Auch ein Projekt lebt nach den gleichen Grundsätzen.
Es bildet eine Struktur, eine Kultur und eine Dynamik und bedarf der Struktur-, Kultur- und Dynamik-Pflege« (Haberfellner u. Daenzer 1994, S. 289).
Horizontale Kommunikation durch Projektteams
Organisationen entstehen durch Aufteilung des Arbeitsvolumens und Zuordnung auf einzelne Organisationseinheiten, wie Stellen und Abteilungen. Die
Arbeitsteilung zwischen der vertikalen Hierarchie angeordneten Abteilungen
muss durch koordinierende Maßnahmen wieder zu einem ganzheitlichen
Arbeitsprozess integriert werden. In einer Seminarreihe für 150 Führungskräfte der mittleren bis oberen Ebene eines Kreditinstitutes mit einigen
Tausend Beschäftigten wurden die Teilnehmer nach ihren wichtigsten
Problemfeldern befragt. Die Mängel im Informationsfluss zwischen den AbFreundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
53
teilungen und Geschäftsbereichen wurde als eines der drei belastendsten
Probleme von insgesamt vierzehn genannten Problemfeldern empfunden.
Mindestens die gleichen, eher noch größeren Schwierigkeiten stellen sich den
Beschäftigten der unteren Hierarchieebenen, wenn sie geschäftsbereichsübergreifende Zusammenarbeit suchen und versuchen. Wesentliche Hilfe zur
fachübergreifenden Kommunikation bieten die bereits genannten Faktoren:
IT-Infrastruktur und Projektmanagement bzw. Projektorganisation.
Bei einer Befragung für eine Managementakademie nannten Führungskräfte Hindernisse für die erfolgreiche Abwicklung von Projekten: unklare
Auftraggeberziele, übergroßer Zeitdruck, mangelhafte Unterstützung durch
die Unternehmensleitung (70 – 80 %), Widerstand des Projektumfeldes und
personelle Fehlbesetzung des Teams (je 68 %), ungenügende Ausrichtung an
Strategie- und Kundenzielen (61 – 64%). Die Führungskräfte nannten aber auch
Erfolgskriterien für optimales Projektmanagement, wobei »Wirkungsvolle
Projektorganisation« zu den besonders wichtigen zählte (Weser Kurier Bremen 30. 8. 97).
Verschiedene nationale Projektmanagement-Verbände haben sogenannte
PM-Body of Knowledge (PMBoK) entworfen, um die wesentlichen
Themenfelder der Projektmanagement-Disziplin zu definieren (Pannenbäcker
2001). Die deutsche Version, der sog. »PM-Kanon« der GPM, nennt 39 Themen
in folgenden vier Gruppen: Grundlagen-Kompetenz, Soziale Kompetenz,
Methoden-Kompetenz und Organisations-Kompetenz.. An diesem orientieren
sich auch die Fachkapitel des PM-Standardwerks (RKW u. GPM 1998).
Die Themenfelder »Projektorganisationsformen« und »Teamarbeit« nahmen in den letzten Jahren auch bei den internationalen Tagungen zu Projektmanagement einen zunehmenden Stellenwert ein. Dies ist eines der
Ergebnisse einer Deskriptorenauswertung von 2777 Tagungsbeiträgen in den
Jahren 1988 – 2000 (Nehlsen u. Gatzmaga 2001, S. 37 – 41). Die behandelten
Projektarten verteilen sich wie folgt: Forschungsprojekte (26 %), Projekte aus
dem öffentlichen Verwaltungssektor (25%) Bauprojekte (17 %), SoftwareEntwicklungsprojekte (11%), Produkt-Entwicklungsprojekte (7 %) Ereignis
(Event)-Projekte (4 %).
»Recent experiences indicate that project work is fast becoming a majority
of the work performed in modern organizations, especially for product development in high technology companies. Project-based organizations (PBOS)
are definitely on the uprise. ...Two of the most important factors in project success are clear goals and upper management support. Project support means
much more than just sending people off for training. ... Other important steps
include organizing to reward project management, developing a project
manager selection and development process, supporting core teams, developing a project management information system, and installing a project
review process to learn from projects« (Englund 1999, p. 91).
Freundesgabe Büllesbach 2002
54
Dworatschek
Projektbeispiele
Projektgruppen eignen sich für die horizontale Integration funktional gegliederter Hierarchien. Ein Projekt ist ein sachlich, zeitlich und kostenmäßig
abgrenzbares Arbeitsvorhaben mit relativer Neuartigkeit, das inhaltlich mehrere (interne oder externe) Organisationsbereiche berührt (DIN 69900ff.). Die
Bereiche stellen dafür ausgewählte Mitarbeiter zeitlich begrenzt frei. In einem
Dienstleistungsunternehmen (Bausparkasse) ernannte der Expertenausschuss
beispielsweise Projektgruppen zu den Arbeitsvorhaben: Beurteilungssystem,
Verhaltensgrundsätze, Softwareentwicklung für ganzheitliche Kundenbetreuung und Mikrofilmarchivierung. Der Lenkungsausschuss eines ostdeutschen
Landkreises beauftragte mehrere Projektgruppen, u.a. »Personal- und Führungskonzept« (mit den Teilprojekten »Vorschlagswesen« und »Kontraktmanagement«) und die beiden Pilotprojekte »Baugenehmigungsverfahren«
und »Sozialamt/Fachdienst Soziales« (Griesche 2002, S. 350 ff.); eine andere
Fallstudie behandelt ein Projekt »IT-Einsatz bei Reorganisation eines Referats«
in einer Kommune (Ewert u.a. 1996, S. 165 – 181).
Die Vielfalt der Projekte wird häufig gruppiert in: Investitionsprojekte (Bau/
Anlagenbau etc.), IT-Projekte, Produktentwicklungsprojekte und Organisationsprojekte. Bekannte Projektarten von Wirtschaftsunternehmen sind z. B. Bau
neuer Bürogebäude, Produktionswerke oder Kraftwerksanlagen, Entwicklung
eines neuen Produktes, Erschließung eines neuen Marktes, Implementierung
von E-Commerce-, ERP- oder CRM-Software. Es gibt auch Unternehmen,
deren gesamtes Geschäftsvolumen sich aus einem Netze von größeren Projekten zusammensetzt. Die Flugzeug- und Raumfahrtindustrie arbeitet fast
ausschließlich mit der (reinen) Projektorganisation. Aber auch Computer-/ITHersteller, Beratungsunternehmen, Unternehmen der forschungsintensiven
Chemie und Pharmazie und des Industrieanlagenbaus verwenden angepasste
Projektorganisationen.
Projektsoftware und Datenschutz
Eine wesentliche Gestaltungsaufgabe bezieht sich auf den Kern einer
Projektorganisation (vgl. Tab.1), nämlich die Binnenstruktur der Projektgruppen, insbesondere die Personalzuteilung und die IT-Ausstattung (PC, Projektsoftware, Internet-Nutzung etc.).
Die IPMI-Software-Pyramide wies bereits vor Jahren auf die Softwarearten
hin, die die Produktivität von Projektgruppen wesentlich beeinflusst; in aktualisierter Form führt sie folgende Software an:
(a) Internet-Plattform: internetbasierte Informations- und Kommunikationsplattform
(b) PM-Software: Software für das Projektmanagement mit den Modulen:
Strukturen, Abläufe, Termine, Ressourcen, Kosten, Berichte,
Freundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
55
Tab. 1: Angebotsspektrum an Projekt-Organisationsformen
Projektgruppe (Project Team; Binnenstruktur)
Projekt-Leiter: Position, Funktionen, Kompetenzen, Rolle
Projektgruppe (Team Building, Anzahl, disziplinäre Qualifikation)
Prozess-/Ablauforganisation der Projektgruppenarbeit
IT-Infrastruktur der Projektgruppe (PC, Internet, Projektsoftware etc.)
Virtuelle Infrastruktur von dezentralen Projektgruppen
Projektorganisation in der Unternehmensorganisation
Projektmanagement in der Linienorganisation (Functional Project Org.)
Projektkoordination innerhalb einer Linie(nabteilung)
Projektkollegium aus Abteilungsleitern
Federführende Abteilung
Einfluss-Projektmanagement/Stabs-Projektorganisation
Projekt-Service-Abteilung (Project Office, »Projekt-Büro«)
Projekt- Matrixorganisation
Linien-dominierte Projekt-Matrixorganisation (Functional Matrix)
Gleichgewichtige Projekt-Matrixorganisation (Balanced Matrix)
Projekt-dominierte Projekt-Matrixorganisation (Project Matrix)
(Product Management mit temporären Projektfunktionen)
Autonomes Projektmanagement im Unternehmen (Reine Projektorg.)
Project Division, Project Profit Center, reine Projektorganisation
Task Force/Project Team Organisation (strategische Aufgabe)
Pool-Projects-Organisation
Kundenvertrags-Organisation (Auftraggeber-/Auftragnehmer-Projektman.)
Mehrstufige Projektorganisationen (Kooperationsverträge mit Dritten)
Unterauftragnehmer-Organisation (Prime Contractor, Sub-Contractors)
Konsortium (BGB-Gesellschaft)
Aussen-Konsortium (alle Konsorten als Vertragspartner)
Innen-Konsortium (Stilles Konsortium mit Konsortialführer)
Arge (Arbeitsgemeinschaft; Gesellschaftsvermögen)
Internationale Projektorganisationsformen (Besonderheiten)
System-Projektleitung
(internat. Projektteam in Managementfirma der Subcontractors)
Spiegelbildliche Organisationsstruktur
(Programm-, System-, Projekt-, Unterprojektpartner)
Internationale Behörden
(Public / Semi-Public Partners, z. B. NASA, ESA, Weltbank,
Ministerien)
Freundesgabe Büllesbach 2002
56
Dworatschek
(c) Funktionssoftware: spezifische Ergänzungssoftware für spezifische
Funktionen wie Konfigurations-, Risikoanalyse, Cost Estimation/Control,
Angebotskalkulation/-erstellung)
(d) Arbeitsplatz (Office)-Software: Textverarbeitung, Tabellenkalkulation,
Präsentationsgrafik, Datenbank, Termin-/Message-Verwaltung, Groupware
(e) Lernsoftware: Teachware, CBT, E-Learning, Wissensmanagement.
In einer aktuellen Praxisstudie (Dworatschek 2002) gaben von 250 befragten
PM-Experten an, MS-Project (84%), SAP/PS (41%), andere (z.T. komplexere)
PM-Software (47%) zu nutzen.
Zunehmende Beachtung verdienen die organisatorischen Schnittstellen,
die von der Projektsoftware zu betrieblicher Fachsoftware (ERP-Module, CRM,
CAD-Software etc.) geschaffen werden müssen.
Globalisierung der Projekt-Bearbeitungsstandorte (u.a. Sitz eines virtuellen
Projektbüros) sowie Intensität und Vielfalt der Softwarenutzung (PC/Notebooks/Internet) des Projektbüros mit starkem Bezug zu personenbezogenen
Daten – wie bei Ressourcen-Potenzialplanung und -Einsatzsteuerung oder Vertragsgestaltung – zwingen dazu, sorgfältiger als bisher die Frage nach Datenschutz und nach Datensicherheit zu stellen (Dworatschek u. Büllesbach 2000).
In Projekten werden viele Daten dokumentiert, temporär genutzt sowie intern
wie extern flexibel verteilt – und dies meist spontan außerhalb bewährter
Organisationskontrollen; die Projektbesonderheiten bzgl. Datenschutz und
-sicherung müssten analysiert und in Empfehlungen umgesetzt werden.
Formen der Projektorganisation
Der betrieblichen Praxis bietet sich eine Variantenvielfalt von Projektorganisationsformen an (Tab.1). Einmalige Aufgaben wurden und werden oft als
Projekte in der Funktionenhierarchie bearbeitet – koordiniert durch eine
Abteilungsleiter-Kommission, eine federführende Abteilung oder einen Stab
(Stab-Projektorganisation bzw. Einfluss-Projektmanagement). Die sehr indirekte Projektkoordination macht letztere Organisationsform wenig geeignet
für risikoreiche, komplexe Vorhaben. Der Projektgedanke fordert neben der
funktionalen Linie eine eigene organisatorische Projektdimension.
Für derartige zweidimensionale Organisationsgliederungen entstanden
Varianten der sogenannten Matrixorganisation. Die Grundidee ist einfach:
eine horizontale Projektorganisation kreuzt die vertikale Funktionshierarchie.
Mehrere voneinander abhängige Projekte fasst ein Programm zusammen. Ein
Beispiel aus der Raumfahrtindustrie zeigt folgende Organisationseinheiten.
Die vertikale Fach-Linienstruktur bilden die Hauptabteilungen für Astrodynamik, Thermodynamik, Elektronik, Strukturmechanik, Konstruktion, Fertigung(swerk) I, Fertigung(swerk) II, Produktsicherung (Qualität, Zuverlässigkeit),
Rechnungswesen, Materialwirtschaft, Vertrieb/Verträge, Personalwesen. Die
horizontale Projektdimension umfasst die Programm-Direktion mit den
Freundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
57
Projektleitungen 1 bis n, ergänzt um das Dienstleitungsreferat für Project Cost
Control und für das Programmbudget (Portfolioplanung).
Eine echte Matrixorganisation sucht die Gewaltenteilung zwischen einer
vertikalen und einer horizontalen Leitungsorganisation. Das Gleichgewicht zu
finden und zu wahren fällt schwer. Während die vertikale Strukturierung eher
auf Dauer angelegt und personell umfangreich ausgestattet ist, wird die
Programm- bzw. Projektleitung eher als Struktur auf Zeit verstanden. Die beiden Organisationsteile sollten sich nicht gegenüberstehen, sondern sich
gegenseitig ergänzen. Zu diesem Zweck müssen entsprechende Aufgabenabsprachen zwischen der vertikalen und der horizontalen Organisationsstruktur geschaffen werden. Der Projektleiter ist für das »Was« (Projekt-Arbeitspakete) und das »Wann« (Termine, Meilensteine) verantwortlich. Das »Wie«
(fachliches Verfahren) und das »Wer« (Personaleinsatz) bestimmt die jeweilige Abteilung der vertikalen Funktionsbereiche. Das Projektteam ist verantwortlich für die Einhaltung des Kostenbudgets, der Termine und die qualitative Zuverlässigkeit des Leistungsergebnisses. Die Funktionsbereiche liefern
fachliche Dienstleistungen für die Projektgruppe.
Eine umfangreiche länderübergreifende Studie (Knöpfel u.a. 1992) mit
Beteiligung von 424 IPMA-Firmenmitgliedern aus über einem Dutzend Länder
hat gezeigt, dass die Betriebspraxis die Projekt-Matrixorganisation in drei
Ausprägungsformen nutzt: Linien-dominierte, ausbalancierte und Projektdominierte Matrixorganisation. Weitgehend einheitlich wurden flexible Modelle, von Projekt-dominierter Matrix bis Task Force, als effektiver eingeschätzt.
Deutsche Unternehmen wiesen damals noch deutlich stärker funktionale IstStrukturen auf als solche in anderen Ländern.
Probleme mit Projektorganisationsmodellen
Ende der achtziger Jahre bewerteten bis zu 649 Projektmanager während elf
Konferenzen der IPMA International Project Management Association (früher:
Internet) und ihrer amerikanischen Schwestergesellschaft Project Management Institute PMI bis zu 44 Thesen zur Situation und zu Entwicklungstendenzen im Projektmanagement. Auf das Thema »Projektorganisationsformen« bezogen sich folgende Thesen: »Unzureichendes Wissen über mögliche alternative Projekt-Organisationsformen bremsen die Wirksamkeit des
Projektmanagements in der Betriebspraxis« (85% Zustimmung); »Obwohl viel
über Projektorganisation geredet und geschrieben wird, ist immer noch nicht
bekannt, welche Organisationsform für eine konkrete Projektsituation am
besten geeignet ist« (75%); »Projektbeteiligte und Projektmanager sind bislang nicht in der Lage, die Konflikte, die in Matrixorganisationen entstehen, zu
bewältigen« (62%) (Dworatschek u. Gutsch 1988). Heute liegen weitaus mehr
praktische Erfahrungen mit den Organisationsmodellen in den Unternehmen
vor.
Freundesgabe Büllesbach 2002
58
Dworatschek
Insbesondere Mittelbetriebe hatten bzw. haben mit einer Reihe von Projektverfahren Anwendungsprobleme. In einer vergleichenden Studie wurden
46 mittelständische Unternehmen aus sechs europäischen Ländern, die mit
Projektmethoden durch internationale Kooperationsprojekte vertraut waren,
nach ihren Problemen mit der praktischen Projektarbeit befragt. Nach ProjektKoordination, -Methoden, -Personal und -Vertragswesen folgten »Projektorganisation (13%) und »PM-Software« (8%) (Huber-Jahn 1994).
In einer früheren IPMI-Studie wurden 167 Unternehmen u.a. nach der Form
ihrer Projektorganisation befragt. 45% nutzten und organisierten ihr Projektmanagement in Fachabteilungen, in der Linienstruktur oder per StabLinienorganisation. Insgesamt wurde mit zunehmender Nutzungszeit der Projektarbeitsweise zu eher flexiblen Organisationsformen (Matrixorganisation
oder Reine Projektorganisation) übergegangen.
Project-Pool-Organisation
Zu den klassischen Organisationsformen kommen heute weitere ProjektOrganisationsformen (Tab.1) hinzu. Zu nennen sind die »Project Task Organisation«, das »Projekt-Service-Center« (auch »Projekt Office« oder – missverständlich – «Projekt-Büro« genannt) und immer häufiger auch »ProjektPool-Organisation« (Dworatschek u.a. 2002, S. 18 f.).
Viele Unternehmen zeigen eine erschreckende »Immunschwäche«, wenn
es darum geht, sich auf neue Situationen einzustellen, weil keine geeignete
Organisationsstruktur vorhanden ist, um die erforderlichen Veränderungen
durchzuführen. ... Daher ist es heute weit verbreitet, die notwendigen Veränderungen über eine – quer zur bestehenden Linienorganisation institutionalisierte, flexible – Projektorganisation anzugehen. Doch auch sie bringt häufig nicht die gewünschten Resultate (Lindemann 1999). Bei einer größeren Anzahl von Parallelprojekten können auch dabei Führungsprobleme auftreten,
wie Verantwortungsüberschneidungen, Ressourcen(zu)teilung oder Zielkonflikte mit Linien. Der Diebold-Berater geht davon aus, dass etwa 70% der
Projekte, die die Unternehmen in eigener Regie parallel zur Linienorganisation durchführen, nur Teilerfolge erzielen. Er fordert deshalb eine »Business
Enforcement Organisation«, eine Art Projektportfolio-Management für zeitlich
limitierte »Tasks« (strategische Projekte mit Einmalcharakter). Jedem Eingreifteam stehen taskspezifische interne und externe Ressourcen temporär zur
Verfügung. »Zur Koordination, Überwachung und Steuerung dieser Tasks
werden neueste Technologien wie Data-Warehousing, Skill-Datenbanken,
multimediale Systeme, weltweite Datenbank-Abfragesysteme, Internet und
Intranet eingesetzt.«
Die »Projekt-Pool-Organisation« gestaltet ihren wesentlichen Organisationsbereich im Sinne der »Reinen Projektorganisation« (Tab.1) mit einer
Vielzahl von Projekten; diesen Projekten wird mit eigenen personellen und
finanziellen Ressourcen viel Autonomie gegeben. Neben diesem organisatoriFreundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
59
schen Kernbereich »Projekte« verfügt die »Projekt-Pool-Organisation« noch
über eine zweite konstitutive Komponente, nämlich den Pool-Bereich. In diesem hierarchiefreien Organisationsbereich halten sich Projektmanager, -leiter,
-experten, -ingenieure, -controller, -assistenten und Fachexperten bis zu ihrem
nächsten Projektauftrag temporär auf. Sie können die Zeit nutzten, um abgelaufene Projekte zu dokumentieren und auszuwerten (Lernkurve, organisationales Lernen), Nachwuchskräfte schulen und coachen (Personalentwicklung),
sich selbst weiterbilden (Long-Life-Learning, ggf. mit E-Learning), neue
Projekte akquirieren (Kunden-Networking), Projektangebote entwickeln
(Machbarkeitsstudien) und Teams neu zusammensetzen (Teamkonfiguration)
– fallweise mit Unterstützung von externen Beratern (Freelancer). Für den einzelnen Mitarbeiter einer Unternehmung bedeutet dies, dass er entweder in
einer bestimmten Rolle in einem innovativen Projektteam mitarbeitet (Projektbereich) oder mit anderen Betriebsangehörigen an flexiblen projekteunterstützenden Basisarbeiten (Pool-Bereich) beschäftigt ist.
Diese beiden Hauptbereiche der Organisation werden unterstützt durch
Dienstleistungs-Stäbe, wie Projekt-Control, Personaladministration und ITService. Diese wenigen, personell »schlanken« Service-Bereiche bieten spezifisches Fachwissen; die ursprünglich prägenden Fachbereichs-Hierarchien
wurden nach dem Prinzip »Lean Management« eliminiert. Beratungsfirmen,
Softwarehäuser, aber auch marktorientierte Handelsunternehmen, FuE- und
Wissensorganisationen können mit der Projekt-Pool-Organisation experimentieren, um innovativ, flexibel und mitarbeitermotivierend zu werden.
Project Office und Virtuelle Projektorganisation
Ein (wie auch immer benanntes) Projektbüro als Dienstleister wird in der
Regel von mehreren Projekten oder sogar unternehmensweit genutzt und
deckt möglichst folgende Aufgabenbereiche ab: Projektunterstützung
(Administration und Pflege von Projekt-Handbüchern, IT-Plattform, Projektsoftware etc.); Schulung, Beratung, Coaching; Methoden und Standards (PMHandbuch etc.), Projektmanager-Pool (»ausleihbare«, ausgebildete und ggf.
zertifizierte Projektprofis). Ein Projektbüro kann dabei in folgenden
Organisationsstufen aufgebaut und eingeführt werden – vom einfachen Projektsekretariat über die Servicegruppe für projektmanagementorientierte
Dienstleistungen für Projekte in den Fachbereichen bis zum Center of Competence/Center of Excellence für unternehmensweites Management by Projects (Bartsch-Beuerlein u. Klee 2001, S. 66 ff.).
Virtuelle Projekte und Projektteams, virtuelle Projektbüros und Projektorganisationen sind aktuelle, wenngleich noch unscharfe Begriffe, die noch
mehr von betriebspraktischen Experimenten als von wissenschaftlichen
Analysen geprägt sind. Ein gewisser Konsens ist darin zu erkennen, wonach
ein virtuelles Team mit Hilfe von modernsten (Tele-)Kommunikationsnetzen
Raum-, Zeit- und Organisationsgrenzen überwinden versucht (BartschFreundesgabe Büllesbach 2002
60
Dworatschek
Beuerlein u. Klee 2001, S. 7 ff.). Der Begriff »virtuelle Produktentwicklung« beispielsweise beschreibt die vollständige, digitale Entwicklung und Konstruktion von Produkten, einschließlich der Herstellungsprozesse dieser Produkte –
arbeitsteilig lokal oder global verteilt.
IT-Dienstleistungen
IT-Dienstleistungen erfolgen in der Praxis in recht unterschiedlichen Formen:
innerbetriebliches Project Office/ Projekt-Kompetenzzentrum, Schulung,
Startup der Projekte, monatliches Review-Control-Treffen eines Projektteams,
Cost-Control-Aufbereitung, Auswahl und Implementierung von PM-Software,
Konzern-interne PM-Consulting, Outsourcing eigener PM-Kompetenz für
externe PM-Beratung, IT-Beratungsfirma mit PM-Kompetenz, Outcourcing von
der IT-Infrastruktur mit Zurück-Mieten der IT-Hardware oder PM-Beratungs-leistungen. Die IT-Infrastructure Library (ITIL) listet typische ServiceManagement-Funktionen für IT-Projekte auf (Bartsch-Beuerlein 2000, S. 46 f.).
Die Organisationsmöglichkeiten, in denen ein Projektmanager seine Funktionen und Rolle finden muss, können in drei Szenarien (Bartsch-Beuerlein
2000, S. 13 –18, ) verdichtet werden, um u.a. die Qualitätssicherungen klären zu
können. Bei der Organisationsform »Internes Projekt im Unternehmen« findet
das Projekt einmalig oder in ähnlicher Ausprägung intern im Unternehmen und
für das Unternehmen statt. Der Auftraggeber ist meist die eigene Geschäftsleitung, ein Fachbereich oder ein Portfolio-Lenkungsausschuss, projektführender
Auftragnehmer ist in der Regel die interne IT-Abteilung. Beim Organisationsszenario »Projektorientiertes Unternehmen als Auftragnehmer« ist der Projekt-Auftragnehmer ein Unternehmen (große wie kleine Software-Beratung),
das auf dem Markt hauptberuflich IT-Projekte für andere Unternehmen durchführt. Der Projektausschreibende und Auftraggeber ist ein externer Kunde.
Die dritte Organisationsform »Generalunternehmen als Auftragnehmer« –
seit langem bekannt aus dem Anlagenbau – tritt immer häufiger auch bei ITVorhaben auf, da Spezialwissen aktuell in erforderlicher Kapazität über
Netzwerke einzuwerben und in das Projekt einzubringen ist. Diese vernetzten
Kooperationsformen bis hin zu virtuellen Teams verursachen eine echte Herausforderung für das Qualitätsmanagement.
Nach Befragungen verschiedener Beratungsfirmen (Computer Zeitung
29.4.2002) sei Return on Investment ROI zurzeit das Modewort der IT-Branche.
Dabei stünden 76% der IT-Chefs unter einem stärkeren Rechtfertigungsdruck
als früher, wenn sie heute neue Projekte starten wollen. Beispielsweise hatte
die Hälfte der befragten Unternehmen sich vor dem EAI-Einführungsprojekt
(Enterprise Application Integration) IT-Einsparungen von 11 bis 20% errechnet; doch nur ein Drittel hatte richtig kalkuliert. Bei IT-Anwendungen komplizierter Wertschöpfungsketten – etwa CRM-Projekte – sind aufwändigere
Berechnungsmethoden für die Nutzeneffekte nötig.
Freundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
61
Wertschöpfungsnetze und Outsourcing
Derzeit diskutieren viele Unternehmen und auch öffentliche Verwaltungen,
wie sie ihre Wertschöpfungsprozesse optimieren können, u.a. durch Auslagern (Outsourcing) von Aufgaben und Funktionen.
McKinsey untersuchte frühzeitig die Wertschöpfungsoptimierung und empfahl Projektmanagement als Planungsmethode. »Der Weg von ersten Makeor-buy-Überlegungen zu diesem Niveau der Wertschöpfungseffizienz kann
mühsam sein. Am ehesten ist Risikominimierung dabei über eine vorurteilslose Komplexitätsanalyse und straffes Projektmanagement zu erreichen.« Die
Projektorganisation ist »ein Kernteam aus Vertretern der betroffenen Bereiche, verantwortlich für Methodik und Qualitätssicherung, es zieht bei
Bedarf Subteams für Analysen hinzu, ein Lenkungsausschuss steuert und
überwacht den Projektfortschritt, und Linienführungskräfte wirken bei der
Datenbeschaffung mit, als Diskussionspartner und spätere Realisierungsbeauftragte«. Einigen Branchen war damals schon die Auslagerung zu empfehlen. Jedoch galt: »Nur sehr bedingt anzuraten ist dagegen die viel gepriesene Auswärtsvergabe von EDV-Leistungen – zumindest in Branchen, in
denen von der Informationstechnologie Impulse für Umwälzungen im Markt
ausgehen« (Roever 1991). Heute stehen gerade die DV-Zentren bzw. interne
IT-Dienstleistungen zur Disposition oder wurden bereits ausgelagert – z.B. in
den Branchen Automobilfertigung und Banken.
Outsourcing und Einkauf (ggf. Leasen) von externem Expertenwissen soll
flexible Wertschöpfungsnetze für wechselnde Auftragsprojekte aufzubauen und zu betreiben helfen. Dazu müssen erhebliche Beratungskapazitäten
auf dem Markt angeboten werden. Eine Managementstudie, an der sich
241 Führungskräfte aus unterschiedlichen Branchen beteiligten, zeigte, dass
56% der Beratungsprojekte als nicht brauchbar galten. Der ca. 24 Mrd. DM
umfassende Beratungsmarkt in Deutschland im Jahr 2000 verteilte sich auf
Managementberater (52 %), IT-Berater (43 %) und Personalberater (4,6 %). Die
Befragung ergab als wichtigste Bereiche mit Beratungsbedarf (abnehmend):
E-Business/E-Commerce, Wissensmanagement, Customer Relationship
Management, Lean Management/Rationalisierung, Virtuelle Organisationen,
Business Process Reengineering, Kernkompetenzen, Total Quality Management, Wachstumsstrategien und Shareholder-Value-Management (Financial
Times Deutschland 15.11.2001, S. 37).
PM-Nutzungstypen und IT-Dienstleistung
Die oben genannte VW-/IPMI-Studie (Dworatschek et al 2002, S. 101–107) hat
aus den qualitativen und quantitativen Befragungen heraus drei Typen (A,B,C)
von PM-Nutzungsformen in der Praxis abgeleitet.
Der Typ A »PM-Inseln« nutzt Projektmanagement situativ und auf Individuen
basierend. Projektmanagement ist nur gering akzeptiert und wird vom TopFreundesgabe Büllesbach 2002
62
Dworatschek
Management nur ansatzweise verstanden und unterstützt. Im Typ B »Effiziente Großprojektbearbeiter« wird Projektmanagement auf operativer Ebene für
viele Vorhaben eingesetzt. Projektmanagement ist vom Top-Management verstanden worden, aber eine strenge Hierarchie erzeugt noch Konfliktpotenzial
in der Organisation.
Unternehmen vom Typ C »Agile Marktbeantworter« verwenden PM als
Wettbewerbsvorteil zur Beherrschung erkannter Komplexität. PM ist auf nahezu allen Hierarchieebenen verstanden worden und wird auch gelebt. Speziell
die Branche der IT-/Software-Dienstleistungen zeigt überwiegend die
Charakteristik des Typs C. Projektmanagement erreicht bereits eine gute
Akzeptanz im Top-Management und dies wird bereits bei unternehmensweiter Standardisierung eingesetzt. Viele junger Mitarbeiter befördern einen partizipativen Führungsstil. Jedoch hat sich noch keine überzeugende Projektmanagement-Kultur auf allen Hierarchieebenen gebildet. Auch müssten die
Karrierechancen für Projektmanager durch Personalentwicklungssysteme
(Zertifizierung, projektleistungsbezogene Beurteilung, Reentry-/Rückgliederungsregeln, Job-Rotation-Laufbahn, etc.) verbessert werden.
Synergiefaktor PMIT
Die Ausführungen beleuchteten die Wechselwirkungen von zwei einflussreichen Faktoren, wenn ein Unternehmen oder Verwaltung eine innovative,
flexible Organisationsform auswählen, implementieren und gestalten will.
Es sind die Faktoren »informationstechnologische Infrastrukturalternativen«
einerseits und »Projektmanagement« als organisationskulturell prägendes
Führungskonzept andererseits. Beide Faktoren, PM und IT, zeigen je selbst
eine überaus schnelle Entwicklung. Gemeinsam genutzt eröffnet der Synergiefaktor »PMIT« eine innovative Dynamik in Unternehmen, öffentlichen Verwaltungen und wissenschaftlichen Einrichtungen.
Literatur
Bartsch-Beuerlein, Sandra.: Internet als Arbeitsplattform für virtuelle Projektteams. In: Griesche u.a. (2001.), S. 353 – 385.
Bartsch-Beuerlein, S., Klee, O. (2001): Projektmanagement mit dem Internet –
Konzepte und Lösungen für virtuelle Teams, München Wien 2001.
Bartsch-Beuerlein, S. (2000): Qualitätsmanagement in IT-Projekten. Planung –
Organisation – Umsetzung, München Wien 2000.
Dworatschek, S. u.a. (2002): Stand und Trend des Projektmanagements in
Deutschland. Eine Studie der Volkswagen Coaching GmbH Projekt Management in Kooperation mit IPMI, Universität Bremen und EMS Ltd., London.
Wolfsburg 5/2002.
Dworatschek, S., Büllesbach, A. u.a. (2000): Personal Computer & Datenschutz.
Vernetzte PC, Risiken und Sicherheitskonzepte, 6., überarb. Aufl., Köln 2000.
Freundesgabe Büllesbach 2002
Projektorganisationen und IT-Dienstleistungen
63
Dworatschek, S., Gutsch, R. W. (1988): Theses on Situation and Tendencies in
Project Management. In: Proceedings of the 9th Internet World Congress,
Glasgow 1988 (deutsch: GPM-Nachrichten Nr.15, 6/1988, S. 41– 47).
Englund, R. L. (1997): Creating an environment for successful projects: taming
the chaos. In: Voropajev, V. (ed.): Project Management: East-West at the
Edge of the Millennium, Moscow, Russia, Proceedings Dec. 1– 4,1999,
Vol.1/2, pp.91– 97.
Ewert, Janßen, Kirschnick-Janssen, Papenheim-Tockhorn, Schwellach (1996)
Handbuch Projektmanagement öffentliche Dienste – Grundlagen, Praxisbeispiele und Handlungsanleitungen für die Verwaltungsreform durch
Projektarbeit. Bremen 1996.
Griesche, D., Meyer, H., Dörrenberg, F. (Hrsg.) (2001): Innovative
Managementaufgaben in der nationalen und internationalen Praxis.
Anforderungen, Methoden, Lösungen, Transfer. (Festschrift für S. Dworatschek), Wiesbaden 2001.
Griesche, D. (2001): Verwaltungsreform und Projektmanagement in Theorie
und Praxis; Beispiel Landratsamt 2000. (Diss.), Bremen Boston 2001.
Haberfellner, R., Daenzer, W. F. (Hrsg.) (1994): Systems Engineering: Methodik
und Praxis, 8. Aufl., Zürich 1994.
Huber-Jahn, I. (1993): Projektmanagement für kleine und mittlere Unternehmen im europäischen Binnenmarkt – Fallstudien, Situationsanalysen
und Arbeitshilfen, Diss., Universität Bremen, 1993.
Kieser, A., Kubicek, H. (1983): Organisation. 2. Aufl., Berlin New York 1983.
Knöpfel, H., Gray, C., Dworatschek, S. (PM 1992): Projektorganisationsformen:
Internationale Studie über ihre Verwendung und ihren Erfolg. In: PROJEKT
MANAGEMENT 1/1992, S. 3 –14.
Lindemann, V. (MAN 1999): Business Enforcement: Fundamentale
Veränderungen beherrschen. In: MANAGEMENT 5/1999, S. 42– 43.
Nehlsen, T., Gatzmaga, I. (2001): Prospektive Trends in der Disziplin
Projektmanagement – eine Analyse zum Anpassungsbedarf. In: Griesche
u.a. (2001) S.28 – 46.
Pannenbäcker, O. (2001): Kanonisierung, Qualifizierung und Zertifizierung im
Projektmanagement. Integration internationaler Ansätze zur Professionalisierung und Praxisbeispiele, Fft./M. 2001.
RKW, GPM (Hrsg.) (1998): Projektmanagement Fachmann, 2 Bde., neu bearbeitet 4. Aufl., Eschborn 1998.
Roever, M.: Ketten-Reaktion – Überkomplexität III. In: manager magazin
12/1991, S. 243 – 247.
Freundesgabe Büllesbach 2002
64
Freundesgabe Büllesbach 2002
65
Thomas Dreier
Informationsrecht in der Informationsgesellschaft
1. Einleitung
Die Gesellschaft, in der wir leben, bezeichnet sich selbst als Informationsgesellschaft. Dennoch dürften von dieser neuen Form gesellschaftlicher
Organisation bislang nur erste Auswirkungen sichtbar geworden sein. So ist
auch unser Verständnis von Art und Umfang der Veränderungen, welche die
Informationsgesellschaft mit sich bringt, gegenwärtig wohl noch recht vage.
Gleichwohl sind wir angesichts der fortschreitenden Digitalisierung und globalen Vernetzung überzeugt, dass die Informationsgesellschaft unsere kollektiven wie unsere individuellen Beziehungen hinsichtlich des Wirtschaftens,
des Zusammenlebens und der Art und Weise, wie wir uns in der Welt zurecht
finden, einem tiefgreifenden Wandel unterziehen werden. Historiker,
Soziologen und Kulturphilosophen sehen den gegenwärtigen Umbruch nicht
lediglich als rein quantitative Fortentwicklung der Industriegesellschaft, sondern vergleichen ihn in seiner fundamentalen Dimension gar mit den beiden
vergangenen großen Wenden der Menschheitsgeschichte: mit dem Übergang
der Gesellschaft der Jäger und Sammler zur Gesellschaft seßhafter Ackerbauern zum einen und mit der Ablösung einer agrarisch geprägten Gesellschaft durch die Industriegesellschaft zum anderen. Wie ungeheuer der jeweilige Schock dieser beiden Umwälzungen gewesen sein muss, lässt sich im
einen Fall an der Geschichte der Vertreibung aus dem Paradies ablesen, von
der die Genesis ebenso berichtet wie zahlreiche andere Religionen und
Mythen. Die industrielle Revolution findet sich zum anderen in der bürgerlichen Romanliteratur des 19. Jahrhunderts verarbeitet, hat in die Weltkriege
des 20. Jahrhunderts geführt und ist auf globaler Ebene auch im 21. Jahrhundert noch längst nicht vollzogen. Jedenfalls lassen sich die jüngst eskalierten gewaltsamen Auseinandersetzungen zwischen fundamentalistischer
Jenseitigkeit und technokratischer Diesseitigkeit als Fortdauer noch der zweiten Wende verstehen.
Wenn es zutrifft, dass wir – ganz im Sinne menschheitsgeschichtlicher Beschleunigungen – kurz nach der noch nicht gänzlich verinnerlichten zweiten
Wende bereits in eine dritte große Neuorientierung geraten, so sind wir gut
beraten, den zu erwartenden Schock nach Kräften abzumildern. Denn ohne
Abfederung entwickeln Technik und Markt eine weitgehend ungebremste
Eigendynamik. Die Möglichkeiten kollektiven wie individuellen Handelns im
globalen Raum werden durch die inhärenten Gesetze des »Turbo« kapitalismus ebenso bestimmt wie die Rahmenbedingungen unseres Handelns im
digitalen und vernetzten Raum – Stichwort »Code as Law« – durch die
Architektur von Hard- und von Software vorgegeben werden. Wollen wir uns
den ökonomischen Gesetzmäßigkeiten nicht einfach unterwerfen und die uns
von Technikern vorgegebenen Strukturen des digitalen Netzraumes nicht einFreundesgabe Büllesbach 2002
66
Dreier
fach »gottgegeben« und »gottergeben» hinnehmen, so bedarf es eines steuernden Korrektivs. Eines Korrektivs, das sowohl ein Regelwerk für die Lösung
informationeller Interessengegensätze und Konflikte bereit hält, als auch
Kriterien definiert, welche den rechtspolitischen Korrekturen ungeregelter
Entwicklungen als Orientierungspunkte dienen können. Mit anderen Worten:
es geht um die Entwicklung von Normen in Bezug auf die Schaffung,
Verbreitung und Nutzung von Informationen sowie um die Herausarbeitung
konsensfähiger Kriterien, anhand derer sich der Regelungsgehalt solcher
Normen ableiten lässt. Dabei erscheint es eher zweitrangig, ob derartige
Normen dem Sozialleben entspringen oder aber in Form von Rechtsnormen
daherkommen, die mittels staatlicher Macht durchsetzbar sind. Im Kern geht
es um Informationspolitik und – was die rechtliche Seite anbelangt – um
Informationsrecht. Die dem Informationsrecht damit zufallende Aufgabe ist
keine geringe. Die nachfolgenden, dem Jubilar gewidmeten Ausführungen
wollen dazu beitragen, herauszufinden, was das Informationsrecht als noch
junge Disziplin des Rechts im genannten Zusammenhang zu leisten vermag.
2. Informationsrecht
2.1 Zum Begriff des Informationsrechts
Weitgehend einig ist man sich zunächst darin, dass es sich bei der als
»Informationsrecht« bezeichneten Rechtsmaterie weniger um ein eigenständiges Rechtsgebiet handelt als vielmehr um eine Querschnittsmaterie, die von
ihrer Fragestellung her Normen aus allen traditionellen Rechtsgebieten erfasst.
Neben Fragen des Verfassungsrechts (vor allem Art. 5 GG) geht es um öffentlich-rechtliche Vorschriften (z.B. des Datenschutzes) ebenso wie um zivilrechtliche Normen (z. B. die neuen §§ § 312 e f. BGB i.V.m. § 3 der Verordnung über
Informationspflichten nach Bürgerlichem Recht) und um strafrechtliche Vorschriften (z. B. das Ausspähen von Daten, § 202a StGB, oder der Computerbetrug, § 263a StGB). Die Frage nach dem heutigen Nutzen der Einteilung des
Normenbestandes in einzelne Rechtsgebiete ist damit freilich ebensowenig
beantwortet wie die Frage, inwieweit diese Art der Einteilung eine Strukturbildung über die Grenzen der jeweiligen Rechtsgebiete hinaus präjudiziert.
Das kann hier nicht weiter vertieft werden. Wichtiger erscheint nämlich einstweilen, dass sich in Bezug auf den Begriff »Informationsrecht« gegenwärtig
noch immer kein einheitlicher Sprachgebrauch feststellen lässt. Zumindest in
Randbereichen fällt daher der Umfang der Rechtsmaterien, die dem Informationsrecht zugeordnet werden, unterschiedlich aus, je nach dem Verständnis
dessen, was das Informationsrecht in seinem Kern charakterisiert. Oder umgekehrt, es wird der Begriff des Informationsrechts unterschiedlich gefasst, je
nachdem, welcher Normenbestand ihm im Einzelnen zugeordnet wird.
So lässt sich der Begriff des Informationsrechts historisch mit dem
Problem gesellschaftlicher Informationskontrolle in Verbindung bringen, welFreundesgabe Büllesbach 2002
Informationsrecht in der Informationsgesellschaft
67
che durch die seinerzeit noch ADV genannte Datenverarbeitung ermöglicht
wurde (das »A« stand für »automatisiert«, ehe es durch das »E« der Elektronik
ersetzt wurde, das künftig seinerseits einem »B« für biomolekulare Datenverarbeitung, BDV, weichen könnte). Von daher hat sich bis heute ein weit verbreitetes Verständnis des Informationsrechts erhalten, das den Technikbezug
der Informationsverarbeitung als Kriterium für die Zuordnung von Normen
zum Informationsrecht gewählt hat. In einer Gesellschaft, die ganz wesentlich
von Informationen geprägt ist, geht es jedoch um mehr als um die Verarbeitung und Übermittlung von Informationen mit technischen Mitteln. Das lässt
sich auch an der Entwicklung des Informationsrechts von seiner ursprünglichen Fixierung auf den Schutz im Umgang mit personenbezogenen Daten
hin zu einer umfassenderen Einbeziehung von Informationsbeziehungen mit
dem Fernziel eines Datenrechts ablesen, das dem Umfang und der Kontrolle
von Datenmacht verschrieben sein soll. Zumindest wird man den Schwerpunkt der Zuordnung einzelner Normen zum Informationsrecht nicht mehr
länger in der – inzwischen ohnehin allgegenwärtigen digitalen – Technik
sehen, sondern vielmehr die Ordnung von Informationsbeziehungen und
deren Gerechtigkeitsgehalt in den Mittelpunkt der Betrachtung stellen müssen.
Kein einheitliches Verständnis besteht zum anderen hinsichtlich des
Verhältnisses vom Informationsrecht zur Rechtsinformatik. Ein enger Begriff
der Rechtsinformatik erfasst zunächst nur den Einsatz digitaler Datenverarbeitung im Rahmen der Rechtsanwendung und Rechtsfindung. Hierher gehören die ersten Versuche einer Strukturierung juristischer Subsumtions- und
Entscheidungsfindungsprozesse mit dem Ziel der Konstruktion eines »Richterautomaten«, denen angesichts der in den 70er Jahren noch vergleichsweise
begrenzten Rechenleistung und Speicherkapazitäten allgemein zugänglicher
Computer seinerzeit freilich kaum Erfolg beschieden sein konnte. So herrscht
heute ein Verständnis der Rechtsinformatik vor, das ihr über den Einsatz der
informationsverarbeitenden Technik im Recht hinaus auch die Untersuchung
derjenigen Rechtsfragen zuordnet, welche durch den Einsatz dieser Technik
aufgeworfen werden, so dass Informationsrecht als Teilbereich einer derart
umfassend umschriebenen Rechtsinformatik erscheint. Aber auch so verstanden wäre Informationsrecht wiederum stark an die Technik der Informationsverarbeitung gebunden. Schon die Tatsache, dass die rechtlichen Fragestellungen, welche die Rechtsinformatik aufgegriffen hat, parallel zur technischen Entwicklung bzw. zu deren jeweiliger gesellschaftlichen Implementierung zunächst unter Computerrecht, dann unter Multimediarecht und
schließlich unter der Bezeichnung Internetrecht firmierten, legt nahe, dass es
der Rechtsinformatik insoweit gerade nicht um ein umfassendes Informationsrecht geht. Über den Technikbezug hinausgehende, generelle Fragen
nach der Zuordnung von und der Herrschaft über Informationen (z.B. im genetischen Bereich) lassen sich ebensowenig in der Rechtsinformatik unterbringen wie schon zahlreiche traditionelle Fragestellungen des Informierens
(z. B. in Form zivilrechtlicher Auskunftsansprüche) und – gegenläufig – des
Freundesgabe Büllesbach 2002
68
Dreier
Geheimnisschutzes (z. B. nach § 17 UWG). Vollends weist das Fern-ziel einer
allgemeinen Theorie der Informationsbeziehungen und der Informationsgerechtigkeit über die Rechtsinformatik weit hinaus. Nach dem Verständnis,
das den nachfolgenden Ausführungen zugrunde liegt, ist das Informationsrecht mit der Rechtsinformatik daher nur zum Teil deckungsgleich, und zwar
nur insoweit, als es um Rechtsfragen geht, die durch den Einsatz der informationsverarbeitenden Technik in der Gesellschaft aufgeworfen werden. Der
Einsatz informationsverarbeitender Technik erscheint jedoch wiederum allenfalls als das Mittel, nicht jedoch als Kern informationsrechtlicher Fragestellungen.
2.2 Zum Informationsbegriff
Als wissenschaftliche Disziplin besteht das Informationsrecht aus einem Objekt der Erforschung und einer Methode, mittels derer der Untersuchungsgegenstand erforscht wird. Methode ist die rechtswissenschaftliche (auch darüber besteht freilich weiterer Klärungsbedarf) und Objekt ist »Information«.
Dieser Begriff der »Information« als zentraler Gegenstand des Informationsrechts weist jedoch nicht unerhebliche Unschärfen auf.
Daß eine weitverbreitete Selbstdefinition des Faches den Informationsbegriff zunächst – wie soeben dargelegt – einengend auf die Informationsverarbeitung und deren Folgen mittels elektronischer Mittel beschränkt, trägt
dem zugrunde liegenden Kommunikationsakt ebenso wenig Rechnung wie
insbesondere dem Inhalt von Informationen. Es geht um mehr als nur um
Datenübermittlung und Datenverarbeitung; es geht auch um Informiertsein,
um Interpretation von Daten, um Semantisches also, um Wissen und um den
Wert von Informationen für den Menschen ebenso wie – negativ gekehrt –
von Informationsvorenthaltung. Doch gleichviel, ob man einem technikbezogenen Begriff des Informationsrechts anhängt oder aber der hier vorgeschlagenen weiteren Definition zu folgen bereit ist: die Kernfrage lautet immer: was
genau ist »Information«? Wie lässt sich »Information« allgemeingültig definieren? Lässt sich »Information« überhaupt allgemeingültig umschreiben?
Der Blick auf vergangene Definitionsversuche erweist sich zunächst als
wenig aufschlussreich. Denn es finden sich ebensoviele Umschreibungen, wie
das Phänomen der Information an Facetten aufweist. Nach der berühmten
Definition von Wiener ist Information »Information, nicht Materie und nicht
Energie«. Mit dem Shannon’schen Entropiebegriff kann Information rein syntaktisch und quantitativ erfasst werden. Auch der nachrichtentechnische
Informationsbegriff ist in ähnlicher Weise formal geprägt, signalnah und
inhaltsfern. Dennoch lässt sich Information einfügen in die erweiterte
Begriffsreihe »Zeichen«, »Datum«, »Information«, »Wissen«. Damit wird auf
inhaltliche, semantische und nicht zuletzt auch auf Werteigenschaften abgestellt. Entscheidender Bezugspunkt ist dann der Empfänger, sinnvollerweise –
jedoch wohl nicht notwendig – ein menschlicher Empfänger, der die empfanFreundesgabe Büllesbach 2002
Informationsrecht in der Informationsgesellschaft
69
genen Signale wahrnimmt, interpretiert, verwendet und in seinen Wissensvorrat integriert. Dabei lassen sich eine symbolische, eine syntaktische, eine
semantische Ebene sowie eine pragmatische Ebene des Handelns und der
Wirkung ausmachen. Das Bedürfnis, einen für die jeweils eigenen Zwecke
brauchbaren Informationsbegriff zur Hand zu haben, hat in den einzelnen
Wissenschaftszweigen längst zu einer Auffächerung des Informationsbegriffs
geführt. Bereits auf der Metaebene herrscht keine Einigkeit hinsichtlich der
Frage, ob es – unabhängig davon, wie Information als solche zu definieren sei
– einen einheitlichen Informationsbegriff oder ob es deren mehrere gibt (sog.
reduktionistische, antisynonymische Informationsbegriffe), oder ob der
Begriff dialektisch bei aller unterschiedlichen Ausformung zugleich auch einheitliche Strukturmerkmale aufweisen kann. Inhaltlich finden sich – nach
einem bekannteren Versuch der Einteilung – das Verständnis von Information
als Elementar-Element aus der Sichtweise der Systemtheorie neben Materie
und Energie; von Information als Wirtschaftsgut aufgrund ihrer speziellen
Eigenschaften wie Übertragbarkeit, relativer Knappheit und ökonomischer
Eignung; von Information als Wettbewerbsfaktor insbesondere für die Industrienationen, bei denen personelle Ressourcen und eigenes Know-how ständig teurer werdenden Rohstoffen gegenüberstehen; von Information als
Produktionsfaktor gleichberechtigt neben den anderen betriebswirtschaftlichen und volkswirtschaftlichen Produktionsfaktoren (Patente, Beurteilung
von Marktchancen etc.); von Information als Grundlage physischer, nicht physischer und nomineller Vorgänge; Information als Objekt von wissenschaftssowie erkenntnistheoretischen Analysen und schließlich von Information als
»Licht« im Sinne von Zugang zu »objektivem« Wissen, das sich in Erziehung,
Kommunikation u.ä. ausdrücken kann.
Eine derartige Begriffsvielfalt mag auf den ersten Blick unbefriedigend
erscheinen, »unschön«, weil begrifflich nicht einheitlich. Aber muss die
Definition dessen, was unter Information zu verstehen sei, eigentlich einheitlich und, weil einheitlich, auch schön sein? Lässt sich nicht damit leben, dass
ein und dasselbe Phänomen aus der Blickrichtung unterschiedlicher Fragestellungen unterschiedlich umschrieben wird? Eine solche Sichtweise würde
die Vermutung erhärten, dass es einen einheitlichen Informationsbegriff vermutlich gar nicht geben kann und sie würde auch eher dem gegenwärtigen,
stark von den Sprachtheorien beeinflussten wissenschafttheoretischen
Wahrheitsverständnis entsprechen. Letzteres geht nicht mehr von der eindeutigen Abbildung des Phänomens in einem Begriff aus, sondern versteht – in
seiner radikalsten Form – sogar das bezeichnete Objekt selbst nebst seinen
Eigenschaften nurmehr als Resultat sprachlicher Verständigung.
Damit erscheint es nicht per se unwissenschaftlich, sich auf die Ebene des
sprachlichen Umgangs mit Informationen zu konzentrieren. Vor allem die
Umgangssprache ist hier reich an Umschreibungen. So schwingt in der
»Information« zunächst das Informiertsein mit. Wer informiert ist, der
»besitzt« Informationen. Von da ist es nur ein kurzer Weg zum Gegensatz von
»Information-Haves« und »Information-Have-Nots«. Das bezeichnet nichts
Freundesgabe Büllesbach 2002
70
Dreier
anderes als die digitale Version des früheren Nord-Süd-Gefälles. Erscheint
Information als Gut, so gilt: wer informiert ist, der hat etwas. Kombiniert mit
dem ebenfalls sprichwörtlichen »Du bist, was Du hast« führt das zu der
moderneren Version des materialistischen Grundcredos »Ich habe, also bin
ich« in Form des »Ich bin informiert, also bin ich«. Nun mag man einwenden,
es handele sich hierbei lediglich um typische Ungenauigkeiten der
Umgangssprache, um narrative Ausschmückung weniger denn präzise
Begriffsbildung. Doch ist das nur bedingt richtig; denn indem sie dasjenige,
auf das sie angewandt werden, an Bekanntes rückbinden, bringen solche
Metaphern über den Vergleich weitere, zuvor verborgene Bedeutungsebenen
ins Spiel. Das kann natürlich in die Irre führen, hilft in der Umgangssprache
immerhin jedoch, durch den Bezug zum Bekannten ein Gefühl der Überschaubarkeit, der Ordnung und damit letztlich des Aufgehobenseins in der
Welt zu wahren.
Aber auch zum Zwecke einer rechtswissenschaftlichen Definition des
Begriffs der Information lässt sich vor diesem Hintergrund mit dem sprachlichen Mittel der Metaphern operieren. Auf dieser Grundlage können nämlich
grundsätzliche »Eigenschaften« – oder vielleicht genauer: Betrachtungsweisen – von Information unterschieden werden: Information kann erstens vom
Ausgangspunkt aus gesehen, oder zweitens vom Empfänger her betrachtet
werden oder es kann drittens der Übermittlungsvorgang in den Blick genommen werden. Information lässt sich dann begreifen als Gut, als Vorgang und
als Zustand. Mit anderen Worten: Information erscheint dann zum einen als
etwas Wertvolles, Dinghaftes, Handelbares; zum anderen als Akt der Kommunikation sowie als Weg des kommunizierten Inhalts, und schließlich als
Informiertsein, als Besitz von Information, wobei sich wiederum der Kreis zur
ersten Betrachtungsweise – Information als Gut – schließt. Von ihrer Wirkung
her lässt sich Information dann etwas formalisierter beschreiben als eine
durch Signale ausgelöste wahrnehmungsmäßige Differenz zu dem, was dem
empfangenden System bereits bekannt ist, und die beim empfangenden
System zu einer Änderung von dessen Strukturen führt (bzw. die bei einem
potentiell empfangenden System zur Veränderung von dessen Strukturen führen würde). Dabei zählt auch die Verringerung – und wohl auch die Vergrößerung – von Unsicherheit im empfangenden System zu den Änderungen der
Struktur von dessen vorherigem Zustand. Information ist danach also gekennzeichnet durch ein Element der Differenz und durch ein Element der Reaktion
auf diese Differenz. Wird Information gespeichert, so kann dies entweder eine
zeitliche Verzögerung des Empfangsvorgangs sein, die zusätzlich zur räumlichen Distanz des Übermittlungsvorganges tritt, oder aber die Ablage der
vom empfangenden System bereits verarbeiteten Information zum Zwecke
der des späteren, erneuten Aufrufs. Bei allen verbleibenden Unschärfen, die
jeder bildhaften sprachlichen Definition innewohnen, lässt sich Information
damit zum einen vom Datum als der Einheit potentiell informationstragender
Zeichen abgrenzen. Zum anderen erscheint auch die Abgrenzung der Information vom Wissen möglich. Wissen wäre danach der Strukturzustand des
Freundesgabe Büllesbach 2002
Informationsrecht in der Informationsgesellschaft
71
Empfängers oder die im Strukturzustand repräsentierte Information, wobei die
zuvor empfangene Information zu einer permanenten Zustandsveränderung
geführt haben kann, oder sie als solche abgelegt und nur der Zugriffspfad für
den erneuten Aufruf im Wissensbereich gespeichert worden ist. Wissen wäre
danach jedenfalls von der Information recht deutlich unterscheidbar.
Freilich sind damit noch nicht alle Fragen beantwortet. So muß man etwa
davon ausgehen, daß es unerheblich ist, ob eine Information tatsächlich empfangen wird; denn andernfalls bliebe der Geheimnisschutz ausgeklammert
und es wäre der Bereich des Informationsrecht erheblich verkürzt. Reicht es
für die Annahme einer Information jedoch aus, daß der Sinngehalt vom
Empfänger potentiell wahrgenommen werden kann, so stellt sich die Frage,
ob die Information dann nicht zumindest in den Machtbereich des potentiellen Empfängers geraten muß, oder ob es genügt, daß der Empfänger sie hätte
wahrnehmen können. Wenn - um es an einem Beispiel zu verdeutlichen - ein
Lichtsignal den Überdruck an einem Dampfkessel anzeigt, ist das leuchtende
Signal sicherlich eine Information, auch wenn der Nachtwächter eingeschlafen ist. Wie aber, wenn der Nachtwächter gar nicht da ist? Nimmt man auch
dann eine Information an, so wäre Information Information per se und mithin
omnipräsent. Dann wäre alles, was irgendwann von irgendwem als Information aufgefaßt werden könnte schon seit urdenklichen Zeiten Information.
Ein derart weiter Begriff ist zur Abgrenzung jedoch kaum geeignet. Wenn alles
Information ist, so bedarf es der weiteren begrifflichen Unterteilung, von welcher Art Information wir für die Zwecke der jeweiligen Kommunikation sprechen wollen. Denn von den wenigen Begriffen, die Umfassendes bezeichnen
sollen einmal abgesehen – das Unendliche; das All; oder in Kombination: Sein
und Nichtsein – dienen Begriffe nun einmal der Unterteilung, der Ein- und der
Ausgrenzung: de finis, definieren.
3. Aufgaben des Informationsrechts
Doch zurück zum Informationsrecht und seinen Aufgaben in der Informationsgesellschaft. Ausgehend von der Umschreibung von Information als
werthafte Differenz (Gutsqualität), die übermittelt (Kommunikationsaspekt)
und beim Empfänger gespeichert wird (wissensnahe Qualität) und eingedenk
der Funktion von Recht als Steuerungsinstrument, das Auffassungen von
Gerechtigkeit verwirklichen helfen soll, wäre dann zugleich die folgende
Arbeitsdefinition des Informationsrechts und seiner Aufgaben gewonnen: es
wäre unter Informationsrecht derjenige Teil des Rechts zu verstehen, der sich
ganz allgemein mit der Steuerung der Erzeugung, Weitergabe und Verarbeitung von Informationen befasst, also mit Informationsgewinnung, Informationsfluss und Informationsspeicherung. Das sei an dieser Stelle noch kurz
erläutert.
Freundesgabe Büllesbach 2002
72
Dreier
3.1 Zur Gutsqualität
Bei der Gutsqualität von Information ist der Ausgangspunkt die Knappheit informationeller Ressourcen. Bereitstellung, Vertrieb und Nutzung von Informationen erfordern Kosten. Als immaterielle Güter sind Informationen öffentliche Güter, Güter also, die sich niemand exklusiv aneignen kann. Denn anders
als materielle Güter sind immaterielle Güter ubiquitär, d.h. sie sind an mehreren Orten gleichzeitig vorhanden und sie ermöglichen eine nicht rivalisierende Nutzung. Ein Nutzer schließt den anderen von einer zeitgleichen Nutzung
nicht aus. In öffentliche Güter wird jedoch nur suboptimal investiert, solange
keine entsprechenden äußeren Anreize gesetzt werden. Der Anreiz, dessen
sich unsere Rechtsordnung hier bedient, sind die dem Eigentumsrecht an körperlichen Sachen nicht unähnlichen ausschließlichen Nutzungsrechte an
immateriellen Gütern. Auf deren Basis kann der Rechteinhaber mit einem
immateriellen Gut nach Belieben verfahren und Dritte von der Einwirkung auf
dasselbe ausschließen. Damit sind wir beim klassischen Immaterialgüterrecht, dem Patent- und dem Markenrecht wie auch dem Urheberrecht. Diese
Rechte sind bislang als zusammengehörig begriffen und gegen andere
Rechtmaterien abgegrenzt gesehen worden. Aus der hier vorgestellten
Perspektive lassen sie sich dagegen problemlos in das Informationsrecht einordnen.
Für das Informationsrecht stellt sich mithin die Aufgabe festzulegen, inwieweit Informationen als solche monopolisiert werden können und sollen, um
ein Optimum an bereitgestellter, verbreiteter und genutzter Information zu
erhalten, oder umgekehrt, wie viel und welche Information frei – also frei und
ggf. kostenfrei zugänglich – bleiben muss, um ein optimales Klima für den
Informationsfluss und die Produktion neuer Informationen zu erzielen. Anders
gekehrt: Wie lassen sich diejenigen Informationen in einem engeren Sinn, die
monopolisiert werden können, von denjenigen Informationen in einem weiteren Sinn abgrenzen, die frei bleiben sollen?
3.2 Zum Informationsfluß
Besonders ergiebig scheint die bildhafte Umschreibung von Information als
dem Gegenstand des Informationsrechts in Bezug auf den Informationsfluss
zu sein. Die Metapher des Informationskanals erhellt nämlich umgehend, dass
der Informationskanal entweder geschlossen oder aber geöffnet sein kann.
Darüber hinaus kann der Informationsfluss eine unterschiedliche Richtung
haben, vom Sender zum Empfänger oder vom Empfänger zum Sender. Damit
ergeben sich zunächst vier mögliche Zustände von Informationskanälen:
– es kann der Kanal zum Aussenden von Informationen geöffnet werden;
– es kann der Kanal zum Aussenden von Informationen verschlossen werden;
– es kann der Kanal zum Empfang von Informationen geöffnet werden;
– es kann der Kanal zum Empfang von Informationen verschlossen werden.
Freundesgabe Büllesbach 2002
Informationsrecht in der Informationsgesellschaft
73
Als Beispiele für diese vier Kategorien seien beispielhaft nur genannt:
– für den zur Aussendung geöffneten Kanal die Meinungsfreiheit, das
Werberecht, aber auch die Religionsfreiheit;
– für den zur Aussendung geschlossenen Kanal das Datenschutzrecht und
der Geheimnisschutz (mag es sich nun um Betriebs- und Geschäftsgeheimnisse handeln, um Berufs- und Amtsgeheimnisse oder um die
Geheimhaltung durch staatliche Behörden) sowie ganz allgemein das
vom Bundesverfassungsgericht anlässlich der letzten Volkszählung konturierte Recht der informationellen Selbstbestimmung;
– Beispiel für einen zum Empfang geöffneten Kanal wäre im weiteren die
Informationsfreiheit oder die in Bezug auf patent-, marken- und urheberrechtlich geschützte Gegenstände zulässige zustimmungsfreie Benutzung;
– als Beispiel schließlich für einen zum Empfang geschlossenen Kanal
seien die immaterialgüterrechtlichen Schutzrechte genannt, die den
Zugriff auf fremde Schutzgegenstände unterbinden und damit den
Informationskanal in Richtung auf den Empfänger verschließen. Auch
der Rechtsschutz gegen die unzulässige Zusendung von E-Mails (sog.
»Spamming«) gehört hierher, sei er im Wege des sog. Opt-out (Zulässigkeit, solange der Adressat den Empfang nicht explizit verweigert) oder im
Wege des sog. Opt-in gewährt (Zulässigkeit nur dann, wenn der Adressat
den Empfang zuvor ausdrücklich erlaubt hat).
Im weiteren lässt sich danach differenzieren, ob die Information, die von
einem der Beteiligten ausgeht bzw. empfangen wird, aktiv abgegriffen wird
oder ob sie passiv zugespielt wird. Mit anderen Worten: ob es sich – neuhochdeutsch – um einen »Push«- oder um einen »Pull«-Vorgang handelt. So
haben wir etwa das Datenschutzrecht (als das Recht, dem Abgriff der eigenen
Daten entgegenzutreten) zum einen, und die Vielzahl einzeln normierter
Auskunftsansprüche (als Rechte, auf fremde Informationen zugreifen zu dürfen) zum anderen. Damit ist noch immer nicht entschieden, ob derjenige, dem
ein Anspruch auf Information aus der Sphäre eines Dritten zusteht, die betreffenden Informationen selbst holen darf, oder ob der Dritte lediglich verpflichtet ist, sie dem Informationsgläubiger zu übermitteln. Zugleich gibt es eine
ganze Reihe von Symmetrien und Entsprechungen. So entspricht etwa einem
Leistungsinteresse des Informationsbegehrenden in vielen, wenn nicht gar
den meisten Fällen ein entgegengesetztes Abwehrinteresse auf Seiten desjenigen, der die Information inne hat. In solchen Situationen genießen nach
gegenwärtigem Recht mitunter sogar beide Interessen gesetzlichen Schutz,
wo dem Recht der aktiven freien Informationsaussendung des Werbenden das
Persönlichkeitsrecht desjenigen gegenüber steht, der sich in seiner Privatheit
gestört fühlt und der daher einen Anspruch auf Schließung des Empfangskanals hat. Damit ist jedenfalls eine erste, recht taugliche Klassifizierung der
einzelnen Informations- und Informationsabwehransprüche gefunden, die
über viele Rechtsgebiete verstreut sind.
Nicht zuletzt fällt dem Informationsrecht die Aufgabe zu, Regelungen darüber
zu treffen, wem Informationskanäle und Schleusen gehören sollen (Stichwort
Freundesgabe Büllesbach 2002
74
Dreier
Netzträgerschaft), sowie wer über den Zustand der Schleuse entscheiden darf:
der Sender oder der Empfänger, oder aber beide. Dazu zählt auch, ob der
Staat ggf. sogar gegen den Willen von Sender und Empfänger – wie im Fall
inhaltsorientierter Verbote wie demjenigen der Auschwitzlüge oder der
Kinderpornografie – regelnd eingreifen soll, oder ob den Betroffenen zugetraut werden kann, sich im gemeinsam ausgehandelten Einverständnis, also
der Selbstregulierung, auf eine ausgewogene Vorgehensweise zu verständigen.
In den Blick kommt mit der Metapher des Informationskanals weiterhin die
Funktion der Technik. Zwar kann die Fahrtrichtung auf Verkehrswegen durch
rechtliche Gebote und Verbote geregelt werden (im analogen Bereich z. B. das
Rechtsfahrgebot oder die Einbahnstraßenregelung), effizienter wirken jedoch
entsprechende technische Schutzmechanismen (im analogen Bereich z. B.
Schranken und Leitplanken). Allerdings sind technische Schutzvorrichtungen
zugleich meist auch unflexibler (wo eine Schranke den Weg versperrt, da gibt
es auch im Notfall kein Durchkommen). Damit ist die Absicherung der informationsrechtlichen Ge- und Verbote durch technische Sicherungsmaßnahmen als Aufgabe des Informationsrechts umrissen. Die Technik gestaltet die
Rechtsdurchsetzung effektiver, muß zugleich jedoch für die Verwirklichung
rechtlicher Vorgaben offen gehalten werden. Das ist nicht immer einfach. Wo
es etwa ohne Technik an einer hinreichenden Rechtsdurchsetzung fehlt, da
macht eine rechtliche Regelung, die in ihrer Differenziertheit weit feiner unterscheidet als die Technik dies abzubilden vermag, keinen Sinn. In diesem
Spannungsfeld ist der Gegensatz von Kryptographie und staatlicher Zugriffsmöglichkeit angesiedelt wie auch die Frage, inwieweit technische Zugangsund Kopiersperren das Urheberrecht an digitalen Inhalten absichern können
und sollen. Letztlich besteht eine Wechselwirkung: technische Schutzmechanismen rufen ein neues Regelungsbedürfnis hervor, um die durch die Technik
eröffneten Möglichkeiten auf ein sozialverträgliches Maß zu reduzieren; umgekehrt hilft das Technikrecht in Form des Informationsrechts mit, dass die
Möglichkeiten der Technik überhaupt erst ihr volles Potential entfalten können.
3.3 Zur Speicherung
Informationen werden schließlich gespeichert, als Grundlage ihrer weiteren
Verwendung, sei es innerhalb des empfangenden Systems, sei es mit dem
Ziel, Informationen vorrätig zu halten und den in ihnen enthaltenen
Informationswert, den Informationen für Dritte besitzen, über die Zeit zu konservieren. Dabei werden Informationen akkumuliert und können – ganz wie
körperliche Waren sozusagen »en gros« – in Form von Datenbanken oder über
Portale gehandelt und auch genutzt werden; genutzt zum Erkenntnisgewinn
und zur Produktion neuer Ideen.
Die Kernfrage des Informationsrechts lautet nun: welcher rechtlichen
Regelungen bedarf es, um die erforderliche Speicherung zu gewährleisten
Freundesgabe Büllesbach 2002
Informationsrecht in der Informationsgesellschaft
75
und sinnvoll zu organisieren? Dabei geht es um den richtigen Zuschnitt des
rechtlichen Schutzes für Datenbanken ebenso wie um die Frage der rechtlichen Organisation der Archivierung. Wie stellen wir sicher, dass der rechtliche Investitionsschutz hinreichende Anreize für die Erstellung und Pflege
kostenintensiver Datenbanken setzt, ohne zugleich zu einer allzu großen
Mono-polisierungsmöglichkeit der in einer Datenbank enthaltenen
Informationen zu führen? Gelingt es nicht, eine ausgewogene Balance herzustellen, so besteht die Gefahr der Unterinvestition oder aber die der
Verhinderung nützlicher informationeller Mehrwertdienstleistungen. Wie stellen wir sicher, dass unsere abgespeicherten Daten auch in hundert Jahren
noch lesbar sind? Es besteht durchaus die Gefahr, dass unsere Zeit trotz unseres Stolzes auf die digitalen Errungenschaften als das dunkle, dokument- und
spurenlose Jahrhundert in die Geschichte eingeht. Schon jetzt ist vieles
unwiederbringlich verloren, wenn etwa die »Brief«wechsel, die früher der
Nachwelt erhalten blieben, in regelmäßigen Abständen und meist vollautomatisch vom E-Mail-Server ge-löscht werden. Ganz generell bedarf es der
Schaffung von Rahmenbedingun-gen für eine fortwährende Datensicherung,
die gewährleistet, dass konvertierte Datensätze auch von künftigen
Betriebssystemen noch gelesen werden können. Das berührt zugleich die
Finanzierung und führt zu der Frage, wie die künftig Aufgabenteilung zwischen öffentlichen Bibliotheken und Archiven auf der einen, und digitalen
Archiven der privaten Medienunternehmen auf der anderen Seite zu gestalten
ist. Nach gegenwärtigem Verständnis gilt es, eine Belastung der
Allgemeinheit allein mit den unprofitablen Aufgaben ebenso zu vermeiden
wie umgekehrt einen subventionierten Wettbewerb der öffentlichen Hand.
4. Abschließende Bemerkungen
Die vorstehenden Ausführungen können die vielfältigen Aufgaben des
Informationsrechts in der Informationsgesellschaft freilich nur schlaglichthaft
beleuchten. Immerhin sollte deutlich geworden sein, mit welcher Breite von
Fragestellungen das Informationsrecht konfrontiert ist. Dem rechtssystematischen Vorwurf, es handle sich beim Informationsrecht um eine höchst amorphe Querschnittsmaterie, lässt sich entgegenhalten, dass Konvergenz,
Vernetzung und Komplexität der Informationsgesellschaft mehr als vielleicht
je zuvor rechtsgebietsübergreifende Begrifflichkeiten und Lösungen erfordern. Dabei stellen sich vor allem zwei Probleme. Zum einen ist das
Programm des Informationsrechts enorm; von einzelnen Rechtswissenschaftlern wird es nicht abgearbeitet werden können. Ohnehin erfordert die
Vernetzung mit Fragestellungen der Informatik und der Wirtschaftswissenschaften ein weitgehend interdisziplinäres Zusammenwirken. Zum anderen
läßt sich anders als hinsichtlich der Verteilgerechtigkeit in Bezug auf körperliche Sachen für eine Informationsgerechtigkeit nicht auf eine bereits seit
dem römischen Recht eingeübte Gerechtigkeitstradition zurückgreifen. Das
Freundesgabe Büllesbach 2002
76
Dreier
erschwert die Anwendung allgemeiner Rechtssätze auf konkrete Sachverhalte
ebenso wie die Schaffung neuer Rechtsregeln. Daher ist es nicht leicht, das
Informationsrecht vom Einfluss der im konkreten Streit befangenen Interessen frei zu halten; Informationsrecht ist insoweit in besonderem Maße
anfällig für die Festschreibung gegenwärtiger Machtverhältnisse. Um so größer ist das Bedürfnis nach der Herausarbeitung konsensfähiger Gerechtigkeitsvorstellungen, nach der Schaffung einer informationellen Grundordnung.
Denn ohne eine solche Verfassung des Informationsrechts wird man den
technischen und wirtschaftlichen Risiken der Informationsgesellschaft nicht
hinreichend entgegensteuern können; zumindest wird sich die Informationsgesellschaft nur in unvollkommener und unbefriedigender Form entwickeln.
Die Aufgabe des Informationsrechts besteht also darin, die einzelnen
Regelungsmaterien anhand vereinheitlichter Strukturprinzien zu einem
Ganzen zusammenzuführen, mit dem Ziel einer ausgearbeiteten Informations- oder gar Wissensordnung. Einstweilen treten die Konturen des Informationsrechts ebenso wenig – oder ebenso viel – hervor, wie die Konturen der
Informationsgesellschaft selbst. Der weitere Weg jedoch ist vorgezeichnet.
Freundesgabe Büllesbach 2002
77
Herbert Kubicek
Ausbruch aus den Kästchen: Begleitendes Lernen
durch institutionenübergreifendes IT-Management
1. Einführung
Es soll Konzerne geben, in denen die einzelnen Unternehmen nicht nur eigene
IT-Anwendungen, sondern auch ihre eigene IT-Infrastruktur ohne Abstimmung
mit Schwester- und Bruderunternehmen entwickeln und aufgrund von Inkompatibilitäten teilweise nicht konzernweit medienbruchfrei elektronisch kommunizieren können. Auf jeden Fall stellt man nach Fusionen regelmäßig fest, wie
schwierig es ist, die unterschiedlichen IT-Landschaften der zuvor getrennten
Unternehmen zu integrieren, damit die von der Fusion erwarteten Synergieeffekte auch tatsächlich realisiert werden können. Wer für Datenschutz und
Datensicherung in einem Konzern zuständig ist, weiß darüber hinaus, dass
technische Kompatibilität allein noch keine hinreichende Bedingung für die
Realisierung von Synergievorteilen ist und wie schwierig die Balance zwischen
einheitlicher Konzernpolitik und Anpassung an die lokalen Erfordernisse ist.
Diese Probleme gibt es objektiv auch in der öffentlichen Verwaltung. Dort
spricht man auf der kommunalen Ebene auch immer häufiger vom »Konzern
Stadt«. Die Integration der IT über Dezernate oder gar alle Tochterunternehmen hinweg ist jedoch kein Thema von hoher Priorität. Die fehlende Integration ist für die kommunalen Spitzenmanager und für die Öffentlichkeit nicht so
relevant, weil zumeist keine Notwendigkeit zum automatischen Datenaustausch zwischen Tochterunternehmen besteht und nicht realisierte mögliche
Synergieeffekte wegen fehlender Kostenrechnung nicht entdeckt und von keinem Aufsichtsrat oder von Shareholdern eingefordert werden. Teilweise wird
sogar die Auffassung vertreten, dass man die gerade verselbstständigten
Tochterunternehmen nicht wieder über technische Standards und Kooperationsverpflichtungen in ihrer Autonomie beschneiden dürfe. So kann man
sich gut auf der jeweiligen Insel einrichten und das Kästchendenken zum
Prinzip erheben.
Glücklicherweise gibt es von jeder Regel Ausnahmen. Im folgenden wird
skizziert, warum es im Bildungsbereich wichtig ist, ein institutionenübergreifendes IT-Management zu etablieren. Und am Beispiel des Stadtstaates
Bremen wird gezeigt, dass die Realisierungschancen dafür nicht ganz so
schlecht stehen. Hier ist zumindest die Bereitschaft erklärt worden, aus den
Kästchen auszubrechen und die Zusammenarbeit zu versuchen.
2. IT im Bildungsbereich
Bei der Kombination der Wörter Informationstechnik und Bildung denkt man
zunächst an die Informationstechnik als Lerngegenstand (Computerkurse,
Freundesgabe Büllesbach 2002
78
Kubicek
Computerführerscheine, informationstechnische Grundbildung, Internetkurse etc.) und/oder an den Computer als Lernmittel (computergestütztes
Lernen, E-Learning, Online-Kurse) für fast alle Lerninhalte in der allgemeinen
und beruflichen Bildung sowie in der Erwachsenenbildung (Fort- und
Weiterbildung).
Beide Themenfelder liefern Diskussions- und Forschungsbedarf für
Jahrzehnte. So beginnt man gerade zu erkennen, dass ein Internetführerschein vielleicht doch nicht die geeignete Attraktion ist, um bisherige Offliner
für das Internet zu interessieren, obwohl sie glauben, dass es dort für sie
nichts Interessantes gibt. Möglicherweise gilt die These von McLuhen »the
media is the message« doch nicht so uneingeschränkt, und die Nutzungsmotivation entsteht für viele über die Erfahrung der Nützlichkeit bestimmter
inhaltlicher Angebote. Zumindest wurde in der Zusammenarbeit der Bremer
Universität mit der Stadtbibliothek festgestellt, dass themenbezogene
Kursangebote wie »Urlaubsplanung mit dem Internet« auch Teilnehmer angezogen haben, die sich für einen Internetführerschein nicht gemeldet hätten.
Ähnliche Erfahrungen wurden in einem Jugendfreizeitheim gemacht, das
überwiegend von ausländischen Jugendlichen besucht wird. Von ihnen haben
viele Lernschwierigkeiten in der Schule und würden an einem Internetführerscheinkurs nicht teilnehmen, weil sie sich ein erfolgreiches Bestehen der
Prüfung nicht zutrauen. Daher wurde ein noch stärker indirekter Ansatz
gewählt: Der Jugendsozialarbeiter schlug vor, den nächsten Disco-Abend
nicht mit mitgebrachten CDs zu bestreiten, sondern die aktuellen Musiktitel
aus dem Internet herunterzuladen und die Musik vom Computer abzuspielen.
So ganz nebenbei wurden dabei positive Erfahrungen mit dem Internet
gemacht. Welche Themen im einzelnen für welche Bevölkerungsgruppen relevant und geeignet sind, welche technischen Grundkenntnisse dabei indirekt
vermittelt werden sollen, wie die sinnvolle Mischung aus Fertigkeiten und
Hintergrundwissen auf der einen Seite und Spaß auf der anderen Seite aussehen soll und viele andere Fragen muss die Medienpädagogik oder wer
sonst auch immer noch herausfinden und weitertragen.
Ebenso sind in Bezug auf den Computer als Lernmittel mehr Fragen offen
als geklärt. Der von manchen Enthusiasten versprochene schnelle Erfolg des
Online-Lernens ist genauso wenig eingetreten wie die Hoffnungen in Bezug
auf das computergestützte Lernen in den 70er Jahren. Die virtuellen
Universitäten und vollständige Online-Kurse sind Baustellen geblieben. Es hat
sich gezeigt, dass – wie es Ortner auf den Punkt bringt – auch Online-Lernen
gelernt werden muss (Ortner 2002). Und das geht nicht online. Nun gilt es, die
angemessene Mischung aus Präsenzkursen und Online-Elementen zu finden.
Und diese fällt für unterschiedliche Bildungsstufen, Themengebiete und Teilnehmergruppen unterschiedlich aus. Daher ist es wenig hilfreich, wenn die
innerbetriebliche Weiterbildung in Unternehmen als Corporate University
bezeichnet wird und der Unterschied zwischen universitärer Grundausbildung
und Mitarbeiterschulung verdeckt wird.
Trotz dieser und vieler weiterer offener Fragen gibt es andererseits eine
Freundesgabe Büllesbach 2002
Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes
IT-Management
79
Gewissheit: Es geht nicht mehr um das Ob, sondern um das Wie der
Informationstechnik im Bildungsbereich. Die Nutzung von Computern und
Internet für Beruf und Alltag ist heute bereits und in Zukunft in noch größerem
Maße eine unabdingbare Voraussetzung, um im zunehmenden Wettbewerb
um Job und Karriere sowie persönliche materielle Vorteile und Anerkennung
1
zu bestehen. Keineswegs klar ist allerdings, wer diese Fähigkeiten und
Kenntnisse wo erwerben kann.
3. Wer lernt wo?
Seit einiger Zeit besteht weitgehender Konsens, dass alle Schülerinnen und
Schüler in ihrer Ausbildung die erforderliche Medienkompetenz erwerben sollen. Dabei geht man in der Regel weit über die informationstechnische
Grundbildung und ein Wahlfach Informatik hinaus. Computer, Multimedia
und Internet werden zunehmend als Lehr- und Lernmittel neben Büchern,
Arbeitsblättern und Ausschnitten aus Zeitungen und Zeitschriften in fast allen
Fächern eingesetzt. Medienkompetenz bedeutet nämlich auch, die Stärken
und Schwächen eines jedem Mediums zu erkennen und es dementsprechend
in den eigenen Medienmix einzufügen und fallweise über die Nutzung zu entscheiden.
Trotz oder gerade wegen der Initiative »Schulen ans Netz« wissen wir heute
allerdings auch, wie weit der Weg noch ist, bis dieses Lernziel wirklich für die
überwiegende Mehrheit der Schülerinnen und Schüler erreicht werden wird.
Die Telekom AG und das Bundesbildungsministerium mögen stolz den Erfolg
der Initiative verkünden, mit der 10.000 Schulen ans Netz gebracht werden
sollten und worden sind. Aber der Netzanschluss einer Schule ist nur eine
notwendige, keineswegs jedoch hinreichende Bedingung für den Erwerb von
Medienkompetenz bei allen ihren Schülerinnen und Schülern.
Auf die zusätzlich erforderlichen Maßnahmen wird im nächsten Abschnitt
eingegangen. Zuvor muss noch geklärt werden, wo diejenigen, die keine
Schule besuchen, Medienkompetenz erwerben können. Denn wie die folgende Tabelle zeigt, besuchen nur etwa 15 % der Bevölkerung die Schule oder
Hochschule. Wer erwerbstätig ist, könnte im Rahmen der beruflichen Aus-,
Fort- und Weiterbildung Medienkompetenz erwerben, wenn es fachlich, regional und zeitlich passende Angebote geben würde. Dies ist allerdings nicht der
Fall. Selbst große Unternehmen und der überwiegende Teil der öffentlichen
Verwaltung haben bisher kein Konzept für eine umfassende Schulung ihrer
Mitarbeiterinnen und Mitarbeiter, vergleichbar mit den PC- bzw. Textverarbeitungskursen vor zehn Jahren. Aber immerhin kann man für die Berufstätigen die Ziele und die Verantwortlichen benennen. Weitgehend unklar ist
dies hingegen für die 7 Mio. Hausfrauen und Hausmänner und die 18 Mio.
Rentnerinnen und Rentner.
Freundesgabe Büllesbach 2002
80
Kubicek
Tab. 1: Wer lernt wo?
Für ca. 35 % der Bevölkerung jenseits des schulpflichtigen Alters verfügen wir
heute über keine klar erkennbaren und ausreichenden Weiterbildungsmöglichkeiten. Zwar gibt es PC- und Internetkurse für Senioren und für Frauen
von unterschiedlichen Trägern. Zumindest bei den Senioren handelt es sich
überwiegend noch um Pilotprojekte, deren dauerhafte Existenz und Ausbreitung in die Fläche keineswegs gesichert sind.
Diese Versorgungsdefizite stehen in eklatantem Widerspruch zu den Bekundungen von der Bedeutung des Wissens und den Human Resources im
Strukturwandel von der Industrie- zur Informations- oder Wissensgesellschaft
2
und von der Notwendigkeit des lebenslangen Lernens.
4. IT-Management für nachhaltige Bildungserfolge
Wenn Deutschland bei der Internetnutzung weit hinter den skandinavischen
Ländern zurückliegt, hat dies auch damit zu tun, dass etwa Schweden sehr viel
früher und umfassender in der schulischen und außerschulischen Bildung für
entsprechende Angebote gesorgt hat.
Die rot-grüne Bundesregierung hat zwar vergleichbare Maßnahmen eingeleitet. Nach »Schulen ans Netz« kam »Bibliotheken ans Netz«. Aktuell sollen
nach der Bundestagswahl 10.000 Jugendeinrichtungen ans Netz. Im Rahmen
der Kampagne »Internet für alle« wurden u.a. Internet-Cafés für Senioren über
das Deutsche Rote Kreuz eingerichtet. Die Bundesanstalt für Arbeit fördert
3
Internet-Cafés für arbeitslose Jugendliche.
Vielfach handelt es sich um eine Anschubfinanzierung, die zeitlich befristet
ist und von der erwartet wird, dass der jeweilige Empfänger der Förderung
anschließend die Fortsetzung aus eigenen Mitteln finanziert. Dies ist jedoch
Freundesgabe Büllesbach 2002
Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes
IT-Management
81
keineswegs immer der Fall. Ebenso bleibt unklar, ob die geförderten
Maßnahmen überhaupt den erwarteten Effekt erzielen. Eine entsprechende
Evaluation findet zumeist nicht statt. Überwiegend herrscht die Auffassung
bei den Zuwendungsgebern und den Zuwendungsempfängern – wie es die
Titel der Kampagnen »X ans Netz« ja auch ausdrücken – dass es um ein
Ausstattungsprogramm geht, mit dem Computer und Internetanschlüsse in
die jeweiligen Einrichtungen zu bringen seien, und dann würden sich dort
schon die erfolgreichen Lernprozesse irgendwie einstellen.
Inzwischen hat sich zumindest im Schulbereich herumgesprochen, dass
dies nicht so ist (Kubicek/Breiter 1998, 120). Das US-Department of Education
hat schon Mitte der 90er Jahre ein Vier-Säulen-Modell der Technology Literacy
Challenge entwickelt und die Gesamtkosten von Unternehmensberatungen
und Universitätsinstituten ermitteln lassen (Kubicek 1998 b, 20). Die vier
Säulen sind
– Computer-Hardware,
– Netzanschluss und interne Vernetzung,
– Software und Content,
– Qualifizierung der Lehrerinnen und Lehrer.
Die Unternehmensberatungsfirma McKinsey hat bei der Schätzung der Kosten festgestellt, dass ca. 30 % der Investitionsmittel noch einmal jährlich für
den technischen Support aufzuwenden sind (S. 15). Dieser Support umfasst
technische Einweisungen und Behebung von technischen Problemen und die
Aktualisierung der Software ebenso wie die Netzwerkverwaltung und Nutzeradministration sowie die inhaltliche Beratung in Bezug auf geeignete Software und Online-Materialien für die jeweiligen Themengebiete.
Obwohl dies seit Jahren in der Fachdiskussion betont wird, gibt es heute
immer noch Förderprogramme und Ausstattungspläne für Schulen, die lediglich die Investitionskosten umfassen und für den Support keine laufenden
Sachmittel vorsehen. Dass Schulen diese aus dem allgemeinen Etat bezahlen
können, ist nicht anzunehmen. Also wird improvisiert oder nichts getan.
Vereinzelt gibt es kreative Lösungen, indem ein Händler gefunden wird, der
den Support übernimmt und die Kosten dafür auf den Kaufpreis aufschlägt.
So werden Sachmittel zu Investitionsmitteln. Aber der Händler kann nur einen
Teil der insgesamt anfallenden Supportaufgaben erfüllen.
Als auch in Bremen nur Investitionsmittel für die Schulen bereitgestellt
wurden, das Problem der fehlenden Sachmittel erkannt, im laufenden Haushaltsjahr aber nicht mehr korrigiert werden konnte, ist die Universität mit einem
Dutzend Informatik-Studenten eingesprungen und hat in Kooperation mit dem
Landesinstitut für Schule den S3-Support-Service geschaffen. Die Studenten
bieten den ca. 160 Bremer Schulen einen Support auf drei Ebenen an:
– Im Internet werden FAQ (Frequently Asked Questions) beantwortet.
– Wochentags von 9 bis 13 Uhr sind sie über eine telefonische Hotline erreichbar.
– Bei konkreten und akutem Bedarf fahren sie in die Schule und helfen vor
Ort.
Freundesgabe Büllesbach 2002
82
Kubicek
Diese Initiative hat sich so gut bewährt, dass sie inzwischen in einen Verein
überführt wurde.
Aus den US-amerikanischen Erfahrungen mit der Technology Literacy
Challenge wurde auch die Idee der Technologiepläne entliehen und in Bremen
4
umgesetzt. In einem Technologieplan muss eine Schule darlegen, welche
Bildungsziele sie verfolgt, welche Technik dazu erforderlich ist, wie sie diese
beschafft. wie der Betrieb organisiert, wie die Qualifizierung des Personals
erfolgen und wie das alles finanziert werden soll.
Bei der Ausschreibung von besonderen Ausstattungsmitteln für Multimedia-Modellschulen durch den Bremer Bildungssenator wurde die Vorlage
eines solchen Technologieplanes zur Voraussetzung für die Teilnahme
gemacht. Studierende der Informatik arbeiteten in einigen Schulen mit einem
kleinen Team von Lehrerinnen und Lehrern an der Erstellung solcher Pläne.
Dabei wurde deutlich, dass die Lehrerinnen und Lehrer wie auch die Schulleitung auf diese speziellen Planungsaufgaben nicht vorbereitet waren und
werden.
Man stelle sich vor, in einer Manufaktur würden neue Maschinen aufgestellt, aber es gäbe weder Arbeitsvorbereitung noch Instandhaltung und auch
keinen Plan für die Schulung der Arbeiter. Die Werksleitung würde immer
noch so arbeiten wie unter den Bedingungen der Handarbeit und die neue
Produktionstechnik nicht zur Kenntnis nehmen.
In Unternehmen gibt es inzwischen das IT-Management, das Beschaffung,
Einsatzplanung, Wartung und Betreuung sowie die Schulungsangebote plant.
Es lag nahe, ein ähnliches IT-Management für Schulen zu entwickeln, deren
Technikausstattung sich der von mittleren Unternehmen durchaus nähert
(Breiter 2001). Inzwischen liegen grundlegende Konzepte, Handbücher und
sogar eine Kurseinheit für einen Fortbildungskurs zum Schulleiter vor.
Bis zu den Initiativen Senioren ans Netz und Jugendzentren ans Netz sind
diese Erkenntnisse aus fünf Jahren »Schulen ans Netz« allerdings noch nicht
vorgedrungen. Hier sind vielmehr die gleichen Fehler zu beobachten, die bei
der ersten Initiative zur Ausstattung von Schulen gemacht wurden:
– ausschließlich oder überwiegend Bereitstellung von Investitionsmitteln,
– keine Mittel und kein Konzept für technischen und inhaltlichen Support,
– kaum Mittel und Konzepte für die Qualifizierung des Personals im
Hinblick auf die Vermittlung relevanter Inhalte für die jeweilige Zielgruppe.
Dieser fehlende Erkenntnistransfer dürfte mehrere Ursachen haben. Zum einen haben die für Schulen und die für Jugendarbeit zuständigen Stellen
wenig und die für Schulen und die für Senioren zuständigen noch weniger
miteinander zu tun. Und wenn etwas an Informationen herüber kommt, wird
dies vermutlich weitgehend verdrängt, weil man keine Lösungsmöglichkeit
sieht. Wenn das Personal in Jugend- und Senioreneinrichtungen tendenziell
verringert wird, kann schwerlich über Stellen für technische Betreuung beraten werden.
Freundesgabe Büllesbach 2002
Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes
IT-Management
83
5. Auf dem Weg zu einem IT-Management in institutionsübergreifenden
Bildungsnetzwerken
In Bremen liegt es nahe, den für den Schulbereich aufgebauten S-3-SupportService auch für die nun auszustattenden Jugendeinrichtungen heranzuziehen. Für die Beschaffung von Hard- und Software für die Schulen wurde kürzlich die Lern-mit-GmbH gegründet. Sie könnte auch die Beschaffung für die
Jugendeinrichtungen übernehmen. Zwischen dem Senator für Bildung und
Wissenschaft und dem Senator für Arbeit, Frauen, Gesundheit, Jugend und
Soziales gibt es sowohl auf der politischen als auch auf der Arbeitsebene die
Verabredung, auf dem Gebiet des IT-Management Ressourcen soweit wie
möglich zu bündeln, um so Verwaltungskosten zu sparen und Mittel für die
personelle Betreuung freizumachen. An dieser Abstimmung wird sich auch
die Stadtbibliothek beteiligen, die beim Senator für Inneres angesiedelt ist.
Diese Bereitschaft zur ressortübergreifenden Zusammenarbeit ist ein
bemerkenswerter Schritt, der so nicht unbedingt zu erwarten war. Er ist sicherlich teilweise der Erkenntnis geschuldet, dass man allein das eigene Ziel nicht
erreichen kann und aus wirtschaftlicher Not zusammenarbeiten muss. Die
Absichtserklärung ist zudem noch keine Umsetzung. Und auch dort, wo der
Wille vorhanden ist, stellen sich in der konkreten Praxis vielfältige technische,
organisatorische und wirtschaftliche Probleme, vor denen das IT-Management in Konzernen genauso steht.
Die geschilderte bisherige Entwicklung war ein Lernprozess durch Trial and
Error. Wesentlich dabei war u.a. eine praktisch-konstruktive und gleichzeitig
kritisch-reflektierende Zusammenarbeit zwischen der Universität und den
zuständigen Behörden. Die Bereitschaft, aus dem Kästchendenken auszubrechen, wurde auf der Seite der Bildungsbehörde maßgeblich auch durch die
Person des Senators, den ehemaligen Manager von Werder Bremen, Willi
Lemke, gefördert. Es war und ist sein persönliches Ziel und sein politischer
Auftrag, Innovationen im Schulsystem anzustoßen und erfolgreich zu implementieren. Ein bemerkenswertes Beispiel sind die in einem Kooperationsprojekt mit der Deutschen Telekom AG inzwischen eingerichteten 25 WebPunkte. 25 Schulen haben jeweils einen Multimedia-Raum mit 15 PCs und
einem Breitbandanschluss unter der Bedingung erhalten, dass sie diese
Ausstattung nachmittags für Angebote an die Stadtteilöffentlichkeit nutzen.
Entsprechende Angebote werden von Schülerinnen und Schülern, den sogenannten Web-Scouts, entwickelt und betreut, die von einem dafür verantwortlichen Lehrer ausgewählt und unterstützt werden.
Diese Initiative führt nicht nur zu einer besseren Ausnutzung der in den
Schulen installierten Technik, sondern auch zu verbesserten und neuen Kontakten zwischen Schulen und ihrer Nachbarschaft. Allerdings ist auch diese
Initiative nicht ganz ohne Probleme. In einigen Stadtteilen beschweren sich
die Jugendeinrichtungen, dass ihnen die technisch besser ausgestattete Schule
nun am Nachmittag die Jugendlichen abzieht. Diese unerwartete Konkurrenzsituation ist ein zusätzlicher und konkreter Anlass, die Kooperation über das
Freundesgabe Büllesbach 2002
84
Kubicek
IT-Management hinaus auch auf die Frage der Abstimmung inhaltlicher Angebote bis hin zu gemeinsamen Projekten auszuweiten.
Von diesem Konkurrenzproblem und eventuellen Kooperationschancen
sind allerdings nicht nur städtische Jugendeinrichtungen betroffen. Die Mehrheit der Jugend- und auch der Senioreneinrichtungen in Bremen befindet sich
nicht in kommunaler Trägerschaft, sondern wird von sogenannten Freien
Trägern der Wohlfahrtspflege betrieben. In einer Studie der Einrichtungen, die
in Bremen einen Internetzugang anbieten, wurde festgestellt, dass die
Situation in den Einrichtungen dieser freien Träger eher noch problematischer
ist, weil sie vielfach auch keine stabile Personalausstattung haben, sondern
mit ABM-Kräften und Zivildienstleistenden arbeiten (Kubicek/Welling 2001).
Oft sind es diese jungen Mitarbeiter, die aus eigenem Interesse an Computern
und Internet entsprechende Angebote in den Einrichtungen starten, ohne alle
erforderlichen Voraussetzungen schaffen und längerfristig gewährleisten zu
können.
Eine Einbeziehung dieser Einrichtungen in ein institutionenübergreifendes
regionales IT-Management für alle Einrichtungen des lebensbegleitenden
Lernens erscheint auf den ersten Blick kaum realistisch. Können Behörden so
weit aus ihren Kästchen-Vorstellungen von Zuständigkeiten und Mitteln etc.
heraustreten? Werden dabei nicht vielfältige Regeln der Mittelverwendung
verletzt?
Aber andererseits muss man Visionen haben. Wenn lebenslanges oder
lebensbegleitendes Lernen auf breiter Basis ermöglicht werden soll, gehört
dazu auch das informelle Lernen. Dies findet nicht in erster Linie in Schulen,
Universitäten, Volkshochschulen und anerkannten Weiterbildungseinrichtungen statt. Jugend- und Senioreneinrichtungen gehören nach der hier ver5
tretenen Auffassung unverzichtbar zur Bildungsinfrastruktur hinzu. Ihre Technikausstattung ist für die Entwicklung der Medienkompetenz in einer Region
genauso wichtig wie die der klassischen Einrichtungen. Ohne die freien Träger
ist Jugend- und Seniorenarbeit überhaupt nicht denkbar. Daher sind diese
auch in entsprechende Planungen einzubeziehen.
Die Vision ist, dass sich eine Region systematisch damit beschäftigt, welche
Bildungsangebote für welche Bevölkerungsgruppen in welcher Form und zu
welchen Themen ermöglicht werden und wie die Träger dieser Angebote
Kosten durch gemeinsame Nutzung von Ressourcen sparen und über Profile
ihrer Angebote in einer gesunden Mischung aus Kooperation und Konkurrenz
beraten. Das ist das, was man organisatorisch als Netzwerk bezeichnet. Ob der
Landesausschuss für Weiterbildung entsprechend erweitert werden kann und
will oder ob zunächst analog dem Agenda 21-Prozess ein »runder Tisch« als
Forum besser geeignet ist, muss geklärt werden.
Die Chancen dazu sind gar nicht so schlecht und die Vision gar nicht so
unrealistisch, wie sie auf den ersten Blick scheint. Bremen beteiligt sich nämlich an dem Förderprogramm Lernende Regionen des Bundesbildungsministeriums mit einem Konzept »Lernnetzwerk Bremen«. In diesem von der
Arbeitnehmerkammer koordinierten Projekt sind zwar noch nicht alle hier
Freundesgabe Büllesbach 2002
Ausbruch aus den Kästchen: Begleitendes Lernen durch institutionenübergreifendes
IT-Management
85
genannten Einrichtungen und Träger vertreten. Die Möglichkeit dazu besteht
durchaus. Auch das Landesprogramm Bremen in T.I.M.E. räumt der Weiterbildung und dem lebenslangen Lernen einen hohen Stellenwert ein. Noch existiert kein Bauplan, aber die Bausteine für ein zukunftsweisendes Netzwerk
von Lernorten sind vorhanden. Die Bereitschaft, die bisherigen Grenzen zu
überschreiten und aus den engen Kästchen auszubrechen, ist vorhanden und
kann durch entsprechende Anreize aus Bundes- und Ländermitteln nur noch
verstärkt werden. Und längerfristig ist auch nicht auszuschließen, dass sich
große Unternehmen in der Region an einem solchen Netzwerk beteiligen und
ihr Know-how zu IT-Management incl. Datenschutz und IT-Sicherheit einbringen.
1
2
3
4
5
Vgl. auch die Beiträge in Herbert Kubicek 1998 a.
Vgl. Centre for Educational Research and Innovation 1998; OECD 2001 sowie Dohmen 1998.
Informationen über diese und andere Projekte findet man im Webangebot des Netzwerks
Digitale Chancen, http://www.digitale-chancen.de.
Vgl. zu Technologieplänen Kubicek 1998 b,, 39 ff.
Dass diese Auffassung noch nicht weit verbreitet ist, kann man an dem kürzlich erschienen
White Paper 21st Century Literacy erkennen. Das Kapitel über Bildung beschäftigt sich ausschließlich mit Schulen. Vgl. Bertelsmann Stiftung und AOL Time Warner Foundation 2002.
Literatur:
Bertelsmann Stiftung / AOL Time Warner Foundation (2002): 21st Century
Literacy Summit, 7. / 8. März 2002.
Breiter, Andreas (2001): IT-Management in Schulen. Neuwied 2001.
Centre for Educational Research and Innovation (1998): The Well-being of
Nations.
Dohmen, Günther (1998): The Future of Continuing Education in Europe.
Bundesministerium für Bildung und Forschung, Bonn 1998.
Kubicek, Herbert u.a. (Hrsg.) (1998 a): Lernort Multimedia. Jahrbuch Telekommunikation und Gesellschaft 1998. Heidelberg 1998.
Kubicek, Herbert (1998 b): Medienmanagement in Schulen. Erfahrungen aus
den USA und erste Folgerungen für Hessen. Schriftenreihe Hessen Media,
Hessische Staatskanzlei (Hrsg.), Wiesbaden 1998, S. 20 ff.
Kubicek, Herbert, Breiter, Andreas (1998): Schulen ans Netz – und dann?
Informationstechnikmanagement als kritischer Erfolgsfaktor für den Multimediaeinsatz in Schulen. In: Kubicek, H. u.a. (Hrsg.): Lernort Multimedia.
Jahrbuch Telekommunikation und Gesellschaft 1998. Heidelberg 1998,
S. 120 – 129.
Kubicek, Herbert, Welling Stefan (2001): Studie zur betreuten Internetnutzung
im Land Bremen. Bestandsaufnahme, Defizitanalyse, Handlungsoptionen.
Technologie-Zentrum Informatik der Universität Bremen. Januar 2001,
http://infosoc2.informatik.uni-bremen.de/website/pdf/studie.pdf.
OECD (2001):The Role of Human and Social Capital. Paris 2001.
Ortner, Gerhard E. (2002): Auch E-Learning muss erst gelernt werden. In:
Freundesgabe Büllesbach 2002
86
Kubicek
Lauer-Ernst, Ute (Hrsg.): »IuK-Technologie – Portal zur Wissensgesellschaft«.
Dokumentation einer Fachtagung vom 19. bis 21. November 2001 im
Wissenschaftszentrum Bonn. Bundesinstitut für Berufsbildung Bonn 2002,
S. 89 – 97.
Freundesgabe Büllesbach 2002
87
Wolfgang Coy
Weder vollständig noch widerspruchsfrei
Informatik ist eine technische Wissenschaft. Das ist eine banale Erkenntnis,
die dennoch viel Widerspruch erfahren hat (Coy 2001). Rechnerbau und
Softwareentwicklung, die gewachsenen Kernbereiche der Informatik kommen
aus einer konstruktiven technischen Praxis, nämlich einerseits dem Präzisionshandwerk des Instrumentenbaus und andererseits aus der Mathematik,
vor allem der Numerik. Die faszinierende Leistung der Pioniere der Informatik
bestand darin, eine mathematisch-logische Basis der maschinellen Rechenkunst zu schaffen. Alan Turing und John von Neumann haben diese Fundierung frühzeitig erkannt, aber auch Konrad Zuse hat sich immer wieder mit der
mathematisch-logischen Basis des Rechnens befasst. Logik, Daten und Algorithmen sind die drei formalen Bauelemente der Informatik. Deren Umsetzung
in rechnende Maschinen, die Kopplung mit digitalisierten Signalen und die
globale Vernetzung haben die moderne Informatik geformt.
Bau und Programmierung von Rechenanlagen haben eine eigentümliche
Form der Kommunikation geschaffen, nämlich die Notwendigkeit, eine vom
Computer zu bearbeitende Aufgabe in kontextfreier, strikt kalkülhafter Weise
zu formulieren, eben: zu programmieren. Dies war vergleichsweise einfach,
als die Computer noch Rechner waren: Numerische Berechnungen sind naheliegenderweise algorithmisch und als Programme notierbar. Je mehr aber die
Informatik in die technische, industrielle und gesellschaftliche Praxis vordringt, um so unschärfer werden Aufgabenstellungen und um so bedeutender
wird der jeweilige Kontext. Kontexte treten in vielfältiger Form auf, die die
Auswahl der anwendbaren Programmverfahren einschränken. Je nach Aufgabe mögen unterschiedliche Anforderungen an die Präzision einer Rechnung
oder die Reaktionsgeschwindigkeit eines Programms gestellt werden. So
haben Banken bestimmte Rundungsregeln, die am besten besser durch BCDArithmetik statt durch binäre Arithmetik abgebildet werden. Realzeitsysteme,
wie beispielsweise ABS-Steuerungen im Auto, geben bestimmte maximale
Reaktionszeiten für die Berechnung vor. Am restriktivsten aber mögen die
rechtlichen, politischen und vor allem die ökonomischen Zwänge wirken, die
im jeweiligen Anwendungskontext vorgegeben sind. Kurz gesagt: Reale
Aufgaben der Informatik entstehen im Kontext, werden im Kontext geformt
und hängen von ihrem Kontext ab.
Die informatische Lehre hat sich lange auf die Vermittlung von kalkülhaftem
Wissen und kalkülhaften Fertigkeiten konzentriert und reale Kontextbeschränkungen weitgehend ignoriert – mit zwei wichtigen, freilich innertechnischen Ausnahmen: Rechengeschwindigkeiten und Speicherbedarf. Das entsprach den unmittelbaren technischen Gegebenheiten – alle Computer sind
bis auf den heutigen Tag zu langsam und stellen zu wenig Speicher zur Verfügung. Nicht nur die Konstrukteure und Programmierer, sondern auch die
Theoretischen Informatiker haben diesem Problemkreis deshalb besondere
Freundesgabe Büllesbach 2002
88
Coy
Aufmerksamkeit gewidmet: In der Komplexitätstheorie wird unterhalb der
harten Schranke der Berechenbarkeit vor allem das Laufzeitverhalten und der
Platzbedarf von Algorithmen untersucht. Die allgemeineren Kontexte der
informatischen Anwendungen werden in Lehre und Forschung meist weniger
aufmerksam verfolgt – wenn überhaupt. Nach wie vor bilden Regelhaftigkeit,
Explizitheit, Korrektheit, Vollständigkeit oder Entscheidbarkeit die Leitlinien
informatischer Ausbildung. In der Informatik werden in erfolgreicher Tradition
einzelne Aspekte der beruflichen und wissenschaftlichen Anforderungen
gelehrt, es mangelt aber an der Integration zu einem reflektierenden Ganzen.
Dies ist um so bedauerlicher als die Informatik sich in ihrem Objektbezug
regelmäßig gehäutet hat – von den Rechenautomaten über die Minis,
Workstations und PCs zu den vernetzten Medienmaschinen, die uns heute zur
Verfügung stehen (Coy 1995, Coy 1997). Das Fach Informatik bleibt aber in der
technischen (oder theoretischen) Ausbildung stecken und ignoriert die
Anwendungen und Kontexte weitestgehend; es wird nicht zur Wissenschaft,
1
denn auch hier gilt: »Das Wahre ist das Ganze.«
In der industriellen Praxis bleibt dies nicht unbeobachtet und so mehren sich
seit über einem Jahrzehnt die Stimmen, die neben den formalen Qualifikationen in der Ausbildung die sogenannten »soft skills« einfordern. Obwohl dies
eine eher unscharfe Beschreibung erkennbarer Ausbildungsdefizite ist, werden vor allem fehlende Anwendungsorientierung, unterentwickelte kommunikative Kompetenz, mangelnde soziale Kompetenz und unzureichende
2
Einübung zur Teamarbeit in der Informatiklehre eingeklagt. Das sind nun
Anforderungen, die nicht additiv, durch Hinzufügen weiterer Wissensbestände, zu beheben sind; hier werden Fertigkeiten erwartet, die über das
Faktenwissen und isolierte technische Kenntnisse und Praktiken hinausgehen.
Während über die Analyse des Mangels eine zunehmende Einigkeit besteht,
gibt es keine Übereinkunft zu deren Beseitigung. Fraglos jedoch muss die in
ihrer Weise erfolgreiche formale technische Lehre der Informatik um Ausbildungselemente erweitert werden, die diese soft skills vermitteln. In besonderer Weise scheint das Gebiet Informatik und Gesellschaft dafür geeignet zu
sein, da die Analyse des Kontextes der Informatik den Ausgangspunkt einschlägiger Forschung und Lehre bildet. Die Minimalforderung eines zeitgemäßen Updates der Informatiklehre ist deshalb, endlich an allen Informatikfakultäten und Fachbereichen ein solches Fach als selbstständige Einheit einzuführen.
Was soll nun in einem solchen Fach Informatik und Gesellschaft vermittelt
werden? Angesichts der Lernziele der gewachsenen Ausbildung in Informatik
muss Informatik und Gesellschaft in gewisser Weise komplementär arbeiten.
Wir haben auf die Vermittlung der soft skills hingewiesen. Zwei weitere
Aufgaben scheinen mir hinzuzukommen, die über diese berufsqualifizierenden Anforderungen hinausgehen. Das ist zum einen die Reflexion der Informatik als Ganzes, in dem sich die Teile der gesamten zu einem umfassenden
(eben »gesellschaftlichen«) Kontext verbinden lassen. Zum anderen gilt es,
kritische Urteilskraft zu entwickeln, nämlich die Befähigung, im konkreten
Freundesgabe Büllesbach 2002
Weder vollständig noch widerspruchsfrei
89
Kontext potentielle und reale Konflikte oder Widersprüche zu erkennen, diese
zu analysieren und in widersprüchlicher Entscheidungslage gegebenenfalls
Werturteile zu fällen. Dies kollidiert vordergründig mit der großen und erfolgreichen mathematischen Tradition der Informatik, die in ihren Kalkülen ja aus
guten Gründen jeden logischen Widerspruch verbannt. Konflikte und Widersprüche im Alltag, außerhalb der formalen Kalküle, sind aber der Stoff, aus
dem der Fortschritt wächst, sie sind die Basis des »Werdens«, wie Hegel es in
seiner Sprache ausdrückt. Widersprüche sind eben auch die Ausgangslage
der Konkurrenz, der Triebkraft der wirtschaftlichen Entwicklung ebenso wie
des wissenschaftlichen oder technischen Fortschrittes. Dies verlangt die
Fähigkeit, komplexe Systeme aus technischer Sicht zu beurteilen wie aus
nichttechnischer Sicht. Im Konkreten sind dies Befähigungen, die auch in den
Teilgebieten der Informatik gelehrt und gelernt werden müssen, Informatik
und Gesellschaft ist der »natürliche Ort«, wo die Informatik als Technik im
Kontext und als »Ganzes« reflektiert werden kann.
Angesichts der spezialisierten technischen und theoretischen Fachgebiete,
die sich bislang in der Informatik entwickelt haben, ist es nun endlich an der
Zeit, in allen Informatikfachbereichen Fragen zum Verhältnis zwischen Informatik und Gesellschaft in Lehre und Forschung zu verankern. Dies ist eine notwendige Forderung, sie reicht aber nicht aus, wenn dies nur als Anreicherung bestehender Lehre um einige weitere Aspekte verstanden wird. Sicher
gehören Anwendungsorientierung und die damit verbundenen kontextbewussten »soft skills« in alle Lehrfächer praxisbezogener Informatik, denn nur
so können sie zur selbstverständlichen beruflichen Qualifikation werden. Doch
die Vorstellung, Informatik und Gesellschaft sei als eigenständiges Fach überflüssig, wenn nur alle anderen Vorlesungen und Seminare diese Aspekte hinreichend berücksichtigten, schießt über das Ziel hinaus. So verständlich dieser Wunsch nach einem ganzheitlichen Unterricht klingt, so geht er doch am
Zwang zur Arbeitsteiligkeit vorbei, der aus der Komplexität der Probleme
erwachsen ist. Um den reichhaltigen Kontext moderner Informatiksysteme
angemessen zu vermitteln, muss die Lehre in Informatik und Gesellschaft so
vielfältige Inhalte wie Informationsrecht, (alte und neue) Ökonomie oder
Arbeits- und Berufswelt der Informatik ansprechen und gegebenenfalls vertiefen. Darüber hinaus muss Informatik und Gesellschaft die geistigen und kulturellen Grundlagen des Faches vermitteln und nicht zuletzt sollen die
Fähigkeit zur Bewertung soziokultureller Prozesse geweckt werden – von der
berufsspezifischen Ethik bis zu den historischen und politischen Aspekten der
Globalisierung und Informationsgesellschaft. So begrüßenswert es ist, wenn
solche Themen an der richtigen Stelle im fachlichen Kontext an- und ausgesprochen werden, so scheint es mir doch unerlässlich, diese Themenkomplexe
auch im eigenen Kontext und mit der eigenen Logik, eben in einem eigenen
selbstständigen Fach Informatik und Gesellschaft, zu präsentieren und zu
diskutieren. Eine solche Antwort auf die komplexen Herausforderungen positionierte die Informatik als eine Technikwissenschaft neuen Typs, die sich aus
einer erfolgreichen Praxis zu einer reflektierenden Wissenschaft mausert.
Freundesgabe Büllesbach 2002
90
Coy
In welchen Formen soll Informatik und Gesellschaft gelehrt und gelernt werden? Das Fach befindet sich in der Konkurrenz mit anderen Informatikfächern
und muss zuvorderst die Anforderungen der jeweiligen Studien- und
Prüfungsordnungen erfüllen. Das wird im Regelfall bedeuten, dass die
üblichen Vermittlungsformen der Vorlesung, der Übung und des Seminars
gewählt werden müssen. Den Besonderheiten des Faches werden diese
Formen freilich nicht im gleichen Maße gerecht, wie es bei den anderen
Fachgebieten der Informatik der Fall sein mag. Informatik und Gesellschaft ist
in wesentlich stärkerem Maße diskursiv angelegt als es die reine
Wissensvermittlung oder Einübung von Praktiken verlangt. Deshalb müssen
Diskussionen in Übungen und Seminaren helfen, kontextbezogene Kritik3
fähigkeit zu fördern und Urteilskraft zu stärken.
Es ist für viele Studierende (und Lehrende) in der Informatik ungewohnt,
über Themen zu reden, die nicht einen »one best way« als »Lösung« kennen.
Um sich mit solchen Themen auseinanderzusetzen, die ja im ökonomischen,
rechtlichen und politischen Alltag andauernd auftreten, ist es wichtig, Themen
zu bestimmen, die aktuell sind und die eine nachvollziehbare Verbindung zur
Informatik besitzen. Nur so kann das im Studium erworbene informatische
Fachwissen integriert werden in ein angemessenes reflektiertes Urteil, das
dann im konkreten Fall bei den Studierenden (wie bei den Lehrenden) unterschiedlich ausfallen mag. Hier kann kommunikative Kompetenz (und Toleranz)
praktisch geübt werden.
Zur Stärkung kommunikativer Kompetenz und der Urteilskraft ist es sicher
hilfreich, gelegentliche methodische Anleihen bei anderen Wissenschaften zu
machen. Wir erleben ja seit 25 Jahren, dass sich die früher so geschlossene
Welt industrieller Datenverarbeitung zur Büro-, Medien- und Spielemaschine
PC erweitert hat. Dieser Prozess ist in den letzten zehn Jahren mit dem Internet
noch weiter beschleunigt worden und so bietet das Netz dem Bereich Informatik und Gesellschaft ein globales soziales und kulturelles Labor in Realzeit
an. Die umfassende und rasant aufblühende Ausprägung Digitaler Medien
belegt mehr als irgendeine andere Entwicklung die unmittelbare Kopplung
von Informatik und Gesellschaft, Informatik und Kultur. Das Fach hätte sich
kein spannenderes Szenario ausmalen können – wir sollten dieses Labor also
umfassend nutzen. So mag hilfreich sein, quasi-ethnographische Erkundungen vorzunehmen, um reale Fragestellungen zu untersuchen. Der gezielte
Einsatz des WWW ist hier ebenso wie die Expertenbefragung oder auch einmal die Umfrage unter Betroffenen. Solche Verfahren werden zur äußerst wirkungsvollen Ergänzung der Literaturrecherche. Zu den besonderen Herausforderungen in der Lehre gehört der Umgang mit Konfliktstoffen. Von den
Juristen haben wir an der Humboldt-Universität übernommen, in den Übungen aktuelle Kontroversen der Informationstechnik in einer Art öffentlicher
Verhandlung in Proponenten- und Opponentenrollen zu vertreten. Das ist für
Studierende und Lehrende ungewohnt, aber es ist ein gutes Training zum
Präsentieren, Zuhören und Urteilen. Auch die Vorlesung muss ihren Charakter
unter den nichttechnischen Inhalten des Fachs ändern. Die Aufgabe, in den
Freundesgabe Büllesbach 2002
Weder vollständig noch widerspruchsfrei
91
Veranstaltungen für Informatik und Gesellschaft Kontexte zu vermitteln, mag
Lehrende dazu bringen, ihre Kenntnisse und Erfahrungen nicht nur in einer
streng systematischen Form anzubieten, sondern die Vorlesung auch dazu zu
nutzen, eine Fragestellung in Form einer »Geschichte« zu erzählen. Wir haben
damit gute Erfahrungen gemacht.
Fraglos können solche didaktischen Ansätze auch wesentliche Elemente
eines Projektstudiums werden, wie es an einigen Hochschulen seit langem
erfolgreicher Teil der Ausbildung ist. Gerade die Möglichkeit, einen Themenbereich unter unterschiedlichen Aspekten zu behandeln, fordert dazu heraus,
ein aktuelles Informatikthema auch unter Aspekten von Informatik und Gesellschaft zu behandeln – sinnvollerweise in Kooperation mit Kollegen aus dem
Kernbereich der Informatik. Insgesamt bietet die Lehre in Informatik und
Gesellschaft stärker als andere Fachgebiete Anlässe, mit neuen Lehr- und
Lernformen zu experimentieren.
Bei aller Aufgeschlossenheit bleibt freilich als notwendige Einsicht: Das
Ganze kann nicht gelehrt (oder gelernt) werden, aber wir können viel mehr als
nichts lernen (und lehren). Das »Wahre« kann nur bruchstückhaft aus seinen
Teilen heraus thematisiert werden. Doch schon die formale Logik lehrt uns:
Solange Lehre »korrekt« bleibt, wird sie niemals vollständig sein. Wo sie aber
lebendig ist, wird sie Widerspruch ernten. Wie immer wir die Lehre gestalten,
gilt bei aller Bemühung unvermeidlich: Weder vollständig noch widerspruchsfrei!
1
2
3
Hegel fährt ja nach seinem berühmten Satz in der Einleitung zur Phänomenologie des Geistes
fort mit: »Das Ganze aber ist nur das durch seine Entwicklung sich vollendende Wesen.« Nun
ist nicht mit einer Vollendung der Informatik zu rechnen, aber eine gewisse Entwicklung ist
sehr wohl erkennbar.
Vgl. Empfehlung der Gesellschaft der Informatik e.V. (1999) zur Stärkung der Anwendungsorientierung in Diplom-Studiengängen der Informatik an Universitäten.. Gezielt betonen dies
auch die »Ethischen Leitlinien« der Gesellschaft für Informatik von 1993, denen die Mitglieder
mit sehr großer Mehrheit zugestimmt haben (Arbeitskreis Informatik und Verantwortung
(1993).
Damit soll die Wichtigkeit diskursiver Aneignungsweisen in den Kernfächern der Informatik
keineswegs geschmälert werden. Jedoch sind ein oder zwei Seminare im ganzen Studium, die
dann noch auf einen Vortrag mit Nachfragen reduziert werden, einfach zu wenig!
Literatur
Coy, Wolfgang (2001): Was ist Informatik? Eine kurze Geschichte der
Informatik in Deutschland. In: Desel, Jörg (Hrsg.), Das ist Informatik,
Berlin – Heidelberg – New York: Springer 200.1
Coy, Wolfgang (1995): »Automat – Werkzeug – Medium«, Informatik Spektrum
18:1 (1995).
Coy, Wolfgang (2001): Bildschirmmedium Internet? Ein Blick in die Turingsche
Galaxis. In Schanze, H. & Ludes, P. (Hrsg.), Qualitative Perspektiven des
Medienwandels, Opladen: Westdeutscher Verlag 1997.
Freundesgabe Büllesbach 2002
92
Coy
Gesellschaft der Informatik (1999): Empfehlung der Gesellschaft der
Informatik e.V. zur Stärkung der Anwendungsorientierung in DiplomStudiengängen der Informatik an Universitäten. In: Informatik Spektrum
22(6), 1999.
Arbeitskreis Informatik und Verantwortung (Hrsg.) (1995): Ethische Leitlinien
der Gesellschaft für Informatik, Informatik-Spektrum 16, 1993.
Freundesgabe Büllesbach 2002
93
Günter Müller
Enthält die Informatik Sprengkraft für Regulierungssysteme?
Grundlegende Ziele von Regulierungssystemen sind es, im besten Falle die
Interessen der Betroffenen zu gewährleisten und im wirtschaftlichen Kontext
einen chancengleichen Wettbewerb zu ermöglichen. Dabei sind unter einem
Regulierungssystem alle Maßnahmen zu verstehen, die zur spezifischen
Zielerreichung notwendig sind. Technik und damit auch die Informatik sind in
diesem Sinne nur Werkzeuge und damit nicht wirklich bestimmend für Regulierungssysteme im allgemeinen. In den vergangenen Jahren ist dieses
unerschütterliche Fundament jedoch ins Wanken geraten. So wird auf der
einen Seite behauptet, dass es sich bei den Folgen der Informatik um etwas
völlig Neues handle, während auf der anderen Seite die komplexen und vielfältigen Auswirkungen nur im Detail als neue, in der Struktur jedoch bekannte Herausforderungen gesehen werden. Die Informatik hat Werkzeugcharakter. Unklar ist jedoch, ob der dadurch ermöglichte Rationalisierungsgewinn
so stark ist, dass nur die Begründungen verschieden, die Ergebnisse beider
Schulen jedoch identisch sind.
Der nachfolgende Beitrag stellt einen Diskussionsbeitrag dar, wie die Fortschritte in der Technikentwicklung eingeschätzt werden können, in der Hoffnung,
dass mit Hilfe der Sprengkraft aus Unwissenheit durch bewusste Veränderung
Wissen werden kann. Der vorliegende Beitrag hat zum Ziel, die treibenden und
gesellschaftsverändernden Kräfte der Informatik darzustellen, um die Sprengkraft nicht nur negativ wahrzunehmen, sondern in Kenntnis aller Ambivalenz
die positiven Seiten des technischen Fortschrittes nutzbar zu machen.
1. Zukunftsforschung und die Abgrenzung zum Orakel von Delphi
Die Gesellschaft stellte an die Wissenschaft schon immer nicht nur im Bereich
der objektiven Fakten und der intersubjektiven Wahrheiten hohe Anforderungen, sondern erwartete wegen der erfahrbaren Wechselwirkungen in die
Gesellschaft hinein auch Aussagen über die möglichen Chancen und Risiken
(Müller 1996). In der Antike entstand daraus die schon damals gescheiterte
Idee nach der direkten Herrschaft der Philosophen. Heute ist die antike Idee
noch immer lebendig und äußert sich in der Forderung nach gesellschaftlicher
Verantwortung der Experten selbst. Die Nachfolge der Philosophen gewissermaßen als Sprengmeister bisheriger gesellschaftlicher Vorstellungen treten
mit wechselnder Beachtung die Informatiker, die Biologen und vor einigen
Jahrzehnten die Physiker an. Dies stellte für viele eine neue und oft bittere
Erfahrung dar, war man doch der Ansicht, dass Technik nur ein Werkzeug sei
(Müller 2001). Diese Denkweise ist noch immer und nicht nur vereinzelt vorhanden. Prognosen sind bisher in der Informationstechnik immer dann falsch
gewesen, wenn die Perspektive über drei Jahre und die Prognose über
Freundesgabe Büllesbach 2002
94
Müller
das Allgemeine und Unverbindliche hinausging. Die Nützlichkeit der wissenschaftlich basierten Zukunftsforschung hat dabei wohl die Treffsicherheit des
delphischen Orakels nicht übertroffen.
2. Welche Fragen sollten an die »Informatik« gestellt werden?
Das Fach »Informatik« ist eine Realwissenschaft und ist erkenntnisgetrieben.
Mit inzwischen anerkannten Methoden werden Aussagen zu den Erkenntnisschritten Beschreibung, Erklärung, Vorhersagen und Gestaltung des Erkenntnisgegenstandes »Informationssysteme« abgeleitet. Die wissenschaftliche
Selbstkontrolle innerhalb der Disziplin ermöglicht die Einhaltung anerkannter
Qualitätsstandards, die als wesentliche Regulierungsmechanismen anzusehen sind. Zwischen der wissenschaftlichen Befriedigung der gesellschaftlichen Anforderungen durch Beschreibungen, Erklärungen sowie der Akzeptanz von Vorhersagen und der Realisierung in der Technikgestaltung der Informatik selbst liegen scheinbar unüberbrückbare Hürden.
Die Informatik wird als eine Disziplin gesehen, die durch die Verwertbarkeit
ihrer Ergebnisse eine universelle Bedeutung erlangt hat, die nicht nur den
Wohlstand ganzer Volkswirtschaften, die Wettbewerbsfähigkeit von Unternehmen, sondern auch die Fähigkeit des Einzelnen, am Fortschritt teilzunehmen, maßgeblich bestimmt (Mansell/Steinmüller 2001). In diesem Kontext
werden vom Fach »Informatik« Antworten auf drei Fragestellungen erwartet
(Müller 2001):
a) Was kann geschehen? Ausgehend vom gegenwärtigen Stand der Technik
und innerhalb der Informatik selbst sind Beschreibungen, Erklärungen
und Abschätzungen der potentiellen Entwicklung zu erbringen (technische Frage).
b) Was wird geschehen? Die meisten wissenschaftlichen Erkenntnisse bleiben ohne gesellschaftlichen Effekt im akademischen Bereich oder in den
Labors der Wirtschaft stecken. Sie werden nie zu einer Innovation. Die
Auswahl der »zukunftsträchtigen« Ergebnisse aus dem wissenschaftlichen Vorrat wird zunehmend nach wirtschaftlichen, aber auch nach politisch orientierten Kriterien bestimmt (wirtschaftliche Frage).
c) Was soll geschehen? Es geht auch hierbei um die Technikauswahl zur
Beeinflussung der Technikgestaltung, nur wird die Einbeziehung zusätzlicher Kriterien gefordert, die eher dem ethischen, moralischen oder auch
humanen Bereich zuzuordnen sind, also zu normativen Orientierungen
führen sollen (Mansell/ Steinmüller 2001) (gesellschaftliche Frage).
Die zu überwindenden Lücken und Hürden solch komplexer Aufgabenstellungen sind kaum durch eine zentrale Organisation zu regulieren, sondern erfordern die Kooperation und den Diskurs der beteiligten Disziplinen. Dies soll
beispielhaft an zwei aktuellen Fällen gezeigt werden:
Freundesgabe Büllesbach 2002
Enthält die Informatik Sprengkraft für Regulierungssysteme?
95
A. Bezahlfernsehen in Europa:
Die Firmen Bertelsmann und Kirch haben mit erheblichem finanziellen Aufwand eine technisch konkurrenzfähige Lösung für das Bezahlfernsehen entwickelt, die einen weltweiten Vorsprung geboten hätte. Die technische Lösung
war führend und die wirtschaftliche Entscheidung war sowohl betriebswirtschaftlich, aber auch volkswirtschaftlich durch die wohlfahrtsorientierten Folgen einer solchen Großtechnologie begründet und von jedermann mit Fachkompetenz nachvollziehbar. Die Entscheidung zur Ablehnung erfolgte auf der
gesellschaftlichen Ebene durch die EU-Kommission. Wirtschaftlich tragbar
wäre das Vorhaben nur gewesen, wenn Inhalte und die Verteilung in einer
Hand gelegen hätten. Die Verbindung von Technologie und Inhaltsanbieter
trug damit die Gefahr – nicht Gewissheit – einer gesellschaftlich nicht gewollten Dominanz in sich.
B. Microsoftklage in den USA:
Nur vordergründig steht eine spezifische, scheinbar wenig bedeutende
Verkaufs- und Bündelungsstrategie von Microsoft auf der Anklagebank. Der
Internetexplorer wird kostenlos bei Bezug von WINDOWS mitgeliefert und
wird wegen der monopolartigen Stellung von WINDOWS für viele zum primären Zugang ins Internet. Der Marktanteil von NETSCAPE ist wohl auch als
Folge davon auf ca. 14% gesunken. Ausgangs-punkt dieser Strategie ist jedoch eine auf technisch unbestreitbaren Fakten aufbauende Geschäftspolitik.
Alle Produktgrenzen in der Informatik sind künstlich und durch die Hierarchie
der aktuellen Systemarchitekturen bestimmt. Die bisherige Begründung der
Anklage stellt dies nicht in Frage, sondern lautet auf Behinderung des wissenschaftlichen Fortschrittes und das Erstreben einer marktlichen Dominanz.
Der Hinweis auf die technische »Ignoranz« der Ankläger durch Microsoft entbehrt nicht einer gewissen Überzeugungskraft.
Gibt es nun eine Möglichkeit, zumindest auf jeder einzelnen Abstraktionsebene und damit isoliert für jede der obigen Fragen Objektivität zu erreichen?
Es ist aus beiden Fällen sichtbar, dass nur im Bereich der technischen Fragestellungen Aussagen innerhalb eines Faches unter Einbeziehung aller dort geltenden Aspekte möglich sind. Bereits bei der wirtschaftlichen, aber vermehrt
bei der gesellschaftlichen Frage sind Aussagen »ex cathedra« immer fachübergreifend. So können im technischen Bereich durch das Fach »Informatik«
die Ansatzpunkte identifiziert werden, die zur Aufdeckung der Auswirkungen,
sowohl auf die Gesellschaft als auch auf die Wirtschaft geeignet sind. Des weiteren sind die Anforderungen für eine »gesellschaftlich« vorausschauende
und akzeptable Technikgestaltung zu erkennen. Die gesellschaftlichen Triebkräfte sind allerdings historisch bisher meist erst ex-post festgestellt worden.
Sollte der technische Fortschritt in der Informatik in der bisherigen Form erhalten bleiben, wird wohl auch die Sprengkraft der Technik unumgänglich sein.
Freundesgabe Büllesbach 2002
96
Müller
3. Ist die Sprengkraft der Informatik positiv oder negativ?
Die Informatik ist weder in ihrem Gegenstand noch in ihren Methoden und
Werkzeugen statisch. Der deutsche Name »Informatik« hat einen ganzheitlichen Anspruch. Man wollte nicht eine Disziplin schaffen, die sich eine ständig »wandelnde Maschine« zum Gegenstand der Forschung auserkor, sondern strebte, wie die anderen akademischen Disziplinen, die Erforschung
eines eher dauerhaften Gegenstandes an, hier also die Information. Die pragmatische Vorgehensweise, vielfach »Sachzwänge« durch rasche, so bisher
nirgends erfahrene Geschwindigkeit bei der Technikentwicklung und die
Überlegenheit und wohl noch lange anhaltende Dominanz der amerikanischen »Computer Science«, ließen den ursprünglichen ganzheitlichen Anspruch der Informatik nie unumstritten zum Durchbruch kommen. Der praktische Teil der selbst dem Wandel unterliegenden akademischen Disziplin »Informatik« wird auch als die »Lehre von der Konstruktion von Systemen«
bezeichnet, während die theoretische Informatik – wie die Mathematik – als
strukturierend zu charakterisieren ist.
Der erste programmierbare Rechner nach moderner Architektur wurde
1936 von Zuse in Berlin gebaut und erschloss den Zugang zu bisher in absehbaren Zeiträumen unberechenbaren wissenschaftlichen Problemen, wodurch
ein Erkenntnisschub in vielen Bereichen ausgelöst wurde (Randell 1973).
Wesentliche Theorien und Gestaltungsprinzipien für Rechner sind seit Turing
und von Neumann unverändert. Wirksame und für die Gesellschaft relevante
Veränderungen sind durch neue Materialien, verbesserte Fertigungstechniken, aber insbesondere durch eine dramatische Veränderung der Kostenrelationen entstanden, die aus dem wissenschaftlichen Instrument »Rechner« das
Massenprodukt »PC« gemacht haben (Müller/Kohl/Schoder 1996). Dieser
technische Fortschritt gehorcht seit ca. 30 Jahren dem Moore‘schen Gesetz.
Dies ist kein Gesetz im wissenschaftlichen Sinne, sondern eine Faustregel.
Danach verdoppeln sich alle 18 Monate die Leistungen der Prozessoren, der
Speicher und seit einiger Zeit auch die Bandbreiten der Rechnernetze bei
gleichbleibenden Preisen. Man schätzt, dass dieser Prozess bei einem möglichen Wechsel auf Quanten- und optische Technologien noch ca. zehn Jahre
anhält. Bezüglich der Kostenrelationen bestimmt das Preisverhältnis von
Technologie, Plattform und Schnittstelle das Entstehen neuer Rechnerklassen.
In den achtziger Jahren war das Gesamtprodukt der Kosten aus Plattform,
Technik und Nutzerschnittstelle bei den »Mainframes« etwa zehnmal teurer
als bei den Arbeitsplatzrechnern. Eine neue Rechnerklasse, der »PC« entstand
und die Computerindustrie veränderte sich revolutionär. Der PC erfährt seit
dieser Zeit eine evolutionäre Entwicklung, wobei die Kostenstabilität bei der
Technik durch ein erhebliches Kostenwachstum bei den Schnittstellen zu insgesamt wachsenden Gesamtkosten führt. Viele Fachleute sind der Überzeugung, dass deswegen die Tage des PCs gezählt seien und dass dieser durch
mobile, vernetzte und langfristig sogar »allgegenwärtige« Rechner ersetzt
werde. Historisch hat bisher etwa alle zehn bis 15 Jahre der KostenunterFreundesgabe Büllesbach 2002
Enthält die Informatik Sprengkraft für Regulierungssysteme?
97
schied in einem Teilfaktor den Betrag zehn überschritten. Proaktive Agenten,
Miniaturisierung und spontane Vernetzung zeigen beispielhaft, wo diese
neuen Anwendungen zu finden sind (Müller/Kreutzer 2001). Aus dieser Entwicklung heraus, sowohl in der Informatik selbst, als auch der Technik, sind
Methoden entstanden, die entweder als strukturierend oder konstruierend zu
klassifizieren sind.
Positive bzw. negative Sprengkraftwirkung der Informatik sind vor allem
durch die strukturierenden und konstruierenden Methoden der aktuellen akademischen Disziplin »Informatik« inklusive der »Bindestrich-Informatiken«
gegeben. Die Synthese aus beiden Ansätzen ist selten, aber theoretisch möglich und erstrebenswert. Beispiele wären dann Systeme, die auch das tun, was
der Entwickler will, dass sie tun sollen. Die Implementierung entspricht dann
der Spezifikation und umgekehrt. Dies zu garantieren, ist bisher in der Informatik nur in einfachen Fällen erreicht und folglich sind auch die auf dem Markt
verfügbaren Produkte mit erheblichen Unsicherheiten in ihrem Verhalten belastet.
Strukturbildende Ansätze bestimmen die Forschungsziele der theoretischen
Informatik. Am Beispiel der formalen Methoden seien Anspruch und
Wirklichkeit skizziert. Es geht hier darum, auf einer höheren Abstraktionsebene durch Spezifikationen, die Implementierung durch ein mathematisches
Kalkül zu überprüfen. Hier sind zweifellos erhebliche Fortschritte erzielt worden. Von einem Durchbruch der Verfahren, die einerseits den strengen formalen Anforderungen entsprechen, aber auch andererseits einen Anreiz für ihren
Einsatz hinsichtlich wirtschaftlicher Kriterien bieten, kann noch nicht die Rede
sein (Dijkstra 2001). Mathematische und damit strukturelle Inkonsistenzen
können entdeckt werden, semantische Fehler sind formal nicht erfassbar.
Konstruierende Ansätze bestimmen die dominanten Forschungs- und
Entwicklungsformen der praktischen Informatik und der »BindestrichInformatiken«. Dabei werden insgesamt zwei Ziele angestrebt oder können
voneinander unterschieden werden: Entweder werden Werkzeuge erstellt
oder Werkzeuge zu Systemen integriert und damit hybride oder Mehrwertsysteme erzeugt. Erfolgs- und Beurteilungskriterien sind bei vorausgesetzter
technischer Qualität und Originalität des Vorhabens dann letztlich wirtschaftlicher Natur und drücken sich weniger in den Kosten für die Erstellung des
Informationssystems aus als in der Marktdurchdringung und den Fähigkeiten
einen, wenn auch nicht unbedingt formalen Standard zu setzen, der in den
Gremien von DIN und ISO entstanden ist. Fast alle wirtschaftlich relevanten
Standards der IT kommen bisher aus den USA. In Europa sind mit dem
Mobiltelefonnetz und der betriebswirtschaftlichen Software der SAP nur zwei
Erfolgsfälle zu nennen. In Japan haben weder die Stärke der Industrie noch
die erheblichen Regierungssubventionen zu nachhaltigen Standards in der
Informationstechnik geführt. Alle technisch erfolgreichen Ansätze mussten
früher oder später den Weltstandards weichen. Auch der überaus beliebte und
erfolgreiche »I-mode« für den Internetzugang und zum Telefonieren wird wohl
dem aus Nutzersicht schlechteren, diesmal europäischen UMTS-Standard
Freundesgabe Büllesbach 2002
98
Müller
weichen müssen. Die »Veränderung« der japanischen Informatikindustrie, die
Folgen für die Beschäftigung, Zukunftsperspektiven und den Wohlstand der
japanischen Gesellschaft sind eine direkte Folge des Mangels an Weltstandards.
Leider ist es der Wissenschaft bisher nicht gelungen, im ganzheitlichen
Sinne wirklich zwischen der »positiven« und »negativen« Sprengkraftwirkung
der Informatik zu unterscheiden. Man muss eher sagen, dass dadurch die Interessengegensätze deutlich wurden und »was dem einen sin Uhl, ist dem anderen noch lange nicht sin Nachtigall«. Im technischen Sinne kann negative
Arbeit von effizienter Arbeit durch Kriterien der Wirtschaftlichkeit und Qualität
unterschieden werden. Gesellschaftlich bleibt wohl nur der Markt. Lediglich
hier haben sich die Fehlentwicklungen in allen praktischen akademischen Disziplinen in demokratischen Gesellschaften bisher als selbstkorrigierend erwiesen. Im positiven Sinne bildet die Sprengkraft der Informationstechnik die
Grundlage für die Erneuerung der Gesellschaft und ihrer Institutionen.
4. Wie man bisher die Sprengkraft der Informatik bändigen wollte?
Technik ist schon seit dem 18ten Jahrhundert ein Gegenstand akademischer
Betrachtungen. »Technik und Gesellschaft«, »Geschichte der Technik«,
»Techniksoziologie«, »Technikrecht« sind nur eine Auswahl von Bezeichnungen für etablierte Fächer, die sich mit Technik befassen. Es geht fast immer
darum, abstrakt die Natur oder die Entwicklung einer oder der Technik generell zu beschreiben. Die übergeordnete Forschungsfrage lautet: »Ist Technik
letztlich nur ein komplexes Werkzeug oder ist die Qualität der Technik nicht
insgesamt mehr als die Summe seiner Bestandteile?« Für viele Sozialwissenschaften ist die Technik ein Faktor, der meist im Sinne von Produktivitätsfortschritt gemessen wird und in die Planungen als fester Koeffizient einer wie
auch immer gearteten und erfassten Technikvariablen eingeht.
Die Informatik hat einen universellen Anspruch und ist in ihrem Einfluss
daher nicht mit Methoden messbar, die für die »spezialisierte« Technik, z.B.
eine Werkzeugmaschine gilt. Die Informatik ist und wird zunehmend zu einer
Querschnitts- und damit Kulturdisziplin.
Eine »Black Box« Betrachtung, die für die »spezialisierte Technik« angemessen ist, reicht dann nicht aus, um die Erwartungen der Gesellschaft, aber
auch der Disziplin »Informatik« selbst zu erfüllen. Es lassen sich vier Klassifikationen der aktuellen Forschungsorientierungen erkennen, die sich mit den
Folgen der »Informatik« befassen:
a) Hierarchischer Lenkungsansatz: Ausgehend von der Grundannahme,
dass ein von der gesamten Gesellschaft anerkanntes festes Wertesystem
existiere, wird gefolgert, dass die nachfolgenden Entscheidungen daraus
rational abgeleitet werden können. Existierende Verfahren und Techniken
der Informatik können so bzgl. ihrer gesellschaftlichen Wirksamkeit beurteilt werden und unter Einsatz neuer Erkenntnisse in überschaubaren
Freundesgabe Büllesbach 2002
Enthält die Informatik Sprengkraft für Regulierungssysteme?
99
Schritten verbessert werden. Die Annahme, dass sich immer die »beste«
Technik durchsetzt, ist jedoch durch die Wirklichkeit nicht gedeckt. Es ist
davon auszugehen, dass u.a. Marktversagen häufig auftritt und sich in der
Vergangenheit eher das »Zweit-« als das »Erstbeste« durchgesetzt hat, wodurch für die Gesellschaft insgesamt ein beträchtlicher Schaden entstand.
b) Normativer Ansatz: Die Annahme dieser Forschungsorientierung ist es,
dass die Technik unabhängig von einem gesellschaftlichen Wertesystem
ungeplant entstehe und die Gesellschaft »bottom-up« beeinflusst. Es
ist bei dieser Ansicht konsequent und notwendig, dass man wie
bei Aschenputtel die »Guten« von den »Schlechten« schon vor der gesellschaftlichen Umsetzung trennt. Diese Richtung geht davon aus, dass
es in jeder Gesellschaft möglich ist, unabhängig von der Technikgenese
das gesellschaftlich überlegene Wertesystem zu identifizieren und daraus
dann die Entscheidungen für die Technikentwicklung, u. a. der hier besonders betrachteten Informatik oder Informationstechnik abzuleiten und
innerhalb eines Diskurses dann auch durchzusetzen.
c) Technikfolgenabschätzung: Man bewertet nicht die Wissenschaft und
geht auch nicht mehr von einem überlegenen Wertesystem aus, sondern
analysiert die Folgen einer möglichen Umsetzung für die aktuell existierende Gesellschaft. Die Ergebnisse sind immer Gegenstand heftiger
Kontroversen und haben in der USA 1992 zur Schließung des »Office of
Technology Assessment« geführt. Auch in Deutschland sind nicht alle
»Blütenträume« gereift, die mit der Technikfolgenabschätzung verbunden waren. Grundsätzlich und potentiell hilfreich war die Entdeckung der
Bedeutung von Diskursen, die zu wichtiger Transparenz beitragen können. Ein Beispiel für einen Erfolg dieses Ansatzes könnte die in
Deutschland schon frühzeitig geforderte ergonomische Gestaltung von
Bildschirmen sein, als man dies in den USA noch für unnötig hielt. Fairerweise muss man sagen, dass diese Erkenntnisse nicht das Ergebnis eines
formalen »Technikfolgenverfahrens« waren. Das wohl nicht überwindbare methodische Defizit der Technikfolgenabschätzung liegt darin, dass
sie bisher eher »reaktiv« und nicht »aktiv« gestaltend aufgetreten ist.
d) Top-Down-Ansatz: Jeder Technikentwicklung geht die Erstellung von
Anforderungen voraus. Wenn diese Anforderungen nicht nur als
Fortschreibung der Kennziffern der Technik und damit des Ausgangssystems selbst verstanden, sondern zusätzlich aus dem Objektbereich
abgeleitet werden, für den diese Technik primär bestimmt ist, dann
spricht man von einem »Top-Down«-Ansatz. Dieser kann den üblichen
»Bottom-up«-Ansatz der herkömmlichen Technikentwicklung komplettieren, nicht jedoch ersetzen. In Unternehmungen ist diese Vorgehensweise
üblich und Unternehmensberatungsfirmen haben teilweise Verfahren mit
akademischem Anspruch entwickelt, wie für eine Betriebswirtschaft Defizite in der Technikentwicklung oder dem Technikvorrat entdeckt und bei
Bedarf konstruktiv korrigiert werden können.
Jeder der oben genannten Ansätze wird praktiziert, um die SprengkraftwirFreundesgabe Büllesbach 2002
100
Müller
kung der Informatik zu kontrollieren und ggf. einzudämmen. Man erkennt in
allen vier Ansätzen den konservativen Charakter der Herangehensweise und
würde sich wünschen, dass die positiven Seiten einer Sprengkraft auch mit
ähnlichem Aufwand erforscht werden, bzw. in der durch die Informatik tangierten Disziplinen beachtet würden, um so ihre Wirkung verstärken zu können.
Nur beim Top-Down-Ansatz hat der Versuch, über die Beschreibung zur
Erklärung und zur Prognose und bei Bedarf zur Gestaltung zu gelangen, Aussicht auf Erfolg, die positive Sprengkraftwirkung zu verstärken. Gemein sam
mit dem in diesem Band geehrten Kollegen Alfred Büllesbach, hat der Autor
diese Form der Herangehensweise in einem Projekt bei der Gottlieb-Daimlerund Karl-Benz-Stiftung in Ladenburg von 1993 bis 1999 entwickelt und bezogen auf die Sicherheit exemplarisch durchgeführt.
5. Sprengkraft wird zur Gestaltungskraft:
Der Top-Down-Ansatz im Projekt »Mehrseitige Sicherheit«
Das Projekt »Mehrseitige Sicherheit in der Kommunikationstechnik« hatte
inhaltlich zum Ziel, Modelle und Verfahren zu identifizieren, damit Nutzer
moderner Kommunikationstechnik eigenbestimmt in die Lage versetzt werden können, die Kontrolle über ihre Daten in einem weltweiten Kommunikationsnetz zu wahren. Es konnten Defizite im technischen (Müller/ Pfitzmann
1997), wirtschaftlichen (Müller/Rannenberg 1999) und gesellschaftlichen Bereich (Müller/Stapf 1998) aufgedeckt werden und unter Anwendung der jeweiligen fachspezifischen wissenschaftlichen Methode zumindest exemplarisch
geeignete Lösungsansätze gezeigt werden.
Die Vorgehensweise erfolgte schrittweise unter ständiger Verfeinerung der
im vorigen Schritt erzielten Ergebnisse. Drei in ihren Anforderungen unterschiedliche Erkenntnisbereiche wurden identifiziert (Müller/Kohl/Strauss 1996):
a) Die technischen Möglichkeiten und Gestaltungspotentiale (Telekommunikationsinfrastruktur),
b) die Aufbereitung und Präsentation der Wissensinhalte (Wissensinfrastruktur),
c) sowie die sozialen Normen und Gesetze (Handlungsinfrastruktur).
Sicherheit ist eine reaktive Technologie und folgt dem sonstigen technischen
Fortschritt. Die Gleichheit der technischen und gesellschaftlichen Paradigmen
verdeutlichte die gemeinsame Verankerung der Denkwelten, aber primär
diente sie jedoch der Kommunikationsverbesserung zwischen den Disziplinen. Folgende Paradigmen bei der Technikgestaltung wurden unterschieden
(Müller/Eggs 2001):
a) Das Mittelalter-Paradigma der Vergangenheit
Der Schutz vertrauenswürdiger Daten ist gleichbedeutend mit der
Zugangskontrolle zu abgegrenzten und identifizierbaren Orten. Eine solche Vorstellung liegt den Grundlagen des »Datenschutzes«, aber auch
der Abgrenzung von »Innen« und »Außen« durch Schutzmauern (FireFreundesgabe Büllesbach 2002
Enthält die Informatik Sprengkraft für Regulierungssysteme?
101
walls) zugrunde. Obwohl der Datenschutz auf der Handlungsebene schon
in den 70iger Jahren erheblich mehr Paradigmen hatte, konnten andere
als die Zugangskontrolle technisch bisher nicht realisiert werden.
b) Das Internet-Paradigma der Gegenwart
Dieses geht von einer dezentralen Datenhaltung von den Nutzern nicht
nachvollziehbaren Orten aus. Die Identifizierung bzw. deren Verweigerung ist das wesentliche Forschungsziel und führte zur Definition der
Konzepte der »Mehrseitigen Sicherheit«.
c) Das Allgegenwärtigkeits-Paradigma der Zukunft
Dieses geht von der Vision aus, dass Rechner durch Miniaturisierung allgegenwärtig werden, spontan, d.h. ohne spezifischen Auftrag des Menschen handeln und nicht mehr als Zugang zu Kommunikationsnetzen
wahrgenommen werden, sondern ein Teil der Umwelt eines Menschen
sind. Privatheit wird dann zum gefährdeten Gut. Technische Forschungsziele von »Informatik und Gesellschaft« sind dann z.B. die Erstellung von
grundsätzlich anonymen Infrastrukturen (Müller/Kreutzer 2001).
Sicherheit sollte ein integraler Bestandteil jeder Kommunikation sein, was
bedingt, dass Sicherheit keine nachträglich aufgesetzte Technik ist, sondern
als bestimmender Bestandteil der Kommunikation zwischen Menschen aufgefasst wird. Für die Sicherheit in technischen Systemen wurden die folgenden
Forderungen erhoben und dienten für die Technikgestaltung als Richtschnur:
1. Jeder hat individuelle Sicherheitsinteressen;
2. alle sollen diese Sicherheitsinteressen eindeutig formulieren können;
3. Konflikte sollen erkannt werden und aushandelbar sein;
4. die ausgehandelten Ergebnisse sollen verlässlich durchsetzbar sein.
Im spezifischen Fall der mehrseitigen Sicherheit konnten durch die strikte Anwendung des Top-Down-Ansatzes Defizite im Bereich der Schutzziele der
Sicherheit (Müller/Kohl/Schoder 1996) entdeckt und für die Anonymität und
Pseudonymität neue Verfahren entwickelt werden (Müller/Rannenberg 1999).
Die Transparenz der Situation des Einzelnen wurde am Beispiel eines verhandlungsfähigen Erreichbarkeitsmanagers praktisch gezeigt (Damker/
Reichenbach/Müller 1998) und real in der Universitätsklinik Heidelberg erprobt (Roßnagel/Haux/Herzog 1999). Über die DIN (Deutsche Industrienorm)
sind die Schutzziele zum Bestandteil der ISO-Normierung geworden, und der
Gedanke der »Mehrseitigkeit« fand seinen Niederschlag in der Gesetzgebung
zur Digitalen Signatur (Müller/Rannenberg 1999). Die Verfahren zur Anonymität und zur Pseudonymität bilden neben anderen die wissenschaftlichtechnischen Grundlagen für die aktuell anstehende Revision des Datenschutzgesetzes.
6. Die Informatik erweitert ihren »Kampfplatz«
Die Überlegungen zur Sprengkraft der »Informatik« wären jedoch unvollständig, bezögen sie nicht auch die Potentiale des Internet in die Betrachtung mit
Freundesgabe Büllesbach 2002
102
Müller
ein. Neue Ergebnisse der Informatik, die Einfluss auf die Gesellschaft haben,
geschehen mittlerweile auch weltweit im Netz durch spontane, Ad-hocKooperationen. Sie umgehen damit einerseits die akademischen Institutionen
und andererseits auch alle Institutionen aus Wirtschaft, Gesetzgebung und
Politik. So entstand bspw. Linux durch die Zusammenarbeit von nahezu
750.000 Programmierern weltweit, die einerseits die Monopolstellung eines
Herstellers verhindern wollen und andererseits wohl auch einen bisher unbekannten – man ist geneigt, zu sagen unakademischen – Weg für die zukünftige Erstellung von Informationssystemen aufzuzeigen. Die Offenheit und die
freie Verfügbarkeit (Open Source) der Software haben alle Schritte einer
Realwissenschaft inklusive der Gestaltung beispielhaft und mit unvorhersehbarem Erfolg und damit Sprengkraft demonstriert. So entstehen z.B. Chancen
für die Evaluierung von Software und damit von Sicherheit, die zwar traditionell akademisch mit technisch gutem Erfolg, aber mit wenig Durchsetzungskraft für die realen Informationssysteme angegangen werden konnten. Die
Gefahr für die Monopolstellung von Microsoft kann in diesem doch eher
basisdemokratischen Zusammenfinden der Linux-Programmierer gesehen
werden. Linux ist nur ein Beispiel, Sicherheit durch PGP (Pretty Good Privacy)
ist ein anderes, ja selbst das Wachstum von Microsoft ist ohne die Ungeduld
mit dem Angebot, damals der IBM, nicht denkbar gewesen. All diese und zahlreiche andere Korrekturen herrschender, scheinbar festgefügter und unveränderlicher Verhältnisse geschahen im Zeitraum von weniger als zehn Jahren.
Dem Anlass des Aufsatzes und dem Lebensabschnitt des Adressaten angemessen, möchte ich mit Goethe schließen und der Informatik sowie der Gesellschaft Gelassenheit wünschen, denn ein wenig Sprengkraft macht schon
Spaß:
Solange Du das nicht hast,
dieses Stirb und Werde,
bist Du nur ein trüber Gast
auf dieser Erde.
Literatur:
Damker, H. Reichenbach, M., Müller, G. (1998): Personal Reachability Management in a Networked World, in: Proceedings of IWNA98; IEEE Workshop on
Networked Appliances, Kyoto, Japan, November 1998.
Dijkstra: E. W. (2001): The End of Computing Science? In: Communications of
the ACM, Vol. 44, No. 3 March 2001), p. 92.
Mansell, R., Steinmüller, W. E. (2001): Mobilizing the Information Society,
Oxford University Press, 2001.
Mittelstraß, J. (1996): The modern World and the Humanities, in: Interdisciplinary Science Reviews, Vol. 21, Nr. 4, 12,1996, pp. 284 – 291.
Müller, G. (1996): Trust in Technology or Trust with Technology, in: Interdisciplinary Science Reviews, Vol. 21, Nr. 4, 12, 1996, pp. 336 – 347.
Freundesgabe Büllesbach 2002
Enthält die Informatik Sprengkraft für Regulierungssysteme?
103
Müller, G., Kohl, U., Strauss, R. (1996): Zukunftsperspektiven der digitalen
Vernetzung, dpunkt Heidelberg, 1996.
Müller, G., Kohl, U., Schoder, D. (1997): Unternehmenskommunikation:
Telematiksysteme für vernetzte Unternehmen, Addison-Wesley, Bonn 1997.
Müller, G., Pfitzmann, A. (1997): Mehrseitige Sicherheit in der Kommunikationstechnik, Band 1: Technik-Verfahren, Addison-Wesley, Bonn, 1997.
Müller, G., Stapf, K. (1998): Mehrseitige Sicherheit in der Kommunikationstechnik, Band 2: Mensch – Akzeptanz – Nutzbarkeit, Addison-Wesley, Bonn,
1998.
Müller, G., Rannenberg, K. (1999): Multilateral Security in Communications,
Volume 3: Technology, Infrastructure, Economy, 1999.
Müller, G. (2001): Informatik und Gesellschaft – nützlich und wichtig, aber auch
akademisch, in. FIFF 4/2001, Dezember 2001, S. 29 – 35.
Müller, G., Eggs, H. (2001): Sicherheit und Vertrauen: Mehrwert im E-Commerce, in: Müller, G., Reichenbach, M. (Hrsg.): Sicherheitskonzepte für das
Internet, S. 27 – 44, Springer, Heidelberg 2001.
Müller, G., Kreutzer, M., Zugenmaier A. (2001): Location Addressing: Technical
Paradigm for Privacy and Security in a Ubiquitous World, Hitachi Research
Report, Tokyo, 8/2001.
Randell, B. (ed) (1973): The origins of Digital Computers, Springer 1973.
Roßnagel, A., Haux, R., Herzog, W. (1999): Mobile und sichere Kommunikation
im Gesundheitswesen, Vieweg, DUD Fachbücher, 1999.
Schoder, D., Müller, G. (1999): Potentiale und Hürden des Electronic Commerce. Eine Momentaufnahme, in: Informatik Spektrum, Band 22, Heft 4,
August 1999, S. 252 – 260.
Freundesgabe Büllesbach 2002
104
Freundesgabe Büllesbach 2002
105
3. DER DATENSCHUTZ AUF DEM WEG IN DIE MARKTWIRTSCHAFT
Helmut Bäumler
Marktwirtschaftlicher Datenschutz
1. Die ordnungsrechtlichen Wurzeln
Der real existierende Datenschutz in Deutschland erscheint wie eine besondere Ausprägung des Ordnungsrechts. Seine Regeln sind zu beachten, so
wie Straßenverkehrszeichen oder Umweltstandards auch. Niemand tut das
besonders gerne, aber man fügt sich, zumeist zähneknirschend, den Notwendigkeiten. Nicht immer, aber zumindest dann, wenn die Nichtbeachtung der
Vorschriften empfindliche Nachteile verursachen könnte. Gerade so wie im
Straßenverkehr, wo Geschwindigkeitsbeschränkungen nur selten penibel eingehalten werden, solange keine Polizei in Sicht ist oder im Verkehrsfunk nicht
vor Radarfallen gewarnt wird.
Die »Polizei« im Datenschutz, das sind die Datenschutzbeauftragten und die
Datenschutzaufsichtsbehörden. Sie sollen durch ihre Kontrollen die Einhaltung
des Datenschutzrechts durchsetzen. Sie können zwar nur sehr eingeschränkt
Strafen verhängen, aber ihre Kontroll- und Tätigkeitsberichte können sich durchaus nachteilig für das Image eines Unternehmens oder einer Behörde auswirken. Keine Firma kann ein Interesse daran haben, von der Datenschutzaufsicht
öffentlich gerügt zu werden. Deshalb arrangiert man sich, so gut es eben geht.
Allerdings ist angesichts der personellen und sächlichen, insbesondere
auch technischen, Ausstattung der Aufsichtsbehörden das Risiko für Firmen
relativ gering, tatsächlich einmal intensiv datenschutzrechtlich kontrolliert zu
werden. Da ist es, um im Bild zu bleiben, viel wahrscheinlicher, dass man von
der Polizei im Straßenverkehr angehalten oder von einem Radargerät erfasst
wird. Aber ganz ausschließen kann man es eben nicht, zumal die Aufsichtsbehörden den Beschwerden von Kunden immer nachgehen. So hat sich allmählich bei vielen Wirtschaftsunternehmen ein Bild festgesetzt, in dem der
Datenschutz eine lästige Pflicht ist, die man nicht so richtig ernst nimmt, aber
tunlichst auch nicht völlig vernachlässigen kann.
Ein unangenehmes Thema eben, bei dem es nichts zu holen gibt, aber bei
dem immer mit Unannehmlichkeiten zu rechnen ist. Was hätte man davon,
wenn man sich korrekt oder besonders datenschutzfreundlich verhielte? Im
derzeitigen Datenschutzsystem ehrlich gesagt nicht allzu viel. Es ist an Kritik
und Beanstandung orientiert, bereit, sich mit den Uneinsichtigen auseinander
zu setzen, aber es hält für die Vorbildlichen keine Anreize parat. Ein entscheidender Webfehler, denn in einem marktwirtschaftlichen System fragen die
Unternehmen zuallererst nach ihrem Vorteil. Dass hier der Datenschutz derzeit
mehr oder weniger Fehlanzeige melden muss, bleibt nicht ohne Folgen für
seine Durchsetzung in der Praxis.
Freundesgabe Büllesbach 2002
106
Bäumler
Und die Betroffenen, die Bürgerinnen und Bürger, bzw. im Wirtschaftsbereich die Kundinnen und Kunden? Sie spielen bislang eher eine Rolle am
Rande. Gewiss, das Datenschutzrecht gibt ihnen Auskunfts- und Benachrichtigungsrechte, spricht vom Anspruch auf Berichtigung, Sperrung oder
Löschung von Daten. Aber das sind eher die außergewöhnlichen Fälle. Im
Alltag der Datenverarbeitung sind die Kunden vornehmlich das Objekt. Viele
in der Wirtschaft können sich den Kunden offenbar in erster Linie nur als denjenigen vorstellen, den es »elegant« zu umgehen gilt, um hinter seinem
Rücken mit seinen Daten Geschäfte zu machen. Der Gesetzgeber begünstigt
im bestehenden Datenschutzrecht dieses Weltbild. Statt präziser Schutzbestimmungen beherrschen im Bundesdatenschutzgesetz dehnbare Generalklauseln das Geschehen (Weichert 2002, 27). Statt der Notwendigkeit, sich der
Einwilligung des Betroffenen vor Beginn der Verarbeitung zu versichern,
erlegt es das Gesetz den Kunden auf, ihre Daten zu hüten und zu widersprechen, wenn sie mit deren Verarbeitung nicht einverstanden sind. Verkehrte
Welt: Wer sich nicht wehrt, dem geschieht offenbar »recht«, wenn sich andere mithilfe seiner Daten bereichern (Beispiele bei Petri 2002, S. 64). Kaum
irgendwo im bestehenden Datenschutzrecht sind echte Wahl- und Mitbestimmungsmöglichkeiten der Kunden etabliert, wenn es um den Schutz
ihrer personenbezogenen Daten geht. Wir wissen zwar aus Umfragen ziemlich
zuverlässig, dass den Kunden der Datenschutz sehr wichtig ist, aber niemand
kann einschätzen, ob damit auch das gegenwärtige Datenschutzsystem uneingeschränkte Zustimmung findet (Opaschowski 2002, S. 13, Müller 2002, S. 20).
Im »ordnungsbehördlichen« Datenschutz kommt es allerdings auf die
Erwartungen der »Kunden« ohnehin nicht wirklich an. Hier wird in erster Linie
auf Gesetzesvollzug geachtet, nicht auf Kundenwünsche.
2. Die Attraktivität eines marktwirtschaftlichen Ansatzes
Würden im Datenschutz mehr marktwirtschaftliche Elemente berücksichtigt,
so ließen sich einige der Defizite beseitigen. Dies müsste nicht zwangsläufig
mit einer Preisgabe der ordnungsrechtlichen Ansätze einhergehen. Aufsicht
und Kontrolle, Kritik und Beanstandung hätten auch weiterhin ihren Platz
und ihre Funktion. Aber es könnte etwas hinzukommen, was die datenschutzrechtlichen Handlungsoptionen beträchtlich erweitert. Was spricht im Einzelnen
dafür, in den Datenschutz marktwirtschaftliche Instrumente zu integrieren?
Zunächst einmal ist es wichtig, dass auf diesem Wege Anreize für datenschutzgerechtes, möglicherweise sogar vorbildliches Verhalten geschaffen
werden könnten. Es würde etwas bringen, sich positiv mit dem Thema
Datenschutz auseinander zu setzen und zu versuchen, daraus einen Vorteil für
das Unternehmen zu gewinnen. An die Stelle der Erfüllung der gesetzlichen
Pflichten »rite« träte das Bestreben, es »besser« als die Konkurrenz zu
machen. Da einer der entscheidenden Vorteile die Stärkung des Kundenvertrauens wäre, müsste das Thema gegenüber den Kunden ganz anders
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz
107
kommuniziert werden. Statt kaum verständlicher Ausführungen in den
Allgemeinen Geschäftsbedingungen bräuchte man gut lesbare Texte im Stil
der Werbebranche. Man würde ja zeigen wollen, dass man beim Thema
Datenschutz besser ist als die Konkurrenz und man hätte größtes Interesse
daran, davon auch das Publikum zu überzeugen (Büllesbach 2002, S. 45).
Der Wandel von der lästigen Pflicht zur Erfolg versprechenden Kür bliebe
auch nicht ohne Konsequenzen für Stellung und Prestige der betrieblichen
Datenschutzbeauftragten. Sie würden von lästigen Mahnern zu gefragten
Experten avancieren. Denn von ihrer Fachkenntnis könnte der Betrieb ja buchstäblich profitieren. Dies würde sich auch in den Auswahlentscheidungen bei
der Bestellung der betrieblichen Datenschutzbeauftragten niederschlagen.
Man würde Wert auf möglichst kompetente, dynamische Personen legen, weil
man damit rechnen muss, dass sich auch die Konkurrenz personell gut ausstattet. Die Steigerung der Attraktivität der Stellung des betrieblichen Datenschutzbeauftragten würde natürlich auch die Bewerberlage um diese Position
verbessern. Ein stärker marktwirtschaftliches Datenschutzmodell böte für die
Unternehmen einen Anreiz, nicht nur personell in diesen Bereich zu investieren, sondern auch hinsichtlich der finanziellen und technischen Ausstattung.
Betriebliche Datenschutzbeauftragte wären also zuallererst »Gewinner« solcher Veränderungen und müssten deshalb ein Interesse daran haben, sie zu
befördern. (Um so unverständlicher, dass einige betriebliche Datenschutzbeauftragte dem Audit zunächst skeptisch gegenüberstanden, vgl. z. B.
H.-L. Drews / H. J. Kranz, DuD 1988, 93.)
Und die Kunden? Sie würden von den Unternehmen mit einem verbesserten Datenschutzangebot umworben. Sie könnten mit ihren Kauf- und
Konsumentscheidungen zeigen, welche Art von Datenschutz sie bevorzugen
und ob sie ggf. dafür auch etwas zu bezahlen bereit sind (Büllesbach 1997,
S. 239). Sie müssten sich übrigens keineswegs blind auf die (Datenschutz-)
Versprechungen der Unternehmen verlassen. Da die bestehenden Kontrollinstrumente nicht abgeschafft werden sollen, könnten sie bei Zweifeln an der
Korrektheit der Datenverarbeitung jederzeit die Aufsichtsbehörden einschalten. Würden die Unternehmen tatsächlich offensiv mit ihrem Datenschutzangebot werben, würden die Kunden auf dieses Thema ganz anders als bisher aufmerksam gemacht. Wer von sich behauptet, er sei in Datenschutzfragen Spitze, provoziert geradezu die kritischen Nachfragen des Publikums, ob
dies tatsächlich rundherum zutreffend ist. Die Aufmerksamkeit der Kunden
würde die Effizienz der Datenschutzaufsicht erhöhen. Mehr Kontrolle durch
mehr Marktwirtschaft klingt nur auf den ersten Blick paradox. Funktionierende
offene Märkte bieten dem Kunden stets die Möglichkeit der kritischen Auswahl und erweisen sich letztlich als eine der Demokratie artverwandte Wirtschaftsform.
Freundesgabe Büllesbach 2002
108
Bäumler
3. Wege zu mehr Marktwirtschaft im Datenschutz
Leider ist es bis zur Realisierung marktwirtschaftlicher Prinzipien im Datenschutz noch ein weiter Weg. Die bisherigen Novellierungen des BDSG haben
in erster Linie den ordnungsbehördlichen Ansatz verfeinert. Immerhin lässt
das BDSG nunmehr Zielvereinbarungen zu und hält mit den Bestimmungen
zu Unternehmensrichtlinien und zu branchenspezifischen Verhaltensregeln
eine kleine Option in Richtung Wettbewerb bereit (Petri 2002, 142). Auch die
Bestimmungen zur Transparenz der Datenverarbeitung, in erster Linie die
Informations- und Unterrichtungspflichten, lassen sich als eine wichtige Voraussetzung für mehr marktwirtschaftliche Elemente interpretieren (Bizer 2002,
125). Aber im Großen und Ganzen muss auf die angekündigte zweite Stufe der
BDSG-Novellierung gewartet werden (Roßnagel 2002, 115). Nur wenige in der
Wirtschaft haben bereits jetzt erkannt, dass ein gutes Datenschutzkonzept ein
Vorteil für ein Wirtschaftsunternehmen sein kann (allen voran Büllesbach
1997, S. 239; ders. 1999, S. 162; ders. 2000, S. 1; ders. 2002, S. 45).
Ein wichtiger Baustein für mehr Marktwirtschaft sind Audit und Gütesiegel.
Sie erleichtern es, die Einhaltung datenschutzrechtlicher Standards sichtbar
zu machen und sind damit eine Voraussetzung für den Wettbewerb um gute
Datenschutzkonzepte. Audits zielen auf die Organisation des Datenschutzes in
einem Betrieb oder in einer Behörde (Grundlegend Roßnagel 2000), während
Gütesiegel zur Kennzeichnung von Produkten verwendet werden können. Der
Bundesgesetzgeber hat beide Instrumente unter der einheitlichen Bezeichnung Datenschutzaudit wenigstens in § 9 a BDSG angesprochen und dem
Grunde nach »eingeführt«. Allerdings verweist § 9 a Abs. 2 BDSG auf die
Erforderlichkeit eines »besonderen Gesetzes«, in dem Auswahl und Zulassung der Gutachter sowie die näheren Anforderungen an die Prüfung und
Bewertung und das Verfahren geregelt werden sollen. Nach den Erfahrungen
mit § 17 Mediendienstestaatsvertrag, der eine eben solche Ankündigungsnorm darstellt, die auch fünf Jahre nach ihrem In-Kraft-Treten noch nicht ansatzweise umgesetzt ist, wird sich der Wert von § 9 a BDSG daran messen lassen müssen, wie schnell seine gesetzgeberische Ergänzung und damit praktische Verwirklichung gelingt.
4. Audit und Gütesiegel nach schleswig-holsteinischem Recht
Abschließende Regelungen zum Audit und zum Gütesiegel hat auf gesetzlicher Ebene bislang nur das Land Schleswig-Holstein getroffen. Dies ist insofern nicht gerade ein optimaler Ansatz, als marktwirtschaftliche Elemente im
Zeitalter globaler Märkte eigentlich auf breiter Ebene, zumindest in ganz
Deutschland, besser noch europaweit und am besten im Weltmaßstab eingeführt werden müssten. Das Land besitzt für den Datenschutz im nichtöffentlichen Bereich auch keine Gesetzgebungskompetenz, sodass nur solche
Regelungen möglich waren, die am öffentlichen Sektor anknüpfen konnten
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz
109
(zum Audit im privatwirtschaftlichen Bereich P. Wedde und L. Schröder 2001).
4.1 Datenschutzaudit
Am deutlichsten wird dies beim Audit, das nur für öffentliche Stellen in
Schleswig-Holstein durchgeführt werden kann. Gleichwohl hat es Auswirkungen auch auf die marktwirtschaftliche Neuorientierung des Datenschutzes
zumindest unter drei Gesichtspunkten:
– Letztlich ist das Audit auch bei öffentlichen Stellen ein Mittel, um zu mehr
Wettbewerb zwischen den Behörden um den besten (Datenschutz-)
Kundenservice zu kommen (v. Mutius 2002, S. 81).
– Bei der Durchführung von Audits kann es sich als vorteilhaft erweisen,
wenn in den Behörden bereits Produkte verwendet werden, die mit
einem Datenschutz-Gütesiegel ausgezeichnet sind. Dies wird für die
Nachfrage nach solchen Produkten förderlich sein.
– Schließlich können nach den schleswig-holsteinischen Auditvorschriften
nicht nur Behörden oder Behördenteile auditiert werden, sondern auch
einzelne behördliche Datenverarbeitungsverfahren (Golembiewski 2002,
S. 107). Diese werden in der Praxis häufig mit privaten Firmen gemeinsam entwickelt. Die Auditbestimmungen stellen es den Firmen frei, ob sie
mit dem Audit für das Produkt bei anderen öffentlichen Stellen Werbung
machen wollen.
So erweist sich, dass das eigentlich nur für die schleswig-holsteinischen
Behörden eingeführte Datenschutzaudit auch Impulse für den privatwirtschaftlichen Bereich geben kann.
4.2 IT-Gütesiegel
Am unmittelbarsten sind die marktwirtschaftlichen Effekte aber bei den ITGütesiegeln. Ausgangspunkt der schleswig-holsteinischen Regelungen ist
§ 4 Abs. 2 LDSG, wonach in der schleswig-holsteinischen Verwaltung solche
Produkte vorrangig eingesetzt werden sollen, deren Vereinbarkeit mit den
Vorschriften über den Datenschutz und die Datensicherheit in einem förmlichen Verfahren festgestellt wurde. Ähnliche Bestimmungen finden sich
auch in anderen Datenschutzgesetzen. (vgl. z. B. § 5 Abs. 2 des neuen LDSG
Mecklenburg-Vorpommern sowie § 4 Abs. 2 LDSG Nordrhein-Westfalen).
§ 4 Abs. 2, S. 2 LDSG-SH geht aber den entscheidenden Schritt weiter und
ermächtigt die Landesregierung, durch Verordnung Inhalt, Ausgestaltung und
Berechtigung zur Durchführung des Verfahrens zu regeln. Dies hat die
Landesregierung inzwischen getan (Landesverordnung über ein Datenschutzaudit v. 3. 4. 2001, GVBl Nr. 4, S. 51). Die Verordnung zum IT-Gütesiegel ist sehr
knapp gehalten, sodass das Unabhängige Landeszentrum für Datenschutz im
Nachgang eine Reihe von Durchführungsbestimmungen erlassen musste
Freundesgabe Büllesbach 2002
110
Bäumler
(Einzelheiten unter www.datenschutzzentrum.de/guetesiegel/). Inzwischen
sind die ersten Gutachter akkreditiert und einige Gütesiegelverfahren haben
bereits begonnen.
Dem Verfahren liegt folgendes Modell zugrunde (Ausführlich zum
Verfahren Diek 2002, S. 157): Hersteller und Vertreiber können ein IT-Produkt
dann zertifizieren lassen, wenn es für den Einsatz in der schleswig-holsteinischen Verwaltung geeignet ist. Es kommt nicht darauf an, dass das Produkt
bereits eingesetzt wird, noch nicht einmal, dass eine konkrete Absicht dazu
besteht. Dadurch soll der Anwendungsbereich des Gütesiegels nicht von
vornherein unnötig eingeengt werden.
Den Hauptteil des Verfahrens führen die beim ULD akkreditierten Gutachter
durch. Hersteller oder Anbieter von IT-Produkten schließen mit einem
Gutachter ihrer Wahl einen Vertrag über die Zertifizierung des Produktes ab.
Dabei legt der Gutachter die Kriterien zugrunde, die das ULD inzwischen veröffentlicht hat (www.datenschutzzentrum.de/guetesiegel/). Der Gutachter
fasst seine Ergebnisse in einem Gutachten zusammen, das er dem ULD zur
Entscheidung über die Erteilung des Gütesiegels übersendet. Die Vergabe des
Gütesiegels wurde bewusst dem ULD als einer öffentlichen Stelle übertragen,
weil man davon ausging, dass dies der Akzeptanz des Siegels förderlich sein
würde. Denn das ULD ist am Wettbewerb nicht beteiligt und bietet die Gewähr
für eine objektive, ausschließlich an datenschutzrechtlichen Gesichtspunkten
orientierte Entscheidung.
Das IT-Gütesiegel wird für die Dauer von zwei Jahren verliehen und durch
das ULD zusammen mit einem Kurzgutachten, in dem die Gründe für die
Siegelerteilung zusammengefasst sind, publik gemacht. Dadurch soll es den
Nutzern des jeweiligen Produkts leichter gemacht werden, zu überprüfen, ob
es im praktischen Einsatz tatsächlich die erwünschten Eigenschaften hat. Die
Transparenz gegenüber den Kunden und die Möglichkeit, ihre Rückmeldungen zu berücksichtigen, sind wichtige Elemente des schleswig-holsteinischen Gütesiegelmodells.
Die Kriterien, nach denen ein Gütesiegel erteilt werden kann, zielen in erster
Linie auf eine Unterstützung der Datenschutzziele durch die Technik ab (M.
Hansen und T. Probst 2002, S. 163). § 2 Abs. 2 Nr. 4 der Gütesiegelverordnung
spricht davon, das Produkt müsse »besondere Eigenschaften« in dieser
Richtung aufweisen. Weiter wird ausgeführt, dass es dabei insbesondere um
die Datenvermeidung und Datensparsamkeit, um die Datensicherheit und die
Revisionsfähigkeit sowie um die Gewährleistung der Rechte der Betroffenen
geht. Vor allem die technische Umsetzung dieser Kriterien ist der wesentliche
Gesichtspunkt bei der Zertifizierung von IT-Produkten. Einzelne Defizite können durchaus durch organisatorische Maßnahmen ausgeglichen werden, die
wiederum verständlich beschrieben und mit angemessenem Aufwand
umsetzbar sein müssen. Maßgeblich ist bei der Zertifizierung auch, zu welchem Zweck das Produkt eingesetzt werden soll. Deshalb spielen die sich aus
dem vorgesehenen Zweck ergebenden rechtlichen Anforderungen bei der
Zertifizierung eine wichtige Rolle.
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz
111
Das ULD prüft die Produkte im Regelfall nicht selbst nach, sondern achtet in
erster Linie darauf, dass die Gutachten schlüssig und auf methodisch einwandfreie Weise zustande gekommen sind. Mit dem erteilten Gütesiegel kann
das jeweilige Unternehmen im Rahmen der wettbewerbsrechtlichen Bestimmungen nach Belieben Werbung machen. Es ist keineswegs darauf beschränkt, dies nur bei Behörden oder bei Stellen in Schleswig-Holstein zu tun,
sondern es kann das Gütesiegel weltweit für Marketingzwecke verwenden,
wenn es sich davon einen Vorteil verspricht.
5. Welche Chancen hat ein marktwirtschaftlicher Datenschutz?
An der Frage der Erfolgschancen einer marktwirtschaftlichen Orientierung des
Datenschutzes hängt mehr, als man im ersten Moment meinen möchte. Denn
die Überlegungen, den Datenschutz eher präventiv auszurichten und insbesondere die datenschutzrechtlichen Ziele auch durch Technikgestaltung zu
unterstützen (Borking 1996, S. 654), gehen ins Leere, wenn keine Anreize für
Hersteller und Entwickler bestehen, IT-Produkte datenschutzgerecht zu designen. Hinter der Gütesiegelidee steckt eigentlich das Ziel, Privacy Enhancing
Technologies, also »datenschutzfördernder« Technik zum Durchbruch zu verhelfen. Per Verordnung wird sich eine bestimmte Technikgestaltung nicht
erzwingen lassen, eher könnten Marktvorteile die Unternehmen veranlassen,
ihre Produkte in diese Richtung weiterzuentwickeln.
Ob diese Rechnung aufgeht, hängt davon ab, ob tatsächlich eine Nachfrage
nach solchen Produkten besteht. Aus Umfragen ist bekannt, dass ein starkes
Interesse an einem funktionierenden Datenschutz besteht, aber es ist eine
andere Frage, unter welchen Umständen daraus eine tatsächliche Nachfrage
nach entsprechenden Produkten wird. Wenn von zwei Produkten, die im übrigen hinsichtlich Preis und Leistung gleichauf liegen, eines zusätzlich per
Gütesiegel seine Datenschutztauglichkeit nachweisen kann, dann müsste das
Publikum dieses eigentlich bevorzugen. Hier kommt es dann zum Schwur, ob
der Schritt vom Umfrageergebnis zur Veränderung von Verhaltens- und
Konsumgewohnheiten wirklich vollzogen wird. Diesem »Lackmustest« muss
sich der Datenschutz aber stellen, weil auf Dauer nur schwerlich mit den
Rechten und Interessen der Bürger argumentiert werden kann, ohne dass die
Betroffenen selbst zu erkennen geben, dass dies für sie überhaupt von
Relevanz ist. So gesehen könnte mehr Marktwirtschaft im Datenschutz auch
ein Stück mehr Demokratie unter dem Gesichtspunkt bedeuten, dass die
Annahme der Datenschutzangebote durch die Bürgerinnen und Bürger ein
Gradmesser dafür ist, wie viel und welchen Datenschutz sie eigentlich wünschen.
Bislang konnten auch in Schleswig-Holstein nur erste Erfahrungen mit den
neuen marktwirtschaftlichen Instrumenten gewonnen werden. Die
Nachfragen aus der Wirtschaft nach dem IT-Gütesiegel zeigen, dass das
Interesse vorhanden ist und dass sich zunächst vermutlich ein kleiner
Freundesgabe Büllesbach 2002
112
Bäumler
Schwerpunkt bei medizinischen Produkten bilden könnte. Die beim ULD
begonnenen Modellprojekte werden nach ihrer Auswertung etwas genauere
Aufschlüsse darüber geben, in welche Richtung die Entwicklung wahrscheinlich gehen wird. Beim Thema Datenschutzaudit zeichnet sich ab, dass vor
allem solche Verwaltungen Interesse zeigen, die auch im übrigen »gut« sein
wollen und an deren Spitze den Ideen der Verwaltungsmodernisierung verbundene Manager stehen. Bei diesem Personenkreis ist eher unwahrscheinlich, dass sie sich für den »herkömmlichen« Datenschutz in gleicher Weise
interessieren würden.
Manch einer mag einwenden, nun habe sich der Datenschutz nach zähem
Kampf gerade ein wenig in unserem Rechtssystem etabliert, weshalb sei jetzt
eine marktwirtschaftliche (Neu-) Orientierung notwendig? Dem ist zu entgegnen, dass der Innovationsdruck auf vielen Feldern ungemein groß ist. Dies gilt
in besonderem Maße für alles, was mit der elektronischen Datenverarbeitung
zusammenhängt. Deren Innovationszyklen erfolgen nach wie vor in rascher
Abfolge (Büllesbach 2002, S. 45). Die technischen und gesellschaftlichen Veränderungen seit Erlass der ersten Datenschutzgesetze zwingen dazu, das bisherige Konzept zu überdenken. Ein Datenschutzmodell, das die Freiheit der
Bürgerinnen und Bürger in erster Linie durch Großrechenanlagen einiger
weniger mächtiger Institutionen bedroht sieht und das dieser Herausforderung mit staatlicher ordnungsbehördlicher Kontrolle zu begegnen sucht,
muss zur Kenntnis nehmen, dass die Informationstechnik vor allem durch
Miniaturisierung und Preisverfall in einem Maße »demokratisiert« worden ist,
dass die meisten »Bedrohten« selbst zu Datenverarbeitern geworden sind.
Einmal abgesehen davon, dass die Rolle des Staates auf fast allen Gebieten
an Bedeutung verloren hat, muss auch bedacht werden, dass staatliche
Datenschutzaufsicht unter den gewandelten Bedingungen nicht nur einige
wenige Wirtschaftsunternehmen, sondern potentiell nahezu jedermann
betreffen kann. Deshalb wäre ein Festhalten an der Fixierung des
Datenschutzes an ordnungsbehördlichen Instrumenten nicht hilfreich. Der
Datenschutz als ein auf die Informationstechnik bezogener Reflex muss vielmehr beweisen, dass auch er sich rasch auf neue Herausforderungen einstellen kann. Stillstand ist Rückschritt. Mehr marktwirtschaftlicher Datenschutz
könnte ein Fortschritt sein.
Literatur:
Bäumler, H. / v. Mutius, A. (2002) (Hrsg.); Datenschutz als Wettbewerbsvorteil,
Braunschweig, Wiesbaden 2002.
Bizer, J. (2002); Datenschutzrechtliche Informationspflichten – Ein Beitrag für
marktwirtschaftlichen Datenschutz, In: Bäumler, H./v. Mutius, A. (2002),
S. 125 ff.
Borking, J. (1996): Der Identity Protector, DuD 1996, S. 654 ff.
Büllesbach, A. (1997): Datenschutz und Datensicherheit als Qualitäts- und
Wettbewerbsfaktor, RDV 1997, S. 239 ff.
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz
113
Büllesbach, A. (1999): Datenschutz als prozessorientierter Wettbewerbsbestandteil, PIK 1999, S. 162 ff.
Büllesbach, A. (2000): Datenschutz in einem globalen Unternehmen, RDV
2000, S. 1 ff.
Büllesbach, A. (2002): Premium Privacy, in: Bäumler, H. / v. Mutius, A. (2002),
S. 45 ff.
Diek, A. (2002): Gütesiegel nach dem schleswig-holsteinischen Landesdatenschutzgesetz, in: Bäumler, H. / v. Mutius, A., (2002), S. 157 ff.
Drews, H.-L; Kranz, H. J. (1998): Argumente gegen die gesetzliche Regelung
eines Datenschutz-Audits, DuD 1998, S. 93 ff.
Golembiewski, C. (2002): Das Datenschutzaudit in Schleswig-Holstein, in:
Bäumler, H. / v. Mutius, A. (2002), S. 107 ff.
Hansen, M. (2002): Probst, T., Datenschutzsiegel aus technischer Sicht:
Bewertungskriterien des schleswig-holsteinischen Datenschutzgütesiegels,
in: Bäumler, H. / v. Mutius, A. (2002), S. 163 ff.
Müller, E., Datenschutz als Verbraucherschutz (2002): in: Bäumler, H./
v. Mutius, A. (2002), S. 20 ff.
v. Mutius, A. (2002): Wettbewerb in der öffentlichen Verwaltung, in: Bäumler /
H. / v. Mutius, A. (2002), S. 81 ff.
Opaschowski, H. (2002): Was will der Verbraucher?, in: Bäumler, H. /v. Mutius,
A. (2002), S. 13 ff.
Petri, Th. (2002): Zielvereinbarungen im Datenschutzrecht, in: Bäumler, H./
v. Mutius, A. (2002), S. 142 ff.
Roßnagel, A. (2000): Datenschutzaudit, Braunschweig, Wiesbaden 2000.
Roßnagel, A. (2002): Marktwirtschaftlicher Datenschutz im Datenschutzrecht
der Zukunft, in: Bäumler, H. / v. Mutius, A. (2002), S. 115 ff.
Wedde, P. / Schröder, L. (2001): Das Gütesiegel für Qualität im betrieblichen
Datenschutz, Frankfurt 2001 ff.
Weichert, T. (2002): Den Kunden im Blickfeld, in: Bäumler, H. / v. Mutius, A.
(2002), S. 27 ff.
Freundesgabe Büllesbach 2002
114
Freundesgabe Büllesbach 2002
115
Jörg Tauss1
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
Wer immer sich in den vergangenen Jahren mit der Modernisierung des
Datenschutzes beschäftigte, wird bald auf die Beiträge des ehemaligen
Landesdatenschutzbeauftragten der Hansestadt Bremen und heutigen
Konzerndatenschutzbeauftragten der DaimlerChrysler AG, Professor Alfred
Büllesbach, gestoßen sein. Doch nicht die aktuelle Debatte um die Modernisierung des Datenschutzrechtes hat Alfred Büllesbach entscheidend mitgeprägt, vielmehr sind seine Beiträge bereits seit vielen Jahren für die nicht
immer einfachen Datenschutzdebatten unverzichtbar. Als Beleg mag der von
der SPD-Fraktion am 13. 12. 1988 eingebrachte Gesetzentwurf eines »BundesInformationsschutzgesetzes« dienen (BT-Drs. 11/3730), an dessen Formulie2
rung Alfred Büllesbach maßgeblich beteiligt war.
In der Person Alfred Büllesbach kommen zwei Besonderheiten zum
Ausdruck: Zum einen gelingt es ihm auf hervorragende Art und Weise, die
Perspektive der Wissenschaft und Wirtschaft zu bündeln. Auf der anderen
Seite ist er aufgrund seines beruflichen Werdeganges wie kaum ein anderer in
der Lage, die Fragen des Datenschutzes sowohl für den öffentlichen als auch
für den nichtöffentlichen Bereich einschätzen und bewerten zu können. So ist
es auch kein Zufall sondern ein Glücksfall, dass er sowohl im Arbeitskreis
»Datenschutz« der SPD-Bundestagsfraktion, der bei der Erstellung des Eckwerte-Papiers »Modernes Datenschutzrecht für die (globale) Wissens- und In3
formationsgesellschaft« im Jahr 1998 einen erheblichen Anteil hatte, als auch
im Begleitausschuss »Modernisierung des Datenschutzrechtes«, der die
Koalitionsfraktionen bei der Erarbeitung und Beratung des Gutachtens
4
»Modernisierung des Datenschutzrechtes« beraten hat und bei der Umsetzung dieses Reformvorhabens unterstützen soll, maßgeblich beteiligt war.5
Rückblickend wird – aus der Perspektive der um wissenschaftliche Beratung
ersuchenden Politik – vor allem eines deutlich: Wissenschaftliche Politikberatung bedeutet in erster Linie Position beziehen. Um ein konkretes Beispiel zu
nennen: Noch während der parlamentarischen Beratung des Informationsund Kommunikationsdienstegesetzes (IuKDG), mit dem seitens des Bundesgesetzgebers erste vorsichtige Schritte zu einer Modernisierung des
Datenschutzrechtes im Bereich der Neuen Medien versucht werden sollten,
und inmitten der aufgeheizten Kryptodebatte hat Alfred Büllesbach 1997 im
Auftrag der Friedrich-Ebert-Stiftung ein Gutachten unter dem Titel
»Datenschutz bei Informations- und Kommunikationsdiensten« vorgelegt
(Büllesbach 1997). Die Kernaussagen dieses Gutachtens haben noch immer
Bestand und lauten kurzgefasst: Die Fortentwicklung der Informationsgesellschaft verlangt, Datenschutz und IT-Sicherheit als zentrale Akzeptanzvoraussetzung zu begreifen. Der bestehende Rechtsrahmen eignet sich angesichts
der immensen Herausforderungen nur noch bedingt zur Verwirklichung eines
angemessenen Datenschutzes. Dies sei vor allem auf die zergliederten beFreundesgabe Büllesbach 2002
116
Tauss
reichsspezifischen Regelungen (einschließlich der zu diesem Zeitpunkt auf der
Agenda stehenden neuen Gesetze) zurückzuführen, die für Datenschutz und
IT-Sicherheit eine überschneidende Überregulierung und eine strukturelle
Unübersichtlichkeit für Nutzer, Verbraucher und Normadressaten schaffen.
Notwendig sind darüber hinaus neue Instrumente wie Selbstschutz und
Systemschutz. Diese wiederum setzen die freie und uneingeschränkte Verfügbarkeit kryptographischer Verfahren voraus (vgl. hierzu Huhn/Pfitzmann 1998).
Gerade die Debatte um die immer wieder geforderte Einschränkung kryptographischer Verfahren hat überdeutlich gezeigt, wie wichtig es ist, Position
zu beziehen – zumal wenn es darum geht, die aus den unterschiedlichen
Perspektiven jeweils durchaus berechtigten Interessen sorgsam gegeneinander abzuwägen. In seinem Gutachten für die Friedrich-Ebert-Stiftung hat
Alfred Büllesbach eine – sowohl aus der Perspektive der Wissenschaft als
auch aus der Perspektive der Wirtschaft – eindeutige Position mit der
Feststellung bezogen, dass »eine Regulierung des Einsatzes kryptographischer Verfahren zum Zwecke des Abhörens durch Ermittlungs- und
Sicherheitsbehörden unverhältnismäßig« wäre und dass die »deutsche
Wirtschaft den freien Zugang zu kryptographischen Verfahren, denen sie vertrauen kann«, braucht (Büllesbach 1997: 8). Ohne derartige richtungsweisende Stellungnahmen seitens der Wissenschaft und seitens der Wirtschaft wäre
die Politik kaum in der Lage gewesen, eine sachgerechte und angemessene
Abwägung bei der Bewertung der Kryptofreiheit vorzunehmen und durchzusetzen.
Vor dem Hintergrund dieses Engagements ist der Anlass dieser Freundesgabe für Alfred Büllesbach Grund genug, auf die umfassenden Herausforderungen der Modernisierung des Datenschutzrechts näher einzugehen (1.). Die
SPD-geführte Bundesregierung und die Koalitionsfraktionen haben sich darauf verständigt, das gesamte Datenschutzrecht in einem zweistufigen Verfahren umfassend zu modernisieren. In einem ersten Schritt wurde mit einer
ersten Novellierung des Bundesdatenschutzgesetzes (BDSG) die längst überfällige Umsetzung der EG-Datenschutzrichtlinie in deutsches Recht erreicht. In
einem zweiten Schritt sollte das gesamte Datenschutzrecht einschließlich der
bereichsspezifischen Regelungen auf den Prüfstand gestellt werden. Aufgezeigt werden sollen hier der Stand der politischen Diskussion am Ende der
14. Legislaturperiode des Deutschen Bundestages (2.). Hierbei sind natürlich
auch die furchtbaren Ereignisse des 11. September 2001 in New York und
Washington zu thematisieren, die zwangsläufig nicht nur die Prioritätenliste
politischer Aktivitäten grundlegend verschoben haben, sondern vielmehr
auch die politische Debatte insgesamt und vor allem die sicherheitspolitische
Diskussion verändert haben. Schließlich sollen die zentralen Eckpunkte für die
Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes
benannt werden, die sich in vielen Punkten auf das vom Bundesministerium
des Innern in Auftrag gegebenen Gutachten berufen können (3.).
Freundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
117
1. Herausforderungen an das Datenschutzrecht
Die Herausbildung einer globalen Informations- und Wissensgesellschaft
stellt für die Verwirklichung des Rechtes auf informationelle und kommunikative Selbstbestimmung eine doppelte Herausforderung dar. Zum ersten geraten Fragen der Datensicherheit und des Datenschutzes um so stärker in den
Blick, je tiefer sämtliche Lebensbereiche durch die neuen Informations- und
Kommunikationstechnologien durchdrungen und in zunehmendem Maße
sensible Daten und vertrauliche Inhalte aus allen Bereichen in IuK-Netzwerke
eingespeist und übermittelt werden. Mit der Bedeutung elektronischer
Informations- und Kommunikationsinfrastrukturen für die individuelle
Lebens- und Berufswelt, aber auch für gesellschaftliche und wirtschaftliche
Organisationen und deren Kommunikation wächst zugleich das Bewusstsein
um die neuen Gefahren, die mit den spezifischen Merkmalen elektronischer
Datenverarbeitung in globalen Netzwerken einher gehen. Unaufhörlich entstehen bei der komplexen digitalen Signalübermittlung und -verarbeitung
Datenspuren, deren Verknüpfung ebenso vielfältige wie neuartige Möglichkeiten der unbefugten Kenntnisnahme, Überwachung und Verarbeitung personenbezogener Daten eröffnen, genannt seien hier lediglich Profilbildung
oder Data-Mining. Das zunehmende Aufkommen personenbezogener Daten,
die Dezentralisierung der Datenerhebung und die Dezentralisierung der
Datenverarbeitung in komplexen Netzwerken macht allein die Feststellung
sämtlicher potentiell sensibler Verarbeitungsprozesse unmöglich, von einer
wirkungsvollen Aufsicht oder Kontrolle ganz zu schweigen (vgl. EnqueteKommission 1998 und DuD 5/2000).
Aufgrund der digitalen Universalsprache ist die Integrität und Authentizität
der elektronischen Kommunikation nicht ohne aufwendige Maßnahmen
sicherzustellen, da sie die nicht nachvollziehbare Manipulation von Informationen und vertraulichen Inhalten ermöglicht. Zudem entstehen hinsichtlich
der physikalischen Integrität der Daten und der rein technischen Verfügbarkeit
von Infrastrukturen aufgrund der Komplexität der Technologie und der integrierten Netzwerke neue Risiken, die zunehmend an Bedeutung gewinnen
(Stichwort »Kritische Infrastrukturen«). Nicht nur, dass der Schutz der Privatsphäre und die Vertraulichkeit und Integrität sämtlicher Kommunikation zunehmend an Bedeutung gewinnt, darüber hinaus wird Datensicherheit zu einem integralen Baustein in einem ganzheitlichen, auf mehrseitige Sicherheit
6
basierenden Datenschutzkonzept (Müller/Pfitzmann 1997: 11 f.; Ulrich 1999: 14) .
Zum zweiten setzt die im wörtlichen Sinne globale Dimension der IuKNetzwerke nationalen oder regionalen Regelungen enge Grenzen. Insbesondere die Reichweite des klassischen Ansatzes eines normenorientierten
Datenschutzes, dessen Rechtsgeltung öffentlich kontrolliert und gewährleistet
wird, endet im Gegensatz zu den Datenströmen spätestens an den jeweiligen
Landesgrenzen. Die mit der Umsetzung der Datenschutzrichtlinie erfolgte
Harmonisierung des europäischen Datenschutzrechtes, mit der weit über die
bisherigen Regelungen hinaus ein einheitlicher Rechtsrahmen sichergestellt
Freundesgabe Büllesbach 2002
118
Tauss
werden soll, vermag diesen Missstand lediglich zu lindern, beseitigen kann sie
ihn nicht (vgl. Simitis 1998: 183 f.; DuD 8/2000). Denn in globalen Zusammenhängen sind selbst regional einheitliche Regelungen letztlich partikulare
Regime-Inseln, deren begrenzte Ausdehnung zugleich mit der Reichweite
einer legitimierten – dennoch mehr oder weniger effektiven – Rechtsdurchsetzung zusammenfällt. Internationale oder gar globale Vereinbarungen und
Verträge sind jedoch aufgrund der divergierenden Datenschutztraditionen und
Rechtsphilosophien nur schwer zu erzielen, wie nicht zuletzt die Verhandlun7
gen zu den »Safe-Harbour-Principles« zwischen den USA und der EU zeigten.
Zudem bleibt zumindest zu fragen, ob multilaterale Abkommen ein akzeptables Schutzniveau zu erzielen vermögen und flexibel an die Dynamik der technischen Entwicklung anzupassen sind. Dies gilt um so mehr in Anbetracht der
notgedrungen vorherrschenden Praxis, in derartigen Verhandlungen lediglich
den »kleinsten gemeinsamen Nenner« bestimmen und festschreiben zu können.
Diese Situation verändert die Rahmenbedingungen für einen angemessenen und effektiven Datenschutz – die Rede ist von einem Neuen Datenschutz
oder von Datenschutzgesetzen der dritten Generation (vgl. Bäumler 1998 und
Bäumler/ v. Mutius 1999, Tauss/Özdemir 2000). Zum klassischen Schutz der
individuellen Privatsphäre im Sinne der Verwirklichung der informationellen
Selbstbestimmung treten untrennbar sowohl die notwendige Berücksichtigung der kommunikativen Autonomie aller an der elektronischen Kommunikation Beteiligten als auch die notwendige Gewährleistung einer hinreichenden technischen Datensicherheit als Grundvoraussetzung hinzu, als conditio sine qua non (Tauss/Özdemir 2000: 143; Ulrich 1999: 14; DuD 5/2000,
Bizer 1999: 45).
Nicht nur die nachhaltige Zweckbindung für die Erhebung und Verarbeitung
personenbezogener Daten und die Vertraulichkeit individueller Kommunikation gilt es sicherzustellen, auch die sichere und vertrauliche Kommunikation
von Unternehmen, Organisationen und Verwaltungsbehörden sowie die
Sicherheit ihrer sensiblen gespeicherten Daten sind in einem ganzheitlichen
Datenschutzkonzept zu berücksichtigen. Die erfolgreiche Erfüllung aller
Aufgaben hängt dabei zunehmend von der Realisierung der vier wichtigsten
informationstechnischen Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit
und Zurechenbarkeit ab, d.h. der technologisch auszuschließenden unbefugten Kenntnisnahme Dritter sowie unbefugter Veränderung der Daten, der
bedarfsnahen Zugänglichkeit relevanter Informationen und der im – autorisierten – Bedarfsfall möglichen Identifikation der kommunizierenden Nutzer
8
(vgl. Rannenberg/Pfitzmann/Müller 1997: 22 f.). Gerade die erfolgreiche Bearbeitung dieser komplexen Aufgabenstellung wird durch die vereinfachte, dezentrale und globale Vernetzung der Datenverarbeitungsprozesse strukturell
erschwert.
Zeitgleich lokalisieren zahlreiche Studien und Prognosen mit dem notwendigen Vertrauen und mit der hinreichenden Akzeptanz bei den potentiellen
Nutzern die entscheidenden kritischen Variablen für die künftige gesellschaftFreundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
119
liche Bedeutung der neuen IuK-Möglichkeiten, gerade in den Bereichen
E-Government, E-Democracy oder auch E-Commerce (vgl. Booz Allen
Hamilton 2000). Die gesellschaftspolitisch prekäre digitale Spaltung der Gesellschaft in Nutzer und Nichtnutzer und die spürbare Zurückhaltung der
Nutzer, auch komplexe und hochsensible Transaktionen im Netz durchzuführen, ist (auch) eine Folge des Misstrauens in die Sicherheit und Vertraulichkeit
der neuen IuK-Möglichkeiten. Erst wenn die Bürgerinnen und Bürger, die Unternehmen und auch die Verwaltungsbehörden davon überzeugt sind, dass
ihre sensiblen Daten und ihre vertrauliche Kommunikation zuverlässig, unverändert und innerhalb ihrer Kontrollparameter übermittelt oder verarbeitet
werden, erst dann werden sich die fraglos bestehenden Informations-, Transparenz-, Rationalisierungs- und Interaktionspotentiale der neuen IuK-Möglichkeiten realisieren lassen.
Der Staat ist daher aus seiner allgemeinen Schutz- und Gewährleistungsverpflichtung keineswegs zu entlassen. Vielmehr ist – analog zu anderen
Politikfeldern – auch auf dem zunehmend akuten Gebiet des Datenschutzes
von der partikularen und ineffektiven Detailregulierung mit großer Tiefe
umzustellen auf die Schaffung variabler Rahmenbedingungen für einen effektiven Selbstschutz der individuellen Nutzer und einen marktregulierten
Wettbewerb um das höchste systemische und/oder technische Datenschutzniveau. Gemeinsam mit der international harmonisierten Normierung von
Datenschutzzielen bilden diese Aspekte eines »Neuen Datenschutzes« (vgl.
Tauss/Özdemir 2000: 143 f.; DuD 5/2000) komplementäre Antwortstrategien
auf die zwei Herausforderungen der neuen Rahmenbedingungen, der Dezentralisierung und Verknüpfung der Erhebung, der Speicherung, der Übermittlung sowie der Verarbeitung sensibler Daten und der länderübergreifenden,
sprich globalen Dimension der Netzwerke. Der individuelle Selbstdatenschutz,
der Systemdatenschutz und der technisch implementierte Datenschutz bedingen sich gegenseitig und ergänzen das bestehende normative Instrumen9
tarium auf Selbstregulierung abhebender Mechanismen. Sie besitzen dabei
unserer Meinung nach das größte Potential, einen nachhaltigen und effektiven Datenschutz mit einer hinreichenden Datensicherheit zu verbinden.
2. Modernisierung des Datenschutzrechtes – eine Zwischenbilanz
Die SPD-geführte Bundesregierung und die Koalitionsfraktionen haben die
immensen Herausforderungen, mit denen sich das Datenschutzrecht in der
Wissens- und Informationsgesellschaft konfrontiert sieht, erkannt. Sie sind
angetreten mit dem Ziel, die demokratischen Beteiligungsrechte der Bürgerinnen und Bürger zu stärken. In der Koalitionsvereinbarung heißt es:
»Effektiver Datenschutz im öffentlichen und im privaten Bereich gehört zu den
unverzichtbaren Voraussetzungen für eine demokratische und verantwortbare
Informationsgesellschaft. Die notwendige Anpassung des deutschen Datenschutzrechts an die Richtlinie der Europäischen Union soll kurzfristig umgeFreundesgabe Büllesbach 2002
120
Tauss
setzt werden. Durch ein Informationsfreiheitsgesetz wollen wir unter Berücksichtigung des Datenschutzes den Bürgerinnen und Bürgern Informationszugangsrechte verschaffen.«10
In einem ersten Schritt hat die SPD-geführte Bundesregierung unmittelbar
nach ihrem Amtsantritt in einem gemeinsamen Moratorium des Bundesinnenministeriums und des Bundeswirtschaftsministeriums die jahrelange
Debatte um eine Regulierung kryptographischer Verfahren beendet und angesichts der Bedeutung dieses wichtigen Selbstschutzinstrumentes auf eine
gesetzliche Regelung verzichtet (Statt dessen hat das Bundeswirtschafts-ministerium die Verfügbarkeit und Weiterentwicklung kryptographischer Verfahren
– quasi als staatliche Dienstleistung – maßgeblich gefördert und
forciert).
Bundesregierung und Koalitionsfraktionen haben sich auf eine umfassende
Modernisierung des Datenschutzrechtes in einem zweistufigen Verfahren verständigt. In einem ersten Schritt wurden in dieser Legislaturperiode die
Vorgaben der EG-Richtlinie zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Datenverkehr in deutsches Recht umgesetzt. Durch die Umsetzung der EG-Datenschutz-Richtlinie
wird europaweit ein einheitliches Datenschutzniveau geschaffen und werden
einheitliche Maßstäbe für die Erhebung und Verarbeitung von Daten in der
Europäischen Union festgelegt. Die zentralen Ziele der EG-Datenschutzrichtlinie lauten zusammengefasst: Transparenz der Datenverarbeitung und
Akzeptanz der Verbraucher und Nutzer. Mit dieser ersten Novellierung des
Bundesdatenschutzgesetzes (BDSG) wurden zugleich erste Bausteine der
Modernisierung des Datenschutzrechtes aufgenommen, beispielsweise die
Prinzipien der Datenvermeidung und der Datensparsamkeit und das Datenschutzaudit. In einem zweiten Schritt sollte nun – unmittelbar an die Umsetzung der EG-Datenschutzrichtlinie anschließend – das gesamte Datenschutzrecht mit dem Ziel einer umfassenden Modernisierung auf den Prüfstand gestellt werden. Hierzu hat das Bundesministerium des Innern ein Gutachten in
Auftrag gegeben, welches den Reformbedarf und die Reichweite aufzeigen
und Grundlinien zur »Modernisierung des Datenschutzrechtes« erarbeiten
sollte. Im Herbst 2001 wurde dieses Gutachten der Öffentlichkeit vorgestellt
(Rossnagel/Pfitzmann/Garstka 2001).
Die schrecklichen Ereignisse des 11. September 2001 in New York und
Washington haben nicht nur die politische Agenda grundlegend verschoben,
sondern auch die (sicherheits-)politische Debatte insgesamt: Galt angesichts
der eingangs beschriebenen Herausforderungen in globalen Kommunikationsnetzen bis dahin die Feststellung, dass an die Stelle staatlicher
Regulierung zunehmend die Anleitung und Hilfe zur Selbsthilfe der Nutzer
treten müsse und dass das Kontrollmoment des Staates – im Sinne des
Cybercontrol – hinter den Schutzmoment der Nutzer und der sensiblen
Infrastrukturen – im Sinne der Cyberprotection – zurücktreten müssen, so hat
der 11. September 2001 diese ungeschriebenen Regeln einer effektiven Netzund Datenschutzpolitik grundlegend verändert. Bereits früh wurde von
Freundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
121
Netzaktivisten vorhergesagt, dass eine massive Abkehr von diesen gewonnenen Überzeugungen und eine Umkehr des Verhältnisses von Cybercontrol
und Cyberprotection bevorsteht. Die Entwicklung in fast allen westlichen
Staaten hat diese Befürchtungen mittlerweile mehr als bestätigt. Der spezifische Kontext internationaler paketvermittelter Kommunikation ist in Gefahr,
aus dem Blick zu geraten und unter dem wiedererstarkten Primat eines klassisch interpretierten (nationalen) Sicherheitsverständnisses zu verschwinden.
Obwohl sich die beschriebenen Rahmenbedingungen nicht wesentlich
geändert haben, folgen die gegenwärtigen sicherheitspolitischen Maßnahmen infolge des Terroranschlages vor allem wieder dem Regelungsmodus
»law and order« – wenn auch mit gewissen Einschränkungen. Rechtsdurchsetzungs- und Strafermittlungsprobleme ergeben sich nun aus Sicht der
Sicherheitsbehören wieder eher aus Rechtslücken sowie überzogenen datenschutzrechtlichen Bedenken, einem gefährlichen Laisser-faire und mangelnder finanzieller, technischer wie personeller Ausstattung der Behörden, als
aus der technologischen Dynamik und globalen Vernetzung der neuen IuKMöglichkeiten. Die Ambivalenzen und mit ihnen die Warnungen vor einer
Überregulierung oder einer überzogenen Kontrolle der Bürger erscheinen –
vorerst – nachrangig. Der Staat, so die Argumentation weiter, sei in seiner
ureigensten Aufgabe als Garant der öffentlichen Sicherheit herausgefordert
und müsse regieren. Das »Wer, Was und Wie« der Sicherheitsfrage lässt sich
wieder eindeutig beantworten: Allein der Staat sorgt für eine umfassende
Sicherheit für alle, bei der die Ermittlungs- und Rechtsdurchsetzungsperspektive im Vordergrund steht und durchgreifende Regulierung als einziges Mittel
erscheint. Die wichtige Wechselbeziehung von Cybercontrol auf der einen und
Cyberprotection auf der anderen Seite gerät aus dem Blick. Es setzt sich in der
politischen Debatte wieder zunehmend die Überzeugung durch, dass beide
Aspekte unvereinbar sind und dass der Kontrolle der Vorzug vor dem Schutz
gegeben werden muss.
Das gemeinsame Ziel einer in diesem Sinne erhöhten Sicherheit wird derzeit zur Legitimation für zahlreiche Maßnahmen zur Erweiterung der Überwachungs- und Kontrollmöglichkeiten herangezogen, wofür die Debatten um die
Telekommunikations-Überwachungsverordnung oder den Einsatz des sogenannten IMSI-Catchers beispielhaft angeführt werden können. Aber nur in
Ausnahmefällen stehen Wirksamkeit, Angemessenheit und auch Nebeneffekte dieser Aktivitäten auf der Tagesordnung.
Immerhin sollte, und dies ist ein positiver Aspekt, darauf hingewiesen werden, dass auch dass sogenannte Sicherheitspaket II nicht die jüngsten Entwicklungen in der Form der Gesetzgebung vollständig zurückdrehen konnte:
Mit der auf Initiative der Koalitionsfraktionen erfolgten grundsätzlichen Befristung der Maßnahmen und der Kopplung einer eventuellen Verlängerung an
eine positive Evaluierung sind zwei zentrale Momente der neuen Formen
moderner Gesetzgebung auch unter den derzeitigen schwierigen Rahmenbedingungen realisiert worden.
Natürlich gehört zu einer modernen Gesetzgebung mehr als Befristung und
Freundesgabe Büllesbach 2002
122
Tauss
Evaluierung, und genau hier wird die zweite Stufe zur Modernisierung des
Datenschutzrechtes ansetzen. So ist es geradezu eine Voraussetzung für die
erfolgreiche Modernisierung des Datenschutzrechtes, dass die wichtige
Wechselbeziehung zwischen Cybercontrol und Cyberprotection wieder thematisiert und vor allem die teilweise schwerwiegenden Nebenfolgen einer
Verengung der Perspektive auf den Kontrollgedanken wieder in das Blickfeld
der politischen Debatte gerückt werden.
3. Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes
Die positiven Erwartungen an das Datenschutzrecht und die Unzulänglichkeit
der bisherigen Regelungen sollen mit der Umsetzung der zweiten Stufe ein
modernes Datenschutzrecht aufgegriffen bzw. beseitigt werden. Dieses wird
nicht nur einfacher und verständlicher sein, sondern darüber hinaus auch hinsichtlich der neuen Formen der Datenverarbeitung risikoadäquat. Um das
erste Ziel zu erreichen, müssen die Selbstbestimmung der betroffenen Person
gestärkt und die Selbstregulierung und Selbstkontrolle der Datenverarbeiter
ermöglicht und verbessert werden. Um das zweite Ziel zu erreichen, müssen
vor allem Konzepte des Selbstdatenschutzes und des Systemdatenschutzes
umgesetzt werden.
Das nun vorliegende Gutachten markiert wichtige Eckpunkte für die Umsetzung der zweiten Stufe der Modernisierung des Datenschutzrechtes. Kurz
11
gefasst lauten die Kernaussagen des Gutachtens wie folgt:
1. Ein modernes Datenschutzrecht sollte auf einem allgemeinen Gesetz
gründen, das bereichsspezifischen Regelungen vorgeht. Dieses sollte
grundsätzliche und präzise Regelungen der Verarbeitung personenbezogener Daten und vermeidet möglichst offene Abwägungsklauseln
enthalten.
2. Das Gesetz soll darüber hinaus auch allgemeine Regelungen zur
Technikgestaltung, zur Datensicherung, zur Datenschutzorganisation,
zur Datenschutzkontrolle und zur Selbstregulierung enthalten. Wird die
Vorrangregelung im Verhältnis zwischen BDSG und bereichsspezifischen Regelungen umgedreht, können die bisherige Normenflut und
Rechtszersplitterung verringert und Widersprüche vermieden werden.
Spezialregelungen in bereichsspezifischen Gesetzen sollten nur Ausnahmen von den allgemeinen Regelungen enthalten und nur für bestimmte riskante Datenverarbeitungen die Anforderungen verschärfen
oder bei unterdurchschnittlich riskanten Datenverarbeitungen Erleichterungen bieten. Auch könnten Ausnahmen vorgesehen werden, wenn
Aufgaben im Allgemeininteresse ansonsten nicht erfüllt werden können.
3. Die allgemeinen Datenschutzgrundsätze sollten gleichermaßen für den
öffentlichen und für den nichtöffentlichen Bereich gelten. In beiden
Bereichen ist – risiko- und nicht bereichsabhängig – das gleiche Datenschutzniveau zu gewährleisten. Unterschiede sind insoweit zu berückFreundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
123
sichtigen, als im nichtöffentlichen Bereich die Regelungsadressaten
Grundrechtsträger sind und im öffentlichen Bereich Allgemeininteressen verfolgt werden müssen.
4. Wenn das Datenschutzrecht entlastet und die Regelung des Datenverarbeitungsverhältnisses stärker seinen beiden Parteien überlassen werden soll, muss die Transparenz der Datenverarbeitung gegenüber der
betroffenen Person erhöht werden. Zielsetzung eines modernen
Datenschutzrechts muss es sein, ausreichende Informationen über die
Erhebung personenbezogener Daten, über die Umstände und Verfahren
ihrer Verarbeitung und die Zwecke ihrer Nutzung für die betroffenen
Personen und die Kontrollstellen sicherzustellen. Wer geschäftsmäßig
personenbezogene Daten automatisiert verarbeitet, sollte verpflichtet
sein, die Struktur der Datenverarbeitung in verständlicher Form zu veröffentlichen, soweit dies ohne Offenlegung von schützenswerten Geheimnissen möglich ist. Mit angemessenem Aufwand muss überdies
durchschaubar sein, was das System einschließlich aller Betriebs- und
Anwendungssoftware genau tut. Im Interesse konsistenter Regelungen
müssen die datenschutzrechtlichen Informationspflichten mit den für
Anbieter und Unternehmen geltenden Transparenzregeln beispielweise
aus dem Recht des Fernabsatzes harmonisiert werden.
5. Soweit die Datenverarbeitung Interessen der betroffenen Person beeinträchtigen könnte, soll die Entscheidung über diese vorrangig der
Selbstbestimmung der betroffenen Person überlassen werden. Im Einzelfall muss die Datenverarbeitung grundsätzlich durch Einwilligung
oder Einwilligungssurrogate wie Vertrag und vertragsähnliches Vertrauensverhältnis oder Antrag gegenüber einer Behörde erlaubt werden
können. Die Einwilligung ist der genuine Ausdruck des Rechts auf informationelle Selbstbestimmung. Da aber zwischen den betroffenen Personen und den verantwortlichen Stellen in der Regel ein erhebliches
Machtgefälle besteht, muss die Selbstbestimmung gestärkt werden. Ziel
eines modernen Datenschutzrechts muss es daher sein, einerseits die
Zulässigkeit der Datenverarbeitung im vertretbaren Umfang der individuellen Selbstbestimmung zu überlassen, andererseits aber deren Freiwilligkeit durch Rahmenregelungen abzusichern.
6. Grundsätzlich sollte im nichtöffentlichen Bereich eine »Opt-in-Lösung«
gewählt werden: Die Datenverarbeitung setzt die vorherige Einwilligung
der betroffenen Person voraus. Allerdings muss eine Datenverarbeitung
auch ohne Einwilligung der betroffenen Person möglich sein. Zur Umschreibung dieser Ausnahmefälle ist der bisher die Datenverarbeitung steuernde Begriff des »berechtigten Interesses« zu weit. Ausnahmen sollten nur erlaubt sein, wenn dies zum Schutz oder zur Verfolgung eigener Rechte oder Rechte Dritter notwendig ist, oder wenn es
erforderlich ist, um eine Gefahr für Leben, Gesundheit oder sonstige bedeutende Rechtsgüter der betroffenen Person zu beseitigen und die
betroffene Person ihre Zustimmung nicht geben kann, oder wenn die
Freundesgabe Büllesbach 2002
124
Tauss
Datenverarbeitung erforderlich ist, um Verpflichtungen zu erfüllen, die
durch Rechtsvorschriften der verantwortlichen Stelle auferlegt wurden.
7. Im öffentlichen Bereich sollte die Datenverarbeitung zulässig sein, wenn
sie »zur Erfüllung einer gesetzlich zugewiesenen und in der Zuständigkeit der öffentlichen Stelle liegenden bestimmten Aufgabe erforderlich«
ist. Soweit es allerdings um Verarbeitungszwecke und -formen geht, die
gegen den Willen der betroffenen Person durchgesetzt werden müssen
und deren Interessen stark beeinträchtigen können, sollen bereichsspezifische Regelungen die Zwecke und Formen risikoadäquat regeln. Die
Einwilligung kann im öffentlichen Bereich die Datenverarbeitung im
Wesentlichen nur im nicht gesetzlich gebundenen Bereich legitimieren.
8. Insgesamt sind den Prinzipien der Datenvermeidung und Datensparsamkeit eine grundlegende Bedeutung einzuräumen. Soweit für die
Zwecke der Datenverarbeitung ein Personenbezug nicht erforderlich ist,
muss dieser von Anfang an vermieden oder nachträglich durch
Löschung der Daten, ihre Anonymisierung oder Pseudonymisierung
beseitigt werden. Darüber hinaus sind die verantwortlichen Stellen zu
verpflichten, soweit dies technisch möglich und verhältnismäßig ist,
ihre Datenverarbeitungsverfahren so zu gestalten, dass sie möglichst
keinen Personenbezug und auch keine Personenbeziehbarkeit aufweisen. Dieses Ziel kann durch Anonymität oder Pseudonymität der betroffenen Person erreicht werden. Anonymität und anonymitätsnahen
Arten von Pseudonymen sollte grundsätzlich Vorrang gegeben werden.
Die vorgenannten Grundsätze der Transparenz und der Vermeidung des
Personenbezugs können nur durch die betroffenen Personen selbst
durchgesetzt werden (Selbstdatenschutz). Sie müssen in die Lage versetzt werden, die Nutzung von technischen und organisatorischen
Schutzinstrumenten selbst zu bestimmen. Dies sind Instrumente für Inhaltsschutz (Konzelation, Steganographie), Anonymität, Pseudonymität und Identitätsmanagement. Programme, die Schlüssel, Identitäten
und Pseudonyme verwalten und den Nutzer bei der Verwendung von
Selbstschutztechniken unterstützen, müssen gefördert werden. Eine
Bildungsoffensive zum Umgang mit Instrumenten des Selbstdatenschutzes wäre zu erwägen.
9. Darüber hinaus müssen die Grundsätze der Datenverarbeitung organisatorisch sichergestellt werden. Viele bereits bestehende organisatorische Verpflichtungen der verantwortlichen Stellen sollten zu einem integrierten Datenschutzmanagementsystem zusammengefasst und fortentwickelt werden, um Verantwortlichkeit sicherzustellen, das Datenschutzbewusstsein zu stärken und eine datenschutzfreundliche Betriebsorganisation zu erreichen. Die Bestellung eines Datenschutzbeauftragten, die Erarbeitung eines Plans der Datenschutzorganisation und die
Erstellung eines Datenschutz- und Datensicherungskonzepts sind die
wesentlichen Bestandteile.
Freundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
125
10. Zur Stärkung der Akzeptanz des Datenschutzes und um eine ständige
Fortentwicklung entsprechend den sich verändernden und zunehmenden Risiken zu ermöglichen, muss ein modernes Datenschutzrecht auch
Anreize für einen effektiven und sich fortentwickelnden Schutz bieten.
Daher wird den verantwortlichen Stellen die Möglichkeit geboten, mit
ihren Anstrengungen zur Implementierung eines effektiven Datenschutzes zu werben. Hierzu gehören insbesondere die vertrauenswürdige Auditierung von Datenschutzmanagementsystemen. Verantwortliche
Stellen, die am Datenschutzaudit teilnehmen, sollten von öffentlichen
Stellen bevorzugt berücksichtigt werden, wenn es um Aufträge zur Verarbeitung personenbezogener Daten geht.
11. Insgesamt muss der zu entwickelnde neue Datenschutz künftig durch,
nicht gegen Technik erreicht werden. Datenschutzrecht muss versuchen, die Entwicklung von Verfahren und die Gestaltung von Hard- und
Software am Ziel des Datenschutzes auszurichten und die Diffusion und
Nutzung datenschutzgerechter oder -fördernder Technik zu fördern.
Datenschutz sollte so weit wie möglich in Produkte, Dienste und Verfahren integriert sein. Adressaten des Datenschutzrechts können daher
nicht mehr nur die für die Datenverarbeitung verantwortlichen Stellen
sein. Das Datenschutzrecht muss bereits bei der Entwicklung der Technik Einfluss auf deren Gestaltung nehmen. Es muss datenschutzgerechte Technik fordern und fördern. Zu diesem Zweck sollten zumindest drei
Regelungen vorgesehen werden. Die Hersteller sollten verpflichtet werden, für die Gestaltung ihrer Produkte zumindest die Erfüllung einiger
zentraler Produktanforderungen zu überprüfen. Wer datenschutzgerechte Produkte herstellt, sollte die Möglichkeit erhalten, diese zertifizieren
zu lassen und mit dem Zertifikat werben zu können. Schließlich sollten
die verantwortlichen Stellen aufgefordert werden, datenschutzgerechte
Produkte zu verwenden. Zumindest für öffentliche Stellen sollte dies zu
einer gesetzlichen Pflicht erhoben werden.
12. Eine weitaus größere Bedeutung wird für einen Neuen Datenschutz der
gesellschaftlichen Selbstregulierung zukommen, beispielsweise durch
Konkretisierungen der gesetzlichen Grundsätze durch branchen- oder
unternehmensspezifische Selbstverpflichtungen. Um in dieser ein faires
Verfahren, einen angemessenen Interessenausgleich, die Berücksichtigung von Gemeinwohlinteressen und eine gewisse demokratische
Legitimation zu gewährleisten, muss der Gesetzgeber auch für diese
Regelsetzung einen gesetzlichen Rahmen vorgeben, um den Mindeststandard zum Schutz der Betroffenen zu gewährleisten und die Selbstregulierung zu entlasten. Selbstregulierung ermöglicht es der Wirtschaft, relativ schnell passgerechte branchen- oder unternehmensbezogene verbindliche Regelungen zu entwickeln, die die schnelle Entwicklung der Technik, die Komplexität ihrer Systeme und die Vielfalt ihrer
Anwendungen berücksichtigen. Der entscheidende Anreiz für Branchen,
Verbände oder Unternehmen, eigene, durch Kontrollstellen anerkannte
Freundesgabe Büllesbach 2002
126
Tauss
Verhaltensregeln zu erstellen, besteht in der Möglichkeit, die zu konkretisierenden Gesetzesvorgaben selbstständig und auch für die
Kontrollstellen verbindlich auszugestalten.
13. Schließlich müssen mit dem neuen Datenschutzrecht auch die
Betroffenenrechte weiter gestärkt werden. Sie bieten eine wesentliche
Stütze für einen effektiven Datenschutz nur, wenn sie von den
Betroffenen auch tatsächlich wahrgenommen werden und wahrgenommen werden können. Die betroffenen Personen müssen ihre Rechte frei
und unbehindert sowie unentgeltlich ausüben können, ohne Zwang,
dies zu tun oder nicht zu tun. Betroffenenrechte sollten wenn möglich
nur im allgemeinen Datenschutzgesetz geregelt und möglichst knapp
und einfach formuliert werden, damit auch die Betroffenen selbst sie
verstehen. Sie sind ausdrücklich für unabdingbar zu erklären und dürfen
nicht durch Rechtsgeschäft ausgeschlossen werden können. Die
Unterscheidung zwischen öffentlichen und nichtöffentlichen Stellen ist
auch bezüglich der Betroffenenrechte aufzugeben. Im Rahmen der
Online-Kommunikation sollten die betroffenen Personen ihre Rechte
auch telekommunikativ wahrnehmen können. Die betroffene Person
sollte bereits vor der Datenerhebung über ihre Rechte informiert werden. Die Informations- und Unterrichtungspflichten sind daher entsprechend auszuweiten. Die Auskunft sollte umfassend erfolgen und sich je
nach Anforderung der betroffenen Person auf alle Aspekte der Datenverarbeitung erstrecken. Insbesondere gehören hierzu Angaben zu den
gespeicherten Daten selbst, zu deren Herkunft, zu den Empfängern der
Daten und Teilnehmern eines automatisierten Abrufverfahrens, zum
Zweck der Datenverarbeitung, zum Auftragnehmer bei Datenverarbeitung im Auftrag und zum Dienstleister bei Out-sourcing, wie auch
Angaben über die erfolgte Berichtigung, Löschung oder Sperrung von
Daten, über den Aufbau, die Struktur und den Ablauf der automatisierten Datenverarbeitung, insbesondere über Profilbildungen und deren
Struktur. Ausnahmen von der Auskunftspflicht sollten im Unterschied
zur heutigen Regelung auf wenige unabdingbare Fallkonstellationen reduziert werden.
14. Entscheidender Bedeutung kommt natürlich auch in Zukunft der
Datenschutzkontrolle zu. Die Datenschutzkontrolle sollte für den öffentlichen und nicht öffentlichen Bereich einschließlich der Telekommunikation, Mediendienste und Rundfunkanstalten zusammengeführt werden. Hierfür bieten sich der Bundes- und die Landesbeauftragten an. Sie
müssen zu Kompetenzzentren für Datenschutz und Datensicherheit entwickelt werden, die Kontroll- und Beratungsaufgaben aus einer Hand
anbieten. Eine solche Vereinheitlichung der Kontrollstellen entspricht
der Europäischen Datenschutzrichtlinie und führt zu wünschenswerten
Synergieeffekten. Überdies erleichtert eine Vereinheitlichung es den
Betroffenen, ihre Anrufungsrechte wahrzunehmen. Im Sinn einer völligen Unabhängigkeit der Kontrollstellen nach Art. 28 DSRL sollte die
Freundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
127
Rechtsaufsicht über die Kontrollstellen sowohl für den öffentlichen wie
auch für den nichtöffentlichen Bereich neu überdacht werden. Rechtsaufsicht ist immer mit einer Einflussnahme auf die Amtsführung der
beaufsichtigten Stelle verbunden. Die Einführung der Initiativkontrolle
auch im nichtöffentlichen Bereich führt überdies zu einem weitergehenden Eingriff in die Unternehmensrechte und legt eine Kontrolle über
diese durch unabhängige, nicht in die Ministerialverwaltung eingebundene und von ihr kontrollierte Stellen nahe. Die notwendige demokratische Legitimation der Kontrollstellen erfolgt – wie auch heute schon –
durch die Wahl der Amtsinhaber durch die Parlamente und ihre
Berichtspflicht gegenüber diesen. Zur Klarstellung der Unabhängigkeit
wäre eine Einrichtung des Bundesbeauftragten als oberste Bundesbehörde oder aber die Anbindung des Bundesbeauftragten für den
Datenschutz an den Deutschen Bundestag – ähnlich der Stellung der
Wehrbeauftragten – wünschenswert.
15. Auch die Stellung der betrieblichen und behördlichen Datenschutzbeauftragten muss gestärkt werden. Ihre Weisungsfreiheit und
Unabhängigkeit sollte durch einen verstärkten Kündigungsschutz unterstützt werden, der sich an dem für Mitglieder der Mitarbeitervertretung
orientiert. Lediglich natürliche Personen sollten als Datenschutzbeauftragte bestellt werden können. Externe Datenschutzbeauftragte sollten
nur noch für einen Mindestzeitrahmen von fünf Jahren bestellt werden
dürfen, um eine Umgehung des Kündigungsschutzes zu verhindern. Die
Anforderungen an Fachkunde und Qualifikation sowie die sachliche und
personelle Ausstattung der Beauftragten sollten näher beschrieben werden. Das Verhältnis zwischen Datenschutzbeauftragtem und Mitarbeitervertretung muss geklärt werden. Ein neues BDSG sollte auch die
Funktion eines Konzerndatenschutzbeauftragten aufnehmen. Dies
würde zu wünschenswerten Synergieeffekten führen und die Rolle des
Datenschutzes im gesamten Konzernverbund stärken. Einem vom deutschen Datenschutzrecht sanktionierten Konzerndatenschutzbeauftragten wird es darüber hinaus in weltweit tätigen Konzernen leichter fallen,
Datenschutzgrundsätze im gesamten Konzern durchzusetzen.
Die Koalitionsfraktionen beraten derzeit in ihren Arbeitsgruppen einen Antrag,
der diese zentralen Eckpunkte für einen Neuen Datenschutz aufgreift und die
Ankündigung der Bundesregierung unterstützt, dass sie unter Einbeziehung
von Wissenschaft und Praxis Gesetzentwürfe zu einem Arbeitnehmerdatenschutzgesetz sowie zu einem neuen Bundesdatenschutzgesetz vorlegen will.
Die Koalitionsfraktionen geben mit diesem Antrag ihrer Erwartung Ausdruck,
dass die Bundesregierung diese Gesetzentwürfe rechtzeitig in das parlamentarische Verfahren einbringen wird, damit diese bis Mitte der 15. Legislaturperiode beraten und verabschiedet werden können.
Diese Erwartung ist von der Gewissheit bestimmt, dass eine Fortschreibung
des nationalen Grundrechtsschutzes der überragenden Bedeutung der
Entwicklung einer zivilen Informationsgesellschaft freier Bürger entsprechen
Freundesgabe Büllesbach 2002
128
Tauss
würde. Wesentliche Unterstützung könnte die Modernisierung des Datenschutzrechtes zudem dadurch bekommen, wenn flankierend die informationelle und kommunikative Selbstbestimmung als Grundrecht der Informationsgesellschaft in das Grundgesetz aufgenommen würde.
4. Fazit
Das Grundrecht auf informationelle Selbstbestimmung soll zu einem
Kommunikationsgrundrecht weiterentwickelt werden, das als Querschnittsgrundrecht den kommunikativen Gehalt aller Grundrechte zum Ausdruck
bringt. Aus diesem Grund sollten auch Datenschutz und Informationsfreiheit
als Kehrseiten derselben Medaille angesehen werden, die zwar immer wieder
auch in einem Spannungsverhältnis zueinander stehen, jedoch zugleich
Funktionsbedingungen eines demokratischen Gemeinwesens und notwendige Bestandteile einer freiheitlichen Kommunikationsordnung sind. Denn noch
immer gilt: Will die Gesellschaft beim Übergang zur Wissens- und Informationsgesellschaft am Ziel eines freiheitlich-demokratischen Gemeinwesens
festhalten und will sie auch die wirtschaftlichen und arbeitsmarktpolitischen
Potenziale nicht gefährden, kommt sie nicht umhin, auch in einer vernetzten
und digitalisierten Welt das Grundrecht auf informationelle und kommunikative Selbstbestimmung zu bewahren – und das wird nur durch eine umfassende Modernisierung des bestehenden Datenschutzrechtes zu erreichen sein.
Ganz im Sinne von Alfred Büllesbach wird dem neuen Datenschutz zugleich
eine grundlegend neue Bedeutung als Wettbewerbs- und Standortvorteil
zukommen, die es auch im Hinblick auf den europäischen und internationalen
Kontext und im Interesse des Datenschutzes – zu nutzen gilt.
1
2
3
4
5
6
7
8
Jörg Tauss ist Mitglied des Deutschen Bundestages, Vorsitzender des Unterausschusses Neue
Medien beim Bundestagsausschuss für Kultur und Medien und bildungs- und forschungspolitischer Sprecher sowie Beauftragter für Neue Medien und zur Reform des Datenschutzrechtes
der SPD-Bundestagsfraktion. Dieser Beitrag entstand in Zusammenarbeit mit Johannes Kollbeck und Nermin Fazlic.
Die Arbeitsgruppe bestand neben Alfred Büllesbach aus dem damaligen Bundesbeauftragten
für den Datenschutz, Hanspeter Bull, dem damaligen Datenschutzbeauftragten der Freien
Hansestadt Hamburg, Claus Henning Schapper, dem Mitarbeiter der SPD-Fraktion Jürgen Klie
sowie dem Obmann der SPD-Fraktion, Gerd Wartenberg, MdB.
Das Eckwertepapier ist unter der Adresse www.tauss.de abrufbar.
Vgl. Roßnagel/Pfitzmann /Garstka (2001):
An dieser Stelle gilt es nochmals, Herrn Professor Alfred Büllesbach und allen anderen
Mitwirkenden im Arbeitskreis »Datenschutz« der SPD-Bundestagsfraktion und im Begleitausschuss der Koalitionsfraktionen »Modernisierung des Datenschutzes« herzlich für die hervorragende Unterstützung zu danken.
Vgl. Enquete-Kommission 1998 und DuD 5/2000. Zur mehrseitigen Sicherheit vgl. Müller/
Pfitzmann 1997: 11 f.
Die Prinzipien dieses »sicheren Hafens« für den transatlantischen Austausch sensibler Daten
sind auf dem DuD-Datenschutzserver abrufbar (www.dud.de, Link Datenschutzrecht, Internationales Recht), siehe auch http://www.datenschutz-berlin.de/doc/eu/index.htm# save_harbour.
Das vierte Schutzziel der Zurechenbarkeit von Netzaktivitäten steht selbstverständlich in einem
Freundesgabe Büllesbach 2002
Modernisierung des Datenschutzrechtes – eine Art Zwischenbilanz
9
10
11
129
Spannungsverhältnis zu dem datenschutzrechtlichen Grundsatz, insbesondere auch eine
anonyme Nutzung der IuK-Netzwerke zu ermöglichen (vgl. Roßnagel/Scholz 2000: 721 f.). Hier
bietet die Pseudonymisierung der Nutzung für bestimmte Transaktionsklassen einen möglichen Kompromiss, vermag allerdings nicht die Spannung aufzuheben (a.a.O.).
Vgl. zu Selbstregulierung Bäumler 1998 und Heil 2001 sowie zur Implementierung technikrechtlicher Instrumente Bizer 1998.
»Aufbruch und Erneuerung – Deutschlands Weg ins 21. Jahrhundert«. Koalitionsvereinbarung
zwischen der Sozialdemokratischen Partei Deutschlands und Bündnis 90/Die Grünen vom
20. 10. 1998.
Die folgenden Aussagen basieren im Wesentlichen auf den Ergebnissen des Gutachtens
»Modernisierung des Datenschutzrechts«, welches von Alexander Roßnagel, Andreas
Pfitzmann und Hansjürgen Garstka im Auftrag des Bundesministeriums des Innern im Herbst
2001 vorgelegt wurde. Siehe auch die zehn Schwerpunkte der Modernisierung des
Datenschutzrechts, die vor dem Deutschen Bundestag am 6. 4. 2002 zu Protokoll gegeben
habe, Deutscher Bundestag, BT-Prot. 14 /165, 16180 (B) f.
Literatur
Bäumler, Helmut (Hrsg.) (1998): Der neue Datenschutz. Datenschutz in der
Informationsgesellschaft von morgen. Neuwied/Kriftel/Berlin.
Bäumler, Helmut/von Mutius, Albert (1999): Datenschutzgesetze der dritten
Generation. Texte und Materialen zur Modernisierung des Datenschutzrechts. Neuwied/Kriftel.
Bizer, Johann (1998): Technikfolgenabschätzung und Technikgestaltung im
Datenschutzrecht. In: Bäumler, Helmut (Hrsg.): 1998, S. 45 – 64.
Bizer, Johann (1999): Datenschutz durch Technikgestaltung. In: Bäumler, H./
v. Mutius, A. (Hrsg.) 1999, S. 28 – 59.
Bizer, Johann (2001): Ziele und Elemente der Modernisierung des Datenschutzrechts. In: DuD 5 /2001, S. 274 – 277.
Büllesbach, Alfred (1997): Datenschutz bei Informations- und Kommunikationsdiensten. Gutachten im Auftrag der Friedrich-Ebert-Stiftung. Bonn.
Büllesbach, Alfred/Garstka, Hansjürgen (1997): Systemdatenschutz und persönliche Verantwortung. In: Müller, Günter / Pfitzmann, Andreas (Hrsg.)
(1997): Mehrseitige Sicherheit in der Kommunikationstechnik. Bonn u. a.
1997, S. 383 – 398.
Büllesbach, Alfred (Hrsg.) (1997): Datenschutz im Telekommunikationsrecht.
Deregulierung und Datensicherheit in Europa. Köln.
Büllesbach, Alfred/Höss-Low. Petra (2001): Vertragslösung, Safe Harbor oder
Privacy Code of Conduct. In: DuD 3/2001: S. 135 – 138.
Booz, Allen & Hamilton (2000): Digital Spaltung. Studie für die Initiative D 21.
Berlin 2000.
DuD, Themenhefte der Fachzeitschrift Datenschutz und Datensicherheit:
DuD 5/2000: Neues Datenschutzrecht.
DuD 7/2000: Standards der Datensicherheit.
DuD 8/2000: Datenschutz international.
Enquete-Kommission (1998): »Zukunft der Medien in Wirtschaft und Gesellschaft – Deutschlands Weg in die Informationsgesellschaft«. Vierter
Zwischenbericht: Sicherheit und Schutz im Netz. BT-Drs. 13/11002, Bonn
1998.
Freundesgabe Büllesbach 2002
130
Tauss
Heil, Helmut (2001): Datenschutz durch Selbstregulierung – Der europäische
Ansatz. In: DuD 3/2001: S. 129 – 134.
Huhn, Michaela/Pfitzmann, Andreas (1998): Verschlüsselungstechniken für
das Netz. In: Leggewie, Claus /Maar, Christa (Hrsg.): Internet und Politik.
Köln 1998, S. 438 – 455.
Müller, Günter / Pfitzmann, Andreas (Hrsg.) (1997): Mehrseitige Kommunikation – Vertrauen in Technik durch Technik. In: Müller, Günter / Pfitzmann,
Andreas (Hrsg.) (1997): Mehrseitige Sicherheit in der Kommunikationstechnik. Bonn u. a. 1997, S. 11 – 19.
Rannenberg, Kai/Pfitzmann, Andreas/Müller, Günter (1997): Sicherheit, insbesondere mehrseitige Sicherheit. In: Müller, Günter / Pfitzmann, Andreas
(Hrsg.) (1997): Mehrseitige Sicherheit in der Kommunikationstech-nik. Bonn
u. a. 1997, S. 21 – 30.
Roßnagel, Alexander (1997): Rechtliche Regelungen als Voraussetzung für
Technikgestaltung. In: Müller, Günter/Pfitzmann, Andreas (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik. Bonn u.a. 1997, S. 361 –
382.
Roßnagel, Alexander/Scholz, Philip (2000): Datenschutz durch Anonymität
und Pseudonymität. In: MMR 12/2000, S. 721 – 731.
Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen (2001):
Modernisierung des Datenschutzrechtes. Gutachten im Auftrag des
Bundesministeriums des Innern. Berlin.
Simitis, Spiros (1998): Das Netzwerk der Netzwerke: Ein Markt jenseits aller
Kontrollen? In: Leggewie, Claus /Maar, Christa (Hrsg.): Internet und Politik.
Köln 1998, S. 183 – 193.
Simitis, Spiros (2001): Auf dem Weg zu einem neuen Datenschutzkonzept,
DuD 12/2001, 714 ff.
Tauss, Jörg/Özdemir, Cem (2000): Umfassende Modernisierung des Datenschutzrechtes in zwei Stufen. In: Recht der Datenverarbeitung, RDV 4/2000,
S. 143 – 146.
Ulrich, Otto (1999): »Protection Profiles« – ein industriepolitischer Ansatz zur
Förderung des »neuen Datenschutzes«. In: Europäische Akademie, Graue
Reihe Bd. 17. Bonn 1999.
Freundesgabe Büllesbach 2002
131
Alexander Roßnagel
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
1. Der Wert der Daten und des Datenschutzes
Auf dem Weg in die Informationsgesellschaft gewinnen Informationen immer
mehr an Wert. Dies gilt auch und erst recht für personenbezogene Daten. Für
sie werden – je nach Sensitivität der Daten – beachtliche Summen geboten
(s. zum wirtschaftlichen Wert personenbezogener Daten z. B. Brönneke/Bobrowski 2000; Weichert 2000; ders., DuD 2001, 264 ff.; ders., NJW 2001, 1463 ff.).
Sie sind die Grundlagen für moderne – personalisierte – Methoden des Marketing und der Kundenbindung, ohne die viele Unternehmen meinen, nicht
mehr existieren zu können. Personenbezogene Daten zu Kaufkraft, Kaufgewohnheiten und Kreditwürdigkeit werden zu aussagekräftigen Profilen gebündelt. Anhand von Bewertungsmodellen wird auf der Grundlage dieser Daten
darüber entschieden, welcher Nutzen von dem Kunden für das Unternehmen
noch zu erwarten ist und auf dieser Grundlage über Kontoführung, Kredite,
Energieversorgung, Telekommunikation, Versicherungen und ähnliche Dienstleistungen sowie ihre Preise entschieden. Die Nachfrage nach personenbezogenen Daten nimmt ständig zu. Und umgekehrt wird diese Nachfrage immer
öfter die Grundlage von Geschäftsmodellen, die solche Daten verkaufen oder
vermieten.
Zugleich werden auf dem Weg zur Informationsgesellschaft immer mehr
Unternehmen in ihrem Erfolg abhängig vom Vertrauen ihrer Kunden. Dies gilt
nicht nur für die Unternehmen, die – wie etwa Banken – schon immer sensitive Dienstleistungen verkauft haben. Dies gilt zunehmend auch für reine Produktverkäufer, weil sie nicht mehr nur Produkte verkaufen, sondern um die
Produkte herum auch vielfältige Dienstleistungen. Diese Vertrauensabhängigkeit verschärft sich noch für die Internetwirtschaft, weil in ihr keine persönlichen Beziehungen geknüpft und damit keine Vertrauensanker durch unmittelbare Kommunikation geschaffen werden können (Fuhrmann 2001). Vertrauen entwickelt sich immer mehr zu einem entscheidenden Faktor für wirtschaftlichen Erfolg und nachvollziehbare Maßnahmen zum Datenschutz werden zu einem wichtigen Vertrauensfaktor.
Datenschutz ist daher auch ein Wirtschaftsfaktor (ausführlich Büllesbach,
RDV 1997, 239 ff.). Auch wenn es sich nicht unmittelbar auf Umsatz und
Gewinn umrechnen lässt, ist es etwa für Versicherungen nicht ohne Folgen,
dass sie hinsichtlich eines korrekten Umgangs mit personenbezogenen Daten
nur das Vertrauen von 30 % der Bundesbürger genießen und damit zum Beispiel deutlich hinter dem Verfassungsschutz (41 %) rangieren. Was auf den
ersten Blick nur als Imagefrage erscheint, kann sich in Zukunft zur Existenzfrage ausweiten. Wenn Versicherungen nicht zugetraut wird, Datenschutz auf
Dauer zu garantieren, werden sich die Verbraucher nach anderen Sicherheiten
umsehen oder umorientieren. Wer mit anvertrauten Daten nicht sorgsam umFreundesgabe Büllesbach 2002
132
Roßnagel
gehen kann, wird in der Informationsgesellschaft des 21. Jahrhunderts einen
schweren Stand haben (s. zum Verhältnis von Datenschutz und Vertrauen die
empirischen Ergebnisse in Opaschowski 2002).
Wenn die Verarbeitung personenbezogener Daten und die Gewährleistung
informationeller Selbstbestimmung zu einem Wettbewerbsfaktor in der modernen Wirtschaft geworden sind, liegt es nahe, diese Entwicklung für den
Datenschutz zu nutzen und den Wettbewerb für den Datenschutz fruchtbar zu
machen (s.hierzu auch die Vorschläge in den Gutachten im Auftrag des Bundesinnenministeriums Roßnagel/Pfitzmann/Garstka 2001, 42, 45, 132 ff.; s. auch
Weichert, DuD 2001, 265 ff.; ders., NJW 2001, 1465).
2. Neue Ziele des Datenschutzes
Aber nicht nur die Bedeutung der Daten und des Datenschutzes für den
Wettbewerb legt diesen Schluss nahe, sondern auch die Struktur der neuen
Ziele des Datenschutzes. Neue Herausforderungen – wie die Globalisierung
der Datenverarbeitung und die dynamische Entwicklung der Technik – fordern
angemessene instrumentelle Zielsetzungen. Gegenüber diesen Herausforde1
rungen muss Datenschutz durch Technik erreicht werden. Datenschutz hat
nur dann eine Chance, wenn die Entwicklung von Verfahren und die Gestaltung von Hard- und Software am Ziel des Datenschutzes ausgerichtet und
Datenschutz so weit wie möglich in Produkte, Dienste und Verfahren integriert
wird (Roßnagel, DuD 1999, 253 ff.). Durch Technik müssen alle normativen
Ziele unterstützt werden – nicht nur die Abschottung und Kontrollfähigkeit der
Datenverarbeitung, sondern auch die Prinzipien der Transparenz, der Vermeidung des Personenbezugs, der Erforderlichkeit, der Zweckbegrenzung und
Zweckbindung, der Verantwortlichkeit und der Selbstbestimmung sowie die
Wahrnehmung von Betroffenenrechten. Durch die Realisierung von Systemdatenschutz (ausführlich z. B. Büllesbach/Garstka 1997; Dix 2002) soll sichergestellt werden, dass die Datenverarbeitungsverfahren diese Ziele einhalten
und einen Verstoß gegen sie möglichst gar nicht zulassen. Techniken des
Selbstdatenschutzes sollen den Einzelnen in die Lage versetzen, seine informationelle Selbstbestimmung selbst zu schützen und durchzusetzen. Verantwortliche Stellen sollen das Ziel der Datensparsamkeit vor allem dadurch
umsetzen, dass sie die Möglichkeit anonymen und pseudonymen Handelns anbieten und dadurch den Personenbezug der zu verarbeitenden Daten vermeiden (ausführlich Roßnagel 2002b; zu Regelungsvorschlägen s. Roßnagel/
Pfitzmann/Garstka 2001, 103 ff., 150 ff.).
Diese neuen Ziele lassen sich aber kaum durch administrativen Datenschutz, durch Ge- und Verbote, erreichen. Staatlicher Zwang mobilisiert Widerstand und die Suche nach Umgehungsmöglichkeiten. Die genannten neuen
Ziele sind aber letztlich nur umzusetzen, wenn die verantwortlichen Stellen ein
eigenes Interesse daran haben. Ihr Wissen und ihr Engagement ist hierfür
unverzichtbar. Daher muss ein modernes Datenschutzrecht RahmenbedinFreundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
133
gungen schaffen, die Anreize bieten und Eigeninteresse mobilisieren, diese
Ziele zu realisieren. Ergänzend zu bestehenden Datenschutzregelungen muss
es versuchen, Verbesserungen des Datenschutzes und der Datensicherheit
ohne Zwang durch die Kräfte des Wettbewerbs zu erzielen. Es gilt, legitimen
Eigennutz zur Verwirklichung von Gemeinwohlzielen zu nutzen (Roßnagel
2002c; Weichert, NJW 2001, 1465).
Dabei kann es angesichts einer akzelerierend fortentwickelten Technik,
immer neuen Geschäftsmodellen in der Verwertung personenbezogener Daten, kaum vorhersagbaren Anwendungsfeldern der netzgestützten und der
ubiquitären Datenverarbeitung nicht darum gehen, isolierte Antworten auf
einzelne Sachprobleme zu finden. Benötigt werden vielmehr Strukturlösungen. Erforderlich ist, in den verantwortlichen Stellen lernfähige Systeme zu
etablieren, die auf ständig sich ändernde Herausforderungen immer wieder
neue Antworten zu geben vermögen. Das Datenschutzrecht muss für die verantwortlichen Stellen Anreize bieten, Problembewusstsein auszubilden, Risiko- und Lösungswissen zu generieren und immer wieder Lernprozesse zur
Verbesserung von Datenschutz und Datensicherheit zu initiieren.
3. Keine Eigentumsrechte an Daten
Wenn nun überlegt wird, wie ein Wettbewerb um Datenschutz zu konzipieren
ist, liegt es nahe, den betroffenen Personen ein Eigentum an »ihren« Daten
zuzubilligen und Wettbewerb dadurch zu initiieren, dass die betroffenen Personen »ihre« Daten an Nachfrager »verkaufen« können. Ein solcher »Property
Rights-Ansatz« wird für den Datenschutz tatsächlich propagiert (bspw. Ladeur,
DuD 2000, 18; zu diesem zwar kritisch, aber dennoch Datenüberlassungsverträge propagierend Weichert, DuD 2001, 268; ders., NJW 2001, 1467).
Eine solche Konzeption verkennt jedoch zutiefst die Grundstruktur personenbezogener Daten und der informationellen Selbstbestimmung. Sie taugt
nicht für eine gesellschaftliche Ordnung im Umgang mit personenbezogenen
Daten, die den Freiheitsrechten aller Beteiligten gerecht wird. Informationelle
Selbstbestimmung kann nicht so verstanden werden, dass sie eine Herrschaft
der betroffenen Person über »ihre« personenbezogenen Daten gewährleistet
und ihr eine eigentumsähnliche Ausschluss- und Verfügungsmacht sichert.
Ein solches Verständnis würde zum einen den objektivrechtlichen Gehalt der
informationellen Selbstbestimmung als Funktionsvoraussetzung für eine
Gesellschaft verkennen, die auf individueller Selbstbestimmung und freier
2
demokratischer Willensbildung ruht . Sie würde zum anderen aber auch verkennen, dass personenbezogene Daten mehrrelational sind. Als Modelle der
Wirklichkeit haben sie immer einen Autor und ein Objekt. Sie haben eine
Beziehung zum Objekt, aber auch zum Autor. Sie können nicht allein dem
Objekt zugeordnet werden.3 Für ein mehrrelationales Wirklichkeitsmodell ist
grundsätzlich keine Eigentumsäquivalenz gegeben. Datenschutzrecht regelt
daher keine Eigentumsordnung, sondern eine Informations- und KommuFreundesgabe Büllesbach 2002
134
Roßnagel
nikationsordnung, die bestimmt, wer in welcher Relation befugt ist, mit den
Modellen über bestimmte Personen in einer bestimmten Weise umzugehen
(s. hierzu auch Trute 2002, Rn. 19; Simitis 1987, 1475, 1489, insb. 1492;
Hoffmann-Riem 1997, 779; ders. 1998, 11; ders., AöR 1998, 520; Trute,
VVDStRL 57 (1998), 260; Pitschas, DuD 1998, 146 ff.; Schulz, Verwaltung 1999,
150). Datenschutz schützt daher nicht die betroffene Person als »Dateneigentümer«, sondern unterstützt sie als aktiven Interessen- und Entscheidungsträger im Rahmen dieser Informations- und Kommunikationsordnung.
Informationelle Selbstbestimmung ist daher nicht in der Weise zu gewährleisten, dass ausschließlich die betroffene Person selbst über »ihre« Daten
verfügt und sie demjenigen »verkauft«, der ihr den höchsten oder einen ihr
ausreichenden Preis bietet. Die personenbezogenen Daten sind nicht nur
Daten der betroffenen Person, sondern ebenso der Stelle, die die Daten erhoben oder verarbeitet hat. So sind Daten über eine medizinische Behandlung
zugleich auch Daten über die Leistung des Arztes, die dieser benötigt, um seinen Leistungsanspruch zu begründen und abzurechnen, um seine ärztliche
Dokumentationspflicht zu erfüllen und im Streitfall eine ordnungsgemäße
Behandlung nachweisen zu können. Eine ausschließliche Verfügungsbefugnis
als Grundlage für eine Konzeption des Datenschutzes als Eigentumsordnung
kann es daher nicht geben (Roßnagel/Pfitzmann/Garstka 2001, 37 f.).
4. Marktwirtschaft und Privatautonomie
Vielmehr ist die Grundvoraussetzung, um marktwirtschaftlichen Wettbewerb
im Datenschutz zu realisieren, dessen Grundprinzip, die Privatautonomie,
auch im Datenschutzrecht konsequent umzusetzen. In diesem Sinn muss die
informationelle Selbstbestimmung nicht nur im Verfassungsrecht, sondern
auch im einfachen Datenschutzrecht als die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen (BVerfGE 65,1), zur Grundregel werden: Die Entscheidungsprärogative der betroffenen Person wird am besten gewahrt, wenn
die Einwilligung zum vorrangigen Legitimationsgrund der Datenverarbeitung
wird (Roßnagel/Pfitzmann/Garstka 2001, 72 ff.).
4
Im nichtöffentlichen Bereich müssen daher die Erlaubnistatbestände zur
zwangsweisen Datenverarbeitung durch das »Opt-in-Prinzip«5 ersetzt werden.
Hier kann grundsätzlich nur der freie Wille der betroffenen Person die Grundlage für die Verarbeitung personenbezogener Daten sein. Dies gilt auch für die
Änderung des Verarbeitungszwecks oder die Übermittlung von Daten und
damit insbesondere für die Zwecke der Markt- und Meinungsforschung, der
Werbung und des Marketing (s. z.B. bereits § 89 Abs. 7 Satz 1 TKG; § 14 Abs. 2
MDStV), den Handel mit Adressen oder das Veröffentlichen von Verzeichnissen. In einer Marktwirtschaft vermag allein das unternehmerische Interesse
einer Partei nicht zu rechtfertigen, die Entscheidungsprärogative der anderen
Partei zu übergehen oder gar zu missachten.
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
135
Die Anerkennung der Entscheidungsbefugnis des betroffenen Vertragspartners führt auf das Grundmodell des Vertragsrechts zurück: Die Rechte
einer Partei gegenüber der anderen können nicht über das hinausgehen, was
diese ihr konkret zugestanden hat (zum Zusammenhang mit dem Recht der
Willenserklärungen Weichert, DuD 2001, 264 ff.; Bizer, DuD 2001, 276 f., ders.
DuD 1998, 552). Es bleibt den verantwortlichen Stellen – ganz im Sinn der
Marktwirtschaft – überlassen, für ihr Anliegen – unter Darlegung ihrer Datenschutzmaßnahmen – zu werben und die betroffene Person zu gewinnen, ihnen
die Verarbeitung ihrer Daten zu erlauben oder gar mit ihnen vertraglich zu vereinbaren (so sind wohl die Datenüberlassungsverträge im Sinn von Weichert,
DuD 2001, 268; ders., NJW 2001, 1467 zu verstehen). In der Wirtschaft gelten
in vielen Bereichen Opt-in-Lösungen bereits als »professionell«. So heißt es
zum Beispiel für die Gewinnung von Daten jenseits von vertraglich erforderlichen Daten etwa für Werbung und Marketing: »Kunden- und wettbewerbsorientiert handelnde Datenschutzverantwortliche werden generell auf die
Anwendung transparenter Opt-in-Prozeduren hinwirken« (Kranz 2002, Rn. 10).
Die durch das »Opt-in-Prinzip« geforderte Datenschutzkommunikation zwischen verantwortlichen Stellen und betroffenen Personen ist eine Chance
der Vertrauenswerbung. Datenschutz wird zu einem immer wichtigeren Qualitätsmerkmal für Vertrauensbeziehungen. Erst ein wirksamer – und kommunizierter – Datenschutz ermöglicht es, die hoffnungsvollen Prognosen des ECommerce zu erreichen und – nebenbei bemerkt – ebenso eine Verwal-tungsmodernisierung unter Mitwirkung der Bürger durchzuführen. Wird der Kunde
um seine Einwilligung zur Datenverarbeitung gebeten und wird ihm erläutert,
wofür er diese Einwilligung geben kann, wird dies die Vertrauensbeziehung
zwischen verantwortlicher Stelle und betroffener Person erheblich stärken.
»Opt-in« kann in zwei Formen erfolgen, die den sonstigen Handlungsformen der Marktwirtschaft entsprechen. Einmal kann die betroffene Person
ihre Einwilligung ausdrücklich erklären. Allerdings ist zu beachten, dass zwischen der verantwortlichen Stelle und der betroffenen Person oft ein erhebliches faktisches Machtgefälle besteht, durch das die Einwilligung zum Einfallstor »diktierter« Verarbeitungsbedingungen werden kann. Daher kommt es
darauf an, die Freiwilligkeit durch gesetzliche Rahmenregelungen abzusichern, vor Übereilung zu schützen und eine prüffähige Rechtsgrundlage zu
gewährleisten (s. zu den hierfür notwendigen Maßnahmen Roßnagel/Pfitzmann/Garstka 2001, 92 ff.). Insbesondere wird es wichtig sein, für Formulareinwilligungen verbindlich echte Wahlmöglichkeiten des Einwilligenden einzufordern. Zum anderen erfolgt »Opt-in« durch den Abschluss eines Vertrags
oder das Eingehen eines vertragsähnlichen Vertrauensverhältnisses. In diesem Fall wird durch das von der betroffenen Person freiwillig gesuchte Verhältnis diejenige Datenverarbeitung legitimiert, die zur Erfüllung des Verhältnisses erforderlich ist.
Eine zwangsweise Datenverarbeitung gegen den Willen der betroffenen
Person sollte im nichtöffentlichen Bereich nur noch dort möglich sein, wo das
»Opt-in-Prinzip« nicht funktionieren kann, wo es also der verantwortlichen
Freundesgabe Büllesbach 2002
136
Roßnagel
Stelle nicht möglich ist, für ihre Verarbeitung der personenbezogenen Daten
zu werben, zu überzeugen und die Einwilligung der betroffenen Person zu
erreichen. Zur Umschreibung dieser Ausnahmefälle ist jedoch der bisher die
Datenverarbeitung steuernde Begriff des »berechtigten Interesses« zu weit. Er
macht marktwirtschaftlichen Datenschutz unmöglich. Ausnahmen sollten vielmehr nur erlaubt sein, wenn dies zum Schutz oder zur Verfolgung eigener
Rechte oder Rechte Dritter notwendig ist, oder wenn es erforderlich ist, um
eine Gefahr für Leben, Gesundheit oder sonstige bedeutende Rechtsgüter der
betroffenen Person zu beseitigen und die betroffene Person ihre Zustimmung
nicht geben kann, oder wenn die Datenverarbeitung erforderlich ist, um Verpflichtungen zu erfüllen, die durch Rechtsvorschriften der verantwortlichen
6
Stelle auferlegt wurden.
Durch eine normative Aufwertung der Einwilligung wird auch ein erwünschter Nebeneffekt für die notwendige Vereinfachung des Datenschutzrechts bewirkt. Wird die Zulässigkeit der Datenverarbeitung grundsätzlich an
die Einwilligung der betroffenen Person geknüpft, ist auch eine Entlastung des
Datenschutzrechts und eine Einschränkung seiner Normenflut und Überdifferenzierung möglich. Der Gesetzgeber muss dann nicht mehr für alle Fälle die
Konfliktlösung selbst festlegen, sondern kann sie vielfach der autonomen
Konfliktlösung der Parteien überlassen.
5. Markttransparenz
Sowohl informationelle Selbstbestimmung als auch Wettbewerb erfordern
Transparenz. Eine informierte Einwilligung setzt eine ausreichende Unterrichtung über die Bedingungen der Datenverarbeitung voraus. Damit die betroffene Person wissen kann, »wer was wann und bei welcher Gelegenheit über
sie weiß« (BVerfGE 65, 1 (43), sollten personenbezogene Daten grundsätzlich
bei ihr erhoben werden. Ist dies nicht möglich, muss sie sobald wie möglich
unterrichtet werden (Roßnagel/Pfitzmann/Garstka 2001, 82 ff.).
Ein besonders wirksames Mittel des Wettbewerbs sind allgemein zugängliche Datenschutzerklärungen der verantwortlichen Stellen. Sie sind als
»Privacy Statements« zumindest für den Online-Bereich internationaler Standard. In diesen können die verantwortlichen Stellen ihre Datenverarbeitungs7
und Datenschutzpraxis darstellen und vor allem über die Struktur und Zwecksetzung ihrer Datenverarbeitung unterrichten. In individuellen Unterrichtungen können sie auf diese verweisen. Interessierte Kunden können mit ihrer
Hilfe die Bedingungen der Datenverarbeitung vergleichen (Weichert, DuD
2001, 268 f.).
Wer ein Buch kaufen will, will nicht zuvor drei eng beschriebene Seiten in
ziselierter Juristensprache lesen. Noch weniger wird er dazu bereit sein, wenn
er nur eine Webseite besuchen will. Von den Möglichkeiten, sich über Datenverarbeitungsgrundsätze und praktizierten Datenschutz zu informieren, wird
daher selten Gebrauch gemacht. Dennoch ist es wichtig, die Möglichkeit hierFreundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
137
zu zu bieten. Allerdings führt die nicht wahrgenommene Information noch
nicht zu Wettbewerb. Um diesen anzuregen, ist eine Automatisierung der
Transparenz notwendig. Für den Nutzer wäre es sehr hilfreich, wenn die
Informationen über die Datenverarbeitung im Hintergrund verarbeitet würden, ohne dass er ihnen im Regelfall besondere Aufmerksamkeit schenken
muss.
Dies ist möglich. Wird die Datenschutzerklärung auf der Website veröffentlicht, kann für die Datenschutzkommunikation zwischen datenverarbeitender
Stelle und betroffener Person der weltweite Datenschutzstandard »Plattform
8
for Privacy Preferences (P3P)« des World Wide Web Consortiums genutzt
werden. Publiziert die verantwortliche Stelle eine Datenschutzerklärung
im WWW, die dem P3P-Standard entspricht, kann der Nutzer seine Datenschutzpräferenzen im Hintergrund automatisiert mit der veröffentlichten
Datenverarbeitungspraxis der verantwortlichen Stelle abgleichen. Seine P3PSoftware kann ihm dann »grünes Licht« signalisieren oder ihn vor unzumutbaren Bedingungen warnen. Er kann dann im Sinn der Grundregel des »Notice
and Choice« entscheiden, ob er die Bedingungen akzeptiert oder die Verbindung zu der verantwortlichen Stelle abbricht (s. zur technischen Unterstützung von Transparenz näher Hansen 2002, Rn. 96). Eine Kommunikation über
Datenschutzbedingungen ermöglicht die im April 2002 verabschiedete
Fassung von P3P noch nicht. Als Mittel des Wettbewerbs würde P3P noch
effektiver wirken, wenn es in den künftigen Versionen zu einem echten Kommunikationsstandard fortentwickelt würde (eine differenziertere Aushandlung
bietet z.B. SSONET, Pfitzmann/Schill/ Westfeld/Wolf 2000). Im Idealfall sollte
der P3P-Standard zum Beispiel Verhandlungen darüber ermöglichen, wie die
personenbezogenen Daten verwendet werden, ob und in welchem Umfang
überhaupt personenbezogene Daten nötig sind und welche Pseudonyme verwendet werden.
Transparenz kann auch die Grundlage für das marktwirtschaftliche Angebot von Datenschutzdienstleistungen sein. In USA beispielsweise bieten sich
neu entstandene Unternehmen, Infomediaries (Begriff von Hagel/Singer 1999;
s. auch Cranor 1999, 19 ff.), als Datentreuhänder an. Ihre Geschäftsidee beruht
darauf, dass sie über die entsprechende Technologie und über Vertrauen beider Seiten verfügen, um einerseits personenbezogene Daten der Nutzer sicher
verwalten zu helfen und andererseits Regeln des Datenaustauschs zwischen
Nutzern und Web-Diensten durchzusetzen. Den Nutzern versprechen die Infomediaries Schutz vor unbemerkter und unfairer Datenweitergabe, Transparenz der Datenübermittlung und Kontrolle über ihre Daten. Sie analysieren
Web-Angebote für Kunden auf ihre Datenschutzpolitik hin – dies kann mit P3P
9
automatisiert erfolgen – und ordnen diese in Rating-Skalen ein. Durch Bündelung von Nutzerinteressen können Infomediaries eine höhere Marktmacht
entwickeln und dadurch bessere Bedingungen und Erlöse erzielen als vereinzelte Nutzer, um so mehr, wenn diese schlecht informiert und mangelhaft mit
Technik ausgestattet sind. Den Web-Diensten versprechen Infomediaries mehr
und korrekte Daten. Sie finanzieren ihre Aktivitäten, indem sie die Daten als
Freundesgabe Büllesbach 2002
138
Roßnagel
pseudonyme Nutzerprofile oder anonymisiert als statistisches Forschungsmaterial verkaufen. Zum Teil beteiligen sie die Nutzer sogar am Verkauf der Daten
(für Deutschland z.B. www.cocus.de; hierzu Köhntopp/Pfitzmann 2000, 316 ff.).
Infomediaries unterstützen allerdings nicht nur den Datenschutz, sondern
bergen für diesen auch erhebliche Risiken. So erzeugen sie wachsende
Ströme personenbezogener Daten und kehren damit die Zielrichtung datensparsamer Technikentwicklung um. Die Vermittlung personenbezogener
Daten bildet immerhin ihren Geschäftszweck. Außerdem bauen sie zentrale
Großlager personenbezogener Daten auf, die durch Hacker, durch korrumpierte Insider, durch löchrige Geschäftspraktiken oder staatliche Beschlagnahme gefährdet sein können.
Rechtliche Transparenzanforderungen sind nicht in der Weise zu verstehen,
dass der betroffenen Person künftig viele Prüfpflichten auferlegt werden, um
ihre Rechte geltend zu machen. Auch für eine nachlässige und uninteressierte Person muss ein Mindestmaß an Datenschutz – vor allem durch Systemdatenschutz – gewährleistet sein. Auch muss sie sich auf eine gewisse Kontrolle durch Aufsichtsbehörden oder Verbände verlassen können. Allerdings
setzen Mitwirkung und Selbstdatenschutz ein gewisses Mindestmaß an Kenntnis und Interesse hinsichtlich der Datenverarbeitung voraus. Die Transparenzanforderungen sollen diese ermöglichen. Dabei ist zu beachten, dass die
Transparenzmaßnahmen Anknüpfungspunkte für technische Verfahren (P3P)
oder Dienstleistungen (Infomediaries) sind, die – im Wettbewerb – für die
betroffene Person Kontrollen durchführen und ihre Interessen durchsetzen.
6. Datenschutzaudit als Vertrauensanker
Der Markt benötigt verlässliche Informationen. Die Aussagen zu Datenschutzanstrengungen in Datenschutzerklärungen können in ihrer Werbewirkung verstärkt werden, wenn sie in nachprüfbarer Weise ausgezeichnet werden. Dies
soll mit einem Datenschutzaudit ermöglicht werden. Es belohnt verantwortliche Stellen, die ihren Datenschutz verbessern, mit der abgesicherten Möglichkeit, im Wettbewerb um das Vertrauen Dritter ein Auditzeichen zu führen, das
die von einem zugelassenen Datenschutzgutachter überprüften Datenschutzanstrengungen bestätigt (Roßnagel 2000; Roßnagel/Pfitzmann/Garstka 2001,
132 ff.; zum Behördenaudit s. Golembiewski 2002).
Diese Auszeichnung soll sowohl die »Anspruchsgruppen« – wie Kunden,
Vertragspartner, Mitarbeiter, Banken, Versicherungen, Anteilseigner, Behörden, Presse, Parteien und die interessierte Öffentlichkeit – als auch die Konkurrenten beeindrucken. Sie soll als Diskriminierungsmerkmal am Markt dienen. Durch die Prämierung werden marktgerechte Anreize geschaffen, nachprüfbare Ergebnisse zur Verbesserung von Datenschutz und Datensicherheit
zu präsentieren. Nehmen wichtige Akteure einer Branche am Datenschutzaudit teil, entsteht ein Wettbewerbsdruck für alle Konkurrenten, dies ebenfalls
zu tun und ihren Datenschutz nachprüfbar zu verbessern.
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
139
Zielsetzung des Datenschutzaudits ist die freiwillige Überprüfung des Datenschutzmanagementsystems (s. zur Zusammenfassung bestehender Datenschutzpflichten zu einem Datenschutzmanagement näher Roßnagel/Pfitzmann/
Garstka 2001, 130 ff.) hinsichtlich seiner Eignung, flexibel auf die rasanten
Veränderungen der Informations- und Kommunikationstechniken zu reagieren
und die sich dadurch immer wieder neu stellenden Herausforderungen für
den Datenschutz zu meistern. Daher zielt das Datenschutzaudit nicht auf eine
einmalige Evaluierung, sondern auf die Fähigkeit, immer wieder neue
Lösungen zu generieren, und daher auf die kontinuierliche Verbesserung des
Datenschutzmanagementsystems.
Die Prüfung verwendet zwei Maßstäbe: einen objektiven, für alle gleichen
Maßstab, nämlich die Erfüllung der Anforderungen des Datenschutzrechts,
und einen subjektiven, nämlich eine Verbesserung der Anstrengungen zum
Datenschutz, die über den objektiven Maßstab hinausgeht und die sich nach
den individuellen Möglichkeiten der verantwortlichen Stelle bestimmt. Von
der selbstverständlichen Verpflichtung zur Einhaltung der geltenden Rechtsvorschriften abgesehen, bestimmen die verantwortlichen Stellen die inhaltlichen Anforderungen des Datenschutzaudits in Form von Selbstverpflichtungen selbst. Gefordert werden sollte nur, dass diese Anstrengungen auf
eine kontinuierliche Verbesserung des Datenschutzes und der Datensicherheit gerichtet sein und den wirtschaftlich vertretbaren Einsatz der besten verfügbaren Technik vorsehen müssen. Mit diesen beiden subjektiven Kriterien
soll die Zielgerechtigkeit der Selbstverpflichtungen gewährleistet und die Vergleichbarkeit der zusätzlichen Anstrengungen aller Teilnehmer ermöglicht
werden. Welche Anforderungen sich daraus für die verantwortliche Stelle ergeben, bestimmt diese in eigener Verantwortung (näher Roßnagel 2000, 84 ff.).
Es bietet sich an, Empfehlungen für Selbstverpflichtungen im Rahmen branchenbezogener Selbstregulierung zu erarbeiten (Arbeitskreises Datenschutzaudit Multimedia, DuD 1999, 285).
Das Datenschutzaudit sollte für die verantwortlichen Stellen mit möglichst
wenig zusätzlichem Verwaltungsaufwand verbunden sein. Zugleich muss aber
auch die erforderliche Zielgerechtigkeit des Verfahrens und der Kriterien, die
notwendige Transparenz und Vergleichbarkeit der Prüfergebnisse sowie die
Rechtssicherheit für die Werberegeln gewährleistet sein. Für die Wahl des
geeigneten Verfahrens kommt es vor allem darauf an, welche verantwortlichen Stellen als Zielgruppe angesehen werden. Von ihnen muss erwartet
werden, dass sie das Angebot eines Datenschutzaudits annehmen und mit
ihrem Vorbild andere Stellen nachziehen. Wie auch beim Umweltschutzaudit
ist diese Zielgruppe eher in den etablierten und größeren Unternehmen zu
sehen als in Internet-Start-Up-Unternehmen. Sie haben sowohl das Interesse
als auch die Kapazität, ein Audit durchzuführen. Außerdem haben sie die
erforderliche wirtschaftliche Bedeutung, um für andere verantwortliche Stellen als Vorbild zu wirken. Da diese verantwortlichen Stellen in der Regel be10
reits an Qualitäts- und Umweltschutzaudits nach internationalen Normen
teilnehmen, wird die Einführung des Datenschutzaudits erleichtert und sein
Freundesgabe Büllesbach 2002
140
Roßnagel
Verwaltungsaufwand reduziert, wenn es an die in den Unternehmen bereits
bestehenden Managementsysteme angepasst wird (Verfahrens- und Regelungsvorschlag bei Roßnagel/Pfitzmann/Garstka 2001, 135, 140 ff.).
Nimmt die verantwortliche Stelle erfolgreich am Datenschutzaudit teil, ist
sie berechtigt, ein Datenschutzzeichen für Werbezwecke zu nutzen. Dieses
Logo kann sie für die Kommunikation mit der Öffentlichkeit, insbesondere für
Vertrauenswerbung nutzen. Ein gesetzlich geschütztes Zeichen für die überprüfte Selbstverpflichtung zur Einhaltung aller rechtlichen Datenschutzanforderungen und zu weitergehenden Anstrengungen zur kontinuierlichen Verbesserung des Datenschutzes und der Datensicherheit bietet tatsächlich eine
Grundlage, dem Unternehmen Vertrauen entgegenzubringen.
Um die Verbreitung des Datenschutzaudits zu unterstützen, sollten verantwortliche Stellen, die an diesem teilnehmen, bevorzugt berücksichtigt werden, wenn es um Aufträge zur Verarbeitung personenbezogener Daten geht.
Zumindest für öffentliche Stellen sollte diese Berücksichtigung zur Pflicht
11
erhoben werden. Als Erleichterungen für die Teilnehmer am Datenschutzaudit sollte vorgesehen werden, dass sie ihr Prüfergebnis an Stelle des
Organisationsplans und des Datenschutz- und Datensicherheitskonzepts im
Rahmen eines verbindlichen Datenschutzmanagements verwenden können.
7. Produktzertifizierung als Qualitätssiegel
Recht und Technik müssen zur Gewährleistung des Datenschutzes eine Allianz
eingehen. Durch entsprechende rechtliche Rahmenbedingungen muss zu
erreichen versucht werden, dass Datenschutz so weit wie möglich in Produkte,
Dienste und Verfahren integriert wird (Roßnagel 2001). Datenschutz durch
Technik ist oft die einzig mögliche Antwort auf Probleme der Globalisierung
der Datenflüsse, der dynamischen Technikentwicklung und der Zunahme der
Datenverarbeitung bis hin zu ihrer Allgegenwärtigkeit (s. zu den Datenschutzproblemen der Ubiquitons Computing Mattern/Langheinrich 2001). Je mehr
der Datenschutz dem Einflussbereich des nationalen Gesetzgebers entschwindet, desto mehr muss Datenschutz weltweit wirksam werden. Dies ist
mangels einer wirksamen Weltrechtsordnung nur dann möglich, wenn er in
die Technik eingelassen ist. Dieser Weg bietet zwei Vorteile: Datenschutztechniken sind – im Gegensatz zu Datenschutzrecht – weltweit wirksam und
Technikunternehmen sind – im Gegensatz zu Gesetzgebern – sehr schnell lernende Systeme. Beide Vorteile lassen sich nutzen, wenn es gelingt, für
Datenschutztechnik einen Markt zu entwickeln. Wenn sich Datenschutztechnik
verkauft, wird sie sich ebenso dynamisch entwickeln wie neue technische
Herausforderungen für den Datenschutz (Roßnagel, DuD 1999, 253 ff.).
Für den Markt muss aber bekannt sein, welche Produkte datenschutzgerecht oder datenschutzförderlich sind. Damit deren spezifische Datenschutzund Datensicherheitseigenschaften zu einem Wettbewerbsvorteil werden,
sollte das künftige Datenschutzrecht eine Produkzzertifizierung anbieten
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
141
(zum Zusammenhang zwischen Produkttransparenz und Verbraucherschutz
s. Weichert, DuD 2001, 268 f.). Deren »Gütesiegel« muss ein verlässliches
Unterscheidungsmerkmal für die Marktnachfrage bieten.
Während das Datenschutzaudit das Datenschutzmanagement einer verantwortlichen Stelle in einem Systemaudit evaluiert, bezieht sich die Zertifizierung von Hard- und Software sowie von automatisierten Verfahren ausschließlich auf ein Produkt. Die Produktzertifizierung zielt daher nicht auf die
wiederholte Überprüfung und Bewertung von Anstrengungen zur Verbesserung des Datenschutzes, sondern um die einmalige Bewertung der Datenschutz- und Datensicherheitseigenschaften einer bestimmten Version eines
12
Produkts .
Datenschutzaudit und Produktzertifizierung sollten auch deshalb klar unterschieden werden, weil sie unterschiedliche Interessenten betreffen. Die
Produktzertifizierung erfolgt auf Antrag des Herstellers oder Anbieters. Es
macht wenig Sinn, wenn die vielen tausend Anwender eines Datenverarbeitungssystems oder -programms dieses viel tausendfach zertifizieren las13
sen. Vielmehr sollte allein der jeweilige Hersteller oder Anbieter für das
System oder Programm eine einzige Zertifizierung erhalten, auf die sich dann
alle Anwender verlassen können. Die verantwortlichen Stellen sollten – soweit
vorhanden – zertifizierte Datenverarbeitungssysteme und -programme in ihrer
Datenverarbeitung einsetzen. Verwenden sie zertifizierte Produkte, sollte eine
Vermutung bestehen, dass mit ihrer richtigen Verwendung die jeweils relevanten Anforderungen des Datenschutzes erfüllt sind.
Anforderungen an die Produkte sollten sich vor allem aus den Kriterien
ergeben, die von den Herstellern bei der Prüfung für die Entwicklung und Herstellung zu beachten sein sollten (Roßnagel/Pfitzmann/Garstka 2001, 143 ff.).
Diese sollten anwendungsspezifisch vom Hersteller zusammen mit dem Prüfer
etwa in Form von »Protection Profiles« entsprechend den »Common Criteria«
präzisiert werden. Soweit dies möglich ist, sollten Vertreter der Anwender und
Nutzer an der Erstellung der »Profiles« beteiligt werden. Zumindest sollte
ihnen Gelegenheit hierzu gegeben werden. Wird das Zertifikat zur Werbung
für das Produkt verwendet, ist auf das »Profile« hinzuweisen. Es ist der Öffentlichkeit zugänglich zu machen, insbesondere dadurch, dass ein einfacher Zugriff im Rahmen elektronischer Medien ermöglicht wird.
Die Prüfung der Produkte sollte – wie beim Datenschutzaudit – von privaten
Gutachtern durchgeführt werden, deren Zuverlässigkeit, Unabhängigkeit und
Fachkunde durch Zulassung und Kontrolle gewährleistet sein muss. Die Zulassung der Gutachter könnte zum Beispiel nach § 36 GewO erfolgen oder wie in
Schleswig-Holstein dem Landesdatenschutzbeauftragten übertragen werden.
Das Siegel sollte nicht vom Gutachter, sondern von einer dritten Stelle vergeben werden, die die Korrektheit des Gutachtens und der Arbeit des
Gutachters überprüft. Hierfür kämen – wie dies in Schleswig-Holstein praktiziert wird – der Landesdatenschutzbeauftragte oder eine andere Stelle wie
etwa die Industrie- und Handelskammern in Frage. Im zweiten Fall wäre dem
Datenschutzbeauftragten Gelegenheit zu Einwendungen zu geben.
Freundesgabe Büllesbach 2002
142
Roßnagel
Anzustreben ist eine Produktzertifizierung, die nicht erst nach dem Markteintritt eines Produkts beginnt, sondern bereits entwicklungsbegleitend erfolgt. Schon die Entwicklungsabteilungen der Hersteller wären so gehalten,
datenschutzfördernde Techniken in die Produktgestaltung aufzunehmen. Verbesserungen der Produkte, die erst nachträglich versuchen, Datenschutz zu
integrieren, wären nicht mehr notwendig. Darüber hinaus könnten Hersteller
von Beginn an mit dem Zertifikat werben.
Da das Datenschutzrecht auf die Verbreitung datenschutzgerechter Produkte angewiesen ist, muss es auch deren Absatz fördern. Daher sollte für verantwortliche Stellen des öffentlichen Bereichs die Verpflichtung vorgesehen
werden, bei der Gestaltung von Prozessen zur Verarbeitung personenbezogener Daten vorrangig datenschutzfördernde Produkte zu verwenden (zur Zulässigkeit Petri, DuD 2001, 150). Hierdurch würde die Vorbildfunktion des
Staats in der Weise angesprochen, dass er mit gutem Beispiel vorangehen
sollte, wenn es darum geht, Belange des Datenschutzes bei der Beschaffung
zu berücksichtigen. Die Verwendung datenschutzgerechter oder datenschutzfördernder Produkte durch staatliche Stellen kann bei Bürgern und Unternehmen einen Nachahmungseffekt bewirken, wenn sie sehen, dass es möglich
und umsetzbar ist, datenschutzgerechte Produkte zu verwenden. Die gezielte
Nachfrage durch die öffentliche Hand kann darüber hinaus den Bekanntheitsgrad und den Marktanteil datenschutzgerechter Produkte fördern und damit
ihre Markteinführung und Diffusion ermöglichen oder beschleunigen.
8. Wettbewerb und Selbstregulierung
Für den Datenschutz wird Selbstregulierung eine steigende Bedeutung gewinnen (zu Modellen und Chancen der Selbstregulierung s. Roßnagel 2002 c).
Selbstregulierung ermöglicht es der Wirtschaft, relativ schnell passgerechte
branchen- oder unternehmensbezogene Regelungen zu entwickeln. Sie kann
insbesondere eine globalisierte Datenverarbeitung vereinfachen, wenn ihre
14
Regelungen weltweite Anwendung finden . Selbstregulierung bietet die
Chance, für die gefundenen normativen Vorgaben leichter die Akzeptanz bei
den direkten Regelungsadressaten zu finden und erleichtert die Durchsetzung
15
des Datenschutzrechts . Ein weiterer Vorteil der Selbstregulierung kann die
Mobilisierung von Sachverstand und die Gewinnung von Informationen sein,
die nur von den Beteiligten selbst eingebracht und eingearbeitet werden kön16
nen .
Trotz vieler Risiken (Roßnagel 2002b, Rn. 60 ff. mwN.) ist Selbstregulierung
notwendig und unvermeidbar. Selbstgesetzte Verhaltensregeln begründen
neue Rahmenbedingungen für den Wettbewerb, die sich zwiespältig auswirken können. Einerseits setzt Selbstregulierung oft voraus, dass alle oder mindestens die wichtigsten Angehörigen des betroffenen Markts diese anwen17
den . In solchen Situationen sichern die Unternehmen das von allen Mitbewerbern gewünschte Verhalten durch gegenseitige Verpflichtungserklärungen
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
143
ab. Andererseits ermöglicht Selbstregulierung, die für Wirtschaft und den
Wettbewerb passenden Regelungen zu finden. In der Regel beschreiben diese
den kleinsten gemeinsamen Nenner, damit alle Mitglieder eines Verbands die
Verhaltensregeln auch einhalten können. Auf deren Grundlage bleibt dann ein
Wettbewerb um mehr Vertrauen durch Datenschutz ebenso möglich wie auf
der Basis einer gesetzlichen Regelung. Horizontale Vereinbarungen zwischen
Unternehmen können wettbewerbsbeschränkende Wirkung haben und sind
daher grundsätzlich nach § 1 GWB unzulässig (Roßnagel 2002c, Rn. 148 f.). Ob
dies auch für staatlich initiierte Absprachen zur Umsetzung von Allgemeininteressen gilt, ist umstritten. Überwiegend wird vertreten, dass das Kartellverbot nach § 1 GWB nicht zur Anwendung kommt, wenn der vom Staat inspirierte Inhalt der Abrede aufgrund einer speziellen gesetzlichen Ermächtigung
in einem Gesetz festgelegt würde (z. B. Kloepfer, JZ 1980, 788; Baudenbacher,
JZ 1988, 694; Brohm, DÖV 1992, 1027). Das Gleiche soll nach dieser Meinung
auch bei staatlich inspirierten horizontalen Abreden gelten, die staatliche
Regelungen der Wirtschaftslenkung ersetzen. Da staatliche wirtschaftslenkende Maßnahmen aus dem Kartellrecht ausgenommen sind, fallen nach dieser
Meinung auch entsprechende Abreden zwischen den Unternehmen nicht
unter das Kartellrecht. Über sie kann der Staat als Inspirator der Abrede kein
Unrechtsurteil aussprechen. Das Kartellrecht habe keine Kontrollfunktion
gegenüber staatlicher Wirtschaftslenkung, sondern lediglich gegenüber priva18
ten »wirtschaftslenkenden« Maßnahmen .
In dieser Situation erscheinen drei Regelungen angebracht: Zum einen ist –
auch zur Sicherstellung der Gesetzeskonformität der selbstgesetzten Verhaltensregeln – deren Anerkennung durch die datenschutzrechtliche Kontrollstelle vorzusehen (ausführlich Roßnagel/Pfitzmann/Garstka 2001, 159 ff.). Dabei sollte die Kontrollstelle sicherstellen, dass ein Offenhalten des Datenschutzwettbewerbs gewährleistet ist. Zum anderen sollte aber im GWB klargestellt werden, dass privatrechtliche Absprachen, die zur Umsetzung von
Verhaltensregeln erforderlich sind, nicht am Wettbewerbsrecht scheitern.
Drittens sollte vorgesehen werden, dass solche horizontalen Verträge der zuständigen Kontrollstelle und der Kartellbehörde anzuzeigen sind. Die Kartellbehörde kann dann eventuell erforderliche Maßnahmen ergreifen. Sie wird
hierzu sinnvoller Weise die Stellungnahme der zuständigen Kontrollstelle einholen.
9. Schutz gegen unlauteren Wettbewerb
Datenschutz durch Wettbewerb setzt auch eine Kontrolle und Sicherstellung
des Wettbewerbs voraus. Insbesondere muss verhindert werden, dass mit
Datenschutz unlauterer Wettbewerb betrieben wird. Wie im allgemeinen
Lauterkeitsrecht sollte auch in diesem Bereich eine Kontrolle durch gesellschaftliche Akteure – im Sinn einer wirtschaftlichen Selbstkontrolle – in der
Form ermöglicht werden, dass Wettbewerber und anerkannte Verbände die
Freundesgabe Büllesbach 2002
144
Roßnagel
Unterlassung datenschutzrechtswidriger Praktiken geltend machen können.
Zum einen sollte hierfür sichergestellt werden, dass Wettbewerber den
Verstoß gegen Datenschutzpflichten im Rahmen einer privatrechtlichen
Konkurrentenklage als unlauteren Wettbewerbsvorteil geltend machen können. Ob Datenschutzverstöße nach geltendem Recht die beiden General19
klauseln der §§ 1 und 3 UWG erfüllen können, blieb bisher umstritten. Durch
eine kleine Ergänzung des § 3 UWG sollte klargestellt, dass dies möglich ist,
wenn der Datenschutzverstoß durch eine Handlung im geschäftlichen Verkehr
begangen wurde (Roßnagel/Pfitzmann/Garstka 2001, 204).
Neben einer privatrechtlichen sollte auch eine an § 13 UWG angelehnte
öffentlich-rechtliche Konkurrentenklage möglich sein (zur Einfügung dieser
Forderung in die Struktur des VWG und zu einem Formulierungsvorschlag in
Roßnagel/Pfitzmann/Garstka 2001, 204 f.). Mit dieser sollen Wettbewerber die
verwaltungsgerichtliche Überprüfung der Rechtmäßigkeit behördlicher
Maßnahmen oder Unterlassungen beantragen können. Voraussetzung für die
Klage ist, dass der Kläger geltend macht, dass die behördliche Maßnahme
oder das behördliche Unterlassen geeignet ist, den Wettbewerb zu seinem
Nachteil zu beeinträchtigen. Diese Beeinträchtigung muss dadurch erfolgen,
dass der andere Wettbewerber gegen abschließend bestimmte datenschutzrechtliche Pflichten verstößt. Der Kläger muss zu dem anderen Gewerbetreibenden in einem Wettbewerbsverhältnis stehen, also Waren oder gewerbliche
Leistungen gleicher oder verwandter Art für denselben Markt herstellen oder
auf demselben Markt vertreiben. Eine Beeinträchtigung des Wettbewerbs
kann zum Beispiel entstehen, wenn ein Wettbewerber, der datenschutzrechtliche Pflichten missachtet, etwa keinen Datenschutzbeauftragten bestellt, Unterrichtungen unterlässt oder keine Einwilligungen einholt, in der Lage ist,
preiswerter anzubieten als der Kläger, der die datenschutzrechtlichen Pflichten
20
erfüllt.
Zum anderen sollte sichergestellt werden, dass anerkannte Verbände und
Vereine nach § 3 Abs. 1 Unterlassungsklagengesetz oder § 13 Abs. 2 UWG
Datenschutzverstöße mit einer Unterlassungsklage verfolgen können. Diese
Möglichkeit besteht bereits, wenn der Anspruch eine Handlung betrifft, durch
die wesentliche Belange der Verbraucher berührt werden. Diese Regelung
müsste dahingehend konkretisiert werden, dass dies auch bei wesentlichen
Verletzungen von Vorschriften zum Schutz der informationellen Selbstbestimmung gilt. Dem Gedanken der gesellschaftlichen Selbstregulierung entspricht es auch, wenn Verstöße gegen die selbstgesetzten Verhaltensregeln
durch anerkannte Verbraucher- und Datenschutzverbände verfolgt werden
können (s. zum Zusammenhang zwischen Selbstregulierung der Wirtschaft
und Selbstkontrolle der Akteure aus der Wirtschaft Roßnagel/Pfitzmann/
Garstka 2001, 203f.). Selbstgesetzte Verhaltensregeln können nicht werbewirksam öffentlich für verbindlich erklärt und danach ohne jede wettbewerbs21
rechtliche Sanktion ignoriert werden .
Verbraucherverbände werden nach § 4 Unterlassungsklagengesetz vom
Bundesverwaltungsamt anerkannt, wenn es sich um rechtsfähige Vereine mit
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
145
mehr als 75 Mitgliedern handelt, »die Interessen der Verbraucher durch Aufklärung und Beratung wahrnehmen«. Datenschutzverbände könnten nach den
gleichen Kriterien anerkannt werden, hierfür wäre in § 4 Unterlassungsklagengesetz nur eine kleine Ergänzung vorzusehen: Nach dem Wort »Verbraucher« wäre »und der von der Datenverarbeitung Betroffenen« einzufügen.
10. Datenschutz durch Wettbewerb und Wettbewerb durch Datenschutz
Datenschutz und Marktwirtschaft könnten sich gegenseitig unterstützen.
Datenschutz könnte durch das Mittel des Wettbewerbs leichter durchgesetzt
werden, indem statt der Angst vor staatlichem Zwang das Eigeninteresse der
verantwortlichen Stelle Datenschutzmaßnahmen motiviert. Die Aussicht, in
der Konkurrenz um das Vertrauen der »Anspruchsgruppen«, nicht nur der
Kunden, Vorteile zu erringen, mobilisiert die Eigeninitiative der Wettbewerber,
ihren Datenschutz – möglichst nachprüfbar – zu verbessern. Umgekehrt bietet
Datenschutz für den Wettbewerb eine Möglichkeit, sich vom Konkurrenten zu
unterscheiden. Datenschutz ist ein Thema, über das mit den Anspruchsgruppen positiv kommuniziert werden kann und das ermöglicht, ein Image
der Vertrauenswürdigkeit aufzubauen. Datenschutz verliert durch seine
Verbindung mit dem Wettbewerbsgedanken sein Bild als bürokratisches
Hindernis und gewinnt neue Konturen als Wettbewerbsvorteil, als Beratungsgegenstand, als Dienstleistung, als Produktidee und als Aspekt der Selbstbestimmung.
1
Podlech, DÖV 1970, 475; ders., DVR 1976, 25; ders. 1982, 451; Roßnagel/Wedde/Hammer/
Pordesch 1990, 259 ff.; Roßnagel 1993, 241 ff.; ders. 2001, 13 ff.; Simitis 1996, 35 ff.; HoffmannRiem, AöR 1998, 537; Vogt/Tauss 1998, Nr. 6; Bizer 1999, 28 ff; aus technischer Sicht Pfitzmann,
DuD 1999, 405 ff.
2 BVerfGE 65, 1 (43 f) »Der Einzelne hat nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über ›seine‹ Daten; er ist vielmehr eine sich innerhalb der sozialen
Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit. Information, auch
soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich
dem Betreiber allein zugeordnet werden kann.«
3 In der Regel bilden die Modelle eine soziale Beziehung ab, sie betreffen dann beide Partner der
Beziehung und unterliegen nicht dem alleinigen Verfügungsrecht nur einer Person – s. z.B.
Zöllner, RDV 1985, 12.
4 Für den öffentlichen Bereich kann dieses Prinzip wegen der Gesetzesbindung der Verwaltung
nicht in gleichem Maß zum Tragen kommen – s. näher Roßnagel/Pfitzmann/Garstka 2001, 73 ff.
5 Eine Ausnahme sollte für die Datenverarbeitung vorgesehen werden, durch die wegen der
Offenkundigkeit oder der Art der Verarbeitung schutzwürdige Interessen der betroffenen
Person offensichtlich nicht beeinträchtigt werden – s. Roßnagel/Pfitzmann/Garstka 2001, 62.
6 Für die Bereiche der Warndienste, Detekteien und Auskunfteien, der Medien und der Forschung sollten ihren Arbeitsbedingungen angepasste Erlaubnistatbestände und Verarbeitungsregeln ermöglicht werden, wenn diese Bereiche sich selbst Verhaltensregeln erarbeiten,
die von den zuständigen Kontrollstellen anerkannt werden können – s. Roßnagel/Pfitzmann/
Garstka 2001, 77 ff.
7 Die Verhaltensregeln für den Datenschutz können Ergebnis der Selbstregulierung von
Unternehmen und Verbänden sein, die durch die Anerkennung einer Datenschutzkontrollstelle
Rechtsverbindlichkeit erlangen können – s. hierzu Roßnagel/Pfitzmann/Garstka 2001, 153 ff.
Freundesgabe Büllesbach 2002
146
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Roßnagel
www.w3c.org/P3P/; Cranor, P3P, Roadshow, www.w3.org/P3P/p3p-roadshow-0800.ppt; dies.,
DuD 2000, 479; Cavoukian/ Gurski/Mulligan/Schwartz, DuD 2000, 475; Grimm/Roßnagel 2000a,
293 ff.; dies. 2000b, 157; Wenning/Köhntopp, DuD 2001, 139 ff.; Greß, DuD 2001, 144 ff.;
Lohse/Janetzko, CR 2001, 55
Solche Dienstleistungen bietet z.B. www.enonimous.com an. Sie verwalten Kundendaten,
schalten sich unbemerkt in die Internetkommunikation ein und geben die Daten nur weiter,
wenn dies den Bedingungen des Kunden entspricht (z.B. www.digitalme.com; www.privaseek.
com; www.privacybank.com; zu weiteren Beispielen s. www.koehntopp.de/marit/ publikationen/idmanage)
Z. B. ISO 9.001 zum Qualitätsmanagement und ISO 14.001 zum Umweltschutzmanagement;
EG-Verordnung Nr. 761/2001 ȟber freiwillige Beteiligung von Organisationen an einem
Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung« (EMAS)
vom 19.3.2001, EG ABl. L 114 vom 24.4.2001, 1.
Eine ähnliche Regelung wurde im Entwurf für ein Umweltgesetzbuch in §51 vorgeschlagen – s.
Entwurf der Unabhängigen Sachverständigenkommission zum Umweltgesetzbuch 1998, 547.
Eine solche Produktzertifizierung ist in Schleswig-Holstein nach § 4 Abs. 2 LDSG vorgesehen
und in einer Verordnung umgesetzt, die allerdings den falschen Titel führt: Landesverordnung
über ein Datenschutzaudit vom 3.4.2001, GVBl. I, 51, www.datenschutzzentrum.de/guetesiegel/
– s. näher Bäumler, DuD 2001, 252; ders., RDV 2001, 169 ff; Diek 2002.
In der Regel verfügen die Anwender auch nicht über die für eine Zertifizierung des Produkts
notwendige Detailinformation, wie über Quelltexte und verwendete Hilfsmittel, Entwurfsdokumentation und ähnliches.
Zur Bedeutung für global agierende Unternehmen s. Büllesbach, RDV 2000, 1 ff. und
Büllesbach/Höss-Löw, DuD 2001, 135 ff. Auch nach den Safe Harbor Principles wird ein Verstoß
gegen die freiwillig übernommenen Prinzipien als unlautere und irreführende Handlung sanktioniert – s. Grundsätze des »sicheren Hafens« zum Datenschutz, vorgelegt vom amerikanischen Handelsministerium am 21.7.2000, EG-ABl. L 215 vom 25.8.2000, 10; Entscheidung der
Kommission vom 26.7.2000, Art. 1 Abs. 2 b) und Erwägungsgrund 5, EG-ABl. L 215 vom
25.8.2000, 7.
Zur Erhöhung der Akzeptanzchancen und zusätzlichen Gewinnen an »funktionaler« Legitimität
s. z.B. Ritter, AöR 1979, 411; Ukrow 2000, 14.
Z. B. Swire 1997, der darauf hinweist, dass dies insbesondere für die Kosten-Effektivität der
Regelungen gilt; s. auch Fuhrmann 2001, 143. Selbstregulierung kann schließlich zu einer
Entlastung des Staats führen und dazu beitragen, seine Überforderung zu verringern (s. hierzu am Beispiel des Umweltschutzes z. B. Faber 2011, 80).
Für den Bereich des Umweltschutzes z.B. Oldiges, WiR 1973, 13 f.; Baudenbacher, JZ 1988, 692;
Brohm, DÖV 1992, 1026; Schmidt-Preuß, VVDStRL 56 (1997), 215.
Z. B. Baudenbacher, JZ 1988, 694f., Brohm, DÖV 1992, 1028) Allerdings fordert eine andere
Meinung eine Genehmigung durch den Bundeswirtschaftsminister nach § 8 GWB, s. z. B.
Kloepfer, JZ 1980, 784 ff.; Scherer, DÖV 1991, 5; Schmidt-Preuß, VVDStRL 56 (1997), 216f.
Ein Wettbewerbsverstoß im Sinn des § 1 UWG durch Rechtsbruch wird in der Regel nur angenommen, wenn die verletzten Normen wertbezogen sind und dem Schutz wichtiger
Rechtsgüter und Interessen dienen. Dies wird für das Datenschutzrecht in der Rechtsprechung
zum Teil angenommen – s. z.B. BGH, NJW 1992, 2419; OLG Köln, WRP 1982, 540; OLG Koblenz,
DuD 1999, 358; LG Mannheim, NJW 1996, 1835; LG Hamburg, CR 1997, 21; LG München I, CR
1998, 83; LG Stuttgart, DuD 1999, 295; OLG Köln, RDV 2001, 103 ff. – zum Teil verneint – s. z.B.
OLG Frankfurt, DuD 1997, 47 – und zum Teil offengelassen – s. z.B. OLG Köln, MMR 2000, 106,
das letztlich aber doch den Wettbewerbsverstoß bejaht. s. aus der Literatur z.B. Hoeren/
Lütkemeier 1999, 111 f.
S. zu dieser öffentlich-rechtlichen Konkurrentenklage den parallelen Vorschlag in § 46 des Entwurfs zu einem UGB und seine Begründung die Unabhängigen Sachverständigenkommission
zum Umweltgesetzbuch, 1998, 540.
Auch nach den Safe Harbor Principles wird ein Verstoß gegen die freiwillig übernommenen
Prinzipien als unlautere und irreführende Handlung sanktioniert – s. Grundsätze des »sicheren
Hafens« zum Datenschutz, vorgelegt vom amerikanischen Handelsministerium am 21.7.2000,
EG-ABl. L 215 vom 25.8.2000, 10; Entscheidung der Kommission vom 26.7.2000, Art. 1 Abs. 2
b) und Erwägungsgrund 5, EG-ABl. L 215 vom 25.8.2000, 7.
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
147
Literatur:
Arbeitskreis »Datenschutz-Audit Multimedia« (DuD 1999): Prinzipien und
Leitlinien zum Datenschutz-Audit bei Multimedia-Diensten, DuD 1999, 285.
Baudenbacher, C. (JZ 1988): Kartellrechtliche und verfassungsrechtliche
Aspekte gesetzesersetzender Vereinbarungen zwischen Staat und
Wirtschaft – Ein Beitrag zu den staatlich inspirierten Selbstbeschränkungsabkommen, JZ 1988, S. 692.
Bäumler, H. (Hrsg.) (2000): E-Privacy, Braunschweig 2000.
Bäumler, H. (DuD 2001): Datenschutzaudit und Gütesiegel in SchleswigHolstein, DuD 2001, S. 252.
Bäumler, H. (RDV 2001): Datenschutzaudit und IT-Gütesiegel im Praxistest,
RDV 2001, S. 167.
Bäumler, H./v. Mutius, A. (Hrsg.) (2002): Datenschutz als Wettbewerbsvorteil,
Vieweg 2000.
Bizer, J. (DuD 1998): Zweckbindung durch Willenserklärung, DuD 1998, 552.
Bizer, J. (DuD 2001): Ziele und Elemente der Modernisierung des Datenschutzrechts, DuD 2001, S. 274.
Brönneke, T./Bobrowski, M. (2000): Das als Kernanliegen des Verbraucherschutzes im E-Commerce, in: Bäumler 2000, S. 141.
Brohm, W. (DÖV 1992): Rechtsgrundsätze für normersetzende Absprachen –
Zur Substitution von Rechtverordnungen, Satzungen und Gesetzen durch
kooperatives Verwaltungshandeln, DÖV 1992, 1026.
Büllesbach, A./Garstka, H. (1997): Systemdatenschutz und persönliche
Verantwortung, in: Müller, G./Pfitzmann, A. (Hrsg.), Mehrseitige Sicherheit
in der Kommunikationstechnik, Bonn 1997, S. 383.
Büllesbach, A. (RDV 1997): Datenschutz und Datensicherheit als Qualitäts- und
Wettbewerbsfaktor, RDV 1997, S. 239.
Büllesbach, A./Höss-Löw, P. (DuD 2001): Vertragslösung, Safe Harbor oder
Privacy Code of Conduct, DuD 2001, S. 135.
Büllesbach, A. (RDV 2000): Datenschutz in einem globalen Unternehmen, RDV
2000, 1.
Cavoukian, A./Gurski, M./Mulligan, D./Schwartz, A. (DuD 2000): P3P und
Datenschutz, DuD 2000, S. 475.
Cranor L. F.(1999): Agents of Choice: Tools that Facilitate Notice and Choice
about Web Site Data Practices, Proc. of the 21st Int. Conference on Privacy
and Personal Data Protection, 1999, S. 19.
Cranor, L. F. (DuD 2000): Platform for Privacy Preferences – P3P, DuD 2000, 479.
Diek, A. C. (2002): Gütesiegel nach dem schleswig-holsteinischen Landesdatenschutzgesetz, in Bäumler/v. Mutius (Hrsg.) (2002), S. 157.
Dix, A. (2002): Konzepte des Systemschutzes, in: Roßnagel (Hrsg.) (2002a),
Kap. 3.5.
Faber, A. (2001) Gesellschaftliche Selbstregulierungssysteme im Umweltrecht
– unter besonderer Berücksichtigung der Selbstverpflichtungen, Köln 2001.
Fuhrmann, H. (2001): Vertrauen im Electronic Commerce – rechtliche Gestaltungsmöglichkeiten unter besonderer Berücksichtigung verbindlicher
Freundesgabe Büllesbach 2002
148
Roßnagel
Rechtsgeschäfte und des Datenschutzes, Baden-Baden 2001.
Golembiewski, C. (2002): Das Datenschutzaudit in Schleswig-Holstein, in:
Bäumler/v. Mutius (Hrsg.) (2002), S. 107.
Greß, S. (DuD 2001): Datenschutzprojekt P3P, DuD 2001, S. 144.
Grimm, R./Roßnagel, A. (2000a): Weltweiter Datenschutzstandard?, in:
Kubicek, H./Bracyk, H.-J./Klumpp, D./Roßnagel, A. (Hrsg.), Global@Home,
Jahrbuch Telekommunikation und Gesellschaft 2000, Heidelberg 2000, 293.
Grimm, R./Roßnagel, A. (2000b): Can P3P Help to Protect Privacy Worldwide?,
in: ACM (Ed.) Multimedia Security, Proceedings of the International
Workshop, November 2000, 157.dies. 2000b, S. 157;
Hansen, M. (2002): Privacy Enhancing Technologies, in: Roßnagel (2002), Kap. 3.3.
Hoffmann-Riem, W. (1997): Datenschutz als Schutz eines diffusen Interesses in
der Risikogesellschaft, in: Krämer, L./Micklitz, H.-W./Tonner, K. (Hrsg.), Recht
und diffuse Interessen in der Europäischen Rechtsordnung, Baden-Baden
1997, S. 777.
Hofmann-Riem, W. (1998): Informationelle Selbstbestimmung als Grundrecht
kommunikativer Entfaltung, in: Bäumler, H. (Hrsg.), Der neue Datenschutz,
Neuwied 1998, S. 11.
Hofmann-Riem, W. (AöR 1998): Informationelle Selbstbestimmung in der
Informationsgesellschaft – Auf dem Weg zu einem neuen Konzept des
Datenschutzes –, AöR 1998, 514.
Kloepfer, M. (JZ 1980): Umweltschutz als Kartellprivileg?, JZ 1980, 788.
Köhntopp, M./Pfitzmann, A. (2000): Datenschutz Next Generation, in: Bäumler
(Hrsg.) 2000, S. 316.
Kranz, H. J. (2002): Datenschutz im Reise- und Tourismusgewerbe, in:
Roßnagel (Hrsg.) 2002, Kap. 7.4.
Ladeur, K.-H. (DuD 2000): Datenschutz – vom Abwehrrecht zur planerischen
Optimierung von Wissensnetzwerken, Zur »objektiv-rechtlichen Dimension« des Datenschutzes, DuD 2000, S. 12.
Lohse, C./Janetzko, D. (CR 2001): Technische und juristische Regulationsmodelle des Datenschutzes am Beispiel von P3P, CR 2001, 55.
Hagel, J./Singer, M. (1999): Net Worth. The Emerging Role of the Infomediary
in the Race for Costumer Information, Harvard Business School Press 1999.
Hoeren. T./Lütkemeier, S. (1999): Unlauterer Wettbewerb durch Datenschutzverstöße, in: Sokol, B. (Hrsg.), Neue Instrumente im Datenschutz,
Düsseldorf 1999, S. 107.
Mattern. F./Langheinrich, M. (2001): Allgegenwärtigkeit des Computers –
Datenschutz in einer Welt intelligenter Alltagsdinge, in: Müller, G./ Reichenbach, M. (Hrsg.), Sicherheitskonzepte für das Internet, Berlin 2001. 7.
Oldiges, M. (WiR 1973): Staatlich inspirierte Selbstbeschränkungsabkommen
der Privatwirtschaft, WiR 1973, S. 13f.;
Opaschowski, H. (2002): Gesellschaftliche Grundlagen, in: Roßnagel (2002),
Kap. 2.1.
Petri, T. B. (DuD 2001): Vorrangiger Einsatz auditierter Produkte, DuD 2001, 150.
Pfitzmann, A. (DuD 1999): Datenschutz durch Technik, DuD 1999, S. 405.
Freundesgabe Büllesbach 2002
Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive
149
Pfitzmann, A./Schill, A./Westfeld, A./Wolf, G. (2000), Mehrseitige Sicherheit in
offenen Netzen, Braunschweig 2000.
Pitschas, R. (DuD 1998): Informationelle Selbstbestimmung zwischen digitaler
Ökonomie und Internet, DuD 1998, S. 139.
Podlech, A. (DÖV 1970): Verfassungsrechtliche Probleme öffentlicher
Datenbanken, DÖV 1970, S. 473.
Podlech, A. (DVR 1976): Aufgaben und Problematik des Datenschutzes, DVR
1976, S. 23.
Podlech, A. (1982): Individualdatenschutz – Systemdatenschutz, in: Brückner/
Dalichau (Hrsg.), Beiträge zum Sozialrecht, Festgabe für Grüner, Percha
1982, S. 451.
Ritter, H. (AöR 1979): Der kooperative Staat, AöR 1979, S. 411
Roßnagel, A. (1993): Rechtswissenschaftliche Technikfolgenforschung,
Umrisse einer Forschungsdisziplin, Baden-Baden 1993.
Roßnagel A. (DuD 1999): Datenschutz in globalen Netzen, DuD 1999, S. 253.
Roßnagel, A. (2000): Datenschutzaudit Konzeption, Durchführung, gesetzliche
Regelung, Braunschweig 2000.
Roßnagel, A. (Hrsg.) (2001): Allianz von Medienrecht und Informationstechnik:
Herausforderungen und Hoffnungen, in: Roßnagel, A. (Hrsg.), Allianz von
Medienrecht und Informationstechnik? Ordnung in digitalen Medien durch
Gestaltung der Technik am Beispiel von Urheberschutz, Datenschutz,
Jugendschutz und Vielfaltschutz, Schriftenreihe des Instituts für
Europäisches Medienrecht (EMR) 24, Baden-Baden 2001, S. 17.
Roßnagel, A. (Hrsg.) (2002a): Handbuch des Datenschutzrechts, München
2002, i.E.
Roßnagel, A. (2002b): Konzepte des Selbstdatenschutzes, in: Roßnagel (Hrsg.)
(2002), Kap. 3.4.
Roßnagel, A. (2002c): Konzepte der Selbstregulierung, in: Roßnagel (Hrsg.)
(2002), Kap. 3.6.
Roßnagel, A. (2002d): Marktwirtschaftlicher Datenschutz im Datenschutzrecht
der Zukunft, in: Bäumler/v. Mutius (Hrsg.) (2002), S. 115.
Roßnagel, A./Pfitzmann, A./Garstka, H. (2001): Modernisierung des
Datenschutzrechts, Berlin, 2001.
Roßnagel, A./Wedde, P./Hammer, V./Pordesch, U. (1990): Digitalisierung der
Grundrechte? Zur Verfassungsverträglichkeit der Informations- und Kommunikationstechnik, Opladen 1990.
Scherer, J. (DÖV 1991): Rechtsprobleme normersetzender »Absprachen« zwischen Staat und Wirtschaft am Beispiel des Umweltrechts, DÖV 1991, S. 5.
Schmidt-Preuß. M. (1997): Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steuerung, VVDStRL 56
(1997), S. 215.
Schulz, W. (Verwaltung 1999): Verfassungsrechtlicher »Datenschutzauftrag« in
der Informationsgesellschaft, Die Verwaltung 1999, S. 137.
Simitis, S. (1996): Virtuelle Präsenz und Spurenlosigkeit, in: Hassemer,
W./Möller, K. P. (Hrsg.), 25 Jahre Datenschutz, Baden-Baden 1996, S. 28.
Freundesgabe Büllesbach 2002
150
Roßnagel
Simitis, S. (1987): Programmierter Gedächtnisverlust oder reflektiertes
Bewahren, in: Fürst u.a. (Hrsg.), FS für Zeidler, Bd. 2, 1987, S. 1475.
Simitis, S. (DuD 2001): Auf dem Weg zu einem neuen Datenschutzkonzept,
DuD 2000, S. 714.
Swire, P. P. (1997): Markets, Self-Regulation, and Government Enforcement in
the Protection of Personal Information, in: U.S. Department of Commerce
(Ed.), Privacy and Self-Regulation in the Information Age, Washington 1997,
www.ntia.doc.gov/reports/ privacy/selfreg1.htm
Trute, H.-H. (1998): Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, VVDStRL 57 (1998), S. 216.
Trute, H.-H (2002): Verfassungsrechtliche Grundlagen, in: Roßnagel (2002),
Kap. 2.5.
Ukrow, J. (2000): Die Selbstkontrolle im Medienbereich in Europa, München
2000.
Unabhängige Sachverständigenkommission zum Umweltgesetzbuch (1998):
Umweltgesetzbuch, Entwurf der Unabhängigen Sachverständigenkommission (UGB-KomE) zum Umweltgesetzbuch beim Bundesministerium für
Umwelt, Naturschutz und Reaktorsicherheit, hrsg. v. Bundesministerium für
Umwelt, Naturschutz und Reaktorsicherheit, Berlin 1998.
Vogt, U./Tauss, J. (1998): Entwurf für ein Eckwerte-Papier der SPD-Bundestagsfraktion: Modernes Datenschutzrecht für die (globale) Wissens- und
Informationsgesellschaft, Bonn Oktober 1998.
Weichert, T. (2000): Zur Ökonomisierung des Rechts auf informationelle
Selbstbestimmung, in: Bäumler (Hrsg.) 2000, S. 158.
Weichert, T. (DuD 2001): Datenschutz als Verbraucherschutz, DuD 2001, 264.
Weichert, T. (NJW 2001): Die Ökonomisierung des Rechts auf informationelle
Selbstbestimmung, NJW 2001, S. 1463.
Wenning, R./Köhntopp, M. (DuD 2001): P3P im europäischen Rahmen, DuD
2001, S. 139.
Zöllner, W. (RDV 1985): Die gesetzgeberische Trennung des Datenschutzes für
öffentliche und private Datenverarbeitung, RDV 1985, S. 3.
Freundesgabe Büllesbach 2002
151
Wolfgang Kilian
Rekonzeptualisierung des Datenschutzrechts durch Technisierung und
Selbstregulierung? Zum Modernisierungsgutachten 2002 für den Bundesminister des Inneren.
Der Analyse des Gutachtens »Modernisierung des Datenschutzrechts«
(Roßnagel/Pfitzmann/Garstka 2002) über die Funktionen des Datenschutzrechts in der heutigen Informationsgesellschaft und die immens gewachsenen, mit der Netzwerktechnik und intelligenten Verarbeitungsmethoden zusammenhängenden neuen Gefährdungen ist nichts hinzuzufügen. Die angeführten Beispiele über den Globally Unique Identifier (GUID), Data-MiningMethoden und Data Warehouses liefern weithin anerkannte Belege für die
These, dass ein Modernisierungsbedarf im Datenschutzrecht besteht.
Zuzustimmen ist auch der Beobachtung, dass der im Volkszählungsurteil
des Bundesverfassungsgerichts (BVerfGE 65, 1) bestätigte Grundsatz des deutschen und des nachgebildeten EG-Datenschutzrechts des Verbots unfreiwilliger oder rechtlich ungeregelter Verarbeitung personenbezogener Daten zu
einer schier unüberschaubaren Flut spezieller Datenschutzregelungen geführt
hat. Diese »bereichsspezifischen Regelungen« erfüllen zwar die verfassungsrechtsdogmatisch gebotenen Anforderungen, scheinen jedoch durch ihre
1
Vielzahl das grundsätzliche Verbot mit Erlaubnisvorbehalt eher zu verschleiern als zu verstärken. Selbst Datenschutzspezialisten benötigen heute einen
Großteil der Zeit bei der Lösung eines Datenschutzproblems für die Identifizierung der anwendbaren Rechtsgrundlage.
Im privatrechtlichen Bereich haben Generalklauseln mit der Anforderung
einer Interessenabwägung (ohne Angabe von Präferenzkriterien) dazu geführt, dass die Nutzung personenbezogener Daten, die vertraglich impliziert
oder zumindest mit überwiegendem kommerziellen Bedarf begründbar sind,
kaum auf Einschränkungen stoßen.
Soweit das Modernisierungsgutachten »Wertungswidersprüche« im
Datenschutzrecht feststellt, die »vollzugshemmend« oder »weniger effektiv«
sein sollen (Roßnagel u. a. 2002, S. 33), wird unter anderem auf Opt-in-Regelungen (§ 5 Abs. 2 TDDSG) und Opt-out-Regelungen (§§ 28 Abs. 4 BDSG; 3
Abs. 7 TDDSG, 4 Abs.4 TDDSG) als Beispiele hingewiesen. Ob es sich tatsächlich um Wertungswidersprüche handelt oder – angesichts vorausgegangener harter Interessendurchsetzung für diese Regelungen – um eine bewusst unterschiedliche normative Präferenzwahl mit impliziter Begünstigung
einer Seite hinsichtlich der Verfügungsmöglichkeit über personenbezogene
Daten darstellt, wird noch zu diskutieren sein.
Aufgrund der Analyse des faktischen und des normativen Ist-Zustandes des
Datenschutzes werden im Modernisierungsgutachten vier Forderungen abgeleitet (Roßnagel/Pfitzmann/Garstka 2002, S. 34):
– Datenschutz muss effektiv werden
– Datenschutz muss risikoadäquat stattfinden
Freundesgabe Büllesbach 2002
152
Kilian
– Datenschutz muss verständlich werden
– Datenschutz muss attraktiv werden.
Durchgesetzt werden sollen diese Forderungen – wobei der Gesichtspunkt der
Globalisierung der Datenverarbeitung mehr oder weniger ausgeklammert
bleibt (Roßnagel/Pfitzmann/Garstka 2002, S. 35) – durch mehr Technik zur
Unterstützung der normativen Ziele (Zweckbindung, Selbstbestimmung, Erforderlichkeit, Vermeidung von Personenbezug, Wahrnehmung von Betroffenenrechten) durch höhere Transparenz über die Verarbeitung personenbezogener Daten (zusätzliche Informationspflichten und Auskunftsrechte), Vermeidung des Personenbezugs (Anonymisierung, Pseudonymisierung), höhere Entscheidungsautonomie der betroffenen Person (die »Betroffenen« werden zu »Teilnehmern« des Datenschutzes) sowie durch Einordnung des Datenschutzes als Teil einer Informationsordnung (informationelle Grundversorgung; Informationsfreiheit und informationelle Selbstbestimmung) (Roßnagel/
Pfitzmann/Garstka 2002, S. 35 – 39).
Als Konzepte für die Umsetzung der Ziele und Forderungen werden drei
»Instrumente« genannt (Roßnagel/Pfitzmann/Garstka 2002, S. 39 – 42), die
dann im Rahmen der Vorschläge zur normativen Umsetzung (Roßnagel/
Pfitzmann/Garstka 2002, S. 43 ff.) detailliert entfaltet werden. Die drei Instrumente sind:
– Der Systemdatenschutz, eine auf Podlech (Podlech 1982, S. 451) zurückgehende Konzeption der Unterstützung des Datenschutzes durch Technik. Voraussetzung des technisch-organisatorischen Systems ist freilich
die Vorklärung der Frage, wer personenbezogene Daten überhaupt verarbeiten darf.
– Als zweites Instrument wird der Selbstdatenschutz propagiert. Darunter
wird die selbstbestimmte Nutzung technischer und organisatorischer
Schutzinstrumente (Verschlüsselung, Pseudonymisierung, Identitätsmanagement) verstanden (Roßnagel/Pfitzmann/Garstka 2002, S. 41).
– Als letztes Instrument werden Anreize zur Verbesserung von Datenschutz
und Datensicherheit (Auditierungen; Zertifizierungen) vorgeschlagen
(Roßnagel/Pfitzmann/Garstka 2002, S. 42).
Die im Modernisierungsgutachten dargebotenen Analysen, Forderungen,
Ziele und Instrumente sind plausibel und notwendig, soweit man eine Voraussetzung als gegeben unterstellt: Es muss feststehen, wer Verfügungsrechte über personenbezogene Daten beanspruchen kann. Soweit Ungewissheit
über die Vorfrage besteht, ob und von wem personenbezogene Daten verweigert, erhoben, gespeichert, verarbeitet, übermittelt, genutzt oder gelöscht
werden können, helfen der Systemdatenschutz, der Selbstdatenschutz oder
die vorgeschlagenen Anreize zur höheren Datensicherheit nicht weiter. Alle
diese Instrumente betreffen die Optimierung und die Effizienz des Datenschutzes bei gegebener Verteilung von Verfügungsrechten (property rights)
an personenbezogenen Daten. In den meisten Fällen besteht das zu lösende –
und das zu der fast unüberschaubaren Menge an Rechtsvorschriften führende
– Datenschutzproblem jedoch nicht in der technischen Effektivierung der
Freundesgabe Büllesbach 2002
Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung?
153
Durchsetzung feststehender Verfügungsrechte, sondern in der Konzeptualisierung und Begründung der Verfügungsrechte selbst. Es ist zu fragen, ob
sich die wünschenswerte Effektivität des Datenschutzes nur auf die Steigerung der technischen Kontrollmöglichkeit personenbezogener Daten
beschränken darf, oder ob – vielleicht sogar primär – die Frage der optimalen
Verteilung der Verfügungsrechte unter dem Effektivitätsgesichtspunkt thematisiert werden muss.
Als Zivilrechtler möchte ich mich auf den Datenschutz im nichtöffentlichen
Bereich beschränken. Dieser Bereich wird zwar im Modernisierungsgutachten
im Hinblick auf das Internet und auf die »wesentlich größeren und sensitiveren Datenbestände« privater Datenverarbeiter (Roßnagel/Pfitzmann/Garstka
2002, S. 23) sowie auf die »Verschiebung« der »Bedrohung der informationellen
Selbstbestimmung« in den nichtöffentlichen Bereich (Roßnagel/Pfitzmann/
Garstka 2002, S. 23 f, S. 51 f.) besonders hervorgehoben, aber vor allem im
ersten Teil des Modernisierungsgutachtens nur nachrangig berücksichtigt.
Grundsätzlich gehen die Autoren des Modernisierungsgutachtens von einer
Gleichbehandlung des öffentlichen und des nichtöffentlichen Bereichs aus
(Roßnagel/Pfitzmann/Garstka 2002, S. 48 unter 4.2).
Die Frage ist zunächst, ob eine Gleichbehandlung des öffentlichen und nicht
öffentlichen Bereichs zwingend geboten ist. Warum soll die Wahrung von
Allgemeininteressen und der Schutz von Privatinteressen durch parallele
staatliche Normen gleich intensiv reguliert werden? Ich möchte die Hypothese
aufstellen, dass die überwiegende Zahl staatlicher Regulierungen im nichtöffentlichen Bereich überflüssig sind, wenn man das informationelle Selbstbestimmungsrecht und die daraus abzuleitende Verfügungsbefugnis an den
eigenen personenbezogenen Daten als eigentumsähnliche Position (property
right) auffasst, das – von näher zu beschreibenden Schranken abgesehen –
grundsätzlich in Marktprozesse eingebracht werden kann.
Demgegenüber vertreten die Autoren des Modernisierungsgutachtens folgende These: (Roßnagel/Pfitzmann/Garstka 2002, S. 37)
»Allerdings darf die informationelle Selbstbestimmung nicht als Herrschaftsrecht über die personenbezogenen Daten verstanden und als eigentumsähnliche Ausschluss- und Verfügungsmacht ausgestaltet werden.
Ein solches Verständnis würde zum Einen den objektivrechtlichen Gehalt
der informationellen Selbstbestimmung als Funktionsvoraussetzung für
eine Gesellschaft verkennen, die auf individueller Selbstbestim-mung und
freier demokratischer Willensbildung ruht. Sie würde zum anderen aber
auch verkennen, dass personenbezogene Daten mehrrelational sind. Als
Modelle der Wirklichkeit haben sie immer einen Autor und ein Objekt. Sie
haben eine Beziehung zum Objekt, aber auch zum Autor. Sie können nicht
allein dem Objekt zugeordnet werden.«
Die Gutachter begründen also ihre Behauptung, das Recht auf informationelle Selbstbestimmung dürfe »nicht als Herrschaftsrecht über personenbezogene Daten« verstanden werden, mit zwei Argumenten: Erstens mit dem »objektivrechtlichem Gehalt« der informationellen Selbstbestimmung als FunktionsFreundesgabe Büllesbach 2002
154
Kilian
voraussetzung für eine Gesellschaft (nachfolgend »verfassungsrechtliches
Argument« genannt) und zweitens mit der Eigenschaft personenbezogener
Daten, eine mehrrationale Beziehung zum Objekt und zum Autor abzubilden
(nachfolgend »rechtstheoretisches Argument« genannt).
Das verfassungsrechtliche Argument geht von einem Gegensatz zwischen
einem privatrechtlichem Herrschaftsrecht (»eigentumsähnliche Ausschlussund Verfügungsmacht«) und dem verfassungsrechtlich gebotenen »objektivrechtlichen Gehalt« der informationellen Selbstbestimmung aus. Die Befürchtung scheint zu sein, dass bei Ausübung von eigentumsähnlichen
Positionen der »objektivrechtliche Gehalt« des informationellen Selbstbestimmungsrechts beeinträchtigt werden könnte.
Das Bundesverfassungsgericht interpretiert die Grundrechte sowohl als
Freiheitsrechte als auch als Werte. Auch die dem informationellen Selbstbestimmungsrecht zugrunde liegenden Art. 1 Abs. 1 und Art. 2 Abs. 1 GG werden diesem Doppelcharakter zuerkannt (BVerfGE 49, 89 (142); 88, 203 (251); 89,
214 (231); 96, 56 (64)). Als objektive Grundsatznormen bilden diese Grundrechte eine objektive Wertordnung (BVerfGE 33, 303 (330)), die als Wirkung
den Schutz gegenüber Dritten auch im Privatrechtsverkehr einschließt
(Jarrass 2001, S. 39 ff.). Der Schwerpunkt des objektiven Gehalts liegt sogar
im Privatrecht.
Die Schutzpflichten des Staates, die den objektiven Grundrechtsgehalt des
informationellen Selbstbestimmungsrechts kennzeichnen, gehen aber keineswegs dahin, die Bildung eigentumswerter Positionen des zu Schützenden zu
verhindern. Die Anerkennung von eigentumswerten Positionen an personenbezogenen Daten ist gerade umgekehrt eine Funktionsvoraussetzung für eine
Gesellschaft und – soweit es um die kommerzielle Nutzung geht – eine
Funktionsvoraussetzung für die Marktgesellschaft. Der objektivrechtliche
Gehalt des informationellen Selbstbestimmungsrechts führt deshalb lediglich
zur Schutzpflicht des Staates, eine Rahmenordnung für die Marktgesellschaft
zu schaffen, innerhalb derer sich das informationelle Selbstbestimmungsrecht
entfalten kann.
Auch das rechtstheoretische Argument der »Mehrrelationalität« personenbezogener Daten wird nicht näher begründet. Es weist aber bemerkenswerte
Parallelen zu einem Beitrag von Steinmüller (Steinmüller 1993) aus dem Jahre
1993 auf. Steinmüller sieht überzeugend das Charakteristikum von Informationen in einer Beziehung zwischen einem Modellsubjekt über einen
Ausschnitt der Wirklichkeit (»Modell«) im Hinblick auf einen bestimmten
Zweck. Personenbezogene »Daten« wären dann Informationen, die sich ein
Modellsubjekt (in der Sprache des Modernisierungsgutachtens: »Autor«) im
Hinblick auf einen bestimmten Zweck von einer Person (Modell der Wirklichkeit; in der Sprache des Modernisierungsgutachtens: »Objekt«) macht.
Dieser Systemzusammenhang lässt sich unter der Bezeichnung »Mehrrelationalität« zusammenfassen, und auch Steinmüller spricht von »Relationen« (Steinmüller 1993, S. 217). Die Relationen bestehen zwischen Person
(Modell der Wirklichkeit) und personenbezogenen Daten einerseits und zwiFreundesgabe Büllesbach 2002
Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung?
155
schen personenbezogenen Daten und Modellsubjekt (Autor) andererseits.
Auffällig an dem rechtstheoretischen Argument der Gutachter ist jedoch,
dass die wichtige Zweckorientiertheit der Relationen nicht erwähnt und ausschließlich der Sonderfall einer Zweipersonenrelation betrachtet wird, auf die
sich die personenbezogenen Daten jeweils gleichermaßen beziehen sollen.
Dadurch bleibt der Normalfall ausgeblendet, der darin besteht, dass eine
Person selbst »Autor« seiner personenbezogenen Daten ist, wenn er nämlich
im Hinblick auf einen bestimmten Zweck bestimmte Eigenschaften seiner
Person (»Modell der Wirklichkeit«) feststellt, beschreibt, übermittelt oder
sonst transparent macht. Diese personenbezogenen Daten können sehr wohl
ihm allein zugeordnet werden. Die Feststellung, Beschreibung und Übermittlung der personenbezogenen Daten erfolgt zwar zu bestimmten Zwecken,
macht aber diese personenbezogenen Daten deshalb nicht zu Daten des
Empfängers oder der datenverarbeitenden Stelle. Die Feststellung im Modernisierungsgutachten, »sie (d. h. die Daten) können nicht allein dem Objekt zugeordnet werden« (Roßnagel/Pfitzmann/Garstka 2002, S. 37) ist für den Normalfall unzutreffend. Diese Feststellung beruht auf der unzulässigen Einschätzung, Modelle der Wirklichkeit (also personenbezogene Daten) bildeten
»in der Regel« soziale Beziehungen ab, beträfen dann »beide Partner der Beziehung«, könnten also nicht nur einer Person zugeordnet werden (Roßnagel/
Pfitzmann/Garstka 2002, S. 37, Fn. 55).
Natürlich gibt es auch Modelle der Wirklichkeit (personenbezogene Daten),
die eine soziale Beziehung als solche abbilden. Die Informationen etwa, dass
zwei Personen verheiratet sind, enthält eine Aussage im Hinblick auf beide
Personen. Es sollte kein Zweifel bestehen, dass beide Personen dann auch
Verfügungsrechte an dieser Information besitzen. Beide müssen sich verständigen, ob sie den Ehestatus transparent machen wollen. Nach dem Steuerrecht sind sie dazu gegenüber dem Arbeitgeber sogar gesetzlich verpflichtet
und insofern in ihrer Verfügungsbefugnis eingeschränkt. Das ändert aber
nichts an der Tatsache, dass der Verheiratetenstatus ein personenbezogenes
Datum sowohl der Frau als auch des Mannes ist. Beiden steht grundsätzlich
ein eigenes Verfügungsrecht an dieser Information zu. Aus dem Rücksichtnahmegebot (§ 1353 BGB) kann sich allerdings eine Ausübungsschranke ergeben. Zivilrechtlich sind im übrigen Miteigentum (§ 1008 BGB), Gesamthandseigentum (§§ 718; 2032 BGB) oder Gesamthandsverwaltung (§ 1454) anerkannte Institutionen ohne aufregende Besonderheiten, deren Strukturen sich
auf kooperative Verfügungsbefugnisse übertragen ließen.
Unklarheiten im rechtstheoretischen Argument über die angebliche Unmöglichkeit, personenbezogene Daten nur einer Person zuordnen zu können,
beruhen im Modernisierungsgutachten ferner auf der erwähnten erstaunlichen Ausblendung des Zweckgesichtspunkts bei der Entstehung personenbezogener Daten. »Daten« werden überhaupt nur durch die Zweckorientierung zu »Informationen«. Im Modernisierungsgutachten (Roßnagel/Pfitzmann/
Garstka 2002, S. 37) wird behauptet: »Die personenbezogenen Daten sind
nicht nur Daten der betroffenen Person, sondern ebenso der Stelle, die sie
Freundesgabe Büllesbach 2002
156
Kilian
erhoben oder verarbeitet hat.« Wäre diese Aussage richtig, könnte man alle
Datenschutzvorschriften zur Rechtmäßigkeit der Übermittlung und Verarbeitung streichen. Hinfällig würde auch das Axiom des Datenschutzrechts, dass
personenbezogene Daten »Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person« sind
(Art. 2 lit. a EG-Datenschutzrichtlinie 95/46/EG; § 3 Abs. 1 BDSG), die über die
Erhebung, Verarbeitung und Nutzung grundsätzlich selbst zu entscheiden hat
(§ 4 Abs. 1 BDSG). Mit der vagen Formulierung im Modernisierungsgutachten,
personenbezogene Daten »sind« auch Daten der datenverarbeitenden Stelle,
kann rechtlich keine Verfügungsbefugnis der datenverarbeitenden Stelle begründet werden.
Dies gilt auch für das einzige Beispiel in diesem Zusammenhang, nämlich
den Daten über eine medizinische Behandlung (Roßnagel/Pfitzmann/Garstka
2002, S. 38). Behandlungsdaten beziehen sich primär auf die Person des
Patienten, bilden also eine Relation zwischen dem Gesundheitszustand eines
Patienten (Objekt) aus der Sicht des Arztes (Subjekt; »Autor«). Soweit sich –
etwa in dem Stellen einer Diagnose – auch eine Relation zwischen den Fachkenntnissen des Arztes (Objekt) auf der Grundlage der Anamnese durch den
Arzt (Subjekt; »Autor«) ausdrückt, handelt es sich bei der Diagnose unter diesem Zweckgesichtspunkt zugleich um personenbezogene Daten des Arztes.
Die Verfügungsbefugnis über Behandlungsdaten liegt primär beim Patienten, was sich daran zeigt, dass er die Weitergabe der personenbezogenen
Daten an die Kassenärztliche Vereinigung (bei einem privatversicherten Patienten: an die private Krankenversicherung) durch Übernahme der Behandlungskosten verhindern könnte. Auch die Übergabe der Behandlungsdaten an
einen Praxisnachfolger ist nur mit Zustimmung der betroffenen Patienten zulässig (BGHZ 116, 268). Ein Patient hat nur dann keinen Einfluss auf die Speicherung, Verarbeitung oder Übermittlung seiner Daten, wenn dies aufgrund
öffentlich-rechtlicher Vorschriften (z.B. §§ 67 ff. SGB X; 201 SGB VII) vorgeschrieben ist. Die Erfüllung dieser Pflichten durch den Arzt macht die Patienten2
daten jedoch nicht zu »seinen« Daten . Es trifft deshalb nicht zu, dass »für ein
mehrrelationales Wirklichkeitsmodell keine Eigentumsäquivalenz gegeben« sei
(Roßnagel/Pfitzmann/Garstka 2002, S. 38). Das rechtstheoretische Argument,
ein Betroffener könne keine eigentumsähnliche Position an seinen personenbezogenen Daten haben, vermag deshalb insgesamt nicht zu überzeugen.
Möglicherweise haben die Gutachter weniger eine juristische Präzisierung
als eine kommunikationssoziologische Beschreibung geben wollen, da sie
den Datenschutz – durchaus zutreffend – als Teil der »Informations- und
Kommunikationsordnung« einordnen, wenn auch als einen »allenfalls randständigen« Teil (Roßnagel u. a. 2002, S. 38). Angesichts der wirtschaftlichen
Bedeutung personenbezogener Daten, etwa für Finanztransaktionen (Kilian/
Scheja 2002), bildet jedoch die klare Zuordnung der Verfügungsrechte rechtlich und ökonomisch die Grundlage für verfahrensmäßige und technische
Optimierungen innerhalb der Informations- und Kommunikationsordnung.
Effektivität des Datenschutzes, den die Gutachter auch im nichtöffentlichen
Freundesgabe Büllesbach 2002
Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung?
157
Bereich erreichen wollen, wenn personenbezogene Daten den Gegenstand
oder die Bestandteile von Markttransaktionen bilden, lässt sich durch niedrige
Transaktionskosten erreichen. Viele staatliche Regulierungen erzeugen einen
organisatorischen oder technischen Anpassungsbedarf und machen den
Datenschutz aus ökonomischer Sicht zu einem »nichttarifären Handelshemmnis« (non-tariff barrier). Staatliche Regelungen sollten sich deshalb auf
die Sicherung von Rahmenbedingungen für die marktmäßige Durchsetzung
von Verfügungsrechten beschränken.
Transaktionskosten lassen sich auf verschiedene Weise reduzieren. Gäbe
man den Unternehmen das Recht, über personenbezogene Daten der Kunden
oder der Arbeitnehmer frei verfügen zu können, entfiele das Problem der
Informationsbeschaffung. Rechtlich bedeutete dies aber die Zuerkennung
eines primären Verfügungsrechts an personenbezogenen Daten Dritter,
wodurch das informationelle Selbstbestimmungsrecht dieser Marktteilnehmer leer liefe. Ein solcher Fall ist auch bei einer Opt-out-Lösung (§ 6 TDSG)
gegeben, weil das primäre Verfügungsrecht bei einem Unternehmen liegt und
die Ausübung eines Opt-out den Betroffenen einseitig mit Zusatzkosten belastet.
Transaktionskosten könnte man ferner dadurch senken, dass Unternehmen
Datenschutzvorschriften nicht beachteten. Dies kommt in der Praxis mangels
wirksamer externer Kontrolle nicht selten vor, verhindert aber die Effektivität
des Datenschutzes und sollte deshalb als Alternative außer Betracht bleiben.
Über den Markt erzeugte Effektivität des Datenschutzes ist dann ausgeschlossen, wenn zwingende Vorschriften die Erhebung, Verarbeitung und Nutzung personenbezogener Daten anderweitig regeln. Der Staat in Erfüllung seiner schützenden oder sozialen Funktion beschafft sich personenbezogene
Daten für öffentliche Zwecke kostenlos. Dies ist im Interesse aller auch gerechtfertigt, weil sonst Steuern erhöht werden müssten, um personenbezogene Daten für öffentliche Zwecke zu erlangen.
Neben der öffentlichen Verwaltung ist der Arbeitsbereich weithin reguliert,
soweit personenbezogene Daten betroffen sind. Der einzelne Arbeitnehmer
als Verfügungsbefugter wäre wohl auch überfordert, mit dem Arbeitgeber in
Einzelverhandlungen einzutreten. Deshalb finden sich hier institutionelle
Arrangements (Betriebsrat; Betriebsvereinbarungen; betriebliche Datenschutzbeauftragte; Verhaltensregeln), die als »Institutionen« im ökonomischen Sinn Entscheidungsprobleme für viele gleichzeitig lösen.
Außerhalb des Marktmechanismus liegen schließlich auch autoritative
Zuordnungen von Nutzungsrechten aufgrund von Bewertungen der Interessen. Die Präferierung einer Marktseite ohne Kompensation der Marktgegenseite (etwa die Interessenabwägung im Rahmen des § 28 BDSG) erhält
ihre Legitimation durch das festgelegte Verfahren. So hat der Europäische
Gerichtshof in seiner bisher einzigen unter Berufung auf die Datenschutzrichtlinie 95/46/EG ergangenen Entscheidung, bei der es um die Herausgabe
von personenbezogenen Daten eines landwirtschaftlichen Erzeugers aus Anträgen auf EU-Beihilfen, die nach der VO (EWG) Nr. 3508/92 vom 27.11.1993
Freundesgabe Büllesbach 2002
158
Kilian
ABl. L 391, S. 36 zu dokumentieren sind, an einen Betriebsnachfolger ging,
keine überwiegenden Interessen des Beihilfe-Antragstellers auf Geheimhaltung erkennen können, sondern unter Hinweis auf Art. 7 lit. f. der Richtlinie 95/
46/EG grünes Licht für die (kostenlose) Herausgabe gegeben (EuGH vom
14.9.2000, The Queen gegen Minister of Agriculture, Rs. C-369/98, Slg. 2000, I
– 6751 = DuD 2001, S. 685).
Privatrechtssubjekte können untereinander rechtlich keinen Zwang über die
Art und Weise der Ausübung des informationellen Selbstbestimmungsrechts
ausüben. Das Grundrecht gewährleistet »die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten
zu bestimmen« (BVerfGE 65, 1 (43) – Volkszählungsurteil). Die Zuordnung
eines Verfügungsrechts über die personenbezogenen Daten ist also Voraussetzung für die Ausübung des informationellen Selbstbestimmungsrechts im
Privatrechtsverkehr. Personenbezogene Daten müssen deshalb als in Marktprozesse eingebettet angesehen und analysiert werden. Bestünden kostenlose Übermittlungspflichten, käme es überhaupt nicht mehr auf die primäre
Verfügungsberechtigung an. Der Schutz der Privatsphäre, die im allgemeinen
Persönlichkeitsrecht (§ 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, 1 Abs. 2 GG) wurzelt (BVerfG NJW 2000, S. 1021 (1022)), schließt auch die Freiheit zum Ver-lassen der Privatsphäre in Richtung »Marktplatz« ein.
Die Entscheidung über eine Kommerzialisierung personenbezogener Daten
(Weichert 2001, 1463), die von schlichten Führerscheindaten (Reno v. Condon
(98 – 1464) 155 f. 3d 453 (US Supreme Court) bis zu Daten individueller Personen über deren Zelllinien aus Lymphocyten für Patentzwecke (Moore v.
Regents of University of California, 793 P. 2d 479 (Supreme Court of California
1990)) reichen kann, sollte nicht der Staat, der Forscher, die datenverarbeiten3
de Stelle oder das Unternehmen , sondern die Person treffen, die Träger dieser Information ist, soweit nicht vorrangige, durch Gesetz festgelegte Interessen dies ausschließen. Das Recht auf informationelle Selbstbestimmung
auch im Hinblick auf Informationen, die sich auf den eigenen Körper beziehen
und physische oder zeitliche Relationen einer einzigartigen Person enthalten,
können als eigentumswerte Persönlichkeitsrechte – ähnlich wie das Urheberpersönlichkeitsrecht – den Gegenstand von Marktprozessen bilden. Als
Grenze ist das Verbot der Verletzung der Menschenwürde zu beachten (Art. 1
4
Abs. 1 GG).
Im Hinblick auf die Verfügungsbefugnis über personenbezogene Daten stehen Individualität und Gemeinschaftsbezogenheit in einem Spannungsverhältnis (Hufen 2001, S. 105 ff.). Marktorientierter Datenschutz und Allgemeininteressen müssen in ein »System informationeller Garantien« (Fiedler 2001,
S. 311) eingebunden sein. Der »Systemdatenschutz« im Sinne des Modernisierungsgutachtens leistet aber keinen Beitrag zum Interessenausgleich,
sondern dient der Sicherung des jeweiligen Marktwerts der Daten.
Der Schwerpunkt des Modernisierungsgutachtens liegt eindeutig in der
Propagierung technischer Unterstützung zur Optimierung der als geklärt vorausgesetzten Verfügungsbefugnisse über personenbezogene Daten. Insoweit
Freundesgabe Büllesbach 2002
Rekonzeptualisierung des Datenschutzrechts durch Technisierung und Selbstregulierung?
159
werden interessante Perspektiven aufgezeigt und juristisch umgesetzt.
Die Möglichkeiten der technischen Optimierung sollten jedoch nicht zu
übertriebenem Optimismus für die praktische Verwirklichung verleiten. Bereits die Umsetzung der EG-Datenschutzrichtlinie 95/46/EG in deutsches Recht
verstößt gegen vorrangiges europäisches Recht, soweit das Ziel der Datensicherung, möglichst den »Stand der Technik« zu erreichen, nicht als Formulierung ins deutsche Recht übernommen worden ist (Art. 17, Abs. 1, 2. Unterabs. RL 95/46/EG; § 9 BDSG).
Ferner sind die bisherigen Erfahrungen, auf dem Weg über eine freiwillige
Selbstkontrolle zu einem effektiveren Datenschutz zu gelangen, eher ernüchternd: Von den 135 Organisationen in den U.S.A., die sich bis Ende 2001 auf
die Safe-Harbor-Grundsätze verpflichtet hatten (http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list), besaßen 134 eigene Datenschutzgrundsätze (privacy policies) und 61 nahmen zusätzlich an externen
5
Datenschutzprogrammen teil. Nur 40 Unternehmen unterwarfen sich den von
den privaten Organisationen angebotenen Schiedsverfahren, und lediglich
zehn Unternehmen stimmten einer anlassunabhängigen Kontrolle der Einhaltung der Grundsätze einer externen unabhängigen Organisation zu.
Die Federal Trade Commission (FTC) fordert – entgegen ihrer früheren
Meinung – in ihrem Bericht für das Jahr 2000 gesetzliche Maßnahmen zur
Unterstützung der Selbstregulierung, weil die Selbstregulierung allein nicht
ausreiche (http://www.ftc.gov/reports/privacy2000.pdf). »Regulierung der
Selbstregulierung« und nicht »Selbstregulierung der Regulierung« mag der
nicht überraschende Kompromiss lauten. Datenschutzrechtliche Selbstverpflichtungserklärungen, die bei Markttransaktionen mit personenbezogenen
Daten zugrunde gelegt, aber nicht eingehalten werden, können nach deutschem Recht zu Ansprüchen aus vertraglichen Pflichtverletzungen führen
(§§ 280, 281 BGB n. F.).
Alfred Büllesbach, der als früherer Landesdatenschutzbeauftragter in
Bremen und nun als Konzerndatenschutzbeauftragter der DaimlerChrysler AG
in Stuttgart die Entwicklung des Datenschutzrechts nicht nur beobachtet,
sondern mitgestaltet hat, möchte ich abschließend mit dem treffenden Satz
zitieren: »Der Ordnungsanspruch des Staates sollte sich von der Regulierung
des »Rechtlichen Könnens« weg bewegen und die Gestaltung einer Struktur
anstreben, die die Betroffenen im Rahmen ihres ›Rechtlichen Könnens‹ dazu
befähigt, selbstbestimmt an der Informationsgesellschaft teilzunehmen«
(Büllesbach 2000, S. 21).
1
2
3
409 Gesetze und Verordnungen auf Bundesebene, in denen »Datenschutz« vorkommt, vgl.
Roßnagel/Pfitzmann/Garstka S. 30.
»Zweifellos handelt es sich bei Krankheitsdiagnosen um höchstpersönliche und sensible Daten
des Erkrankten«; Auskunftsinhalte kann der Arzt nicht in eigenem Namen geltend machen,
BVerfG NJW 2001, 883 (884).
Das US-Unternehmen Double-Click verfügt über 100 Mio. Konsumentenprofile aus InternetTransaktionen, die ohne Kenntnis der Betroffenen entstanden sind, vgl. Enzmann u. Roßnagel,
CR 2002, S. 141 ff.
Freundesgabe Büllesbach 2002
160
4
5
Kilian
Interessant ist die angedeutete Ausgrenzung von Art. 1 Abs. 1 GG als Begründungsbasis des
informationellen Selbstbestimmungsrechts bei Hoffmann-Riem, AöR 123 (1998), 513 (520).
Z.B. BBBOnline; TRUSTe; DMA.
Literatur
Büllesbach, Alfred (Hrsg.) (2000): Datenverkehr ohne Datenschutz?, Köln 2000.
Enzmann, M. / Roßnagel, A.: Realisierter Datenschutz für den Einkauf im Internet. Das Projekt DASIT. In: CR 2002, 141 ff.
Fiedler, W. (2001): Der Staat im Cyberspace. In: Informatik Spektrum 2001,
S. 309.
Hoffmann-Riem, W. (1998): Informationelle Selbstbestimmung in der Informationsgesellschaft. In: AöR 123 (1998), S. 513 ff.
Hufen, F. (2001): Schutz der Persönlichkeit und Recht auf informationelle
Selbstbestimmung. In: P. Badura / H. Dreier (Hrsg.), 50 Jahre Bundesverfassungsgericht, Bd. 2, Tübingen 2001, S. 105 ff.
Jarrass, H. (2001): Die Grundrechte: Abwehrnormen und objektive Grundsatznormen – Objektive Grundrechtsgehalte, insbes. Schutzpflichten und privatrechtsgestaltende Wirkung. In: P. Badura / H. Dreier (Hrsg.), 50 Jahre
Bundesverfassungsgericht, Bd. 2, Tübingen 2001, S. 35 ff.
Kilian, W./Scheja (2002): Freier Datenfluss im Allfinanzkonzern?, BB 2002 (Beilage 3 zu Heft 14), S. 19.
Podlech, A. (1982): Individualdatenschutz – Systemdatenschutz. In: Brückner/
Dalichau (Hrsg.), Festgabe für Hans Grüner, Percha 1982, S. 451 ff.
Roßnagel/Pfitzmann/Garstka (2002): Modernisierung des Datenschutzrechts.
Gutachten im Auftrag des Bundesministers des Innern, <www.dud.de/dud/
documents/modernisierung-dsrecht.pdf.>
Steinmüller, W. (1993): Informationswissenschaftliche und technische Voraussetzungen einer neuen Informationsordnung, NfD 44 (1993), S. 215 ff.
Weichert T. (2001): Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung. In: NJW 2001, S. 1463.
Freundesgabe Büllesbach 2002
161
Bettina Sokol/Roul Tiaden
Big Brother und die schöne neue Welt der Vermarktung personenbezogener
Informationen
In der zweiten Hälfte des letzten Jahrhunderts war Big Brother das Synonym
für einen Orwell´schen Überwachungsstaat, der alle Daten und Bewegungen
seiner BürgerInnen erfasst und sie so – als gläserne Untertanen – umfassend
kontrolliert. Heute wird mit Big Brother vor allem die gleichnamige Fernsehsendung assoziiert. Die schrieb Mediengeschichte, weil hier Menschen – in
der Hoffnung auf Reichtum und Ruhm – mehrere Monate lang auf nahezu jede
Privatsphäre verzichteten und sich rund um die Uhr einem Millionenpublikum
zur Schau stellten.
Der Bedeutungswandel von Big Brother – von George Orwells Klassiker
1984 zum Fernsehformat eines Privatsenders – spiegelt die gesellschaftlichen
Entwicklungen der letzten Jahrzehnte im Umgang mit personenbezogenen
Informationen wider. Die im Zuge rasanten technischen Fortschritts exponentiell anwachsende kommerzielle Datenverarbeitung durch Private bringt neue
Herausforderungen für die informationelle Selbstbestimmung mit sich.
Gleichzeitig wandelt sich die Rolle der Betroffenen von bloßen Objekten verantwortlicher Stellen zu WirtschaftsbürgerInnen, die ihre personenbezogenen
Daten zunehmend als HändlerInnen in eigener Sache vermarkten. Gibt es
Grenzen der (Selbst-) Vermarktung? Degeneriert das Grundrecht auf informationelle Selbstbestimmung zum Recht auf informationelle Selbstveräußerung?
»It´s the economy, stupid!« – Vom staatlichen zum privaten Leviathan
Mit der technischen Entwicklung von staatlichen Großrechnern zur allgegenwärtigen, vernetzten und miniaturisierten Datenverarbeitung und Digitalisierung wandelten sich auch die Herausforderungen für die informationelle
Selbstbestimmung. Nicht mehr allein der volkszählende und rasterfahndende
Staat, sondern auch datensammelnde Unternehmen werden verstärkt als
Gefahrenquellen für die Selbstbestimmung betrachtet. So fürchten sich die
BürgerInnen heute weniger vor dem Überwachungsstaat als vor kommerziellen Datenverarbeitern, die sie in gläserne Versicherungsnehmer, gläserne
Internetnutzerinnen, gläserne Kunden und gläserne Beschäftigte verwandeln
können.
Dies belegt eine repräsentative Befragung zum Datenschutz aus dem Jahr
2001 (Opaschowski 2001). Danach ist das Vertrauen der Befragten, dass ihre
personenbezogenen Informationen stets datenschutzgerecht verwandt werden, bei Polizei (60%) und Verfassungsschutz (57%) deutlich größer als bei
Versicherungen (37%), Internetanbietern (10%) und beim Versand- (10%) und
Adresshandel (8%). Auch wenn subjektives Vertrauen und objektive Gefährdungslage nicht zwangsläufig übereinstimmen müssen, zeigt sich in den
Freundesgabe Büllesbach 2002
162
Sokol/Tiaden
Umfrageergebnissen jedenfalls ein erhebliches Misstrauen gegenüber kommerziellen Datenverarbeitern.
Diese Entwicklung – von der Furcht vor dem Überwachungsstaat zu einer
verstärkt wahrgenommenen Gefährdung der Privatsphäre durch datenverarbeitende Unternehmen – könnte mit einem Wahlkampf-Slogan Bill Clintons
aus den neunziger Jahren überschrieben werden: »It´s the economy, stupid!«
In der Wirtschaft spielt (derzeit) die Musik für den Datenschutz – trotz der
»Otto-Kataloge« des Bundesinnenministers und des Revivals der Rasterfahndung nach den Anschlägen vom 11. September. 2001. Die kommerzielle Nutzung der digitalen Revolution bringt die qualitativ neuen Herausforderungen
für den Datenschutz. Vor allem in diesem Bereich wird sich das Recht auf informationelle Selbstbestimmung in den nächsten Jahren bewähren müssen.
Datenhandel in Zeiten technischen Wandels
Der Handel mit personenbezogenen Daten ist kein neues gesellschaftliches
Phänomen, sondern vielfach ein Gewerbe mit Tradition. Detekteien, Auskunfteien, Adresshandel und Medien, insbesondere die Boulevardpresse, verdienen seit mehr als hundert Jahren ihr Geld mit personenbezogenen
Informationen. Bereits im 19. Jahrhundert gab es in Deutschland die ersten
Adresshändler, die ersten Kreditauskunfteien – die jüngere SCHUFA feiert in
diesem Jahr ihren 75. Geburtstag – und sogar Paparazzi: zwei Journalisten
drangen 1898 in das Sterbezimmer Otto von Bismarcks und fotografierten den
Verstorbenen, um die Bilder anschließend meistbietend zu verkaufen. Die
rasanten wissenschaftlichen und technischen Entwicklungen der letzten
Jahrzehnte haben indes qualitativ und quantitativ neue Dimensionen in den
Handel mit personenbezogenen Daten gebracht.
Online-Auskunfteien, Internet-Pranger und Credit-Scoring
Die Frage vieler Unternehmen, wie zahlungskräftig ihre (potentiellen)
KundInnen sind, gewinnt in der Informationsgesellschaft stetig an Bedeutung.
Mit der Entwicklung vom anonymen Barkauf zum personalisierten bargeldlosen Kreditkauf – innerhalb oder außerhalb des Internets – entsteht eine wachsende Nachfrage nach Bonitätsinformationen. Diese werden von OnlineAuskunfteien und Internet-Warndateien angeboten. In Sekundenschnelle können Unternehmen per Knopfdruck automatisiert vielfältige Auskünfte über die
Kreditwürdigkeit ihrer potentiellen (Online-) KundInnen abrufen.
Dabei beschränken sich die Auskunfteien längst nicht mehr darauf, nur
Auskünfte über Personen zu liefern, zu denen sog. Negativdaten über vertragswidriges Verhalten vorliegen. Beim Credit-Scoring werden unbescholtene (potentielle) KundInnen automatisiert in statistische Risikogruppen eingeteilt. Diese prognostizieren die Wahrscheinlichkeit eines Kreditausfalls oder
Freundesgabe Büllesbach 2002
Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen
163
einer Zahlungsunfähigkeit. Bei der Berechnung des Scorewertes spielen insbesondere statistische, soziodemographische Informationen, die mit personenbezogenen Daten verknüpft werden, eine große Rolle. Für die Betroffenen
kann dies eine Schlechterbehandlung im Geschäftsverkehr bedeuten, auch
wenn sie sich bislang stets vertragsgemäß verhalten haben.
Das Internet lässt mehr und mehr UnternehmensgründerInnen vom Aufbau
einer eigenen Online-Warndatei träumen. Besonders bedenklich ist, dass einige Geschäftsleute eine mittelalterliche Praxis wiedereinführen wollen:
SchuldnerInnen sollen – datenschutzwidrig – öffentlich angeprangert werden.
Nur steht der Pranger nicht mehr auf dem städtischen, sondern auf dem
weltweiten virtuellen Marktplatz, im Internet. Einmal – aus welchen Gründen
auch immer – an den Internetpranger gestellt, kann die diskriminierende personenbezogene Information weltweit abgerufen werden und ist – wegen möglicher downloads – nicht mehr sicher rückholbar.
Data Warehouse, Data Mining und Online Profiling
Die Adresshandel- und Direktmarketing-Branche boomt in den letzten
Jahrzehnten. Unternehmen wollen wissen, wem sie was verkaufen können,
wie sie bisherige KundInnen binden und neue KundInnen gewinnen können.
Dafür benötigen sie möglichst umfassende Informationen über die KundInnen: Kaufkraft, Konsumeigenschaften, sozialer Status, Alter, Familienstand,
Vorlieben, Hobbys, Lebenseinstellungen – je umfassender das Persönlichkeitsbild, desto berechen- und beeinflussbarer (scheint) das Verbraucherverhalten. Data Warehouse, Data Mining, Customer Relationship Management
und Online Profiling sind einige der zahlreichen Schlagworte beim lukrativen
Handel mit Kundendaten.
Die dritte technische Revolution bringt sowohl exponentiell wachsende
Datenbestände über die VerbraucherInnen als auch die technischen
Hilfsmittel, um die Informationen intelligent und profitabel auswerten zu können. So ermöglichen die elektronischen Bestell- und Zahlungssysteme, die
zunehmend an die Stelle des anonymen Barkaufs treten, enorme Datensammlungen über das Kauf- und Zahlungsverhalten der Kunden. Auch Kundenbindungs- und Rabattsysteme sowie die offene oder versteckte Erhebung
von Daten im Internet helfen, Kunden- und Persönlichkeitsprofile zu erstellen
(sog. Online Profiling). Um das Surf- und Nutzungsverhalten im Netz zu erfassen, werden unter anderem Log-Dateien und Registrierungsdaten systematisch ausgewertet und Spezialanwendungen wie Cookies, Packet-SniffingTechnologien und Web Bugs eingesetzt (vgl. Buxel DuD 2001, 579; Schaar DuD
2001, 383).
Damit die in den unterschiedlichen Bereichen eines Unternehmens oder
eines Konzerns anfallenden Kundendaten für das Direktmarketing verwertbar
sind, müssen sie losgelöst vom bisherigen Zweck zeit- und funktionsgerecht
zur Verfügung stehen, z.B. in einer operativen Datenbank. Das ist die Aufgabe
Freundesgabe Büllesbach 2002
164
Sokol/Tiaden
der sog. Data Warehouses, der Daten-Lagerhäuser. Ist der Zugriff auf die
Datensammlungen möglich, werden daraus im Wege des Data Minings die für
die Kundenbindung oder -gewinnung profitablen Informationen herausgearbeitet. Programme künstlicher Intelligenz analysieren die Daten unter speziellen Fragestellungen, stellen automatisiert neue Zusammenhänge her und
decken Muster auf – etwa im Kundenverhalten. Angereichert mit soziodemographischen und mikrogeographischen Daten werden diese Informationen für
zielgruppenorientiertes Marketing genutzt (vgl. Büllesbach CR 2000, 11; Wittig
RDV 2000, 59 ff.)
Von Untertanen zu WirtschaftsbürgerInnen – die neue Rolle der Betroffenen
Der anfangs erläuterte Bedeutungswandel von Big Brother spiegelt auch die
wandelnde Rolle der Betroffenen wider: von der Untertanin zur Wirtschaftsbürgerin, vom bloßen Objekt verantwortlicher Stellen zur Händlerin in eigener
Sache. Betroffene beteiligen sich heute aktiv an der Verwertung und
Veräußerung ihrer personenbezogenen Daten. Personenbezogene Informationen sind eine Handelsware, die zunehmend auch DurchschnittsbürgerInnen in Geld umwandeln können.
So wie die Akteure bei Big Brother nicht Opfer einer versteckten Kamera
wurden, so sind auch die TeilnehmerInnen eines modernen Kundenbindungsund Rabattsystems keine Opfer einer heimlichen Kundenprofilierung. Die
jeweiligen »Betroffenen« beteiligen sich vielmehr in Erwartung materieller
Vorteile oder aufgrund finanzieller Anreize aktiv an der Erhebung und Kommerzialisierung ihrer Daten. Bonuspunkte in einem Kundenbindungsprogramm sind nicht mehr nur anonym gewährte Rabattmarken, sondern
auch eine Gegenleistung für die Einwilligung, Daten über das individuelle
Kaufverhalten erheben, verarbeiten und nutzen zu dürfen. Die TeilnehmerInnen lassen sich dabei die Preis-Gabe ihrer personenbezogenen Daten in
Cent und Euro auszahlen.
Die Vermarktung von Daten mit aktiver kommerzieller Beteiligung der
Betroffenen gewinnt in den Bereichen an Bedeutung, in denen personenbezogene Informationen nicht auf gesetzlicher Grundlage, sondern mit Einwilligung der Betroffenen erhoben, verarbeitet und genutzt werden sollen, wie
zum Beispiel beim Handel mit detaillierten Kundendaten.
Bislang werden vor allem Preisausschreiben oder Gewinnspiele eingesetzt,
um Anreize für die Teilnahme an VerbraucherInnen- und Life-Style-Umfragen
zu schaffen. Ähnliches geschieht im Internet, wenn Personen unter der
Bedingung an Spielen oder Wettbewerben teilnehmen dürfen, dass sie personenbezogene Daten als Grundlage für Kundenprofile beisteuern, sog.
»Cybermarketing mit Anreizen« (Schaar DuD 2001, 383, 384).
Eine neue Variante im Handel mit Kundendaten beteiligt die Befragten aktiver an der Verwertung ihrer Daten und lässt sie am Erlös mitverdienen. Die
Betroffenen entscheiden dabei selbst, welche personenbezogenen InformaFreundesgabe Büllesbach 2002
Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen
165
tionen sie für den Verkauf an Firmen, Banken und Versicherungen preisgeben.
Je umfassender, profilgenauer und aktueller die Daten, desto höher der Erlös,
von dem die Betroffenen einen prozentualen Anteil erhalten. Kommentar der
Konkurrenz: »Menschen sind halt käuflich.« Wer Big Brother gut finde oder
sogar dabei mitmache, werde auch keine Hemmungen haben, seine Badegewohnheiten öffentlich zu machen (vgl. Langrock W&V 20/2000).
Eine andere Geschäftsidee ermöglicht es KundInnen, Computer zu mieten
und den Mietzins zu reduzieren, indem sie als Gegenleistung personenbezogene Daten offenbaren. Wer beim Surfen im Netz gegenüber diversen OnlineUnternehmen Angaben über Einkommensverhältnisse, Hobbys und Kreditkartennutzung macht, zahlt weniger Miete. Pro Angabe wird ein Betrag gutgeschrieben, so dass die Zahlungsverpflichtung maximal auf null sinkt
(Weichert 2000, 158).
Kommerzialisierung ohne Grenzen?
Angesichts einer immer umfassenderen und intensiveren Kommerzialisierung
personenbezogener Informationen stellt sich die Frage, welche Grenzen es
insoweit gibt oder geben sollte. Die bestehende Datenschutzrechtslage im
Bereich wirtschaftlicher Betätigungen von Privatunternehmen und Privatpersonen ist davon geprägt, dass eine Verarbeitung personenbezogener
Daten, die seit der Novelle des Bundesdatenschutzgesetzes 2001 bereits mit
deren Erhebung beginnt, nur auf Grund einer Rechtsvorschrift oder mit einer
Einwilligung der davon betroffenen Person erlaubt ist. Wollen die betroffenen
Personen ihre Daten – mit oder ohne Einschaltung einer Maklerfirma – vermarkten, kann davon ausgegangen werden, dass sie in die Datenverarbeitung
einwilligen wollen, da die Datenpreisgabe ja gerade die Erwerbsquelle ist. Ob
ein solcher Sachverhalt juristisch als Vertragsverhältnis, beispielsweise als
Datenüberlassungsvertrag (so Weichert 2000, 158) oder als Einwilligungsvorgang zu qualifizieren wäre, soll vorliegend nicht weiter verfolgt werden.
Einwilligungen sind widerrufbar und Verträge in aller Regel kündbar. Die
Vertragsfreiheit ist im Falle strukturell ungleicher Verhandlungsstärke nicht
nur im Arbeits-, Miet- und Versicherungsrecht Beschränkungen unterworfen
(vgl. BVerfGE 89, 214/299 ff.). Die datenschutzrechtlichen Grenzen der Einwilligung könnten möglicherweise auch entsprechend auf die Vertragsfreiheit
übertragen werden. Dies zu prüfen ist hier allerdings nicht der Ort, so dass das
Augenmerk auf die Einwilligung zu richten ist.
Einwilligungsvoraussetzungen
Auch mit einer Einwilligung ist nicht alles erlaubt, was möglich wäre.
Gesetzgebung und Rechtsprechung haben hier Grenzen gezogen und
Anforderungen gestellt, die durch das Allgemeininteresse legitimiert sind.
Freundesgabe Büllesbach 2002
166
Sokol/Tiaden
Nur freiwillig erteilte Einwilligungen sind nach § 4 a BDSG überhaupt wirksam.
Zu den weiteren Einwilligungsvoraussetzungen gehören u.a. die vollständigen und in verständlicher Weise gegebenen Informationen über den Umfang
und die Zwecke der beabsichtigten Erhebung, Verarbeitung oder Nutzung der
dafür vorgesehenen personenbezogenen Daten. Dies soll der betroffenen
Person nicht nur die bloße Kenntnis von den Einzelheiten des jeweils geplanten Vorhabens vermitteln, sondern sie in die Lage versetzen, die Tragweite
ihrer Entscheidung überblicken zu können. Die grundsätzlich erforderliche
Schriftlichkeit der Einwilligung nebst eigenhändiger Unterschrift soll einen
gewissen Schutz vor einem übereilten Handeln und etwaigen Missverständnissen bieten. Die Erteilung der Einwilligung soll eine informierte,
bewusste, beabsichtigte und völlig freie Entscheidung sein.
Ausgleich von Machtungleichgewichten
Eine freie und freiwillige Entscheidung ist eine Entscheidung »ohne Zwang«,
wie es die EG-Datenschutzrichtlinie in ihrem Art. 2 Buchst. h) fordert. Wann
sind Entscheidungen ohne jeden Zwang, auch ohne jeden faktischen Zwang?
Allgemein anerkannt ist, dass bei Machtungleichgewichten von einer echten
Freiwilligkeit höchst selten die Rede sein kann. Abhängigkeiten oder faktische
Zwänge etwa – wie beispielsweise auf dem Arbeits- oder dem Mietwohnungsmarkt – sollen durch rechtliche Regulierungen teilweise ausgeglichen werden.
Auch im Versicherungswesen gibt es in vielen Bereichen ausgehandelte
Standardformulierungen, die regelmäßig nicht oder nur in engen Grenzen zur
Disposition der Beteiligten stehen. Ausgehandelt und festgelegt werden sie
aber nicht von den einzelnen Personen, um deren Daten es geht, sondern die
Interessen der Betroffenen werden gegenüber den Unternehmen und deren
Verbänden von den Datenschutzkontrollinstanzen wahrgenommen (vgl.
Simitis, in: ders. u.a., BDSG, § 4 a Rn. 6 ff.). Zum Schutz der einzelnen Personen haben sie selber so gut wie keine Möglichkeiten mehr, die mit einer
Einwilligung eigentlich verbundenen Fragen des Umfangs und der Bedingungen der Datenverarbeitung maßgeblich zu beeinflussen. Ihre Entscheidungsfreiheit besteht prinzipiell nur noch darin, vorgegebenen Bedingungen zuzustimmen oder zu verzichten.
Unabdingbare Rechte
Weitere Einschränkungen der Dispositionsbefugnis legt § 6 BDSG fest. Weder
gänzlich ausgeschlossen noch auch nur beschränkt werden können danach
die Rechte der betroffenen Person auf Auskunft und auf Berichtigung,
Löschung oder Sperrung. Zwar muss niemand diese Rechte ausüben, jedoch
ist es gesetzlich ausgeschlossen, in ihren Verzicht ausdrücklich einzuwilligen.
Denn diese originären Bestandteile des Rechts auf informationelle SelbstFreundesgabe Büllesbach 2002
Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen
167
bestimmung bilden zugleich Voraussetzungen seiner effektiven Ausübung.
Die ausdrückliche Benennung der nach § 6 BDSG unabdingbaren Rechte der
betroffenen Personen bedeutet allerdings nicht, dass alle dort nicht genannten Rechte zur freien Disposition stünden. Vielmehr ist das aufeinander abgestimmte System von Schutzinstrumenten im Bundesdatenschutzgesetz
grundsätzlich zwingender Natur (Mallmann, in: Simitis u.a., BDSG, § 6 Rn. 17).
Ausnahmen davon aufgrund von Einwilligungen sind gerade nicht unbegrenzt möglich.
Elementare Funktionsbedingung der Demokratie
Mit einer freiwillig, auch ohne jeden faktischen Zwang erteilten Einwilligung
in eine Datenverarbeitung wird ein Grundrecht wahrgenommen. Freilich ist
stets zu prüfen, ob durch die Offenbarung eigener Daten auch (Grund-)Rechte
Dritter betroffen sind, weil beispielsweise die Daten Informationen über andere Personen – etwa Verwandte – enthalten. Darüber hinaus verleiht die im
Recht auf informationelle Selbstbestimmung verankerte Befugnis, grundsätzlich selbst über die Preisgabe und Verwendung der Daten zur eigenen Person
zu bestimmen (BVerfGE 65, 1/43), allerdings keine eigentumsähnlichen Verfügungsmöglichkeiten. Auch das allgemeine Persönlichkeitsrecht ist nicht
im Interesse einer Kommerzialisierung der eigenen Person gewährleistet
(BVerfGE 101, 361). Ein wesentliches Ziel des Rechts auf informationelle
Selbstbestimmung besteht vielmehr darin, die Kommunikations- und Handlungsfähigkeit der einzelnen Menschen gegenüber staatlichen Stellen wie
auch innerhalb der Gesellschaft sicherzustellen. Unter anderem soll die Transparenz von Datenverarbeitungen für die betroffene Person die Verhaltensfreiheit ermöglichen.
Neben der Funktion, die subjektiv-individuelle Verhaltensfreiheit zu sichern,
stellt die informationelle Selbstbestimmung eine elementare Funktionsbedingung »eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens« (BVerfGE, 65, 1/43)
dar. Die gesetzliche Regelungsnotwendigkeit des Datenschutzes hat damit
individuelle wie gesamtgesellschaftliche Bedeutung. Der Verzicht einzelner
Personen auf beispielsweise Transparenz und Kontrollmöglichkeiten der
Datenverarbeitung wirkt sich langfristig auf die gesellschaftlichen Strukturen
aus, weil die Kommunikations- und Handlungsfähigkeit gemindert werden
und sich die Manipulationsmöglichkeiten verstärken. Dies ließe die informationelle Selbstbestimmung in ihrer objektiven Funktion letztlich zu einer
leeren Hülse werden.
Freundesgabe Büllesbach 2002
168
Sokol/Tiaden
Gesetzgeberischer Handlungsbedarf
Wenn »Einverständnis und Entgelt« die Datenschutzgesetze darauf reduzieren,
»eine reibungslose Vermarktung sicherzustellen« (Simitis 1999, 5), die Kommerzialisierung personenbezogener Daten andererseits sicherlich nicht gänzlich unterbunden oder gar nur aufgehalten werden kann (Weichert 2000, 158),
ist gleichwohl die gesellschaftliche Diskussion über diese Entwicklung notwendig und die Frage nach gesetzgeberischem Handlungsbedarf zu stellen. In
Betracht zu ziehen sind die verstärkte Durchsetzung der Datenvermeidung
ebenso wie eine Neuregulierung der Einwilligung. Das Recht auf informationelle Selbstbestimmung wird im Hinblick auf eine Preisgabepflicht bestimmter Daten – legitimiert durch Allgemeininteressen – schon vielfach gesetzlich
beschränkt. Gleiches könnte im Hinblick auf eine Geheimhaltungspflicht
bestimmter Daten überlegt werden. Diskutiert werden könnte auch, ob die
Eindämmung des Datenhandels als berechtigtes Allgemeinwohlanliegen und
die Sicherstellung der Freiwilligkeit durch Verbote – etwa unabdingbare
Zweckbindungsregelungen – erreicht werden könnten. Damit hätten sich auch
einwilligungsfähige Datenverarbeitungen grundsätzlich im Rahmen der
gesetzlich festgelegten Verarbeitungsbedingungen zu halten.
Literatur:
Büllesbach, Alfred (CR 2000), Datenschutz bei Data Warehouses und Data
Mining, CR 2000, 11.
Buxel, Holger (DuD 2001), Die sieben Kernprobleme des Online Profiling aus
Nutzerperspektive, DuD 2001, 579.
Opaschowski, Horst W. (2001): Der gläserne Konsument. Die Zukunft von
Datenschutz und Privatsphäre in einer vernetzten Welt, Hamburg 2001.
Schaar, Peter (DuD 2001), Persönlichkeitsprofile im Internet, DuD 2001, 383.
Simitis, Spiros (1999): Die Erosion des Datenschutzes. In: LfD NRW Sokol,
Bettina (Hrsg.): Neue Instrumente im Datenschutz, Düsseldorf 1999, 5.
Simitis, Spiros u.a., Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. (im
Erscheinen).
Weichert, Thilo (2000): Zur Ökonomisierung des Rechts auf informationelle
Selbstbestimmung. In: Bäumler, Helmut (Hrsg.): E-Privacy, Braunschweig/
Wiesbaden 2000, 158.
Wittig, Petra (RDV 2000), Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59.
Freundesgabe Büllesbach 2002
169
Alexander Dix
Bedroht der Datenschutz die Informationsfreiheit?
Anmerkungen zu einem heraufziehenden europäischen Konflikt
Datenschutz und Informationszugang werden entweder als unauflösliche
Gegensätze oder als komplementäre Freiheitsrechte des Einzelnen, als »zwei
Seiten einer Medaille« bezeichnet. Die Europäische Grundrechte-Charta
gewährleistet – wenngleich noch ohne rechtliche Verbindlichkeit – das Recht
auf Datenschutz (Artikel 8) wie das Recht auf Zugang zu Dokumenten der EUInstitutionen (Artikel 42) gleichermaßen und bildet insoweit den Kern einer
entstehenden europäischen Informationsverfassung. Damit scheint die Charta
die »Medaillen-These« zu stützen. Aber wie weit trägt dieses Bild wirklich?
Diese Frage stellt sich zunehmend auch in globalen Konzernen, die nationale
Transparenzanforderungen mit gesetzlichen Datenschutzregelungen und
unternehmensinternen »privacy policies« in Einklang bringen müssen. Die
Antwort darauf hat eine materiell-rechtliche und eine prozedurale Seite. Die
Suche nach dieser Antwort ist mehr als nur eine akademische Übung, sondern
von erheblicher praktischer Bedeutung. Dabei ist auch eine Auseinandersetzung mit der These erforderlich, die der Europäische Bürgerbeauftragte jüngst
formuliert hat, wonach der Datenschutz eine neue Bedrohung für die Informationsfreiheit auf europäischer Ebene geworden sei (Söderman 2001, 16).
1. Das materiell-rechtliche Verhältnis von Datenschutz und Informationszugang
Zunächst ist zu Recht auf die gleiche Zielrichtung von Datenschutz- und
Informationszugangsgesetzen hingewiesen worden: Es geht stets um die Begrenzung von Informationsmacht staatlicher und privater Datenverarbeiter
und »Informationsbesitzer« gegenüber dem einzelnen betroffenen Menschen
(Sokol, 1998, S. 41; Burkert 1999, S. 102). Mit den Worten des ersten ungarischen Parlamentsbeauftragten für Datenschutz und Informationsfreiheit: »Der
gemeinsame Zweck des Datenschutzes und der Informationsfreiheit ist die
Aufrechterhaltung der Intransparenz von Bürgerinnen und Bürgern in einer
Welt, die die Informationsrevolution erlebt hat, bei gleichzeitiger Herstellung
1
eines transparenten Staates. « (Majtényi, zit. in Raab 2001, S. 200) Das
Datenschutzrecht selbst hat seit jeher zahlreiche auf Transparenz gerichtete
Elemente, insbesondere den Auskunfts- und Einsichtsanspruch des Betroffenen bezüglich »seiner« Daten; der Zugang zu personenbezogenen Daten
ist als Unterfall des allgemeinen Zugangs anzusehen (Burkert 1999, S. 94).
Zugleich haben die Datenschutzgesetze einzelner Länder (Hessen,
Rheinland-Pfalz und Berlin) schon früh als ihr Regelungsziel neben dem
Schutz der informationellen Selbstbestimmung des Einzelnen auch die
Kontrolle möglicher negativer Auswirkungen der Datenverarbeitung auf die
Freundesgabe Büllesbach 2002
170
Dix
informationelle Gewaltenbalance zwischen Legislative und Exekutive benannt
(Burkert 1992, 218). Die allgemeine Informationsfreiheit will darüber hinaus
das bestehende erhebliche Informationsungleichgewicht zwischen Exekutive
einerseits und Bürgerinnen wie Bürgern andererseits jedenfalls insoweit verändern, als sie letzteren voraussetzungslose Informationsansprüche eröffnet.
Dennoch wäre es verfehlt, von einer vollständigen Deckung oder Bedeutungsidentität der Begriffe »Datenschutz« und »Informationszugang« zu sprechen. Es gibt jeweils weite Bereiche des Datenschutz- und des Informationszugangsrechts, die keinerlei Berührungspunkte haben.
So sei nur darauf hingewiesen, dass ein allgemeiner und voraussetzungsloser Zugang zum »Binnenrecht« der Verwaltung, den Myriaden von Verwaltungsvorschriften, keinerlei Datenschutzprobleme aufwirft, wenn man als
selbstverständlich voraussetzt, dass der Unterzeichner einer solchen Vorschrift die Publizierung seiner Urheberschaft hinnehmen muss. Es erstaunt
ohnehin, dass in einem Rechtsstaat, der dem Einzelnen aus dem Gleichheitsgrundsatz ein Recht auf Einhaltung einer gleichförmigen, in Verwaltungsvorschriften dokumentierten Verwaltungspraxis zubilligt, eben diese Vorschriften
teilweise immer noch geheimgehalten werden.
Insofern ist das Bild von den zwei Seiten einer Medaille (Schindel DuD 1999,
594) also zumindest irreführend. Treffender wäre es, von zwei sich schneidenden Kreisen zu sprechen, wobei offen bleiben kann, wie symmetrisch sich
diese Kreise schneiden. Auch wenn es schwierig ist, hier eine quantitative
Aussage zu treffen, spricht doch viel dafür, dass der größere Anteil der
Informationen »in öffentlicher Hand« ohne Kollision mit dem Datenschutz
offengelegt werden können. Das betrifft insbesondere alle Planungsverfahren,
Haushaltspläne, Aktenpläne und andere Metadaten über die interne Struktur
der Verwaltung, für die zum Teil – nach den Informationsfreiheitsgesetzen
Berlins und Nordrhein-Westfalens – bereits aktive Informationspflichten der
Verwaltung statuiert sind. Umgekehrt beschränkt sich der Datenschutz nicht
nur auf Zugangsrechte, sondern regelt umfassend die Verwendung personenbezogener Daten durch Behörden und Unternehmen. Die Zugangsrechte der
Betroffenen sind ein zentrales Element, die »Magna Charta« des Datenschutzes, der sich in ihnen jedoch nicht erschöpft.
Mit Recht ist die Informationsfreiheit deshalb als das komplementäre
Gegenstück des Datenschutzes bezeichnet worden (Hessischer Datenschutzbeauftragter, 1986, S. 165), die wie der Datenschutz die Struktur einer zivilen
und demokratischen Informationsgesellschaft bestimmen sollte. Die informationelle Selbstbestimmung muss ergänzt werden um die informationelle Mitbestimmung und Teilhabe. Entscheidend ist, dass beide Prinzipien den Freiheitsraum des Einzelnen erweitern. Die 1998 von mehreren Datenschutzbeauftragten erhobene Forderung für einen entsprechenden Politikwechsel zum
wirksameren Schutz der Privatsphäre (Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht /Berliner Datenschutzbeauftragter
1998, S. 9) hat allerdings auf Bundesebene trotz entsprechender Absichtserklärungen der Koalitionsparteien noch keine Wirkung gehabt.
Freundesgabe Büllesbach 2002
Bedroht der Datenschutz die Informationsfreiheit?
171
Auch die Europäische Richtlinie zum Datenschutz von 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr hat das Komplementärverhältnis zwischen Datenschutz
und Informationsfreiheit sowohl in ihrem Titel als auch in einem eigenen
Erwägungsgrund (Nr. 72) anerkannt, der die Berücksichtigung des Grundsatzes des öffentlichen Zugangs zu amtlichen Dokumenten bei der Umsetzung
dieser Richtlinie hervorhebt. Umgekehrt sieht auch die neue EU-Transparenzverordnung von 2001 vor, dass die Organe der Union den Zugang zu Dokumenten ausnahmsweise dann verweigern, wenn durch ihn der Schutz der
Privatsphäre und der Integrität des Einzelnen, insbesondere gemäß den
Rechtsvorschriften der Gemeinschaft über den Schutz personenbezogener
Daten beeinträchtigt würde (Art. 4 (1)(b)). Auf europäischer Ebene ist man
zwar nicht dem Vorbild der kanadischen Provinz Québec, Ungarns oder des
schweizerischen Kantons Solothurn gefolgt, die alle über einheitliche Datenschutz- und Informationszugangsgesetze verfügen. Aber die genannten recht
2
allgemein gehaltenen wechselseitigen Verweisungen im europäischen
Sekundärrecht sollten die Herstellung der nötigen praktischen Konkordanz
zwischen Informationszugang und Datenschutz auch auf europäischer Ebene
ermöglichen. Neuere Entwicklungen geben allerdings Anlass zu der Befürchtung, dass diese Erwartung zu optimistisch sein könnte. Das hat allerdings
weniger materiellrechtliche als vielmehr institutionelle Gründe.
2. Der Europäische Bürgerbeauftragte als Widerpart des Europäischen
Datenschutzbeauftragten?
Eine wichtige Rolle bei der Durchsetzung der Transparenz und Zügänglichkeit
von Informationen bei den Gemeinschaftsorganen spielt der seit 1995 einge3
richtete Europäische Bürgerbeauftragte (EU-Ombudsman) . Er hat zwar allen
Bürgerbeschwerden über Missmanagement (maladministration) bei den
Gemeinschaftsorganen nachzugehen und kein explizites Mandat zur
Durchsetzung des Grundrechts aller Unionsbürgerinnen und Unionsbürger auf Zugang zu den Dokumenten der Europäischen Organe (Art. 255
4
EUV) . Der EU-Ombudsman legt aber seit jeher in seiner Praxis besonderes
Gewicht auf den Aspekt der »guten Verwaltung« (good administrative practice), auf die die Europäische Grundrechte-Charta jedem ein noch unverbindliches Recht garantiert (Art. 41). Zur guten Verwaltung gehört nach der
»ständigen Spruchpraxis« des Ombudsman die Transparenz von Entscheidungsprozessen und der Zugang zu Dokumenten und Informationen der
Unionsorgane. In seinen Jahresberichten und mehreren Sonderberichten an
5
das Europäische Parlament hat der Bürgerbeauftragte wiederholt die in diesem Punkt zu restriktive Praxis der Gemeinschaftsinstitutionen kritisiert. Seine
Feststellungen und die Unterstützung durch das Europäische Parlament
haben mit dazu beigetragen, dass die Europäische Union heute über einen
verbindlichen Rechtsrahmen für die weitgehende Öffnung der InformationsFreundesgabe Büllesbach 2002
172
Dix
sammlungen ihrer Organe verfügt. Dessen Umsetzung zu begleiten und auf
seine konsequente Einhaltung zu dringen, versteht der Bürgerbeauftragte
weiterhin als eine seiner Hauptaufgaben. Im Jahr 2000 betrafen 28% der bei
ihm eingegangenen zulässigen Beschwerden Fälle von verweigertem
Informationszugang oder mangelhafter Transparenz (EU-Ombudsman 2000,
S. 275).
Demgegenüber ist die Rechtsentwicklung im europäischen Datenschutzrecht dadurch gekennzeichnet, dass mit der Verabschiedung der Datenschutzrichtlinie von 1995 zunächst die Mitgliedstaaten zur Harmonisierung ihres
nationalen Datenschutzrechts verpflichtet wurden. Dieser Umsetzungsprozess
wird begleitet durch die Gruppe nach Artikel 29 dieser Richtlinie, die sich aus
Vertretern der nationalen Kontrollstellen (Datenschutzbeauftragten) zusammensetzt. Ein verbindliches Datenschutzregime für die Organe der
Europäischen Union selbst existiert aber erst seit dem Inkrafttreten der Verordnung des Europäischen Parlaments und des Rates vom 18. Dezember 2000
(ABlEG L 008/1 v. 12.1. 2001) und der im Vertrag von Amsterdam vorgesehene
Europäische Datenschutzbeauftragte hat selbst eineinhalb Jahre nach der Verabschiedung der Datenschutzverordnung sein Amt noch nicht angetreten. Bei
Drucklegung dieses Beitrags hatten sich Parlament und Rat noch nicht auf die
Ausstattung seines Amtes geeinigt.
Diese Ungleichzeitigkeit mag auf historischen Zufälligkeiten beruhen, sie
könnte aber auch ein Vorbote für heraufziehende institutionelle Konflikte in
diesem Bereich sein. Dafür ist die Behandlung eines etwas skurril erscheinenden praktischen Falles kennzeichnend, für den eine Lösung auch gegenwärtig
nicht in Sicht ist und über den letztlich möglicherweise der Europäische Gerichtshof zu entscheiden haben wird.
Ein britischer Staatsbürger hatte sich gegen in Großbritannien geltende Bestimmungen (»Guest Beer Provision«) gewandt, die den Import deutschen
Biers in das Vereinigte Königreich praktisch unterband. Er sah darin einen
Verstoß gegen die Grundfreiheit des freien Warenverkehrs und das Diskriminierungsverbot des EG-Vertrags. Nachdem er sich darüber bei der Europäischen Kommission beschwert hatte, berief diese ein Treffen mit den britischen Behörden und einem europäischen Berufsverband der Bierbrauer ein,
zu dem der Beschwerdeführer entgegen seinem ausdrücklichen Wunsch nicht
eingeladen wurde. Wenig später wurde das britische Recht geändert und der
Import deutschen Biers in Großbritannien erleichtert. Die Kommission betrachtete dadurch die Beschwerde des Importeurs als erledigt. Nicht so der
Importeur selbst, der daraufhin beantragte, zu bestimmten Dokumenten bei
der Kommission zu erhalten, die im Zusammenhang mit seiner Beschwerde
von bestimmten Unternehmen und Organisationen eingereicht worden waren. Später verlangte er außerdem von der Kommission Auskunft darüber,
wer in seiner Angelegenheit Dokumente zur »Guest Beer Provision« an die
Kommission gesandt habe und insbesondere, wer an dem Treffen mit der
Kommission und britischen Regierungsvertretern teilgenommen hatte. Er vermutete, dass sich die für das Brauereiwesen zuständigen Beamten und PoliFreundesgabe Büllesbach 2002
Bedroht der Datenschutz die Informationsfreiheit?
173
tiker unzulässig verhalten hätten. Nachdem die Kommission dieses Ansinnen
zunächst völlig abgelehnt hatte, wandte sich der Bier-Importeur an den Europäischen Bürgerbeauftragten.
Aufgrund der Intervention des Bürgerbeauftragten erklärt sich die Kommission lediglich bereit, die Namen derjenigen Gesprächsteilnehmer offen zu
legen, die dem entweder ausdrücklich zugestimmt hätten oder auf eine entsprechende Anfrage nicht reagiert hätten. Die Namen der Gesprächsteilnehmer, die einer Weitergabe ausdrücklich nicht zugestimmt hatten, blieben (und
bleiben bis heute) unter Verschluss. Dabei beruft sich die Kommission auf die
Datenschutz-Richtlinie von 1995. Der Bürgerbeauftragte wiederum sieht darin
eine Verletzung des Offenheitsgrundsatzes (Art. 1 Abs. 2 EUV), der prinzipiellen Vorrang vor dem Datenschutz habe. Im übrigen wiesen die gewünschten
Informationen keinerlei Personenbezug auf, so dass die Datenschutz-Richtlinie
nicht anwendbar sei. Selbst wenn man aber einen Personenbezug annehme,
enthalte die Richtlinie mehrere Ausnahmebestimmungen, die in diesem Fall
eine Offenlegung zuließen.
Demgegenüber hat die Gruppe nach Art. 29 der Datenschutz-Richtlinie in
ihrer Stellungnahme zum gleichen Fall (5/2001 (WP 44) zum Sonderbericht
des Europäischen Bürgerbeauftragten, abrufbar unter http://europa.eu.int/
comm/internal_market/de/dataprot/wpdocs/index.htm), darauf hingewiesen,
dass sie die Argumentation des Bürgerbeauftragten für zu wenig differenziert
hält. Es könne keinen pauschalen Vorrang des Transparenzprinzips vor dem
Datenschutz geben, vielmehr sei in jedem Einzelfall eine sorgfältige Abwägung zwischen dem Offenbarungsinteresse und dem Geheimhaltungsinteresse der betroffenen Bürger notwendig. Die Mitgliedstaaten der Union
seien zur Beachtung beider Rechte (Datenschutz und Informationszugang)
gleichermaßen verpflichtet.
Das Europäische Parlament hat sich in diesem Konflikt mittlerweile recht
eindeutig auf die Seite des Bürgerbeauftragten gestellt, indem es der Kommission eine falsche Interpretation der Datenschutzrichtlinie vorgehalten hat
(Entschließung A5-0423/2001 vom 11.12. 2001 zu dem Sonderbericht des
Bürgerbeauftragten an das Europäische Parlament). Das Parlament hat zugleich festgestellt, dass die Forderung nach Transparenz häufig mit dem
Schutz der persönlichen Integrität kollidiert, und betont, dass das Ziel des
Datenschutzes in erster Linie darin besteht, das Privatleben und sensible
Informationen zu schützen. Das Europäische Parlament hat zugleich die Ansicht vertreten, »dass kein Datenschutz in Anspruch genommen werden sollte, wenn Personen z.B. in einer öffentlichen Funktion tätig sind, während sie
an öffentlicher Beschlussfassung aufgrund ihrer eigenen Initiative beteiligt
sind oder während sie versuchen, eine solche Beschlussfassung zu beeinflussen«. Des weiteren hat das Parlament in seiner Entschließung der (noch nicht
installierten) Datenschutz-Kontrollstelle der Union vorgeschlagen, »Normen
festzulegen, um den Missbrauch des Datenschutzes für Zwecke des unlauteren Wettbewerbs oder heimliche Beeinflussung regulatorischer und finanzieller Beschlüsse der Gemeinschaft zu verhindern«.
Freundesgabe Büllesbach 2002
174
Dix
Diese Entschließung unterstreicht den hohen Stellenwert, den das
Parlament seit jeher dem Prinzip der Transparenz einräumt. Dennoch fällt auf,
dass sich das Europäische Parlament nicht der pauschalen Auffassung des
Bürgerbeauftragten anschließt, der Datenschutz müsse im Konfliktfall stets
hinter dem Offenheitsgrundsatz zurücktreten. Die Stellungnahme des
Parlaments deutet zwar auf ein zu restriktives Verständnis des Datenschutzes
hin, der in seiner sekundärrechtlich präzisierten Form nicht auf den Schutz der
Privat- oder gar Intimsphäre bzw. von sensiblen Daten beschränkt ist, sondern
den Umgang mit personenbezogenen Daten aller Art regelt und für die
Erhebung und Verwendung sensibler Daten zusätzlich besonders strikte
Voraussetzungen formuliert (Art. 8 der Datenschutzrichtlinie). Den konkreten
Vorrang der Informationszugangsrechte, den das Parlament bei Tätigkeiten in
öffentlicher Funktion oder bei der Tätigkeit von Lobbyisten fordert, kann man
aber ohne weiteres aus der EG-Datenschutz-Richtlinie selbst ableiten, die eine
Verarbeitung (und damit auch Offenbarung) personenbezogener Daten dann
zulässt, wenn sie erforderlich ist zur Wahrnehmung des berechtigten
Interesses eines Dritten, dem die Daten übermittelt werden, sofern nicht das
Interesse oder die Grundrechte oder Grundfreiheiten der betroffenen Person
überwiegen (Art. 7 f.). Eben hier ist aber die Einzelfallabwägung geboten, auf
die die Art. 29 -Gruppe hingewiesen hat. Weder der Informationszugang noch
der Datenschutz können per se einen wie auch immer begründeten Vorrang
beanspruchen, wenn sie miteinander in Konflikt geraten. So schwierig dies in
der Praxis für die Rechtsanwender sein mag, an einer einzelfallbezogenen
Interessenabwägung führt kein Weg vorbei.
Der Streit um den Informationsanspruch des britischen Bier-Importeurs ist
übrigens noch immer nicht beigelegt, denn die Kommission beharrt auch
nach der Entschließung des Europäischen Parlaments auf ihrem (rechtsirrigen) Standpunkt. Es ist also nicht auszuschließen, dass in absehbarer Zeit der
Europäische Gerichtshof sich aus Anlass dieses Falles zu dem Verhältnis zwischen Informationsfreiheit und Datenschutz äußern wird.
Nachdenklich muss allerdings stimmen, dass der Europäische Bürgerbeauftragte im Datenschutz, genauer: in einer »übereifrigen Interpretation von
Datenschutzregeln« eine neue, prinzipielle Bedrohung des Informationszugangsrechts sieht, wie er vor kurzem bei einem Vortrag in Berlin betont hat
(Söderman 2001). Bei dieser Gelegenheit sprach der Ombudsman unter
Anspielung auf das Verbot mit Erlaubnisvorbehalt sogar von einem »fast totalitären Regelungsstil« des Datenschutzes, dem er den freiheitsorientierten
Regelungsstil des Transparenzprinzips entgegenstellte. Am Grundmodell des
Verbots mit Erlaubnisvorbehalt wird auch im Zuge der (noch ausstehenden)
wirklichen Modernisierung des deutschen Datenschutzrechts Kritik geübt. Der
Bewertung des Europäischen Bürgerbeauftragten liegt aber wohl ein grundsätzliches Missverständnis beider Grundrechte der entstehenden europäischen Informationsverfassung zugrunde: Sowohl der Datenschutz als auch
das Informationszugangsrecht sind darauf angelegt, den Freiheitsraum der
Unionsbürgerinnen und -bürger zu erweitern, nicht zu beschränken. Soweit es
Freundesgabe Büllesbach 2002
Bedroht der Datenschutz die Informationsfreiheit?
175
zu Kollisionssituationen zwischen gegenläufigen Interessen unterschiedlicher
Beteiligter kommt, muss es die Aufgabe der Rechtsanwender sein, zu einer
praktischen Konkordanz beider Grundrechtsverbürgungen zu kommen.
Das Beispiel illustriert neben dem materiellen Spannungsverhältnis zwischen Datenschutz- und Informationszugangsrechten auch eine wesentliche
Schwäche der institutionellen Absicherung des Datenschutzes und der Informationsfreiheit auf europäischer Ebene deutlich: Während der Bürgerbeauftragte sich vorrangig für die Durchsetzung des größtmöglichen Zugangs zu
Informationen einsetzt (ohne dass dies ausdrücklich vorgegeben wäre), wird
der Europäische Datenschutzbeauftragte zukünftig die Aufgabe haben, den
Schutz des Einzelnen bei der Verarbeitung seiner personenbezogenen Daten
durch Unionsorgane sicherzustellen. Beide Beauftragten haben als »singleissue agencies« bestimmte Aufträge oder Prioritäten, die – insbesondere bei
undifferenzierter Betrachtungsweise – miteinander kollidieren können.
3. Fazit
Burkert (1992, 218) hat anhand der kanadischen Erfahrungen auf Bundesebene
den Standpunkt vertreten, dass nur durch eine Trennung der für Datenschutz
einerseits und Informationsfreiheit andererseits zuständigen Institutionen das
nötige Vertrauen beim Bürger zu erzeugen geeignet sei. Er spricht in diesem
Zusammenhang von einem notwendigen »symbolischen Profil«. Mittlerweile
deuten die Erfahrungen in ausnahmslos allen kanadischen Provinzen, Ungarn,
Großbritannien und in den deutschen Bundesländern Brandenburg, Berlin,
Schleswig-Holstein und Nordrhein-Westfalen allerdings daraufhin, dass die
Verknüpfung der Aufgaben der Beauftragten für den Datenschutz und für den
Informationszugang sich durchweg bewährt hat. Inter-institutionelle Konflikte
zwischen Informationszugangs- und Datenschutzbeauftragten, wie sie sowohl
in Kanada auf Bundesebene als auch in Frankreich mehrfach für Schlagzeilen
gesorgt haben, sind auf diese Weise vermieden worden.
Es bleibt zu hoffen, dass sich auf europäischer Ebene derartige Konflikte
zwischen dem Bürgerbeauftragten und dem Datenschutzbeauftragten künftig
vermeiden lassen. Ausschließen lassen sie sich nur, wenn die Union die Funktion des Informationszugangsbeauftragten und des Datenschutzbeauftragten
in einer Hand bündelt. Daneben sollte der Ombudsman weiterhin für die Behandlung von Bürgerbeschwerden gegen allgemeine Verwaltungsmissstände
zuständig bleiben. Mindestens ebenso wichtig wie die institutionelle Verknüpfung der europäischen »Bürgerrechtsinstanzen« und die Schaffung eines
Europäischen Beauftragten für Datenschutz und Informationsfreiheit ist allerdings eine bessere Verzahnung und letztlich Integration der materiellen
Vorschriften des Datenschutz- und Informationszugangsrechts, wie sie international teilweise schon zu beobachten ist (z. B. die kanadische Provinz
Québéc, Ungarn, der schweizerische Kanton Solothurn).
Freundesgabe Büllesbach 2002
176
1
2
3
4
5
Dix
»The shared purpose of data protection and freedom of information is to continue maintaining
the non-transparency of citizens in a world that has undergone the information revolution
while rendering (the state) transparent.«
Ausgesprochen kompliziert sind demgegenüber die Konkurrenzvorschriften im Recht Großbritanniens (Data Protection Act bzw. Freedom of Information Act).
Der gegenwärtige (erste) Bürgerbeauftragte (Jacob Söderman) ist Finne und kommt deshalb
aus einem Mitgliedstaat, in dem Verwaltungstransparenz Tradition hat.
Allerdings enthält ein Erwägungsgrund (Nr. 13) zur Transparenzverordnung Nr. 1049/2001 den
Hinweis darauf, dass sich Betroffene, denen der Zugang zu Dokumenten verweigert wird, an
den Bürgerbeauftragten wenden können.
Alle abzurufen über die instruktive Website <http://www.euro-ombudsman.eu.int>.
Literatur
Angelov, Jean (2000): Grundlagen und Grenzen eines staatsbürgerlichen
Informationszugangsanspruchs, Frankfurt/M. 2000.
Burkert, Herbert (1992): Informationszugang und Datenschutz: ein kanadisches Beispiel, Baden-Baden 1992.
Ders. (1999): Informationszugang und Datenschutz, in: Sokol (Hrsg.): Neue Instrumente im Datenschutz, Düsseldorf 1999, S. 88.
Der Hessische Datenschutzbeauftragte (1986): 14. Tätigkeitsbericht, Wiesbaden 1986.
Der Landesbeauftragte für den Datenschutz / Der Berliner Datenschutzbeauftragte (Hrsg) (1998): Dokumente zum Datenschutz 1998, S.7, Berlin 1998.
Europäischer Bürgerbeauftragter (EU-Ombudsman 2000): Jahresbericht 2000,
Straßburg 2001 (auch abrufbar unter http://www.euro-ombudsman.eu.int).
Raab, Charles D. (2001) : Information Rights in Hungary – Observations on Experience. In: Office of the Parliamentary Commissioner for Data Protection
and Freedom of Information, The Door Onto the Other Side, Budapest 2001,
S. 195.
Söderman, Jacob (2001): Transparency as a Fundamental Principle of the European Union, Vortrag am Walter Hallstein-Institut für Europäisches
Verfassungsrecht der Humboldt-Universität zu Berlin am 19.6.2001 (http://
www.whi-berlin.de/soederman.htm besichtigt am 14.5.2002).
Sokol, Bettina (1998): Datenschutz und Informationszugang, in: Bäumler, H.
(Hrsg.): Der neue Datenschutz – Datenschutz in der Informationsgesellschaft
von morgen, Neuwied 1998.
Winterhager, Antonia (2002): Der Anwendungsbereich des Akteneinsichtsund Informationszugangsgesetzes des Landes Brandenburg, Frankfurt/M.
2002.
Freundesgabe Büllesbach 2002
177
Gerald Spindler
Die Verantwortlichkeit für den Datenschutz im Unternehmen und
im Konzern – Persönliche Haftung von Datenschutzbeauftragten
und Organmitgliedern
1. Einleitung
Der Jubilar kann mit Fug und Recht als einer der Pioniere des deutschen Datenschutzrechts bezeichnet werden. Von Anbeginn begleitete Alfred Büllesbach
das Werden in den siebziger Jahren und Reifen des deutschen und später des
europäischen Datenschutzrechts. Als einer der wenigen Kenner dieser komplexen Materie hat er es stets verstanden, Wissenschaft mit Praxis in fruchtbarer Weise miteinander zu verbinden und neue Lösungswege aufzuzeigen.
Daher hofft der Autor dieser Zeilen, dass der Jubilar einer Erörterung der persönlichen Verantwortlichkeit für den Datenschutz im Unternehmen und im
Konzern besonderes Interesse entgegenbringen wird, war und ist Alfred
Büllesbach doch seit langer Zeit der Konzerndatenschutzbeauftragte eines der
größten Unternehmen der Welt.
Die persönliche Verantwortlichkeit von Organmitgliedern und Beauftragten
hat in der Vergangenheit in der wissenschaftlichen Diskussion erhebliche Aufmerksamkeit gefunden, ausgelöst durch spektakuläre Entscheidungen im
Strafrecht (BGHSt 37, 106 – Lederspray) und Zivilrecht (BGHZ 109, 297 – Baustoff, bestätigt in BGH ZIP 1996, 786 – Lamborghini Nachbau). Wesentlich
weniger Beachtung wurde dagegen den Beauftragten und ihrer Verantwortung gegenüber Dritten geschenkt (Auernhammer 1993, § 37 Rn. 6; Gola/
1
Schomerus 1997, § 37 Rn. 2) . Erst recht gilt dies für den Datenschutz – obwohl
dieser in Zeiten der Informationstechnologie zu einem der Schlüsselfaktoren
für das Vertrauen der Bürger in die Wirtschaft geworden ist, sei es als betroffene Dritte oder als Konsumenten, die die Kontrolle über ihre »digitale Identität« bewahren wollen. Bezieht man die konzernrechtliche Dimension in die
Betrachtung ein, fällt die Bilanz noch ernüchternder aus.
Auch wenn auf den ersten Blick die persönliche Verantwortlichkeit der
Organmitglieder und der Datenschutzbeauftragten im Gegensatz zu Unternehmen, die gefährliche Güter herstellen oder deren Produktion mit Gefahren
für die Umwelt behaftet ist, keine praktische Relevanz aufweist, kann sich dies
gerade im Hinblick auf die hohe Insolvenzgefährdung von Unternehmen der
New Economy ändern. Denn je mehr der Handel mit Daten und Informationen
zunimmt und die Werthaltigkeit ganzer Unternehmen sich zum größten Teil
nach dem Bestand an Kundendaten beurteilt, kann die Einhaltung der Datenschutzvorschriften und der persönlichen Verantwortung an Bedeutung gewinnen. Denn das BDSG sieht in §§ 43, 44 BDSG eine mit Bußgeld und im Falle
der geschäftlichen Ausnützung sogar mit Strafandrohung versehene Sanktionierung bei Verstößen gegen die datenschutzrechtlichen Vorschriften vor, insbesondere bei der unbefugten Erhebung von personenbezogenen Daten.
Freundesgabe Büllesbach 2002
178
Spindler
Ebenso gibt § 7 BDSG dem von einer unzulässigen Datenverarbeitung Betroffenen einen Schadensersatzanspruch, der bereits bei Fahrlässigkeit eingreift,
verbunden mit einer Beweislastumkehr zugunsten des Geschädigten (näher
dazu Duhr u.a. DuD 2002, 5). Man braucht nur an das in Marketingkreisen viel
beschworene Datamining im Internet zu denken (zum Datamining s. Büllesbach CR 2000, 11) um sich die Dimensionen der potentiellen Verantwortlichkeit vor Augen zu halten.
All dies ist Grund genug, sich der persönlichen Verantwortlichkeit der
Organmitglieder und der Datenschutzbeauftragten genauer anzunehmen. In
diesem Zusammenhang wird zunächst die Verantwortlichkeit von Organmitgliedern und Beauftragten im Unternehmen gegenüber ihrer Gesellschaft und
gegenüber Dritten genauer untersucht (2.), um sodann die Konzerndimension
einzubeziehen (3.).
2. Die Verantwortung für den Datenschutz im Unternehmen
Mit der Verabschiedung des KonTraG im Aktienrecht und der Einführung des
§ 91 Abs. 2 AktG, der den Vorstand ausdrücklich zur Einrichtung eines Art Riskmanagements verpflichtet, ist die Frage in den Blickpunkt gerückt, ob Bestandteil eines solchen Riskmanagements nicht auch die Sicherstellung der
Einhaltung aller gesetzlichen Pflichten des Unternehmens umfasst, häufig in
Gestalt einer solchen Compliance-Organisation. Für das Kredit- und Versicherungsaufsichtsrecht waren entsprechende Forderungen der Aufsichtsämter
gegenüber den Unternehmen und ihren Organen schon länger bekannt; die
Insolvenzen Anfang der neunziger Jahre haben die Forderung nach einer entsprechenden Risikovorsorge und Compliance auf breiter Front wirksam werden lassen.
Unstreitig haftet ein Unternehmen, gleich in welcher Rechtsform, für Verstöße gegen das Datenschutzrecht. Aus zivilrechtlicher Sicht greifen zugunsten der Betroffenen § 7 BDSG sowie § 823 Abs. 2 BGB ein, da die Datenschutzgesetze häufig als Schutzgesetze qualifiziert werden können (s. dazu
Soergel – Zeuner § 823 Rn. 301), schließlich auch § 823 Abs. 1 BGB (s. dazu
Münch/Komm – Schwerdtner § 12 Anh. Rn. 98 ff.), da der Datenschutz eine
Ausprägung des allgemeinen Persönlichkeitsrechts ist. Schon aus diesem
Grund ist das Unternehmen in der Regel mit Haftungsrisiken konfrontiert,
ganz abgesehen von den öffentlich-rechtlichen Sanktionen, die in der Regel
mit erheblichen Reputationsschäden für das Unternehmen verbunden sind.
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
179
2.1 Die gesellschaftsinterne Verantwortlichkeit
2.1.1 Organmitglieder
Vorstand
Der Datenschutz ist unstreitig eine Aufgabe, welche die juristische Person
Aktiengesellschaft erfüllen muss. Als allein vertretungsberechtigtes Organ ist
der Vorstand im Rahmen seiner Pflichten nach § 93 AktG dafür verantwortlich,
dass der Datenschutz im Unternehmen eingehalten wird. Verletzt er diese
Pflichten und erleidet die AG hierdurch einen Schaden, kann die AG den
Vorstand in Regress nehmen.
Allerdings geht das aktienrechtliche Pflichtenprogramm selbstverständlich
nicht so weit, von allen Vorstandsmitgliedern in gleicher Weise eine höchstpersönliche Erfüllung aller dem Vorstand obliegenden Aufgaben zu verlangen.
Vielmehr hat der Vorstand als Gremium das Recht (und auch die Pflicht) zur
Delegation der Aufgaben an hierfür besonders geeignete Vorstandsmitglieder,
die etwa im Datenschutz besondere technische oder juristische Kenntnisse
aufweisen. In diesem Fall reduzieren sich die Pflichten der anderen Vorstandsmitglieder nach ganz h.M. auf eine gelegentliche Überwachung des besonders für die Aufgabe Datenschutz zuständigen Vorstandskollegen. Allerdings erstarkt diese Pflicht bei besonderen Verdachtsmomenten auf Verstöße
auch zu einer Pflicht zum Einschreiten.
Von dieser unzweifelhaft zulässigen horizontalen Delegation ist die Frage zu
trennen, ob der Vorstand den Datenschutz selbst als »Chefsache« übernehmen muss oder diese Aufgabe auch an die nächste Leitungsebene delegieren,
sich mithin auf deren Überwachung beschränken kann. Anders gewendet
geht es um die Delegationsfähigkeit der Aufgabe Datenschutz in vertikaler
Hinsicht. Weder dem BDSG noch dem AktG lassen sich Hinweise entnehmen,
welche Aufgaben im Hinblick auf den Datenschutz dem Vorstand zwingend zu
verbleiben haben. Zwar mag man aus der vom BGH im Lederspray-Fall evozierten »Allzuständigkeit« der Geschäftsleitung (BGHSt 37, 106) ableiten, dass
der Vorstand sich nicht vollständig einer Aufgabe entledigen kann; doch
besagt dies nichts darüber, bis zu welchem Grad der Vorstand seine eigenständige Aufgabenwahrnehmung reduzieren kann bzw. inwieweit er sich auf
eine gelegentliche Überwachung der ordnungsgemäßen Erfüllung der Aufgaben zurückziehen kann.
Einigkeit dürfte jedenfalls darüber bestehen, dass der Vorstand weder vollständig alle das Unternehmen treffenden Aufgaben in eigener Person erfüllen
muss, da sonst seine Arbeit de facto lahmgelegt wäre, noch dass er sich jeder
Überwachung der delegierten Aufgaben entziehen kann (statt vieler Semler
1996, Rn. 22 ff.). Mehr als diese groben Eckpfeiler lassen sich indes kaum
benennen; insbesondere können nicht irgendwie geartete Riskmanagementsysteme zum Maß aller Dinge erhoben werden, da bestimmte Managementoder Organisationssysteme stets den besonderen Bedingungen eines
Unternehmens unterliegen (ausführlich Spindler 2001, S. 381 ff.). Daher kann
Freundesgabe Büllesbach 2002
180
Spindler
der Vorstand die Erfüllung der aus dem BDSG resultierenden Pflichten, insbesondere etwa § 9 BDSG, auf untere Leitungsebenen delegieren. Er ist auch
nicht gehalten, alle Zuständigkeiten und Kompetenzen für den Datenschutz
selbst festzulegen, sondern kann dies der nächsten Leitungsebene überlassen. Er muss sich allerdings durch stichprobenartige Kontrollen selbst davon
überzeugen, dass die übertragenen Aufgaben auch tatsächlich ordnungsgemäß durchgeführt werden.
Festzuhalten ist in diesem Zusammenhang, dass die Bestellung eines
Datenschutzbeauftragten den Vorstand nicht etwa von seinen Pflichten entbindet. Denn der Datenschutzbeauftragte ist zwar ein besonderes Organ der
Unternehmensverfassung (dazu Rehbinder ZGR 1989, 305; Rehbinder ZHR
2
165 (2001), 1) entlastet aber nicht andere Organe von deren Aufgaben. Vielmehr ist seine Stellung gerade im Hinblick auf seine Befugnisse zur Kontrolle
und Beratung der entscheidungsbefugten Organe besonders ausgestaltet und
geschützt, um eigenständig eine wirksame interne und unabhängige Überwachung zu gewährleisten.
Aufsichtsrat
Zwar trifft den Aufsichtsrat als Kontrollorgan selbstverständlich nicht die
Pflicht, eigenständig für die Einhaltung der Datenschutzvorschriften zu sorgen; doch ist auch der Aufsichtsrat über §§ 93, 116 AktG gehalten, sich ein Bild
von der Compliance-Organisation des Unternehmens und der Pflichtenerfüllung durch den Vorstand zu machen. Hierzu hat er sich regelmäßig
Berichte nach § 90 AktG erstatten zu lassen und im Datenschutzbereich auch
gelegentlich nachzufragen, insbesondere wenn dem Aufsichtsrat Verstöße
gegen Datenschutzvorschriften bekannt werden. Bei besonders schwerwiegenden und gehäuft auftretenden Verstößen von Vorstandsmitgliedern kann
der Aufsichtsrat unter Umständen sogar zur Abberufung eines Vorstands3
mitglieds gehalten sein. Darüber hinausgehende Pflichten treffen den Aufsichtsrat aber nicht: So besteht insbesondere kein Zwang, die Bestellung eines
Datenschutzbeauftragten unter Zustimmungsvorbehalt nach § 111 Abs. 4 AktG
zu stellen.
2.1.2 Datenschutzbeauftragter
Wie bereits erwähnt, genießt der Datenschutzbeauftragte nach § 4 f. BDSG
(= §§ 36, 37 BDSG a.F.) eine besondere organähnliche Stellung im Unternehmen (Gola/Schomerus 1997, § 36 Rn. 9.1 ff.; Büllesbach RDV 2001, 1), die hier
nicht näher vertieft werden muss. Es genügt, auf seinen besonderen Schutz
gegenüber arbeitsrechtlichen Maßnahmen hinzuweisen, vor allem seine Weisungsfreiheit in datenschutzrechtlichen Angelegenheiten (Auernhammer
1993, § 36 Rn. 27) und den besonderen Schutz vor Benachteiligungen nach
§ 4 f. Abs. 3 Satz 3 BDSG. Dementsprechend weist § 4 Abs. 3 Satz 1 BDSG dem
Datenschutzbeauftragten eine Stellung direkt unterhalb der Geschäftsleitung
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
181
zu, da der Berichtsweg ohne Umwege direkt zur Unternehmensleitung oder
dem Inhaber der speichernden Stelle führen muss (Vgl. Gola RDV 2001, 264;
Auernhammer 1993, § 36 Rn. 19; Müller/Wächter 1991, S. 45; Rudolf NZA 1996,
296).4 Andererseits darf wegen zu befürchtender Interessenkollisionen weder
eine Personalunion mit der Geschäftsleitung (Gola/Schomerus 1997,
§ 36 Anm. 5.4.; Auernhammer 1993, § 36 Rn. 19; Wind 1994, S. 87; F. A. Koch
1997 Rn. 1256; Tinnefeld, CR 1991, 32) noch mit dem Leiter einer DV-Abteilung
oder der Personalabteilung bestehen, um eine wirksame Kontrolle zu gewähr5
leisten.
Die Stellung des Beauftragten ist zum einen durch Weisungsfreiheit gem.
§4 f. Abs. 3 Satz 2 BDSG auf dem Gebiet des Datenschutzes bei Anwendung
gekennzeichnet6, zum anderen durch fehlende zwingende Weisungsrechte
gegenüber anderen Stellen.7 Die unternehmensintern abgesicherte Stellung
des Datenschutzbeauftragten zeigt sich schließlich in dem ihm nach § 4 g Abs.
1 Satz 2 BDSG zustehenden Recht, bei fortgesetzten Verstößen des Unternehmens trotz Remonstrationen des Beauftragten sich direkt mit der Aufsichtsbehörde in Verbindung zu setzen (Einzelheiten bei Auernhammer 1993,
§ 37 Rn. 7 f.; Gola/Schomerus 1997, § 37 Anm. 3.1, 3.2.). Damit steht dem Beauftragten ein wesentlich druckvolleres, aber auch für das Organisationsgefüge des Unternehmens gefährlicheres Instrument zur Verfügung als in den
meisten Beauftragtenvorschriften anderer Rechtsgebiete, die sich auf entsprechende interne Dokumentationen beschränken. Eine Verpflichtung zu entsprechender Unterrichtung der Exekutive, etwa wie für den versicherungsaufsichtsrechtlichen Aktuar, findet sich demgegenüber nicht.
Die Aufgaben des Datenschutzbeauftragten beziehen sich wie bei anderen
8
Beauftragten nach § 4 g Abs. 1 Nr. 1 BDSG primär auf die Überwachung ,
9
Beratung und Schulung (Zur Schulungsfunktion Auernhammer 1993, § 37 Rn.
13; Gola/Schomerus 1997, § 37 Anm. 5.; H. D. Koch 1992, S. 25 f.), darüber hinaus aber auch auf die beratende Mitwirkung bei der Auswahl von Personen
für den Datenverarbeitungsbereich10 und die Umsetzung des Datenschutzes
im Unternehmen, indem er Verfahren und Richtlinien für den Datenschutz entwirft und nach Einführung durch die Geschäftsleitung überwacht.11 Insbesondere die Umsetzung des Anforderungskatalogs nach § 9 BDSG, und damit
auch der Organisationskontrolle, wird als eine Schwerpunktaufgabe des
Beauftragten betrachtet (Breinlinger RDV 1995, 7; Auernhammer 1993,
§ 37 Rn. 15.; H. D. Koch 1992, S. 24; F. A. Koch 1997 Rn. 1317).
Wenig beleuchtet ist allerdings seine haftungsrechtliche Situation innerhalb
des Unternehmens (Gola/Schomerus 1997, § 37 Rn. 2): Seine Weisungsfreiheit
und der Schutz vor Benachteiligungen spricht auf den ersten Blick dafür, dass
er auch vor einer auf seinem Arbeitsvertrag beruhenden Inanspruchnahme
sicher sein muss, da sonst allzu leicht das scharfe Schwert der Haftung seine
12
vom Gesetz gewollte Unabhängigkeit bedrohen könnte. Eine besondere Haftungsgrundlage, die auf seiner organähnlichen Stellung fußen würde, sieht
das BDSG gerade nicht vor. Andererseits muss die Aktiengesellschaft eine Regressmöglichkeit haben, da sonst auch ein ungeeigneter DatenschutzbeaufFreundesgabe Büllesbach 2002
182
Spindler
tragter außer der Gefahr der Abberufung durch die Datenschutzaufsichtsbehörde kaum Sanktionen zu gegenwärtigen hätte. Die Lösung ist in der
Koppelung der Haftung mit der Möglichkeit zum Widerruf der Bestellung nach
§ 4 f. Abs. 3 Satz 4 BDSG zu suchen: Sofern ein triftiger Grund in entsprechender Anwendung des § 626 BGB zur Abberufung des Beauftragten vorliegt,
ist auch die haftungsrechtliche Inanspruchnahme des Beauftragten aufgrund
der Schlechterfüllung seines Arbeitsvertrages gerechtfertigt. Bei sonstigen
leichten Pflichtverletzungen, die für sich genommen noch nicht als wichtiger
Grund zum Widerruf der Bestellung gelten können, scheidet dagegen eine
Haftung aus.
2.2 Die Verantwortlichkeit gegenüber Dritten
Besondere Probleme wirft die Haftung gegenüber Dritten und die strafrechtliche Verantwortlichkeit auf; denn im Grundsatz nehmen sowohl Organmitglieder als auch Datenschutzbeauftragte nur Pflichten der juristischen Person
wahr. Ihre Rechte und Pflichten wirken im Prinzip nur gesellschaftsintern.
13
Dennoch hat die Rechtsprechung – wie erwähnt – aus der Organstellung
Pflichten gegenüber Dritten abgeleitet, die sowohl die zivil- als auch die strafrechtliche Verantwortlichkeit begründen können.
2.2.1 Organmitglieder
Nach Auffassung sowohl des 2. Strafsenats als auch des VI. Zivilsenats fließt
aus der Allzuständigkeit der Vorstandsmitglieder und der oben beschriebe14
nen Pflicht zur Wahrnehmung der der AG obliegenden gesetzlichen Aufgaben auch die Pflicht zur ordnungsgemäßen Organisation des Unternehmens im Hinblick auf den Schutz Dritter. So hat der VI. Zivilsenat einen Geschäftsführer für die Verletzung eines Eigentumsvorbehaltes durch Mitarbei15
ter seines Unternehmens zum Schadensersatz verurteilt, der 2. Strafsenat
die Mitglieder der Geschäftsleitung eines Lederspray-Herstellers für die Körperverletzung von Konsumenten durch gefährliche Produkte des Unterneh16
mens, die nicht von der Geschäftsleitung zurückgerufen wurden. Verallgemeinert würden daher alle gesellschaftsrechtlich entwickelten Pflichten
gleichzeitig die Verantwortlichkeit nach außen begründen. Auch für das
Datenschutzrecht wäre das Vorstandsmitglied für jeden Verstoß im Unternehmen potenziell haft- oder strafbar.
Eine derartige Ausdehnung der Haftung ist jedoch weder zivil- noch strafrechtlich zwingend: Denn der Vorstand muss notwendigerweise für die AG
handeln, obwohl die Pflichten nicht ihm höchstpersönlich auferlegt worden
sind, sondern der juristischen Person. Ein besonderes Vertrauen des Rechtsverkehrs ausgerechnet in die Tätigkeit des Vorstandes, das eine Verkehrssicherungspflicht oder eine Garantenstellung per se rechtfertigen könnte, wird
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
183
nicht begründet. Auch die Tatsache, dass jede Organisation aufgrund der nötigen internen Abstimmung das Risiko einer Verletzung von Vorschriften
erhöht, kann für sich allein genommen noch keine Garantenstellung begründen; denn die Organisation selbst ist nicht die Gefahrenquelle, sie verstärkt
nur ein schon vorhandenes Risiko (Spindler 2001, S. 760 ff.). Entscheidend ist
letztlich, dass das Organmitglied lediglich intern Pflichten für die juristische
Person wahrnimmt. Jedenfalls für fahrlässige Organisationspflichtverletzungen wird man daher nicht von einer persönlichen Verantwortlichkeit des Organmitglieds ausgehen können (ebenso Kleindiek 1997, S. 368 ff.).
Die strafrechtliche Seite ist aus Sicht der datenschutzrechtlichen Sanktionen
des §§ 43, 44 BDSG jedoch anders zu beurteilen: So führt hinsichtlich der in
§ 43 BDSG aufgeführten Ordnungswidrigkeiten kein Weg daran vorbei, den
Vorstand selbst zur Verantwortung zu ziehen, da er nach § 130 iVm § 9 Abs. 1
OWiG aufsichtspflichtig ist und schon bei fahrlässiger Verletzung dieser Pflicht
zur Rechenschaft gezogen werden kann. Für die strafrechtlichen Sanktionen
des § 44 BDSG kommt zwar nur Vorsatz als Begehungsform in Betracht, so
dass etwa eine Bestrafung wegen fahrlässiger Aufsichtspflichtverletzung
strafrechtlich ausscheidet. Wohl aber kann das Vorstandsmitglied wegen vorsätzlich unterlassenen Einschreitens gegen datenschutzrechtliche Verstöße
von Mitarbeitern im Unternehmen verantwortlich gemacht werden. Aus zivilrechtlicher Sicht spräche zwar selbst in diesem Fall viel dafür, allein die juristische Person haften zu lassen, da der Vorstand seine Pflichten nicht im
Interesse Dritter wahrnimmt – ohne dass nach der Schuldform differenziert
werden könnte (näher dazu Spindler 2001, S. 848; anders etwa Lutter ZHR
1993, 464, der nach Schuldformen differenziert). Auch ein Bedürfnis zur
Anerkennung als Schutzgesetz im Sinne von § 823 Abs. 2 BGB könnte mit Fug
und Recht angesichts der Konzentration der Haftung auf die juristische Person
verneint werden (s. etwa BGHZ 125, 366 zu § 130 OWiG). Aus strafrechtlicher
Sicht ist indes einzuräumen, dass aufgrund von § 14 StGB und der im deutschen Recht fehlenden Strafbarkeit des Unternehmens selbst eine Rückverlagerung der Verantwortlichkeit auf das Organmitglied stattfindet.
2.2.2 Datenschutzbeauftragter
Nach § 4 g Abs. 1 Nr. 1 BDSG trifft den Datenschutzbeauftragten in erster Linie
die Pflicht zur Überwachung der Einhaltung der datenschutzrechtlichen
Vorschriften im Unternehmen. Daher scheint es auf der Hand zu liegen, dass
er auch für entsprechende Verstöße im Unternehmen gegenüber Dritten einstehen muss (so Helfrich CR 1992, 456 und Greve 1988, S. 169). Da dem
Datenschutzbeauftragten jedoch eigene Entscheidungs- und Weisungskompetenzen fehlen, um in innerbetriebliche Schadensverläufe eingreifen zu
können, lehnt die h. M. eine Garantenpflicht des Beauftragten zur Gefahrenvermeidung ab (für den Datenschutzbeauftragten ebenso Auernhammer 1993,
§ 8 Rn. 5, § 37 Rn. 5 f.; F. A. Koch 1997 Rn. 1324; allgemein Rehbinder ZHR 165
Freundesgabe Büllesbach 2002
184
Spindler
(2001), 1). Nur wenn ihm Befugnisse gegenüber Betriebsangehörigen eingeräumt werden, kommt überhaupt eine Garantenstellung des Beauftragten und
die Begründung von Sicherheitserwartungen Dritter durch seine Kompetenzen in Betracht (s. auch Salje BB 1993, 2297). Mit ähnlicher Begründung wird
überwiegend auch die Schutzgesetzqualität der Beauftragtenvorschriften
abgelehnt. Denn der Beauftragte trage nur intern die Verantwortlichkeit gegenüber dem Unternehmer und könne selber keine Maßnahmen durchführen
oder veranlassen (Auernhammer 1993, § 8 Rn. 5, § 37 Rn. 5 f.; aA Helfrich CR
1992, 456).
Der zutreffende Hinweis auf die mangelnde Entscheidungsbefugnis und
damit die fehlende Gefahrsteuerungsmöglichkeit des Beauftragten kann für
sich allein jedoch nicht die haftungsrechtliche Irrelevanz der öffentlich-rechtlichen Aufgabenzuweisungen an den Beauftragten begründen. So greift aus
strafrechtlicher Sicht bereits eine Ausnahme für den Fall ein, wenn der
Beauftragte seine Warnpflicht gegenüber der Geschäftsleitung nicht erfüllt
und dadurch die Straftat eines anderen nicht verhindert werden konnte, da er
insoweit als Überwachungsgarant und Teilnehmer an der Haupttat qualifiziert
17
wird. Die öffentlich-rechtliche Ausformung der rechtlichen Stellung des
Beauftragten flankiert durch Benachteiligungsverbote und Gebote der organisatorischen Ansiedlung belegt die Bedeutung, die der Gesetzgeber der Überwachungs- und Beratungsfunktion des Beauftragten zur Stärkung der Eigenüberwachung der Unternehmen beigemessen hat. Legt man daher den
Schwerpunkt auf die Überwachungs- und Warnpflicht des Beauftragten statt
auf seine Kompetenzen, kommt eine persönliche deliktische Haftung des Beauftragten durchaus in Betracht, wenn der Schaden im Falle der rechtzeitigen
18
Warnung abgewandt worden wäre.
Entscheidend ist aber, ob die Überwachungs- und Warnpflichten des Beauftragten auch im Interesse Dritter eingeführt wurden. Dafür spräche jedenfalls die von der zivilrechtlichen Rechtsprechung früher für das Kreditaufsichtsrecht angenommene drittschützende Wirkung von Überwachungspflichten der Behörde (BGHZ 74, 144 – Wetterstein; bekräftigt in BGHZ 75, 120 –
Herstatt), so dass auch der Beauftragte als Überwachungsorgan dem Schutz
Dritter dienen könnte. Andererseits beschränkt sich die Überwachungsfunktion des Beauftragten auf eine rein unternehmens- und betriebsintern wirkende Stärkung der Eigenüberwachung; der Beauftragte wird nicht für die Behörde als deren verlängerter Arm zur Überwachung tätig. Da bereits die Behörde
nicht den Beauftragten direkt zur Überwachung oder Berichterstattung heranziehen kann, können die Überwachungspflichten des Beauftragten erst recht
19
nicht dem Schutz Dritter dienen.
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
185
3. Die Verantwortung für den Datenschutz im Konzern
3.1 Der Konzernvorstand
Die persönliche Verantwortlichkeit der Organmitglieder im Konzern ist ein
generell bislang wenig beackertes Feld, erst recht im Hinblick auf die
Einhaltung datenschutzrechtlicher Pflichten. Die nachfolgenden Ausführungen können daher nur als ein erstes Herantasten an die spezifisch datenschutzrechtliche Lage verstanden werden, die noch der weiteren Vertiefung
bedürfen. Kaum noch umstritten dürfte indes inzwischen die Anwendung des
BDSG auf konzerninterne Datenflüsse sein; das BDSG betrachtet hier die
Konzernunternehmen nicht etwa als Einheit, sondern wie sich fremd gegenüberstehende Dritte (grundlegend Müller/Wächter 1991, S. 11).
3.1.1 Die konzerninterne Haftung
Ausgangspunkt muss das auch durch das Konzernrecht nicht durchbrochene
Trennungsprinzip sein. Dem gemäß kann das Organmitglied der Konzernspitze für Verletzungen der datenschutzrechtlichen Vorschriften im Konzern
zunächst nur der eigenen Konzernobergesellschaft nach § 93 AktG einstehen,
sofern aus den Verletzungen ein Schaden der Konzernobergesellschaft entstanden ist. Zwar gehört die Konzernleitungspflicht zu den Pflichten des
Vorstandes der Obergesellschaft, jedoch nur im Verhältnis zur Konzernobergesellschaft (s. Hommelhoff 1982, S. 77; Hüffer 2002, § 76 Rn. 17a; anders
Schneider BB 1981, 249, der auch im Verhältnis zu den abhängigen Konzernunternehmen eine Pflicht zu ordnungsgemäßer Konzernleitung annehmen
will). Dieses Prinzip wird jedoch durchbrochen, wenn der Tochtergesellschaft
durch entsprechende Weisungen oder Einflussnahmen durch den Vorstand
der Konzernmuttergesellschaft Schäden bzw. Nachteile entstanden sind. In
diesem Fall kann auch das Organmitglied selbst nach § 309 Abs. 2 AktG im
Vertragskonzern und nach § 317 Abs. 3 AktG im faktischen Konzern der Tochtergesellschaft gegenüber haften. Dies gilt erst recht, wenn es sich um eine
unzulässige Weitergabe von Daten im Konzern handelt, die auf eine Veranlassung durch die Konzernmutter und deren Vorstand zurückzuführen ist.
Davon zu unterscheiden ist die Verantwortlichkeit für Verletzungen innerhalb der Tochtergesellschaft aufgrund mangelnder Konzernorganisation bzw.
Organisation innerhalb der Tochter selbst: Hier ist allein das Organ der
Tochtergesellschaft dieser gegenüber verantwortlich, sofern die mangelhafte
Organisation nicht auf eine Einflussnahme durch die Muttergesellschaft
zurückzuführen ist. Bislang noch nicht ausgelotet ist in diesem Zusammenhang die allgemeine Frage, ob schon die unzureichende Finanzausstattung
der Tochtergesellschaft als nachteilige Einflussnahme gelten kann, die etwa
aufgrund der dadurch eintretenden Personalknappheit einen genügenden
Datenschutz in Frage stellen kann.
Freundesgabe Büllesbach 2002
186
Spindler
Im Fall der Personalunion zwischen Vorstand der Konzernmutter und Vorstand der Tochtergesellschaft ist das Organmitglied der Tochtergesellschaft
selbstverständlich dieser gegenüber nach § 93 AktG für Verstöße im Unternehmen der Tochtergesellschaft selbst haftbar; die Doppelrolle ändert nichts
an der Verantwortlichkeit.
Im GmbH-Konzern fehlt es bislang an Vorschriften, die dem Aktienrecht
vergleichbar wären. Im Grundsatz geht die h.M. trotz vielfältiger Nuancen
nach wie vor von entsprechenden Analogien zum Aktienrecht oder zumindest
von entsprechenden Wertungen im Rahmen von Treuepflichtenkonzepten
aus. Während § 309 AktG nach ganz h.M. entsprechend auf die GmbH
anwendbar ist (MünchKommAktG-Altmeppen, § 309 Rn. 11 mwN.), kann der
herrschende Gesellschafter im faktischen GmbH-Konzern einem Anspruch der
Tochtergesellschaft aus Verletzung der Treuepflicht zu »seiner« GmbH ausgesetzt sein, wenn er die berechtigten Eigeninteressen der GmbH nicht respektiert (BGH NJW 2001, 3622 – Bremer Vulkan). Die Frage, ob im faktischen
GmbH-Konzern auch die Organmitglieder des herrschenden Gesellschafters
einem entsprechenden Anspruch zu unterwerfen sind, wie im Aktienrecht
nach § 317 Abs. 3 AktG, ist bislang allerdings völlig ungewiss. Nach der hier
vertretenen Auffassung ist das Handeln der Organe allein nach § 31 BGB der
Konzernmuttergesellschaft zuzurechnen, mit der Folge, dass sich die
Vorschrift des § 317 AktG als Ausnahmetatbestand darstellt, der nicht extensiv
auf Treuepflichtverletzungen im Rahmen eines GmbH-Konzerns angewandt
werden kann (anders MünchKommAktG-Kropff, Vor § 311 Rn. 96 ff.; Kropff,
FS Semler 1993, 517).
3.1.2 Die Haftung gegenüber Dritten
Hinsichtlich der Haftung gegenüber Dritten ist zunächst zu klären, wer überhaupt Anspruchsgegner des von der unzulässigen Datenverarbeitung Geschädigten sein kann. Zwar geht die Datenverarbeitung in den hier zu besprechenden Fällen auf eine Einflussnahme der Konzernspitze zurück; doch bleibt
im Außenverhältnis die die Datenverarbeitung oder -übermittlung durchführende »verantwortliche« Stelle allein die Tochtergesellschaft. Die Tatsache der
Einflussnahme wird nur im Rahmen der gesellschaftsrechtlichen Haftung der
Konzernspitze berücksichtigt, außer wenn in Ausnahmefällen die Tochtergesellschaft derart intensiv beherrscht wird, dass die Tätigkeit der Tochtergesellschaft unmittelbar der Konzernmuttergesellschaft zugerechnet werden
muss.
Haftet schon die Konzernspitze nicht unmittelbar gegenüber geschädigten
Dritten, sondern nur über den »Umweg« der Ansprüche der Tochtergesellschaft aus Konzernrecht, gilt dies erst recht für die Haftung aus Verletzung von
Konzernleitungs- und -organisationspflichten. Diese obliegen dem Vorstand
allein im Innenverhältnis zur Konzernspitze, nicht aber gegenüber Dritten.
Entsprechenden Versuchen, diese Pflichten auch im Verhältnis zu Dritten zur
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
187
Haftungsbegründung heranzuziehen (für das Zivilrecht Hommelhoff ZIP 1990,
761; Oehler ZIP 1990, 1445; für das Strafrecht Ransiek ZGR 1999, 613), ist
sowohl für das Zivil- als auch das Strafrecht eine Absage zu erteilen (ausführlich Spindler 2001, S. 877).
3.2 Der Konzerndatenschutzbeauftragte
3.2.1 Bestellung
Die Bestellung eines Konzerndatenschutzbeauftragten ist häufig anzutreffen –
auch der Jubilar füllt diese Funktion aus. Ein Datenschutzbeauftragter für den
gesamten Konzern, der sich auch um die Datenschutzbelange in den
Tochtergesellschaften kümmert, erscheint auf den ersten Blick hin sinnvoll
und – sofern der Beauftragte nicht zu stark belastet wird und nicht in Interes20
senkonflikte gerät – zulässig. Allerdings bestehen durchaus berechtigte
Bedenken gegen einen Gesamtbeauftragten für den Konzern, da der Datenschutzbeauftragte vor allem aus Sicht des jeweiligen Unternehmens die
Informationsflüsse zwischen den Konzerngesellschaften überprüfen soll, während ein Konzerndatenschutzbeauftragter notwendigerweise Interessen
der gesamten Unternehmensgruppe berücksichtigen wird (H. D. Koch 1992,
S. 15). Anders als etwa in § 5 der 5. BImSchV sieht das BDSG keine besondere
Befugnis zur Bestellung eines solchen Konzernbeauftragten vor.
3.2.2 Konzerninterne Haftung
Hält man einen solchen konzernweit tätigen Datenschutzbeauftragten für
möglich, gelten hinsichtlich seiner internen Haftung die für den Datenschutzbeauftragten eines Unternehmens getroffenen Aussagen mutatis mutandis: Abgesehen von gewichtigen Pflichtverletzungen, die auch als wichtiger
Grund nach § 626 BGB iVm § 4 f. Abs. 3 BDSG zum Widerruf der Bestellung
berechtigen würden, kann der Konzerndatenschutzbeauftragte nicht in die
Pflicht für Datenschutzverstöße im Konzern genommen werden. Dies gilt erst
recht für Verstöße in Tochtergesellschaften, zu denen der Konzerndatenschutzbeauftragte in keinerlei Vertragsverhältnis steht. Allenfalls könnte hier
an die Anwendung der Grundsätze des Vertrages mit Schutzwirkung zugunsten Dritter gedacht werden, wenn der Konzerndatenschutzbeauftragte auch
die Überwachung in diesen Unternehmen übernehmen soll. In diesen Fällen
wird aber oft auch schon eine Bestellung durch die Tochterunternehmen
selbst und damit ein Vertragsverhältnis (zumindest ein Auftragsverhältnis)
vorliegen, aus dem Ansprüche resultieren können.
Freundesgabe Büllesbach 2002
188
Spindler
3.2.3 Haftung gegenüber Dritten
Dritten gegenüber haftet der Konzerndatenschutzbeauftragte ebensowenig
wie der »normale« Datenschutzbeauftragte. Da es an einer rechtlichen Einheit
»Konzern« fehlt – erst recht im BDSG, das keine konzernweite Zurechnung
kennt – kann der Konzerndatenschutzbeauftragte auch keine konzernweite
Organfunktionen übernehmen. Zudem nimmt er seine Überwachungspflicht
nur im Sinne eines »internen Gewissens« wahr, ohne dass damit aber eine
Garantenstellung gegenüber Dritten begründet würde (s. oben 2.2.2).
4. Schluss
Die Tour d’horizon hat ein differenziertes Bild der persönlichen Verantwortlichkeit von Organmitgliedern und Datenschutzbeauftragten ergeben, das
selbstverständlich durch die vielschichtige zivil- und strafrechtliche Diskussion
um die persönliche Haftung von Organmitgliedern geprägt ist. Als Grundregel
sollte der eigentliche Pflichtenträger – die juristische Person – zur Rechenschaft gezogen werden, nicht das für sie notwendigerweise handelnde Organ.
Allein in bestimmten Ausnahmefällen im Strafrecht, insbesondere bei vorsätzlichem »Wegschauen«, kommt mangels Unternehmensstrafbarkeit eine
persönliche Verantwortlichkeit in Betracht. Für den Datenschutzbeauftragten
gilt dies in noch stärkerem Maße, wird er doch nur als internes Gewissen für
den Datenschutz tätig, nicht aber im Interesse Dritter.
Im Konzern kompliziert sich die Rechtslage weiter, da hier zwischen den
verschiedenen Arten der Einflussnahme und der Konzernierung differenziert
werden muss. Im Grundsatz greift aber auch hier das Trennungsprinzip ein,
indem Ansprüche bei der Tochtergesellschaft gegen die Muttergesellschaft
angesiedelt werden – nicht aber gegen die Organmitglieder persönlich, auch
nicht im Verhältnis zu geschädigten Dritten. Der Konzerndatenschutzbeauftragte – sofern man ihn für zulässig erachtet – scheidet dagegen gänzlich
aus der Haftung gegenüber Dritten aus.
1
2
3
4
Die beiden Kommentierungen handeln die Haftung in wenigen Zeilen ab.
Zur Personalunion mit dem Vorstand sogleich unter 2.1.2.
Hier können entsprechend die vom BGH zum Regress gegen ein Vorstandsmitglied entwickelten Kriterien der ARAG/Garmenbeck-Entscheidung herangezogen werden, s. dazu BGHZ 135,
244; s. auch Hüffer 2002, § 111 Rn. 4a f.
Da vertraglich die Wahrnehmung von bestimmten Aufgaben auch bei juristischen Personen an
zuverlässige Mitarbeiter geknüpft und Berichts- und Überwachungswege auch für Externe entsprechend den datenschutzrechtlichen Anforderungen ausgestaltet werden können, ist auch
die Bestellung einer juristischen Person als Datenschutzbeauftragter zulässig, vgl. R.Weber
1988, S. 58 ff. mwN. Anders wegen der auf natürliche Personen zugeschnittenen Anforderungen an Fachkunde und Zuverlässigkeit sowie wegen der Unterstellung unter die Geschäftsleitung Auernhammer 1993, § 36 Rn. 21, der jedoch die Entsendung eines Beauftragten durch
eine Unternehmensberatungsgesellschaft für zulässig hält; ähnlich Rudolf NZA 1996, 296 ;
H. D. Koch 1992, S. 20; F. A. Koch 1997, Rn. 1246.
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
189
So Teil B Ziff. 9.3. der Richtlinien, aaO; Hinweis der Aufsichtsbehörde Baden-Württemberg zum
BDSG Nr. 2, StAnZ 1978, Nr. 26, S. 6; s. auch BAG DB 1994, 1678 für einen Mitarbeiter der DVAbteilung; Auernhammer 1993, § 36 Rn. 24; Gola/Schomerus 1997, § 36 Anm. 5.4.; Wind 1994,
S. 87; Tinnefeld CR 1991, 32; Schierbaum CR 1992, 730; Breinlinger RDV 1993, 55; Rudolf NZA
1996, 296 ; H. D. Koch 1992, S. 44 f; aA F. A. Koch 1997, Rn. 1287. Umstritten ist dagegen die
Ansiedlung des Beauftragten im Rahmen der inneren Revision. Denn zumindest mit der
Leitung der inneren Revision soll die Stellung als Datenschutzbeauftragter unvereinbar sein,
um die gegenseitige Kontrolle zu erhalten (so Auernhammer 1993, § 36 Rn. 24; H. D. Koch 1992,
S. 44 f; anders Gola/Schomerus 1997, § 36 Anm. 5.4; Müller/Wächter 1991, S. 45.). Ein solches
System von Checks and Balances wird aber vom BDSG nicht gefordert. Die Übertragung von
Aufgaben der DV-Abteilung im Bereich der Überwachung, insbesondere der gesamten Datenund Systemsicherheit einschließlich der Programmprüfung und -abnahme sowie Datenbankund Dateikoordinierung wird dagegen ebenso wie die Personalunion mit dem Leiter der
Rechtsabteilung als unbedenklich qualifiziert (vgl. Auernhammer 1993, § 36 Rn. 24; Gola/
Schomerus 1997, § 36 Anm. 5.4.).
Nicht jedoch hinsichtlich der ordnungsgemäßen Ausfüllung ihrer Aufgabe, vgl. Auernhammer
1993, § 36 Rn. 27 f; Gola/Schomerus 1997, § 36 Anm. 9.3.; Müller/Wächter, 1991, S. 43.
Vgl. Gola/Schomerus 1997, § 36 Anm. 9.3.; Auernhammer 1993, § 37 Rn. 3; Müller/Wächter
1991, S. 44. Nur sofern der Beauftragte die Unterstützung von Fachabteilungen, z. B. der inneren Revision oder der Rechtsabteilung, benötigt oder zur Erledigung seiner Tätigkeit Auskünfte
einholen oder Räume betreten muss, sind Weisungsrechte erforderlich, vgl. Auernhammer
1993, § 36 Rn. 34, § 37 BDSG Rn. 3; H. D. Koch 1992, S.55 f.
Hinsichtlich der Überwachung könne er sich auf schwerpunktartige Überprüfungen beschränken, sofern organisatorisch die Programmanwendungsüberwachung und ihre Dokumentation
sichergestellt sei, vgl. Auernhammer 1993, § 37 Rn. 10 f.; Gola/Schomerus 1997, § 37 Anm. 4.2.;
Müller/Wächter 1991, S. 50; H. D. Koch 1992, S. 23 f.
Beratung bei der Erstellung von Programmanwendungen und deren Durchführung sowie
Beratung der Programmbenutzer und der von der Datenverarbeitung Betroffenen, Einzelheiten
bei Müller/Wächter 1991, S. 43 ff.
Dem Beauftragten soll jedoch ein weiter Ermessensspielraum zur Ausgestaltung der
Mitwirkungsfunktion bei der Personalauswahl zukommen, vgl. Gola/Schomerus 1997, § 37
Anm. 6.
Vgl. Müller/Wächter 1991, S. 44 ; Einzelheiten in der Richtlinie, aaO, Teil C III. Abschnitt, die
aber auch in Ziff.1 für nicht automatisierte Verfahren betont, dass sich hier noch weniger
Aussagen über Art und Umfang der zu treffenden Datensicherungsmaßnahmen treffen ließen.
Die aufgezählten Maßnahmen seien daher nur als Orientierungshilfe zu verstehen, nicht als
abschließende Aufzählung oder Mindestkatalog.
Anders offenbar Heilmann/Taeger 1997, S. 30 f., die die üblichen arbeitsrechtlichen Kriterien
anwenden wollen.
BGH BGHSt 37, 106 – Lederspray und BGHZ 109, 297 – Baustoff, BGH ZIP 1996, 786 –
Lamborghini Nachbau.
Oben 2.1.1.
S. und BGHZ 109, 297 – Baustoff, BGH ZIP 1996, 786 – Lamborghini Nachbau.
S. BGH BGHSt 37, 106 – Lederspray.
So für den Gewässerschutzbeauftragten OLG Frankfurt NJW 1987, 2753; Kuhlen, in: Amelung
(Hrsg.) 2000, S. 71; Thamm DB 1994, 1021; Feldhaus, in: Feldhaus 2002, § 54 Rn. 63; Kloepfer
1998, § 7 Rn. 26; Dannecker/Streinz, in: Rengeling (Hrsg.) 1998, § 8 Rn. 42; ebenso bereits Arndt
1985, S. 169 ff ; Strate/Wohlers, in: Ewer u. a. 1998, M Rn. 32; zust. aus zivilrechtlicher Sicht
Salje BB 1993, 2297.
So für den Datenschutzbeauftragten Simitis, in: Simitis u. a. 1992, § 29 (a. F.) Rn. 63; Gola/
Schomerus 1997, § 37 Anm. 2.1., 2.2., die darauf verweisen, dass der Beauftragte grundsätzlich
haftbar sein könne, allerdings sehr sorgfältig zu prüfen sei, ob der Schaden durch ihn aufgrund
seiner Rechtsstellung hätte vermieden werden können; ebenso Heilmann/Taeger 1997, S. 33 f.;
Wind RDV 1991, 16.
Dies wird von Möllers 1996, S. 234, Salje 1998, 1 und Heilmann/Taeger 1997, S. 33 übersehen.
Auernhammer 1993, § 36 Rn. 25 unter Verweis auf § 3 der 5. BImSchV; Rudolf NZA 1996, 296 ;
nach den Richtlinien, aaO, kann gem. Teil B Ziff. 9.4. auch ein Datenschutzbeauftragter für den
Konzern bestellt werden, sofern er von jeder Gesellschaft selbst bestellt wird und sichergestellt
ist, dass er für jede Gesellschaft seine Aufgabe ordnungsgemäß erfüllen kann; offen
Gola/Schomerus 1997, § 36 Anm. 3.1. f.
Freundesgabe Büllesbach 2002
190
Spindler
Literatur
Arndt, V. (1985): Der Betriebsbeauftragte im Umweltrecht, jur. Diss., Kiel 1985.
Auernhammer, H. (1993): Bundesdatenschutzgesetz, 3. Auflage, Köln 1993.
Büllesbach, A. (2000): Datenschutz bei Data Warehouse und Data Mining CR
2000, 11.
Büllesbach, A. (2001): Ders., Konzeptionen und Funktion des vor dem
Hintergrund der EG- Richtlinie und der Novelierung des BDSG RDV 2001, 1.
Breinlinger, Astrid (1993): Anforderungen des Bundesdatenschutzgesetzes an
den betrieblichen Datenschutzbeauftragten, RDV 1993, 53.
Breinlinger, Astrid (1995): Die Kontrolle des Datenschutzbeauftragten aus
Sicht der Aufsichtsbehörden, RDV 1995, 7.
Dannecker, G. / Streinz, R. (1998): Umweltpolitik und Umweltrecht: Strafrecht,
in: Rengeling, Hans Werner (Hrsg.) Handbuch Umweltrecht, Bd. 1
Allgemeines Umweltrecht, Köln u. a. 1998.
Duhr, E. / Naujok, H. / Peter, M. / Seiffert, E. (2002): Neues Datenschutzrecht für
die Wirtschaft DuD 2002, 5.
Feldhaus, G. (2002): Bundesimmisionsschutzrecht Bd. 1 Teil 2 (§§ 22 – 74
BimschG), Losebl, Heidelberg, Stand April 2002.
Gola, P. Schomerus, R. (1997): Bundesdatenschutzgesetz, 6. Auflage, München
1997.
Gola, P. (2001): Die Umsetzung der gesetzlichen Vorgaben zur Eingliederung
des betrieblichen Datenschutzbeauftragten in die Unternehmensorganisation, RDV 2001, S. 263.
Greve, K. (1998): Haftung für Datenverarbeitung, Frankfurt a.M. 1988.
Helfrich, M. (1992): Haftung des betrieblichen Datenschutzbeauftragten, CR
1992, 456.
Heilmann, J./Taeger, J. (1997): Rechtsstellung und Haftung der Betriebsbeauftragten, Oldenburg 1997.
Hommelhoff, P. (1982): Die Konzernleitungspflicht, Köln 1982.
Hüffer, U. (2002): Aktiengesetz, 5. Auflage, München 2002.
Kleindiek, D. (1997): Deliktshaftung und juristische Person, Tübingen 1997.
Kloepfer, M. (1998): Umweltrecht, 2. Auflage, München 1998.
Koch, H.-D. (1995): Der betriebliche Datenschutzbeauftragte, 4. Auflage, Köln
1995.
Koch, F. A. (1997): Datenschutz Handbuch für die betriebliche Praxis,
2. Auflage, Freiburg im Breisgau 1997.
Kropff, B. (1993): Der GmbH-Beherrschungsvertrag: Voraussetzung für den
Vorrang von Konzerninteressen?, Festschrift für Johannes Semler, herausgegeben von Marcus Bierich, Peter Hommelhoff, Bruno Kropff, Berlin 1993.
Kuhlen, L. (2000): Die Abgrenzung von Täterschaft und Teilnahme, inbesondere bei sogenannten Betriebsbeauftragten in: Amelung, Knut (Hrsg.),
Individuelle Verantwortung und Beteiligungsverhältnisse bei Straftaten in
bürokratischen Organisationen des Staates, der Wirtschaft und Gesellschaft, Sinzhaim 2000.
Freundesgabe Büllesbach 2002
Die Verantwortlichkeit für den Datenschutz im Unternehmen und im Konzern –
191
Lutter, M. (1993): Zur persönlichen Haftung des Geschäftsführers aus deliktischen Schäden im Unternehmen, ZHR 157 (1993), 464.
Möllers , T. M. J. (1996): Rechtsgüterschutz im Umwelt- und Haftungsrecht –
präventive Verkehrspflichten und Beweiserleichterungen in Risikolagen,
Tübingen 1996.
Müller, G. F. / Wächter, M (1991): Der Datenschutzbeauftragte: Eine systematische Darstellung des Bundesdatenschutzgesetztes, 2. Auflage, München
1991.
Münchener Kommentar zum Aktiengesetz, Band 8 (§§ 278 – 328), herausgegeben von Bruno Kropff und Johannes Semler, 2. Auflage, München 2000.
Müncher Kommentar zum Bürgerlichen Gesetzbuch, Band 1 (§§ 1 – 240), herausgegeben von Kurt Rebmann, Franz Jürgen Säcker und Roland Rixecker,
4. Auflage, München 2001.
Oehler, W. (1999): Produzentenhaftung im Konzern – Deliktsrecht und Haftungsbeschränkung, ZIP 1999, 1445.
Ransiek, A. (1999): Strafrecht im Unternehmen und Konzern ZGR 1999, 613.
Rehbinder, E. (2001): Umweltsichernde Unternehmensorganisation, ZHR 165
(2001), 1.
Rehbinder, E. (1999): Ders., Andere Organe der Unternehmensverfassung,
ZGR 1999, 305.
Rudolf, I. (1996), Aufgaben und Stellung des betrieblichen Datenschutzbeauftragten, NZA 1996, 296.
Salje, P. (1993): Zivilrechtliche und strafrechtliche Verantwortung des
Betriebsbeauftragten für Umweltschutz, BB 1993, 2297.
Salje, P. (1998): Umweltverantwortung und Haftung der Gefahrgutbeauftragten, TranspR 1998, 1.
Schneider, U. H. (1981): Konzernleitung als Rechtsproblem, BB 1981, 249.
Schierbaum, B. / Kiesche, E. (1992): Der betriebliche Datenschutzbeauftragte,
CR 1992, 726.
Semler, J. (1996): Leitung und Überwachung der Aktiengesellschaft,
2. Auflage, Köln 1996.
Simitis, S. (1992): Kommentar zum Bundesdatenschutzgesetz, 4. Auflage,
Baden-Baden 1992.
Soergel, H. T. (1999): Bürgerliches Gesetzbuch – Kommentar Bd. IV/2 (§§ 823
– 853), 12. Auflage, Stuttgart u.a. 1999.
Spindler, G. (2001): Unternehmensorganisationspflichten, Köln 2001.
Strate / Wohlers (1998), in: Ewer u. a., Handbuch Umweltaudit, München 1998.
Thamm, M. (1994): Die persönliche Haftung bzw. Verantwortlichkeit von Führungskräften und Mitarbeitern im Unternehmen, DB 1994, 1021.
Tinnefeld, M.-T. (1991): Datenschutzbeauftragter im Unternehmen CR 1991,
29.
Weber, R. (1988): Der Betriebsbeauftragte, Berlin 1988.
Wind, I. (1994): Kontrolle des Datenschutzes im nichtöffentlichen Bereich, jur.
Diss. Baden-Baden 1994.
Freundesgabe Büllesbach 2002
192
Freundesgabe Büllesbach 2002
193
4. DIE CODIERUNG DES DATENSCHUTZES
Johann Bizer
Der Code – gestaltbar für und gegen den Datenschutz
Die Verwendung eines neuen Begriffs in bereits mit Definitionen besetzten
Anwendungsfeldern erfüllt vor allem eine heuristische Funktion. Eine andere
Nomenklatur kann es jenseits kanonisierter Begriffsbildung erleichtern,
bekannte Phänomene aus anderen Blickwinkeln zu sehen und zu interpretieren. In diesem Sinne ist »Code« kein juristischer, sondern eine von dem amerikanischen Rechtswissenschaftler Lawrence Lessig gewählte Bezeichnung für
die technischen Gestaltungsprinzipien des Cyberspace (Lessig 1999). Der
Code unterscheidet sich von den Gesetzen des Staates, den sozialen Normen
des gesellschaftlichen Lebens sowie den Gesetzen des Marktes. Seine Grammatik ist die Software, die die Entfaltungsräume der Nutzer bestimmt. Der
Code der Software legt fest, ob und welche Daten personenbezogen erhoben
und gespeichert werden, mit welchen Daten sie korreliert und ob und wann
sie wieder gelöscht werden. Auf diese Weise bestimmt der Code letztlich die
Entfaltungsmöglichkeiten der informationellen Selbstbestimmung. Ist es also
die Macht der Technik, die die Spielräume der bürgerlichen Freiheit zwischen
ihre starken Arme nimmt?
Mitnichten: Die Entfaltungsmöglichkeiten informationeller Selbstbestimmung werden durch die Faktoren Markt, Recht, (soziale) Normen und schließlich den Code der technischen Architektur beeinflusst (Lessig 1999, 86, 2001,
159). Das Grundthema der Regulierung lautet damit »auf den [lessig’schen]
Punkt« gebracht, die genannten Faktoren unter Beachtung ihrer Wechselwirkungen auf ein Ziel zu justieren. So wird die Steuerungswirkung des Marktes
beispielsweise durch seine rechtlichen Rahmenbedingungen bestimmt, das
staatliche Recht kann durch soziale Normen oder den Markt beeinflusst werden und die Architektur des Internets wird durch den Code geprägt, dessen
Wirkungen und Steuerungsimpulse wiederum durch staatliches Recht ebenso
wie durch den Markt oder soziale Normen beeinflusst werden. Lessig macht
nun nicht nur auf die Gestaltungsmacht des Codes in seinen vielfältigen
Ausprägungen, sondern vor allem auch auf seine Gestaltbarkeit aufmerksam.
Der Code ist also alles andere als neutral, sondern er bestimmt die Entfaltungsmöglichkeiten informationeller Selbstbestimmung immer nur in
den von staatlicher Regulierung, Markt und sozialen Normen vorgegebenen
1
Grenzen.
Unter diesen Voraussetzungen bezeichnet die »Codierung des Datenschutzes« also die Spielräume und Grenzen, die die technische Infrastruktur des
Internets in ihren Protokollen und Anwendungen – also mit ihrer »Architektur«
– der informationellen Selbstbestimmung einräumt, während umgekehrt der
Code auch durch soziale Normen, Angebot und Nachfrage des Marktes sowie
2
die Gesetze des Staates gestaltet wird.
Freundesgabe Büllesbach 2002
194
Bizer
1. Datenschutz durch Technik
Für den deutschen Datenschutzrechtler ist der Zusammenhang von Recht und
Technik alles andere als neu (siehe Roßnagel 1993).3 Eine an den Zielen des
Datenschutzrechts ausgerichtete Technikgestaltung ist für uns nicht nur theoretisches Konstrukt, sondern längst Wirklichkeit des Datenschutzrechts (Bizer
1999 a). Ihr geht zeitgeschichtlich betrachtet die kritische Analyse der Auswirkungen der modernen Datenverarbeitung auf das allgemeine Persönlichkeitsrecht – im heutigen Verständnis die informationelle Selbstbestimmung – voraus (Steinmüller/Lutterbeck/Mallmann 1973; Podlech, DVR 1972/73, 149). In
Deutschland hat sie seit den 70er Jahren zu einer staatlichen Datenschutzgesetzgebung mit vornehmlich ordnungsrechtlichen Instrumenten geführt.
Erst eine strategische Ausrichtung der Politik an dem Leitbild der Informationsgesellschaft hat Mitte der 90er Jahre auch die Einsicht von der Gestaltbarkeit der Informationstechnik begünstigt und gefördert. Als ein Beleg unter
vielen mag die Feststellung des Forschungsrats aus dem Dezember 1995 dienen, der traditionell normative ausgestaltete Datenschutz müsse angesichts
der neuen Bedingungen der Datenverarbeitung durch eine »Datenschutztechnologie« ergänzt werden (Forschungsrat 1995, 32). Eine vergleichbare
Forderung nach der Entwicklung datenschutzfreundlicher Technologien haben
die Datenschutzbeauftragten des Bundes und der Länder im Jahr 1997 gefordert (Konferenz 1997). Die frühzeitige Gestaltung der Datenverarbeitungssysteme als Ansatz datenschutzrechtlicher Regelung verfolgt auch die europäische Union: So heißt es beispielsweise im Erwägungsgrund 46 der EGDatenschutzrichtlinie 46/95/EG vom 25. 10. 1995, dass die zum Schutz der personenbezogenen Daten geeigneten technischen und organisatorischen
Maßnahmen insbesondere »zum Zeitpunkt der Planung des Verarbeitungssystems« getroffen werden müssen.
1.1 Datensparsamkeit
Mit dem Prinzip der datensparsamen Technikgestaltung hat der deutsche
Gesetzgeber den Code der Internetarchitektur dem Primat seines Gesetzes
unterworfen. Zunächst 1997 für die Online-Dienste (§ 3 Abs. 4 TDDSG 1997,
§ 12 Abs. 5 MD-StV 1997), später im Datenschutzrecht für Rundfunkdienste
(§ 47 Abs. 5 Rdf-StV) wurde dieses Prinzip im Jahr 2000 auch auf geschäftsmäßige TK-Dienstleistungen ausgeweitet (§ 3 Abs. 4 TDSV) und schließlich im
Jahr 2001 in das allgemeine Datenschutzrecht überführt (§ 3 a BDSG):
»Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an
dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie
möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von
den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch
zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.«
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
195
Die besondere Bedeutung dieser Regelung liegt in ihrer »proaktiven«
Wirkung (Bizer 2000, § 3, Rn. 132) als präventives und gleichzeitig innovatives
Technikgestaltungsrecht (Bizer 1999 a, 46). Der Gesetzgeber selbst hat zur
Begründung der damaligen Regelung im TDDSG vor allem den präventiven
Aspekt dieser Maßnahme hervorgehoben.
»Bereits durch die Gestaltung der Systemstrukturen, in denen personenbezogene Daten erhoben und verarbeitet werden können, soll die Erhebung
und Verwendung personenbezogener Daten vermieden und die Selbstbestimmung der Nutzer sichergestellt werden« (BT-Drs. 13/7934, S. 22).
Die damalige Koalitionsmehrheit aus CDU/CSU und FDP feierte das »Prinzip
der Datenvermeidung« in einem Entschließungsantrag am 11. 6. 1996 als ein
Kernelement des Gesetzes (BT-Drs. 7935, S. 3). Und die SPD-Fraktion zählte
die »Datenvermeidung« zu den »Grundvoraussetzungen eines effektiven
Schutzes der Beteiligten in elektronischen Netzen« (BT-Drs. 13/7936, S. 4).
Im Schlussbericht der Enquete-Kommission »Deutschlands Weg in die
Informationsgesellschaft« vom 22. 6. 1998 wird die Regulierung des Codes als
eine Folge der Globalisierung der Datenverarbeitung und dem verbundenen
Verlust an Kontrolle über die Verarbeitung personenbezogener Daten begründet.
»Richtungsweisend ist der Ansatz, das Datenschutzrecht um technikrechtliche Elemente zu ergänzen, um Anbieter zum Einsatz von datenminimierenden Einrichtungen der Informations- und Kommunikationstechnik anzuhalten.« (BT-Drs. 13/11004, S. 17).
Die Aufnahme des Prinzips der datensparsamen Technikgestaltung in das allgemeine Datenschutzrecht begründete der Gesetzgeber damit, dass »durch
die Gestaltung der Systemstrukturen die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten soweit wie möglich vermieden und dadurch
Gefahren für das informationelle Selbstbestimmungsrecht des Betroffenen
von vornherein minimiert werden« (BT-Drs. 14/4329, S. 33). Weder der Bundesrat noch die Opposition erhoben gegen diese Regelung Einwände, die
Abgeordnete Gisela Schröter (MdB, SPD) bezeichnete sie in der Debatte des
Deutschen Bundestages als einen »guten Weg«, um Gefahren für die informationelle Selbstbestimmung »systematisch zu reduzieren« (BT-Prot. 14/128,
12390 (C) vom 27. 10. 2000) und der Abgeordnete Jörg Tauss (MdB, SPD)
nannte sie ein »zentrales Instrument eines neuen Datenschutzes« (BT-Prot.
14/365, 16180 (B) vom 6. 4. 2001).
1.2 Technische Vorkehrungen
Das Prinzip der datensparsamen Technikgestaltung hat in den rechtlichen
Anforderungen an die Datensicherheit der Verarbeitung personenbezogener
Daten einen Vorläufer. Sowohl § 9 BDSG mit seiner Anlage bzw. Art. 17 der
EG-Datenschutzrichtlinie 46/95/EG zielen auf die Gestaltung technischer
(sowie organisatorischer) Maßnahmen, um die Verarbeitung personenbezoFreundesgabe Büllesbach 2002
196
Bizer
gener Daten zu schützen. Eine vergleichbare Regelung enthält das deutsche
Recht in § 87 Abs. 1 TKG, der die Betreiber von TK-Anlagen für Zwecke geschäftsmäßiger Telekommunikation zu »angemessenen technischen Vorkehrungen« insbesondere zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten verpflichtet.
Vergleichbare Regelungen kennt das Recht der Onlinedienste, das die
Dienstanbieter dazu verpflichtet, die Einhaltung ihrer datenschutzrechtlichen
Pflichten durch technische und organisatorische Vorkehrungen sicherzustellen. So hat der Dienstanbieter bspw. nach § 4 Abs. 4 Satz 1 Nr. 2 TDDSG durch
besondere Vorkehrungen die Einhaltung seiner sich aus § 6 Abs. 1 TDDSG
ergebenden Löschungspflicht sicherzustellen, nämlich dass
»die anfallenden personenbezogenen Daten über den Ablauf eines Zugriffs
oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht
und gesperrt werden können«.
1.3 Förderung von Forschung und Technologie
Damit die rechtliche Gestaltung der Technik nicht nur normatives Postulat im
Gesetzblatt bleibt, bedürfen ihre Anforderungen der Übersetzung in den Code
der Standardisierung (vgl. Büllesbach 1999, 459). Diese Übersetzung muss auf
mindestens zwei verschiedenen Ebenen ansetzen, nämlich der Förderung der
Forschung und Entwicklung von datenvermeidenden Technologien und ihrer
Implementierung in konkrete Anwendungen und Produkte (s. u.1.4).
Die Entwicklung und Förderung datenvermeidender Technologien ist in
Europa vor allem unter dem Begriff der Privacy Enhanced Technologies (PET)
thematisiert worden (Registratiekammer 1995; Burkert 1996; Borking DuD
1998, Borking DuD 2001). Das Fünfte Rahmenprogramm »Forschung, technologische Entwicklung und Demonstration (1998 – 2002)« vom 22. 12. 1998 enthält nicht nur ein eigenes Themenfeld »Benutzerfreundliche Informationsgesellschaft«, sondern nennt auch die Entwicklung von »Technologien für einen
besseren Schutz der Privatsphäre« ausdrücklich als einen Schwerpunkt (Abl.
EG L 25/1 S. 14 f. vom 1.2.1999). Der derzeit diskutierte Gemeinsame Standpunkt des Rates 27/2002 vom 28. 1. 2002 über ein Sechstes Rahmenprogramm
(2002 – 2006) wiederholt diese Zielsetzung zwar nicht ausdrücklich, erwartet
aber im Schwerpunkt »Entwicklung des elektronischen und behördlichen
Geschäftsverkehrs« eine Berücksichtigung der »Bedürfnisse der Nutzer« (Abl.
C 113 E /54 (61) vom 14. 5. 2002), zu dem auch die Förderung datenschutzfreundlicher Technologien gehört. Ein konkretes Beispiel liefert die Mitteilung
der EU-Kommission »Internet der nächsten Generation – Vorrangige Maßnahmen beim Übergang zum neuen Internet-Protokoll IPv6« vom 21. 2. 2002.
Danach sollen die Normen und Spezifikationen insbesondere der neuen
Protokollgeneration IPv6 den Grundrechten auf Schutz der Privatsphäre und
4
des Datenschutzes umfassend Rechnung tragen (KOM (2002) 96, S. 16).
Aber nicht nur die Europäische Union, sondern auch der Bund fördert im
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
197
Rahmen des Aktionsprogramms »Innovation und Arbeitsplätze in der
Informationsgesellschaft des 21. Jahrhunderts« die Entwicklung von technischen Werkzeugen für den Datenschutz.5 Im Rahmen dieses Programms
wurde bspw. der Aufbau einer Infrastruktur unabhängiger Mix-Netzknoten im
Internet unterstützt, die eine verschlüsselte und anonyme Nutzung von Inter6
netseiten ermöglichen soll (Bäumler DuD 2001). Bereits abgeschlossen ist
das Projekt »Datenschutz in Telediensten – DASIT«, in dem ein Konzept für
eine datensparsame Abwicklung elektronischer Bestellungen einschließlich
der Lieferung und Bezahlung entwickelt und erprobt wurde (Roßnagel 2002 b,
Grimm/Löhndorf/Scholz DuD 1999).
1.4 Technische Implementierung
Datenschutzgerechte Technikgestaltung ist auf verschiedene Weise möglich:
Sie kann bspw. das Erheben und Verarbeiten personenbezogener Daten in den
Rechnern der elektronischen Netze minimieren oder den Nutzer mit
Werkzeugen zum Selbstschutz ausstatten, damit er seine Daten selbst verschlüsseln oder unter Pseudonym kommunizieren kann. Einen anderen
Ansatzpunkt hat das Projekt P3P – Platform für Privacy Preferences des W3C7
Konsortiums – gewählt. In seiner derzeitigen Form ermöglicht P3P die
Erstellung maschinenlesbarer Datenschutzerklärungen, die von den Clienten
übersetzt werden können. Das Ziel von P3P beschränkt sich also zunächst auf
die Transparenz der Datenschutzerklärung des Anbieters. In weiteren Ausbaustufen soll P3P einen Kommunikationsprozess über den Inhalt der Datenschutzerklärung zwischen Server und Client unterstützen (Cranor DuD 2000;
Cavoukian/Gurski/Mulligan/Schwartz DuD 2000). P3P bietet also einen technischen Rahmen für die Kommunikation über Datenschutzstandards, ersetzt
aber keine Formulierung materieller Regelungen zum Schutz der informationellen Selbstbestimmung (Greß DuD 2001). Seine Praxistauglichkeit hat der
P3P-Standard in einer ersten Version im bereits erwähnten Projekt DASIT
bewiesen (Enzmann/Schulze 2002, 115). Die Fortschreibung des P3P-Standards um den Prozess einer interaktiven Aushandlung zwischen Anbieter und
Nutzer über ein konsentiertes Datenschutzniveau steht allerdings noch aus.
1.5 Akzeptanz
Eine Datenschutzpolitik, die auf die Verbreitung datenschutzgerechter oder
sogar -sparsamer Technologien setzt, ist jedoch nur erfolgreich, wenn entsprechende Produkte von den Anwendern auch in ihre Systeme implementiert werden. Eine wichtige Motivation für eine derartige Diffusion ist, dass
nach Umfragen und Marktstudien zwischen dem gebotenen Datenschutzniveau und der Akzeptanz der Nutzer ein signifikanter Zusammenhang
besteht, der die Ausgestaltung des Datenschutzes für Unternehmen zu einem
Freundesgabe Büllesbach 2002
198
Bizer
relevanten Wettbewerbsfaktor aufwertet (Büllesbach 2002, 53, ders. 1999,
449 ff.; RDV 1997, 239 ff.).8
Nach einer 2001 in Deutschland durchgeführten Umfrage wünschen 53% der
Befragten, dass dem Datenschutz künftig mehr Bedeutung zukommen soll
(Opaschowski, DuD 2001, 678). Bemerkenswert ist, dass diese Haltung alles
andere als eine deutsche Besonderheit darstellt. Nach einer Umfrage unter USBürgern vom August 2000 zeigten sich in den USA bspw. 84% der Einwohner
besorgt, wenn Geschäftsleute oder Unbekannte Informationen über sie oder
ihre Familie bekommen (The Pew Internet & American Life Project, 2000, pg 25
9
Question 3). In Sachen Datenschutz nach der Vertrauenswürdigkeit von Institutionen befragt, liegen in Deutschland am untersten Ende des Rankings der
Adresshandel, den nur 8% für zuverlässig halten, der Versandhandel (10%)
sowie Internetanbieter (10%). Versicherungen werden immerhin von 31% der
Befragten und Banken von 52% für zuverlässig gehalten (Opaschowski DuD
2001, 673 ff.). Aber auch für diese letzten beiden gilt, dass ihre Werte negativ formuliert (69% bzw. 58%) kaum als zufriedenstellend angesehen werden können.
Eine Länder vergleichende Untersuchung aus dem Jahr 1999 zeigt, dass die
deutschen Umfragewerte einen internationalen Trend widerspiegeln (vgl. IBM
1999). Während die Vertrauenswürdigkeit der Banken in Sachen Datenschutz
in den USA (77 %) und Deutschland (70 %) überwiegend positiv bewertet wird,
schneidet der Versandhandel in der Bewertung des Datenschutzes deutlich
schlechter ab: Nur 45 % der in den USA Befragten sowie 42 % in Großbritannien und Deutschland kommen zu einer positiven Bewertung dieser
Anbieter. Geradezu vernichtend lautet das Urteil der Nutzer und Verbraucher
über die kommerziellen Internetanbieter: Nur 21 % USA, 13 % Großbritannien
und 10 % Deutschland brachten nach dieser Untersuchung den kommerziellen
Internetanbietern in Sachen Datenschutz Vertrauen entgegen.
Die Zustimmung zum und die Erwartung an den Datenschutz sind vor allem
deswegen von Bedeutung, weil ein deutlicher Zusammenhang zwischen der
Einschätzung des Datenschutzes einerseits und dem Kaufverhalten andererseits nachgewiesen werden kann. Datenschutz ist ein Akzeptanzfaktor für die
Entwicklung von Märkten. Bereits die IBM–Studie aus dem Jahr 1999 belegt
einen Zusammenhang zwischen dem Vertrauen der Kunden in den
Datenschutz eines Anbieters und seinem Kaufverhalten.
In der Offline-Welt zeigte sich, dass 54 % in den USA, 32 % in Großbritannien und 35 % in Deutschland wegen fehlender Sicherheit über die Verwendung ihrer Daten auf die Nutzung oder den Kauf eines Angebots verzichteten.
Bei den kommerziellen Internetanbietern zeigte sich eine noch stärkere
Angleichung im internationalen Vergleich, nämlich 57 % in USA, 41 % in
Großbritannien und 56 % in Deutschland (IBM 1999, pg 23, 27). Dass dieses
Ergebnis keine »Eintagsfliege« ist, beweist eine Umfrage vom Oktober 2000
der Mannheimer Forschungsgruppe Wahlen im Auftrag des Bundesverbandes der Banken. Danach erklärten 62 % der Internetnutzer in Deutschland, sie
hätten im Internet noch nicht online bestellt oder gekauft, weil ihrer Meinung
nach der Datenschutz unzureichend gewährleistet sei (BvB 2001). Zu verFreundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
199
gleichbaren Ergebnissen kommt die Opaschowski-Studie für das Jahr 2001:
Nur 23 % gehen davon aus, dass ihre Daten bei der Nutzung im Internet hinreichend geschützt sind und halten eine Nutzung für unbedenklich. Hingegen
gaben 46 % an, wegen Mängeln bei Datenschutz und Datensicherheit das
Internet nicht zu nutzen. Noch 26 % sahen sich nicht in der Lage, zu dieser
Frage Stellung zu beziehen (»weiß nicht«). 5 % war diese Frage »egal«.
1.6 Marktwirtschaftlicher Datenschutz
Das moderne Datenschutzrecht versucht der zunehmenden Bedeutung des
Datenschutzes als Akzeptanzkriterium der Nutzer und als Wettbewerbsfaktor
der Anbieter durch eine stärkere Implementierung marktwirtschaftlicher
Instrumente gerecht zu werden (Büllesbach RDV 1997, Roßnagel 2002a;
Bäumler 2002). Datenschutzaudit und Gütesiegel zielen ihrer Intention nach
auf eine Prämierung der in den Datenschutz getätigten Anstrengungen und
Investitionen durch eine Bescheinigung, mit der im Wettbewerb geworben
werden kann. Nach der Bundesregelung des § 9 a BDSG können
Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen »zur Verbesserung des Datenschutzes und der
Datensicherheit (...) ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen«.
Die Regelung der näheren Anforderungen an die Prüfung und Bewertung, das
Verfahren sowie die Auswahl und Zulassung der Gutachter bleiben allerdings
einem besonderen Gesetz überlassen, das der Bund bislang noch nicht verabschiedet hat.
Unter den Landesgesetzgebern, die neben dem Bund eine Regelung für ein
Datenschutzaudit im Rahmen ihrer Gesetzgebungskompetenz (Bizer/Petri
2001) in ihr Gesetz aufgenommen haben, hat bislang nur Schleswig-Holstein
für seinen öffentlichen Bereich eine Ausführungsregelung erlassen (Bäumler
DuD 2002, 326, Golembiewski 2002). Nach dieser Regelung können öffentliche
Stellen des Landes ihr Datenschutzkonzept durch das Unabhängige Landeszentrum für Datenschutz prüfen und beurteilen lassen. Methodische Elemente
dieses Verfahrens sind eine Bestandsaufnahme, die Festlegung von Datenschutzzielen sowie die Einrichtung eines Managementsystems, die abschließend in einer Datenschutzerklärung zusammengefasst werden. Abgeschlossen wird das Verfahren durch ein zu veröffentlichendes Kurzgutachten des
Datenschutzzentrums und der Verleihung eines Auditzeichens. Für die Implementierung einer datenschutzgerechten Technik ist nach der Konzeption des
Audits vor allem die Zielvereinbarung von Bedeutung (näher Petri 2002).
Eine noch stärkere Steuerungswirkung auf die Ebene der Technik wird das
Gütesiegel nach dem Datenschutzrecht in Schleswig-Holstein ausüben. Das
Gütesiegels wird für IT-Produkte (Hard- und Software) verliehen, die mit den
Vorschriften für den Datenschutz und die Datensicherheit vereinbar sind (§ 4
Freundesgabe Büllesbach 2002
200
Bizer
Abs. 2 SG LDSG). Darüber hinaus muss das Produkt aber auch besondere
Eigenschaften, insbesondere in Hinblick auf die Datenvermeidung und die
Datensparsamkeit, die Datensicherheit und die Revisionssicherheit der Datenverarbeitung sowie die Gewährleistung der Betroffenenrechte aufweisen (§ 2
Abs. 2 Nr. 4 SH GütesiegelVO). Eine unmittelbare Steuerungswirkung entfaltet das Gütesiegels zunächst nur für den Einsatz in der schleswig-holsteinischen Verwaltung. § 4 Abs. 2 SH LDSG verpflichtet die Behörden des Landes,
»vorrangig« solche Produkte einzusetzen, deren Vereinbarkeit mit den
Vorschriften über den Datenschutz und die Datensicherheit »in einem förmlichen Verfahren« festgestellt wurde. Eine mittelbare Steuerungswirkung wird
das Gütesiegel jedoch auch über die Grenzen Schleswig-Holsteins entfalten,
weil Anbieter eines mit einem Gütesiegel versehenen Produkts nicht gehindert sind, gegenüber anderen öffentlichen und privaten Kunden auf die besondere Qualitätsauszeichnung durch das schleswig-holsteinische Gütesiegel
zu verweisen. Unter diesem Gesichtspunkt erstaunt es wenig, dass die Ministerpräsidentin von Schleswig-Holstein den Datenschutz als einen »Standortvorteil für das Land Schleswig-Holstein« entdeckt hat (Simonis 2002).
Nicht übersehen werden darf jedoch, dass es anderen Anbietern nicht verwehrt ist, neben den gesetzlichen auch privatrechtlich gestaltete Instrumente
eines marktwirtschaftlichen Datenschutzes zu entwickeln und anzubieten. Das
vielleicht bekannteste unter ihnen ist das Gütesiegel »Quid« (Wedde/Schröder
2001). Daneben sind eine Reihe weiterer Entwicklungen kurz vor der
Markteinführung (bspw. Rieß 2001, Schaar/Stotz DuD 2002, 330), deren Ent10
wicklung und Wirkung in den nächsten Jahren zu verfolgen sein wird. Die
umfassendsten Anforderungen hat wohl die Initiative D 21 mit ihren
Qualitätskriterien für Internet-Angebote vorgelegt.
2. Die Instrumentalisierung des Code
Das Konzept einer datenschutzfreundlichen Technikgestaltung ist als Antwort
auf die durch Digitalisierung und Vernetzung zunehmenden Risiken für das
informationelle Selbstbestimmungsrecht zu verstehen (Bizer 2000, § 3 Rn. 132
ff.). Während im nichtöffentlichen Bereich vor allem die Gefährdungen durch
neue Kundenprofile zunehmen, bemächtigt sich zunehmend auch der Staat
der Architektur des Internets für Zwecke der Inneren Sicherheit. Letztlich ist
die Strategie dieselbe: Der Code ist neutral, aber seine Grammatik kann funktionsbezogen nicht nur zur Förderung der informationellen Selbstbestimmung, sondern auch zu ihrer Einschränkung geschrieben werden. Die folgenden Beispiele beschränken sich auf die staatliche Steuerung bzw. Steuerungsversuche des Codes im Recht der TK-Überwachung. Gemeinsam ist ihnen
eine tiefgreifende Einflussnahme der rechtlichen Regulierung auf die Struktur
der Verarbeitung personenbezogener Daten. Angesichts der zunehmenden
Bedeutung der vernetzten elektronischen Kommunikation kommt der Überwachbarkeit der Datenflüsse dieser Netze eine zentrale Bedeutung zu.
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
201
2.1 TKÜV
Um den Sicherheitsbehörden auf der Grundlage der gesetzlichen Regelungen
eine TK-Überwachung zu ermöglichen, bedarf es geeigneter technischer
Einrichtungen auf Seiten der Dienstanbieter. § 88 Abs. 1 TKG verpflichtet die
Betreiber von TK-Anlagen, die technischen Einrichtungen zur Umsetzung
gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation »auf eigene Kosten zu gestalten und zu betreiben«. Die näheren technischen Anforderungen sind in der TK-Überwachungsverordnung (TKÜV vom
22.1. 2002, BGBl. I S. 458) konkretisiert (Pernice DuD 2002, 207), die wiederum
in einer der Geheimhaltung unterliegenden Technischen Richtlinie (§ 11 TKÜV)
präzisiert werden.
Art und Ausmaß der rechtlichen Steuerung des Codes verdeutlichen jüngste Forderungen des Bundesrates, der mit Beschluss vom 31. 5. 2002 einen
Gesetzesvorschlag verabschiedet hat, in dem von der Bundesregierung eine
Ausweitung der technischen Infrastruktur zur TK-Überwachung gefordert wird
(BT-Drs. 275/02). Danach sollen die Internet-Provider verpflichtet werden, die
im Wege der DSL-Technik anfallenden Verbindungs- und Kommunikationsdaten den zuständigen Behörden »zeitgleich automatisch zu übermitteln«. Die
Mobilfunkprovider sollen ferner hardwarebezogene Kennungen der Mobilfunkgeräte an die zuständigen Behörden übermitteln, um die Verwendung
mehrerer Karten in einem Gerät zu unterbinden (Entschließung BR-Drs. 275/
02, S. 1 f.).
Die Codierung der technischen Infrastruktur der TK-Überwachung ist alles
andere als ein nationales Projekt. sondern wird seit Jahren innerhalb der westlichen Welt (EU, USA und Verbündete) koordiniert. Ein erster umfangreicher
Anforderungskatalog findet sich in der Entschließung des Rats der Europäischen Union vom 17.1. 1995 »über die rechtmäßige Überwachung des Fernmeldeverkehrs«, der erst knapp zwei Jahre später veröffentlicht wurde (96/C
329/01, Abl. EG C vom 4.11. 1996). Die in dieser Entschließung formulierten
Anforderungen entsprechen weitgehend dem US-amerikanischen Communications Assistance for Law Enforcement Act (CALEA vom 24.10.1994, U.S.
Public Law 103-414; 47 U.S.C 1001 – 1010). Seit spätestens 1993 werden die
Anforderungen an TK-Betreiber in einer internationalen Arbeitsgruppe (International Law Enforcement Telecommunications Seminar – ILETS) koordiniert
11
(Statewatch, DuD 1997, 346) sowie eine Zusammenarbeit mit der Internationalen Fernmeldeunion (ITU) und zu den internationalen Standardisierungsgremien angestrebt (BMWi BMWi, DuD 1999, 717, 720). Das europäische
Standardisierungsinstitut ETSI (European Telecommunications Standards
12
Institute) erarbeitet technische Abhörstandards für öffentliche TK-Systeme.
In die gleiche Richtung zielt auch die Empfehlung R (95)13 des Europarates
vom 11. 9. 1995.13 Mit Hilfe der technischen Normung und der weltweiten
Verbreitung derartiger TK-Anlagen versuchen sich die führenden Industriestaaten des Westens die Möglichkeit zu sichern, die Telekommunikation auch
in nicht kooperationswilligen Staaten zu überwachen (Bogonikolos 1999, pg 11).
Freundesgabe Büllesbach 2002
202
Bizer
2.2 IMSI-Catcher
Das zweite Beispiel für eine Instrumentalisierung des Codes für Zwecke der
Inneren Sicherheit ist der Einsatz des sogenannten IMSI-Catchers zur
Ermittlung und Überwachung mobil geführter elektronischer Kommunikation.
Zentrale Eigenschaft des IMSI-Catchers ist die Möglichkeit, die International
Mobile Subscriber Identity (IMSI) eines Mobilfunkgerätes im Einzugsbereich
des Catchers zu ermitteln sowie seinen genauen Standort festzustellen (Fox
DuD 1997, 539, DuD 2002, 212). Mit Kenntnis der IMSI können die Sicherheitsbehörden von den TK-Dienstanbietern nach § 89 Abs. 6 bzw. § 90 Abs. 1
TKG Auskunft über die von ihnen über den jeweiligen Anschlussinhaber
gespeicherten Informationen verlangen (BT-Drs. 13/8453, S. 3). Mit einer
Variante des IMSI-Catchers ist es ferner möglich, die Kommunikationsinhalte
unmittelbar zu überwachen (BT-Drs. 13/8453, S. 3). Der IMSI-Catcher könnte in
dieser technischen Variante, die lediglich eine andere Software erfordert, dazu
dienen, die rechtsstaatlichen Sicherungen der TK-Überwachung, insbesondere ihre richterliche Anordnung zu umgehen (BT-Drs. 13/8453, S. 3 zu Nr. 4).
Die Funktionalität des IMSI-Catchers beruht im Wesentlichen auf einer konzeptionellen »Einbruchstelle« im Mobilfunkstandard GSM. Das Sicherheitsprotokoll des GSM-Standard sieht nur eine einseitige anstelle einer gegenseitigen Authentifizierung zwischen Sendestation und Endgerät vor (Fox DuD
1997, 539; Pütz DuD 1997, 321). Diese Schwachstelle ermöglicht es dem IMSICatcher, gegenüber dem Handy bzw. seiner IMSI-Karte eine Festnetzstation zu
simulieren, ohne dass beim Austausch der Verschlüsselungsschlüssel aufgedeckt werden kann. Erst das UMTS-Protokoll arbeitet mit einer gegenseitigen
Authentifizierung und soll derartige Angriffe (»Maskerade« bzw. »Man-in-theMiddle«) verhindern (Pütz/Schmitz/Martin DuD 2001, Fox DuD 2002, 215).
Datenschutzrechtlich problematisch ist diese Schwachstelle in der Sicherheitsarchitektur des GSM-Standards nicht nur, weil mit einem illegalen Einsatz
des IMSI-Catchers durch auswärtige Dienste im Inland zu rechnen ist, sondern
weil seine Verwendung immer auch die Erfassung der im Einzugsbereich des
überwachten Handys befindlichen Kommunikationspartner umfasst. Die TKDienstanbieter verweisen ferner auf eine nicht unerhebliche Beeinträchtigung
der angebotenen Dienstqualität durch den IMSI-Catcher, da dieser zeitweise
den Empfang von Signalen stört, so dass die Verbindungen nicht verfügbar
sind (Fox DuD 2002, 214 f.).
Der Einsatz des IMSI-Catchers blieb lange Zeit im Dunkeln. Eine erste Regelungsinitiative ging vom Bundesrat aus, der im Rahmen der Beratungen zum
Begleitgesetz zum Telekommunikationsgesetz eine gesetzliche Rechtsgrundlage für den Einsatz des IMSI-Catchers sowohl im G-10-Gesetz als auch in der
Strafprozessordnung vorschlug (BT-Drs. 13/8453, S. 3 zu Nr. 4, S. 7 zu Nr. 15).
In dem damaligen Gesetzgebungsverfahren lehnte die Bundesregierung eine
solche Rechtsänderung ab, deutete aber die Verwendung des IMSI-Catchers
»zum Zweck der Ermittlung technischer Identifikationsmerkmale als Ersatz für
unbekannte Rufnummern« an (BT-Drs. 13/8453, S. 11 zu. Nr. 11, S. 15 zu Nr. 15).
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
203
Die Rechtsgrundlagen ermöglichen zwar eine TKÜ-Anordnung gegen den
Anschluss einer bestimmten Person unter Nennung der Rufnummer oder
einer anderen Kennung (§ 100 b Abs. 2 Satz 2 StPO), aber nicht einen Eingriff
in das Fernmeldegeheimnis zur Ermittlung einer unbekannten Kennung einer
14
unbekannten Person. Gleichwohl wurde das Gerät nach einem Bericht des
Spiegels zumindest von dem Bundeskriminalamt und dem Bundesgrenzschutz eingesetzt (Spiegel 33/2001, 54; Bundesregierung 2001, BT-Drs.
14/6885). Das hierbei eingesetzte Gerät verfügte nach Angaben des Bundesbeauftragten für den Datenschutz nicht einmal über eine Betriebsgenehmigung nach § 47 TKG (Löwenau-Iqbal, DuD 2001, 578).
Mittlerweile hat der Gesetzgeber Rechtsgrundlagen für den Einsatz des
IMSI-Catchers durch den Verfassungsschutz sowie die Strafverfolgungsbehörden geschaffen. Der Einsatz ist jeweils auf die Standortermittlung
beschränkt. Die Rechtsgrundlage für das Bundesamt für Verfassungsschutz
hat der Gesetzgeber im Rahmen des Terrorismusbekämpfungsgesetzes vom
9.1. 2002 (BGBl. I S. 361, 362) erlassen. Danach darf der IMSI-Catcher –
bezeichnet als »technisches Mittel« – unter näher bestimmten Voraussetzungen
»zur Ermittlung des Standortes eines aktiv geschalteten Mobilfunkendgerätes
und zur Ermittlung der Geräte- und Kartennummer« eingesetzt werden.
Für die Straftatverfolgungsbehörden hat der Bundestag eine Rechtsgrundlage in § 100 i StPO für den IMSI-Catcher im Schnellverfahren am 17. 5. 2002
auf der Grundlage einer Beschlussempfehlung des Rechtsausschusses (BTDrs. 14/9088) verabschiedet (BT-Prot. 14/237, S. 23742), die jetzt noch den
Bundesrat passieren muss. Die Regelung ermöglicht den Einsatz technischer
Mittel (IMSI-Catcher) zum einen zur Ermittlung der Geräte- und Kartennummer zur Vorbereitung einer TK-Überwachung nach § 100 a StPO und den
Voraussetzungen dieser Regelung. Zum anderen darf der IMSI-Catcher zur
Standortermittlung eines aktiv geschalteten Handys zur vorläufigen Festnahme nach § 127 StPO oder zur Vollstreckung eines Haft- oder Unterbringungsbefehls eingesetzt werden, bei Straftaten von erheblicher Bedeutung
auch zur Eigensicherung der eingesetzten Beamten.
Nach beiden Regelungen dürfen personenbezogene Daten Dritter anlässlich dieser Maßnahmen nur erhoben werden, wenn dies aus technischen
Gründen zur Zweckerreichung unvermeidbar ist, sie dürfen nur für den erforderlichen Datenabgleich verwendet werden und sind nach Beendigung der
Maßnahme unverzüglich zu löschen. Die im Bundesrat von den Ländern Bayern und Thüringen mit einem Gesetzentwurf vom 27. 11. 2001 verfolgte Linie,
eine Rechtsgrundlage zur Ermittlung des Standortes und zur Ermittlung der
Geräte- und Kartennummer in § 100 c Abs. 1 Nr. 1 b StPO aufzunehmen (BRDrs. 1014/01, S. 2, 11), konnte sich nicht durchsetzen. Eine weitere Variante hat
der Bundesrat am 30. 5. 2002 in das Gesetzgebungsverfahren eingebracht mit
einer Ergänzung des § 100 g StPO – der Nachfolgeregelung des außer Kraft
15
getretenen § 12 FAG (BR-Drs. 275/02). Der Bundesrat will darüber hinaus den
Einsatz des IMSI-Catchers auch für die Fahndung nach entflohenen Sexualstraftätern anwenden (§ 457 Abs. 4 (neu) E-StPO, § 463 Abs. 4 (neu) E-StPO).
Freundesgabe Büllesbach 2002
204
Bizer
2.3 Vorratsspeicherung
Ein weiteres Beispiel für die sicherheitspolitisch motivierte Einflussnahme des
Gesetzgebers auf den Codes ist die Diskussion über die Einführung von
Mindestspeicher- bzw. Vorratsspeicherpflichten im Onlinerecht. Das Beispiel
illustriert dass eine staatliche Regulierung sich auch gegen einen im Wesentlichen ökonomisch gestützten Code richten kann.
Einer der zentralen Grundsätze des Datenschutzrechts ist die Begrenzung
der Datenverarbeitung auf das für einen bestimmten Erhebungszweck erforderliche Maß. Sind die personenbezogenen Daten nicht mehr erforderlich, so
sind sie zu löschen: Verbindungsdaten nach § 6 Abs. 2 Satz 2 TDSV unverzüglich »spätestens am Tag nach Beendigung der Verbindung« und Nutzungsdaten nach § 6 Abs. 1 i.V. m. § 4 Abs. 4 Nr. 2 TDDSG unmittelbar nach Beendigung des Zugriffs bzw. der Nutzung. Im Unterschied zum TK-Datenschutzrecht
lässt das TDDSG auch eine Sperrung genügen, wenn gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungspflichten einer Löschung entgegenstehen. Allerdings lässt das Datenschutzrecht von der Löschungspflicht
Ausnahmen zu, insbesondere soweit die Verbindungs- bzw. Nutzungsdaten zu
Abrechnungszwecken benötigt werden (§ 6 Abs. 4 TDDSG, § 6 Abs. 2 Satz 1
i.V.m. § 7 Abs. 1 TDDSG). »Soweit« bedeutet in diesem Zusammenhang, dass
aus der Menge der Verbindungs- bzw. Nutzungsdaten nur die für die
Abrechnung erforderlichen Daten verarbeitet werden dürfen, während die
Restmenge wiederum »unverzüglich zu löschen« ist (§ 7 Abs. 3 Satz 2 TDSV).
Entsprechendes ergibt sich für die Verarbeitung der Nutzungsdaten aus dem
in § 6 Abs. 4 TDDSG verankerten Prinzip der Erforderlichkeit, das durch eine
Verpflichtung zu entsprechenden technischen Vorkehrungen einer Löschung
bzw. Sperrung flankiert wird (§ 4 Abs. 4 Nr. 2 TDDSG).
Für das Speichern der Abrechnungsdaten sieht das Datenschutzrecht
Höchstspeicherfristen (Bizer DuD 2002, 302) vor, d.h. die Provider dürfen die
personenbezogenen Abrechnungsdaten »zu Beweiszwecken für die Richtigkeit der berechneten Entgelte« unter Kürzung der Zielrufnummer um die letzten drei Ziffern bis Ablauf dieser Frist speichern (§ 7 Abs. 3 Satz 2, 3 TDSV). Als
Ausnahme zu dieser Regel gilt, dass auf Verlangen des Kunden die Abrechnungsdaten mit Versendung der Rechnung zu löschen oder vollständig zu
speichern sind (§ 7 Abs. 4 Satz 1 TDSV). Auf Betreiben der Sicherheitsbehörden wurde die Höchstspeicherfrist durch die TDSV vom 18. 12. 2000 (BGBl. I S.
740) von zunächst 80 Tagen auf sechs Monate verlängert (§ 7 Abs. 3 Satz 3
TDSV). In früheren Entwürfen war sogar eine Frist von einem Jahr vorgesehen. Die vom Verordnungsgeber zu dieser Regelung gelieferte Begründung,
Vorstellungen aus der Praxis erforderten zur besseren Abrechnung eine verlängerte Speicherfrist, ist allerdings ein »Schimäre«. Tatsächlich sehen große
TK-Provider schon aus Kostengründen keine Notwendigkeit von der Höchstspeicherfrist von 80 Tagen abzuweichen – auch wenn dies mit Rücksicht auf
zahlungsunwillige Kunden nicht öffentlich kommuniziert wird.
Entscheidend ist, dass mit der Verlängerung der Höchstspeicherfrist die
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
205
Menge der Verbindungsdaten, auf die die Sicherheitsbehörden im Rahmen
ihrer Befugnisse auch rückwirkend zugreifen dürfen, erweitert werden. Die
Auskunftsverpflichtung über bspw. TK-Verbindungsdaten beschränkt sich seit
der Antiterrorgesetzgebung bei weitem nicht mehr nur auf die für Straftatverfolgung zuständigen Behörden (§ 100 g, h StPO). Nach § 8 Abs. 8 BVerfSchG,
§ 10 Abs. 3 MAD-Gesetz sowie § 2 Abs. 3 a BND-Gesetz sind nun auch die
Nachrichtendienste befugt, allerdings unter den verfahrensrechtlichen Voraussetzungen des Artikel G-10-Gesetzes, von den Anbietern geschäftsmäßiger
TK-Dienste und Teledienste Auskünfte über die TK-Verbindungsdaten und
Teledienstnutzungsdaten einzuholen (Terrorismusbekämpfungsgesetz vom
9.1. 2002, BGBl. I S. 361).
Eine der TDSV vergleichbare Regelung gilt nach dem Datenschutzrecht für
Teledienste (§ 6 Abs. 7 TDDSG), die lediglich rechtstechnisch eine andere Konstruktion aufweist: Soweit für Zwecke der Abrechnung erforderlich darf der
Provider Nutzungsdaten verarbeiten (§ 6 Abs. 4 Satz 1 TDDSG). Er hat sie folglich zu löschen, wenn sie für den Abrechungszweck nicht mehr benötigt werden. Nur wenn der Kunde einen Einzelnachweis für seine kostenpflichtigen
Nutzungen verlangt, dann dürfen die Nutzungsdaten personenbezogen gespeichert werden (vgl. § 6 Abs. 6 TDDSG). Ist dies der Fall, dann gilt eine
Höchstspeicherfrist, die nach der Gesetzesfassung vom 14. 12. 2001 (BGBl. I S.
3721) wie auch im TK-Datenschutzrecht von 80 Tagen auf sechs Monate verlängert worden ist.
Im Zuge der Verschärfung der Sicherheitsgesetze nach dem Terroranschlag
vom 11. September 2001 in New York und Washington hat sich die Diskussion
über die Umwandlung der Höchstspeicherfristen in Mindestspeicherpflichten
bzw. in die Verpflichtung zur Vorratsspeicherung erheblich intensiviert. Einen
ersten Vorschlag hat – soweit ersichtlich – die CDU/CSU-Opposition in einem
Gesetzentwurf »zur Verbesserung der Bekämpfung von Straftaten der
Organisierten Kriminalität und des Terrorismus« vom 29. 8. 2001 eingebracht
(BT-Drs. 14/6834). Mit der Begründung, dass die Auskunft über Verbindungsund Nutzungsdaten leer laufe, wenn diese Daten von den Providern gelöscht
werden müssten, wird eine Ausweitung der Verordnungsermächtigung nach
§ 89 Abs. 1 Satz TKG auf »Mindestspeicherfristen« gefordert (BT-Drs. 14/6834,
S. 7, 14).
Weitergehende Vorschläge enthielt der von den Ländern Bayern und
Thüringen am 27. 11. 2001 eingebrachte Gesetzentwurf »zur Verbesserung des
strafrechtlichen Instrumentariums für die Bekämpfung des Terrorismus und
der Organisierten Kriminalität« (BR-Drs. 1014 /01). Der Entwurf sah eine Ausweitung des § 89 Abs. 1 TKG auf die Vorratsspeicherung von TK-Daten nicht
nur für »Zwecke der Strafverfolgung und der Gefahrenabwehr«, sondern auch
für die »Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden
des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes sowie des Zollkriminalamtes« vor. Mit der Einbeziehung der Nachrichtendienste geht der Gesetzentwurf über die von der CDU/
CSU-Bundestagsfraktion im Entschließungsantrag »Sicherheit 21« vom
Freundesgabe Büllesbach 2002
206
Bizer
9. 10. 2001 ursprünglich vorgesehene Beschränkung der Mindestfristen »zugunsten der Strafverfolgungsbehörden« deutlich hinaus (BT-Drs. 14/7065
(neu)).
Nach dem Gesetzesvorschlag Bayerns und Thüringens (BR-Drs. 1014/01)
soll die Höhe der Mindestspeicherfrist durch eine Rechtsverordnung unter
Berücksichtigung der berechtigten Interessen der Dienstanbieter, der Betroffenen sowie der Erfordernisse »effektiver Strafverfolgung und Gefahrenabwehr« sowie der »effektiven Erfüllung der gesetzlichen Aufgaben« der sonstigen Sicherheitsbehörden festgelegt werden. Eine vergleichbare Regelung
sollte unter der Überschrift »Vorratsspeicherung« als neuer § 6 a in das
TDDSG eingefügt werden. Im Bundesrat wurde der Vorschlag mit Beschluss
vom 22. 3. 2002 zurückgewiesen und deshalb nicht in den Deutschen
Bundestag eingebracht. Jedoch finden sich die Vorschläge der Sache nach in
einem Beschluss des Bundesrates vom 31. 5. 2002 wieder, nachdem sich die
Mehrheitsverhältnisse auf Grund der Wahlergebnisse in Sachsen-Anhalt zu
Gunsten der CDU geführten Länder geändert hatten (BR-Drs. 275/02).
Dem Beschluss liegt ein von Niedersachsen am 27. 3. 2002 eingebrachter
Entwurf eines »Gesetzes zur Verbesserung der Ermittlungsmaßnahmen
wegen des Verdachts sexuellen Missbrauchs von Kindern und der Vollstreckung freiheitsentziehender Sanktionen« zugrunde, der jedoch durch die
Mehrheit der CDU-geführten regierten Bundesländer erheblich ausgeweitet
wurde und über die Verfolgung und Bekämpfung von Straftaten gegen die
sexuelle Selbstbestimmung hinausgeht. Der Sache nach werden die Änderungen zu § 89 Abs. 1 TKG sowie § 6 a TDDSG aus dem Gesetzentwurf Bayerns
und Thüringens vom 27. 11. 2001 (BR-Drs. 1014/01) wieder aufgegriffen. Gleichwohl ist bemerkenswert, dass wenige Tage nach dem Beschluss der »schwarzgelben« Mehrheit der Bundesvorstand der CDU Deutschlands in dem Version
2.0 »Chancen@Deutschland – Eine Internetstrategie für die Politik« vom
3. 6.2002 »die von der Bundesregierung geplante generelle Verpflichtung von
Providern zur Einhaltung von Mindestspeicherpflichten« als »aus rechtsstaatlichen wie auch wirtschaftlichen Gründen nicht tragbar« geißelte.
Auf europäischer Ebene spielt die Einführung von Mindestspeicherpflichten
derzeit vor allem im Rahmen der Revision der EG-TK-Datenschutzrichtlinie
97/66/66 vom 15. 12. 1997 eine Rolle. Die Problemstellung zwischen den Interessen des Datenschutzes, der Wirtschaft und der Strafverfolgungsbehörden ist bereits in der Mitteilung der Kommission eEurope2002 über die
»Schaffung einer sichereren Informationsgesellschaft ...« vom 26. 1. 2001 (KOM
(2000) 890, S. 20 – 22) ausgebreitet. Nach Art. 6 Abs. 1 der noch geltenden TKDatenschutzrichtlinie 97/66/EG sind die dort als Verkehrsdaten bezeichneten
Verbindungsdaten »nach Beendigung der Verbindung ... zu löschen oder zu
anonymisieren«. Ausnahmen sind nur zu festgelegten Zwecken, insbesondere zur Berechnung der Entgelte zulässig. Allerdings ermöglicht Art. 14 der
Richtlinie bereits heute den Mitgliedstaaten, Ausnahmen zu Zwecken der
inneren und äußeren Sicherheit, insbesondere zur »Verhütung, Ermittlung,
Feststellung und Verfolgung von Straftaten« zu erlassen.
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
207
Während der Kommissionsvorschlag zur Richtlinie »über die Verarbeitung
personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation« vom 12. 6. 2000 noch bei dieser Regelung blieb (Art.
15 Abs. 1 KOM (2000) 385), wurde diese Linie spätestens seit dem Frühjahr
2001 von einigen Mitgliedstaaten im Rat der Europäischen Union zu Gunsten
einer Regelung der Vorratsspeicherung (»data retention«) aufgeweicht.
Insbesondere die Bundesregierung bat die EU-Kommission im Rahmen der
Regelung des Art. 6 zu prüfen, »ob und ggf. welche Harmonisierungsmaßnahmen erforderlich sind, um den notwendigen Bedürfnissen der Strafverfolgungsbehörden Rechnung zu tragen« (12. 12. 2001, Dok. 15104/01 ADD 1).
Dem Vorschlag des Rates die Ausnahmebestimmung zur strikten Löschungspflicht durch eine Regelung in Art. 15 Abs. 1 des Entwurfes (jetzt Art. 14) aufzuweichen, stimmte das Europaparlament in zweiter Lesung am 30. 5. 2002 mit
einer Ergänzung grundsätzlich zu. Nun soll unter der Voraussetzung einer
engeren Grundrechtsbindung eine Aufbewahrung der Verbindungsdaten
»während einer begrenzten Zeit gemäß den allgemeinen Grundsätzen des
Gemeinschaftsrechts« zulässig sein (Europaparlament vom 30. 5. 2002, P516
TAPROV (2002) 0261 – PE 319.107).
3. Fazit
Der Ausgangspunkt der Überlegungen war die Regulierung der technischen
Infrastruktur des Internets (der Code) und seine Auswirkungen auf den
Datenschutz. Dem Gesetzgeber ist es mit dem Prinzip der datenvermeidenden
Technikgestaltung sowie weiteren flankierenden Instrumenten gelungen, die
informationelle Selbstbestimmung als eine Zielvorgabe der technischen
Entwicklung zu implementieren und auf diese Weise einen Paradigmenwechsel im Verhältnis von Technik und Datenschutzrecht einzuleiten. Allerdings gilt – wie die Beispiele zeigen –, dass der Gesetzgeber die Regulierung
des Codes längst auch für Zwecke der Inneren Sicherheit instrumentalisiert
hat. Die Perspektiven des Datenschutzes liegen in der Förderung einer datensparsamen Technikgestaltung als Bestandteil des Systemdatenschutzes,
gleichwohl werden die Gestaltungsräume angesichts des zunehmenden
Datenhungers der Sicherheitsbehörden auf die personenbezogenen Daten
elektronischer Kommunikation immer enger. Es bleibt die Förderung von
Konzepten des technisch unterstützten Selbstdatenschutzes, für den es wiederum eines ungehinderten Zugangs zu sicheren Kryptographieverfahren bedarf, für den sich Alfred Büllesbach vor (Büllesbach 1999, 458) und hinter den
Kulissen mit Nachdruck eingesetzt hat.
Alfred Büllesbach hat die (zumindest) partiell bestehenden Interessenkonvergenzen zwischen der Wirtschaft einerseits und den Bürgerrechten für
Datenschutz und Datensicherheit als Voraussetzungen einer sich entwickelnden Informationsgesellschaft frühzeitig erkannt und als Herausforderung auch
seiner eigenen Tätigkeit angenommen. Als Datenschutzpolitiker wird Alfred
Freundesgabe Büllesbach 2002
208
Bizer
Büllesbach angesichts der Herausforderungen an ein modernes Datenschutzrecht mehr denn je gefordert sein: Wer verbindet schon Erfahrungen aus dem
Leben eines Wissenschaftlers und akademischen Lehrers mit denen eines
Landesdatenschutzbeauftragten und schließlich den Herausforderungen und
Visionen als Datenschutzbeauftragter eines großen internationalen Konzerns?
Nur ein Datenschutzpolitiker wie Alfred Büllesbach.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Vergleichbares ließe sich auch für den technischen Schutz des Urheberrechts beschreiben und
präzisieren.
»Chatten nur unter Pseudonym« wäre also eine »soziale Norm«, »Ohne SSL-Verschlüsselung
übermittelt kein Kunde seine Kreditkartennummer« ein Beispiel für eine Steuerung durch den
Markt. »Nutzerdaten sind unverzüglich nach Ende der Verbindung zu löschen« ein Beispiel für
staatliche Regulierung.
»Der Anspruch einer neuen materiellen Rationalität ist also nicht prinzipiengeleitet, sondern
dynamisch. In täglicher kommunikativer Herstellung verlangt er die Gestaltung der neuen
Technologien nach den Werten Gerechtigkeit, Solidarität und Freiheit ...« (Büllesbach 1986,
S. 280).
Siehe hierzu Artikel 29 Data Protection Working Group Party, Opinion 2/2002 on the use of unique identifier in telecommunication terminal equipments: the example of Ipv6, Working Paper
48, Adopted on 30. May 2002.
5,8 Millionen DM laut Bundesministerium für Wirtschaft und Technologie, PM vom 31. 1. 2001
»AN.ON – BMWi fördert Projekt zur Stärkung von Anonymität im Internet«.
»http://www.datenschutzzentrum.de/projekte/anon/index.htm« sowie »http://www.inf.tu-dresden.de/~hf2/anon/«.
Auf P3P verweist im übrigen auch Lessig 1999, 160 f.; dt.: 2001, 283. Näher »http://www.
w3.org/P3P/«.
»Zu Recht verweigert der Verbraucher, Bürger und Kunde personenbezogene Daten, wenn er
nicht gleichzeitig auf einen adäquaten Schutz vertrauen kann. Unternehmen, die diese
Herausforderung nicht annehmen, werden deshalb auf dem Markt auf Dauer nicht existieren
können« (Büllesbach 1993, S. 80)
59 % very bzw. 25 % somewhat concerned.
So wird bspw. die Frage aufgeworfen, welchen haftungsrechtlichen Verbindlichkeitsgrad ein
Gütesiegel gegenüber dem Kunden haben kann (Dahm, DuD 2002).
Der im Rahmen von ILETS erstellte Anforderungskatalog an Service Provider der TK ist identisch mit dem aus der Ratsentschließung 96/C 329/01 vom 17.1.1995 über die rechtmäßige
Überwachung des Fernmeldeverkehrs (EG Abl. C 329/1 vom 4.11.1996).
Siehe »http://www.etsi.org/technicalactiv/li.html.«
Concerning Problems of Criminal Procedure Law Connected with Information Technology,
Appendix 11 f.
So später auch die Begründung zu 9 Abs. 4 BVerfSchG: »Die Erkenntnisse ... berühren nähere
Umstände der Kommunikation zwischen Personen, die dem Schutz des Grundrechts aus Art.
10 GG unterliegen«, BT-Drs. 14/7386 (neu) S. 40; Ebenso Antrag Niedersachsen BR-Drs. 275/02,
S. 5. Stellenweise wurde auf § 161 ff. sowie §§ 100 a, 100 b StPO Abs. 1 Nr. 1 b) StPO zurückgegriffen.
Der beschlossene Entwurf wurde in zahlreichen Punkten auf der Grundlage der Beschlüsse des
Rechtsauschusses verschärft.
Die Maßnahmen müssen »in einer demokratischen Gesellschaft« notwendig, angemessen und
verhältnismäßig sein.. Alle genannten Maßnahmen – und damit auch die Datenspeicherung –
müssen »den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich des in Artikel
6 Absatz 1 und 2 des Vertrages über die Europäische Union niedergelegten Grundsätzen entsprechen« (Abänderung 46).
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
209
Literatur
Bäumler, H. (DuD 2002): Marktwirtschaftlicher Datenschutz, Audit und
Gütesiegel à la Schleswig-Holstein, DuD 2002, 325 ff.
Bizer, J. (1999 a): Datenschutz durch Technikgestaltung, in: H. Bäumler / A. v.
Mutius (Hrsg.), Datenschutzgesetze der Dritten Generation, Neuwied 1999,
S. 28 ff.
Bizer., J. (Bizer 1999 b): Nachfrage nach Sicherheit. Privater Vertraulichkeitsschutz und staatliche Sicherheitspolitik in der Telekommunikation, in: J.
Bizer / H.-J. Koch (Hrsg.), Sicherheit, Vielfalt, Solidarität, ein neues Paradigma des Verfassungsrechts? Symposium zum 65. Geburtstag Erhard
Denningers am 20. 6. 1997, Baden-Baden 1998, S. 29 ff.
Bizer, J. (2000): Kommentierung § 3 TDDSG in: A. Roßnagel, (Hrsg.), Recht der
Multimediadienste, Loseblatt 2000.
Bizer, J. (DuD 2002): Höchstspeicherfristen, DuD 2002, 302.
Bizer, J. / Petri, T. B. (DuD 2000): Kompetenzrechtliche Fragen des DatenschutzAudits, DuD 2000, S. 97 ff.
Bogonikolos (1999): Development of Surveillance Technology and Risk of
Abuse of Economic Information, Part 1/4, The Perception of Economic Risks
Arising from the Potential Vulnerability of Electronic Commercial Media to
Interception, Interim Study, Working Document for the STOA Panel,
Luxemburg, May 1999, PE 1678.184/Int.St./part _.
Borking, J. (DuD 1998): Einsatz datenschutzfreundlicher Technologien in der
Praxis, DuD 1998, S. 636 ff.
Borking, J. (DuD 2001): Privacy-Enhancing Technologies, Darf es ein Bitchen
weniger sein?, DuD 2001, 607-615
Büllesbach, A. (1993): Das Unternehmen in der Informationsgesellschaft, in:
Wilhelm, R. (Hrsg.), Information – Technik – Recht: Rechtsgüterschutz in der
Informationsgesellschaft, Darmstadt 1993, S. 69 ff.
Büllesbach, A. (RDV 1997): Datenschutz und Datensicherheit als Qualitäts- und
Wettbewerbsfaktor, RDV 1997, S. 239 ff.
Büllesbach, A. (1998): Vernetztes Denken für eine gerechte Gesellschaftsordnung, in: Gesellschaft für Rechts- und Verwaltungsinformatik e.V. (Hrsg.),
Kommunikationstechnische Vernetzung: Rechtsprobleme – Kontrollchancen – Klienteninteressen, Darmstadt 1986, S. 263
Büllesbach, A. (1999): Datenschutz als prozessorientierter Wettbewerbsbestandteil, in: Müller, G./Stapf, K.-H. (Hrsg.), Mehrseitige Sicherheit in der
Kommunikationstechnik: Bd. 2, Erwartung, Akzeptanz, Nutzung, Bonn 1999,
S. 431 ff.
Büllesbach, A. (2002): Premium Privacy in: H. Bäumler / A. von Mutius (Hrsg.),
Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 45 ff.
Bundesregierung (2001): Rechtliche Zulässigkeit von so genannten IMSICatchern, Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion
der FDP, BT-Drs. 14/6885.
Freundesgabe Büllesbach 2002
210
Bizer
Burkert, H. (1997): Privacy-Enhancing Technologies: Typology, Critique, Vision,
in: Agre, P.E./ Rotenberg, M. (Eds.), Tecnology and Privacy: The New
Landscape, , Messachusetts 1997, S. 125 ff.
BUB 2001: Bundesverband deutscher Banken. Blitz Demoskopie Nr. 11, April
2001.
Cavoukian, A. / Gurski, M. / Mulligan, D. / Schwartz, A. (DuD 2000): P3P und
Datenschutz, DuD 2000, S. 475 ff.
Cranor, L. F. (DuD 2000): Platform for Privacy Preferences – P3P, DuD 2000, 479.
Der Spiegel (32/2001): Wahre Wunderbox, Heft 33/2001 vom 13. 8. 2001, S. 54 f.
Enquete-Kommission, Zukunft der Medien in Wirtschaft und Gesellschaft,
Deutschlands Weg in die Informationsgesellschaft, Schlussbericht, BT-Drs.
13/11004.
Enzmann, M. / Schulze, G. (2002, 115): Die DASIT-Lösung in: Ronagel 2002,
S. 107 ff.
Forschungsrat (1995): Rat für Forschung, Technologie und Innovation:
Informationsgesellschaft, Chancen, Innovationen und Herausforderungen,
Feststellungen und Empfehlungen, hrsg. vom Bundesministerium für
Bildung, Wissenschaft, Forschung und Technologie (BMBF), Bonn 1995.
Fox, D. (DuD 1997): IMSI-Catcher, DuD 1997, 539.
Fox, D. (DuD 2002): Der IMSI-Catcher, DuD 2002, S. 212 ff.
Golembiewski, C. (2002): Das Datenschutzaudit in Schleswig-Holstein, in:
H. Bäumler/ v. Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 107 ff.
Greß, Sebastian (DuD 2001): Das Datenschutzprojekt P3P, DuD 2001, 144 ff.
Grimm, R. / Löhndorf, N./ Scholz, P. (DuD 1999, 272): Datenschutz in
Telediensten (DASIT), DuD 1999, S. 272 ff.
IBM (1999): Multi-National Consumer Privacy Survey, October 1999.
Konferenz (1997): 54. Konferenz der Datenschutzbeauftragten des Bundes und
der Länder, Erforderlichkeit datenschutzfreundlicher Technologien, Entschließung vom 23./24. 10. 1997, DuD 1997, S. 735.
Lessig, L. (1999): Code and other Laws of Cyberspace, New York 1999 (dt.:
Code und andere Gesetze des Cyberspace, Berlin 2001.
Löwenau-Iqbal, G. (DuD 2001): Der Einsatz des IMSI-Catchers zur Überwachung von Handys, DuD 2001, S. 578.
Opaschowski (2001): Der gläserne Konsument, B.A.T Forschungsinstitut 2001.
Opaschowski (DuD 2001): Datenschutz quo vadis ? DuD 2001, S. 678 ff.
Pernice, I. (DuD 2002): Die Telekommunikationsüberwachungsverordung
(TKÜV), DuD 2002, 207 ff.
Petri, T. B. (2002): Zielvereinbarungen im Datenschutzrecht, in: H. Bäumler/
v. Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002,
S. 142 ff.
Podlech, A. (DVR 1972/73): Verfassungsrechtliche Probleme öffentlicher
Informationssysteme, DVR 1972/73, S. 149 ff.
Pütz, S. (DuD 1997): Zur Sicherheit digitaler Mobilfunksysteme. Nachweisbare
Authentikation am Beispiel von UMTS, DuD 1997, S. 321 ff.
Freundesgabe Büllesbach 2002
Der Code – gestaltbar für und gegen den Datenschutz
211
Pütz, S. / Schmitz, R. / Martin, T. (DuD 2001): Security Mechanismen in UMTS,
DuD 2001, S. 623 ff.
Registratiekamer (1995): Privacy-Enhancing Technologie. The path to anonymity Vol. I und Vol. II 1995.
Rieß, J. (2001): Selbstregulierung und E-Business-Politik – Die Sicht der Wirtschaft, TA-Datenbanknachrichten Nr. 4, 10. Jg Dezember 2001, S. 65 ff.
Roßnagel, A. (1993): Rechtswissenschaftliche Folgenforschung 1993.
Roßnagel, A. (2002 a): Marktwirtschaftlicher Datenschutz im Datenschutzrecht
der Zukunft, Wiesbaden 2002, S. 115 ff.
Roßnagel, A. (2002 b): Datenschutz beim Online-Einkauf, Wiesbaden 2002.
Schaar, P. / Stutz, U. (DuD 2002): Datenschutz-Gütesiegel für OnlineDienstleistungen, DuD 2002, S. 330 ff.
Simonis, H. (2002): Datenschutz als Standortvorteil für das Land SchleswigHolstein, in: H. Bäumler / v.Mutius (Hrsg.), Datenschutz als Wettbewerbsvorteil, Wiesbaden 2002, S. 224.
Statewatch (DuD 1997): EU and FBI launch global surveillance system, DuD
1997, S. 346 ff.
Steinmüller, W. / Lutterbeck, B. / Mallmann, C. u.a. (1973): Grundfragen des
Datenschutzes, Gutachten, BT-Drs. 6/3826.
The Pew Internet & American Life Project (2000): Trust and privacy online.
Why americans want to rewrite the rules, August 2000.
Wedde, P. / Schröder (2001): Quid ! Das Gütesiegel für Qualität im betrieblichen Datenschutz, Frankurt am Main 2001.
Wenning, R. / Köhntopp, M. (DuD 2001): P3P im europäischen Rahmen, DuD
2001, S. 139 ff.
Freundesgabe Büllesbach 2002
212
Freundesgabe Büllesbach 2002
213
Joachim Jacob / Helmut Heil
»Datenschutz im Spannungsfeld von staatlicher Kontrolle und
Selbstregulierung«
1. Selbstregulierung im Spektrum der Antworten auf datenschutzrechtliche
Gegenwartsfragen
Wirtschaftliche Globalisierung und Netzoffenheit in weltweiten Dimensionen
bilden deutliche Markierungspunkte für die Grenzen nationalstaatlicher Einflussmöglichkeiten und die eingeschränkte Macht hoheitlicher Handlungsformen. Das Netz kennt keine Grenzkontrollen, im Netz herrscht keine Rechtssicherheit (Roßnagel 1997, S. 28). Angesichts der wachsenden Gefahren eines
Zurückbleibens des Rechts hinter den umwälzenden Herausforderungen der
Informationsgesellschaft kann es kaum verwundern, dass in der Reformdebatte um die Weiterentwicklung des Datenschutzes nicht nur gesetzlichen
Maßnahmen, sondern auch Mechanismen der Selbstregulierung ein zunehmend höherer Stellenwert eingeräumt wird (vgl. Bull 1998, S. 313 und Tauss/
Özdemir 2000, S. 144). Und nicht nur unter dem Blickwinkel innerstaatlicher
Reformdiskussionen, sondern auch im Zusammenhang mit der erwünschten
Akzeptanz europäischer Rechtsvorstellungen im Nicht-EU-Ausland wird
beispielsweise in selbstregulierenden »Codes of Conduct« eine Möglichkeit
gesehen, international bestehende Verständigungsprobleme über Eignung
und Erforderlichkeit staatlicher Regulierungsmaßnahmen zu überbrücken
(Kranz, 1998, S. 217 und 2001, S. 161). Zu den Brückenbauern auf diesem
Gebiet zählt in vorderster Reihe Alfred Büllesbach, der die Diskussion um datenschutzrechtliche Codes of Conduct für international operierende Konzerne
seit Jahren mit hohem Engagement und nachhaltig vorantreibt (siehe etwa
Büllesbach, in: Büllesbach (Hrsg.), 17 sowie 2000, S. 3 f. und 2001, S. 137 f.)
2. Ernüchternde (Zwischen-) Bilanz außereuropäischer Vorbilder
2.1 Die Vereinigten Staaten von Amerika
Insbesondere die transatlantische Datenschutzdiskussion zwischen der
Europäischen Union und den USA ist geprägt von dem Gegensatz zwischen
einer Präferenz für die Regelungsverantwortung delegierende Selbstregulierung und für eigenverantwortliche Gestaltung der erforderlichen Prozesse
auf amerikanischer Seite und einer deutlich stärker auf formellen Rechts- und
insbesondere Gesetzesvorschriften beruhenden europäischen Regelungsorientierung (Heil 1999 b, S. 458 f.). Der dem Safe-Harbor-Arrangement (Entscheidung der Europäischen Kommission vom 26.7.2000, ABl. Nr. L 215 vom
28. 8. 2000, 7 ff.; s.a. Heil 1999 b, S. 461, 2000, S. 444) zugrunde liegende Kompromiss greift denn auch auf selbstregulierende Elemente zurück, für die die
Freundesgabe Büllesbach 2002
214
Jacob/Heil
europäische Datenschutzrichtlinie 95/46/EG (ABl. Nr. L 281 vom 23.11.1995,
31 ff.) im Rahmen der Bestimmung der Angemessenheit des Schutzniveaus in
einem Drittstaat nach Art. 25 Abs. 2 grundsätzlich offen ist (vgl. Artikel 29Datenschutzgruppe, Dok. GD XV D/5057/97 (WP 71) ). Denn ein Schutzkonzept
entspricht auch dann dem Regelungszweck, wenn es nicht auf gesetzliche
Vorschriften, sondern auf ein auf freiwilliger Selbstverpflichtung beruhendes
Reglement gestützt wird, solange es nur aufgrund seiner inhaltlichen Beschaffenheit einen gleichwertigen Schutzeffekt verspricht (Dammann 2000 S. 25).
Mit Blick auf die USA gibt es jedoch gute Gründe, die Vorkehrungen besonders kritisch zu prüfen, die die praktische Durchführung der auf selfregulation
beruhenden Regelungsbereiche gewährleisten sollen. Denn ausweislich der
ersten zusammenfassenden Darstellung des Datenschutzrechts der Vereinigten Staaten aus dem Jahre 1996 (Schwartz/Reidenberg 1996, S. 215 ff., 387 ff.,
379 ff.) wird der gemeinsamen Strategie von amerikanischen Regierungskreisen und Wirtschaft, gesetzlichen Regelungsbedarf zu verneinen und ausschließlich auf Selbstregulierung zu setzen, ein deutliches Zeugnis erteilt:
Branchen- und Unternehmensrichtlinien sind in den USA weitgehend inexistent, und wenn vorhanden, sind sie vielfach den für die Datenverarbeitung
Verantwortlichen unbekannt und ohne wirksamen Sanktionsmechanismus.
Abgesehen von Ausnahmen mangelt es an Transparenz für die Betroffenen
ebenso wie an durchsetzbaren Individualrechten oder einem wirksamen
Schutz gegen zweckwidrige Datenverarbeitungen. Auch neuere Untersuchungen bestätigen die beschränkte juristische Wirksamkeit der Selbstregulierung nach amerikanischem Vorbild, indem sie die zentralen Probleme der selfregulation, die dem soft law immanente Unverbindlichkeit und die damit
zusammenhängenden Kontroll- und Vollzugsdefizite, offen legen (Wuermeling
2
3
2000, S. 187 ff. ; Grimm/Roßnagel 2000, S. 448 ff. ; Schwartz 2000, S. 349; 1999
S. 1609; Reidenberg 2001, S. 717). Es überrascht daher wenig, dass die Verhandlungen mit der US-Regierung über das Safe Harbor Principle
»Enforcement« einen Schwerpunkt bei den langwierigen Beratungen bildeten,
wobei gerade in diesem Punkt ein »Restrisiko« am größten sein dürfte
(Stellungnahme 4/2000 (Dok. CAO7/434/00 = WP 32) der Art. 29-Gruppe, 7 f.).
2.2 Japan, Singapur, Hongkong
Asiatische Selbstregulierungskonzepte finden sich in Japan, Singapur und
Hongkong. Im Jahre 2000 wurden in Hongkong sog. Codes of Practice on
Human Resource Management verabschiedet (Privacy Commissioner Hong
Kong 2000, S. 9 f. und 68 ff.). In der aktuellen Diskussion befindet sich ein Draft
Code of Practice on Monitoring and Personal Data Privacy at Work (Privacy
Commissioner Hong Kong 2002; zu Singapur s. EPIC/PI 2000, S. 13 f. und
Privacy Law and Business Int’l Newsletter, Vol. 53, April 2000, 7). In Japan mit
seiner »verwirrenden Vielfalt von Guidelines« (Überblick bei Roßnagel/Scholz
2000, S. 458) findet man solche für elektronisches Direktmarketing im Rahmen
Freundesgabe Büllesbach 2002
»Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung«
215
des Business-to-Consumer E-Commerce. Bei ihrer Ausarbeitung vom
Ministerium für internationalen Handel und Industrie (MITI) gefördert, gelten
sie für die Mitglieder des japanischen Direktmarketingverbands. Doch auch
aus Japan ist hinsichtlich der Befolgungsrate selbstregulierender Vorgaben
Kritik zu hören, da auch dort – ähnlich dem Beispiel USA – die entsprechenden Schwachstellen im Bereich der Durchsetzungsmöglichkeiten liegen:
Weder ist eine allgemeine Beachtung der Guidelines sichergestellt, noch erstreckt sich ihre Geltung auf die Angestellten der den Guidelines verpflichteten Unternehmen, die ihnen infolgedessen – da Sanktionen nicht zu befürchten sind – keine besondere Aufmerksamkeit schenken (Roßnagel/Scholz 2000,
S. 458 Fn. 61).
Von Ernüchterung ist denn auch die Bilanz gekennzeichnet, die die vom
Electronic Privacy Information Center (EPIC) in Washington und von Privacy
International (PI) in London gemeinsam verantwortete Studie »Privacy and
Human Rights 1999« zieht. Die Studie zeigt mit ungeschminkter Deutlichkeit,
dass die bisherigen Anstrengungen zum Datenschutz durch Selbstregulierung
enttäuschend ausfallen, wobei insbesondere »Adequacy« und »Enforcement«
die Hauptprobleme bilden; in vielen Ländern böten selbstregulierende Elemente nur geringen Schutz und mangelnde Durchsetzungsmöglichkeiten
(EPIC/PI 1999, S. 13 f.).
3. Europäisches Parlament und Europarat
Mit dem Ziel, das noch entwicklungsfähige Vertrauen der Benutzer in den
elektronischen Geschäftsverkehr durch ansprechende Lösungen für den
Schutz der Privatsphäre zu intensivieren, beschlossen im Jahre 1999 das
Europäische Parlament und der Ministerrat einen Aktionsplan zur Förderung
der sicheren Nutzung des Internet. Dieser wird angesichts seiner knappen
Mittelausstattung i.H.v. 25 Millionen Euro jedoch nur Anstöße bieten können.
Das bis Ende 2002 laufende Programm sieht als einen von vier Schwerpunkten die Förderung der Selbstkontrolle durch Verhaltenskodizes vor (FAZ vom
27. 7. 2000, S. 8).
Für den Bereich des Europarats verabschiedete das Ministerkomitee am
23. 2.1999 die Empfehlung zum Schutz personenbezogener Daten im Internet
(R (99) 5), die im Anhang »Leitlinien für den Schutz der Privatsphäre im
Internet« enthält. Die sog. »Internet Guidelines« stellen das erste derartige Regelwerk auf internationaler Ebene dar. Die Empfehlung verlangt von den Providern frühzeitige und umfassende Aufklärung über die mit ihren Diensten
möglicherweise verbundenen Risiken und appelliert an die Nutzer, alle erreichbaren technischen Vorkehrungen zum Aufbau eines hohen Eigenschutzes zu treffen. Die Guidelines setzen dabei vor allem auf die Eigeninitiative von
Providern und Nutzern, die möglichst weit im Vorfeld staatlicher Regulierung
ansetzen sollte. Sie könnten als Modelle für verhaltensregelnde Codes of
Conduct im nichtöffentlichen Bereich dienen.
Freundesgabe Büllesbach 2002
216
Jacob/Heil
4. Förderung von Verhaltensregeln nach der EG-Datenschutzrichtlinie
Das allein aus Art. 27 bestehende und »Verhaltensregeln« betitelte Kapitel V
der EG-Datenschutzrichtlinie bietet einen interessanten Ansatz zur Sicherung
eines bereichsspezifischen und technisch relevanten Datenschutzes für die
Mitgliedstaaten der EU und des EWR. Die Vorschrift will der gegen die
Selbstregulierung hauptsächlich vorzubringenden Kritik der Unverbindlichkeit, präzisiert durch die jederzeitige Abänderbarkeit und die mangelnde
Durchsetzungsfähigkeit, durch die Einführung eines Konsultationsverfahrens
zwischen staatlichen bzw. europäischen Stellen und den Verfassern von Verhaltensregeln begegnen.
Art. 27 Abs. 1 der Richtlinie verpflichtet Mitgliedstaaten und Kommission
zur Förderung der Ausarbeitung von Verhaltensregeln. Dabei liegt das Ziel
ausdrücklich darin, die bereichsspezifische Relevanz der aufgrund der Richtlinie erlassenen einzelstaatlichen Vorschriften zu erhöhen. Allerdings ist es
den Mitgliedstaaten verwehrt, ihre innerstaatlichen Vorschriften durch Verhaltensregeln zu ersetzen, da diese lediglich der Unterstützung der nationalen
Gesetzgebung zu dienen bestimmt sind (Dammann/Simitis 1997, Art. 27 Anm.3;
Ehmann/Helfrich 1999 Art. 27 Rdn. 8; Brühann 1999, Art. 27 Rdn. 8). Folglich
können datenschutzrechtliche Verhaltensregeln – im Gegensatz zum
Verbandsrecht, das etwa in Form von Satzungen abdingbares Recht durch
verbandsrechtliche Sondervorschriften ersetzt – das Gesetz nicht substituieren oder inhaltlich abändern, sondern lediglich ausfüllen und vervollständigen.
In Art. 27 Abs. 2 ist ein Verfahren zum Erlass von Verhaltensregeln auf mitgliedstaatlicher Ebene geregelt, das eine Kooperation zwischen Berufsverbänden und staatlichen Stellen vorsieht. Der ausschließlich empfehlende Charakter der Verhaltensregeln und ihre reine Hilfsfunktion machen eine vorherige Genehmigung im Sinne eines »Unbedenklichkeitsattests« (Dammann/
Simitis, 1997, Art. 27 Anm. 5), sowie die Überwachung ihrer Einhaltung durch
eine Kontrollinstanz erforderlich. Daher sind sie den Aufsichtsbehörden zur
Prüfung ihrer Übereinstimmung mit den Vorgaben des jeweiligen innerstaatlichen Rechts vorzulegen. Am Ende des dialogorientierten Verfahrens steht
eine Entscheidung der Aufsichtsbehörde, die im Falle eines positiven Ausgangs die vorgelegten Regelungen bestätigend annimmt (im einzelnen
Dammann/Simitis 1997, Art. 27 Anm. 8 f.; Brühann 1999, Art. 27 Rdn. 9 ff.).
Bestimmungen für Verhaltensregelungen auf der Ebene der Gemeinschaft
enthält Art. 27 Abs. 3. Ihnen wird im Hinblick auf den Binnenmarkt zunehmende Bedeutung prognostiziert, da sie die Harmonisierung erheblich voran
bringen können (Dammann/Simitis 1997, Art. 27 Anm. 10). Zuständig für Prüfung und Stellungnahme ist die Art. 29-Datenschutzgruppe (dazu Heil 1999 a,
472). Als Vorbereitung auf die praktische Ausführung dieses Auftrags hat die
Gruppe eine diesbezügliche Arbeitsunterlage verabschiedet (Dok. GD XV
D/5004/98 (WP13)). Danach bestimmt sie, ob ihr unterbreitete Verhaltensregeln mit den Datenschutzrichtlinien und gegebenenfalls den zu deren
Freundesgabe Büllesbach 2002
»Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung«
217
Umsetzung erlassenen einzelstaatlichen Vorschriften in Einklang stehen und
ob sie ausreichende Qualität und Kohärenz aufweisen sowie genügenden zusätzlichen Nutzen für die Richtlinien und andere geltende Datenschutzrechtsvorschriften liefern. Insbesondere stellt die Gruppe fest, ob der Entwurf der
Verhaltensregeln ausreichend auf die spezifischen Fragen und Probleme des
Datenschutzes in der jeweiligen Organisation oder auf dem spezifischen Sektor ausgerichtet ist und ob er für diese Fragen und Probleme ausreichend
klare Lösungen bietet.
Drei Organisationen haben der Arbeitsgruppe bislang ihre Entwürfe für
gemeinschaftliche Verhaltensregeln zur Annahme unterbreitet: FEDMA
(Federation of European Direct Marketing Associations), IATA (International
Air Transport Association) und AESC (Association of Executive Search
Consultants). Die Art. 29-Gruppe hat entsprechende Untergruppen gebildet,
die jeweils einen Verhaltenskodex prüfen.
5. EU-Mitgliedstaatliche Erfahrungen
Die generelle Linie der Richtlinie, die wichtigsten Elemente der verschiedenen nationalen Datenschutzgesetze zu kombinieren und zu einem Gesamtsystem zusammenzuführen, zeigt sich auch in Art. 27. Hinsichtlich der Förderung von Verhaltensregeln stützt sich die Vorschrift auf niederländische, britische und irische Vorbilder einer kontrollierten Selbstregulierung (Dammann/
Simitis 1997, Einl. Anm. 11, Art. 27 Anm. 1; Kuitenbrouwer 1997, S. 109), die
bislang vorwiegend auf den Gebieten des Handels- und Kreditauskunftswesens, des Direktmarketing und der Gesundheitsfürsorge bestehen.
Selbstregulierende Verhaltensregeln zum Datenschutz lassen sich zuerst für
die Niederlande nachweisen (Kaspersen 2000, S. 117 f.; Simitis, BDSG, § 1
Rdn. 118). Die im Datenschutzgesetz aus dem Jahre 1988 enthaltenen Vorschriften über Verhaltensregeln werden im novellierten Gesetz fortgeschrieben. Es regelt auf der Grundlage der im Gesetz selbst festgelegten Prinzipien
in Art. 25 die Ausarbeitung von Verarbeitungsbedingungen durch hinreichend
repräsentative Organisationen bis hin zur feststellenden Entscheidung der
Aufsichtsbehörde darüber, wie die letztlich allein verbindliche, im Amtsblatt
zu publizierende Regelung auszusehen hat.
Das irische Datenschutzgesetz von 1988 – noch im April 2002 befand sich
ein Novellierungsentwurf zur Umsetzung der Richtlinie 95/46/EG in der parlamentarischen Beratung – eröffnet in Sect. 13 interessierten Wirtschaftsverbänden sowie anderen Organisationen die Möglichkeit zur Erarbeitung von
Codes of Practice. Im Falle der Genehmigung durch die Aufsichtsbehörde ist
der Code of Practice dem Parlament zur abschließenden Entscheidung vorzulegen, woraufhin er rechtliche Bindungswirkung für alle Organisationen in
dem betreffenden (Geschäfts-) Bereich entfaltet.
Dagegen weist der britische Data Protection Act aus dem Jahre 1998 dem
Information Commissioner als Aufsichtsbehörde die Initiative zur VorbeFreundesgabe Büllesbach 2002
218
Jacob/Heil
reitung von Codes of Practice zu. Nach Sect. 52 par. 3 i.V.m. Sect. 51 par. 3 sind
Wirtschaftsverbände, Betroffene oder diese repräsentierende Organisationen
im Rahmen eines Konsultationsverfahrens mit einzubeziehen und die Entwürfe beiden Häusern des Parlaments zur Verabschiedung vorzulegen.
Im Zuge der Umsetzung von Art. 27 der EG-Datenschutzrichtlinie gesellen
sich zu den »klassischen« Ländern Niederlande, Irland und Vereinigtes Königreich weitere Mitgliedstaaten der Union. Ihnen steht ein beachtlicher Gestaltungsspielraum zur Verfügung, da Art. 27 bei der Förderung von Verhaltensregeln auf eine abschließende Verfahrensregelung verzichtet und sich stattdessen auf die Mitwirkung der zuständigen Stellen konzentriert. Die Mitgliedstaaten können festlegen, welche Organisationen oder Stellen überhaupt
Verhaltensregeln erlassen dürfen oder müssen, welche Verfahrensgrundsätze
dabei im einzelnen einzuhalten sind, ob und in welchen Verfahren selbstregulierenden Bestimmungen verbindlicher Charakter beigelegt werden kann, in
welcher Weise sich die Betroffenen darauf beziehen können und welche Mechanismen zur Bearbeitung von Problemfällen bzw. zur Durchsetzung bestehen müssen (Dammann/Simitis, 1997 Art. 27 Anm. 3). Entsprechende Vorschriften über Verhaltensregelungen finden sich in den neuen Datenschutzgesetzen von Belgien (Art. 44 Abs. 2 und 3), Finnland (Sect. 42), Italien (Art. 31
Abs. 1 Buchst. h), Portugal (Art. 32), Schweden (Sect. 12) und Spanien
(Art. 32).
6. Selbstregulierende Elemente im neuen Bundesdatenschutzgesetz 2001
Mit der Novellierung des BDSG (Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. 5. 2001, BGBl. I S. 904) wird in
Deutschland zunächst im Zusammenhang mit der Drittstaatenübermittlung
gem. § 4 c Abs. 2 Satz 1, 2.Hs. – neben Vertragsklauseln – verbindlichen Unternehmensregelungen die Möglichkeit einer Garantiefunktion eingeräumt,
wenn im Land des Datenimporteurs ansonsten kein dem Adäquanzprinzip
geschuldetes Datenschutzniveau gewährleistet ist. Das Gesetz stellt sich
damit der häufig anzutreffenden Situation, dass Teilunternehmen von international operierenden Unternehmen in Ländern ohne angemessenem Datenschutzniveau angesiedelt sind und das Verhältnis der Teilunternehmen untereinander in der Regel nicht von Vertragsklauseln bestimmt wird. Als Reaktion
hierauf gehen internationale Konzerne mehr und mehr dazu über, für alle
Teilunternehmen unabhängig vom Standort verbindliche Verhaltenskodizes
auf den Gebieten des Datenschutzes und der Datensicherheit zu erlassen
(Gackenholz 2000, S. 731 f.; Bizer 2001 a, S. 168). Ein derartiger Verhaltenskodex kann als Arbeitsanweisung oder als Verhaltensregel eigener Art konzipiert und umgesetzt werden. Dadurch können die Schutzwirkungen für betroffene Kunden oder Mitarbeiter gewährleistet werden (Heil in: Abel 2002, § 4 c
4
BDSG Anm. 2.1.6). Alfred Büllesbach (2000, S. 4 und 2001, S. 137 f. ) hat im
Hinblick auf Privacy Codes of Conduct für einen global operierenden Konzern
Freundesgabe Büllesbach 2002
»Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung«
219
die Diskussion angestoßen und ein interessantes und diskussionswürdiges
Konzept vorgelegt.
Im Rahmen der Umsetzung von Art. 27 der EG-Datenschutzrichtlinie sollen
nach § 38 a BDSG Verhaltensregeln von Berufs- und Branchenverbänden als
interne Regelungen zur ordnungsgemäßen Durchführung datenschutzrechtlicher Vorschriften beitragen. Derartige Verhaltensregeln böten einen
Rahmen, in dem sich Verbände oder sonstige Repräsentanten von Datennutzern und Betroffenen über ihre jeweiligen Interessen verständigen und
faire Verarbeitungsbedingungen aushandeln könnten. Hierfür kämen etwa die
Bereiche des Direktmarketing oder der Versicherungen in Betracht (Walz 2000,
S. 461). Den in § 38 a Abs. 1 BDSG genannten Verbänden und Vereinigungen
wird die Möglichkeit eingeräumt, von ihnen erarbeitete Verhaltensregeln der
Aufsichtsbehörde zu unterbreiten. Gem. Abs. 2 der Vorschrift ist die Aufsichtsbehörde zur Überprüfung der vorgelegten Entwürfe anhand des geltenden Datenschutzrechts verpflichtet.
Die in der Literatur mit Zustimmung (Bull, 1998, S. 313) aufgenommene
Regelung des § 38 a BDSG wird von der novellierten Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) flankiert (Bundeskabinett 2000 S. 7 ff.).
Deren § 43 Abs. 1 Nr. 3 legt i. V. m. dem in Anlage 7 enthaltene Prüfkatalog fest,
dass bei der Erstellung von Gesetzentwürfen nunmehr auch die Gestaltungsmöglichkeiten selbstregulierender Normgebung im Rahmen der erforderlichen Abwägungen in Betracht zu ziehen sind.
7. Zukunftsweisende Konzeption regulierter Selbstregulierung
Das Thema Selbstregulierung wird die Reformdiskussion um den Datenschutz begleiten und wie diese selbst noch für geraume Zeit die
Aufmerksamkeit auf sich ziehen. Folgerichtig widmet das im Auftrag des
Bundesministeriums des Innern erstellte Gutachten »Modernisierung des
Datenschutzrechts« für die zweite Reformphase des Datenschutzes (hierzu
Gerhold/Heil 2001, S. 381 f.) der Selbstregulierung die entsprechende Aufmerksamkeit (Roßnagel/Pfitzmann/Garstka 2001, S. 153 ff.): Für eine erste
Evaluierung aus Datenschutzsicht ergeben sich unter dem Eindruck außereuropäischer Beispiele, vor dem Hintergrund von Erfahrungen europäischer
Nachbarn und mit Blick auf die Äußerungen des Gutachtens für die zweite
Stufe der Datenschutzreform in Deutschland erste Postulate für selbstregulierende Normsetzungen.
Nach Klarheit verlangt einmal das begriffliche Gedankengebäude (so auch
Bennett 2000 a, 1), in dem Verhaltensregeln, Codes of Conduct, Codes of Practice, Privacy Commitments, Privacy Standards, Privacy Codes etc. – bisweilen
in kumulativer Aufzählung oder auch als Synonym für das jeweils andere –
5
verwendet werden (Bizer 2001 a, S. 168). Neben der definitorischen Aufgabe
und der prioritären Auseinandersetzung mit inhaltlichen Fragen liegen die
wesentlichen Herausforderungen in der Zuweisung ihres Stellenwertes im
Freundesgabe Büllesbach 2002
220
Jacob/Heil
Normengefüge und in der rechtlichen Absicherung der Verhaltensregeln.
Angesichts der Realitäten der Informationsgesellschaft ist es wünschwert
und letztlich unumgänglich, nach neuen Konzepten des Datenschutzes Ausschau zu halten. Allerdings muss Konsens darüber herrschen, dass selbstregulierende Elemente keine Alternative zur gesetzlichen Absicherung der
Grundkomponenten des Datenschutzes sein können (Simitis 1999, S. 212;
Schwartz 2000, 347 und 1999, S. 1696). Bei der Arbeitsteilung zwischen gesellschaftlichem Schutz und staatlicher Intervention (Gusy 2000, S. 58) muss ein
staatlich mitverantworteter Rahmen private Selbstregulierung begleiten. Dies
ist mit dem Konzept der »regulierten Selbstregulierung« am treffendsten
beschrieben (Hoffmann-Riem 1998, S. 537; Roßnagel/Pfitzmann/Garstka 2001,
6
S. 158 f.) Entscheidend für die Wirksamkeit einer Selbstregulierung sind das
materielle Niveau ihrer Regeln, die Wirksamkeit ihrer Kontrolle und ihre
Transparenz (Bizer, DuD 2001 b, 277). Letztlich wird Selbstregulierung nur
dann glaubwürdig und von Erfolg gekrönt sein, wenn Verstößen durch ein
präventiv wirkendes Haftungsrecht begegnet wird (Bizer, DuD 2001 b, 277).
Auch in bezug auf den Datenschutz ist es möglich, dass der Staat einige der
ihm historisch zugewachsenen Aufgaben der gesellschaftlichen Selbstregulierung überlässt (Roßnagel 1997, S. 30; Jacob 2000, S. 24). Von zentraler
Bedeutung ist dabei jedoch, dass er sich die Vorgabe der Spielregeln und die
Kontrolle ihrer Einhaltung vorbehält.
Zusammenfassung
7
Resümierend lassen sich fünf Thesen ableiten :
1. Die Rechtswirklichkeit der Informationsgesellschaft erfordert eine Öffnung des Datenschutzes für neue Denkansätze und Konzeptionen.
2. Der Staat kann im Datenschutzrecht einen Teilbereich seiner Aufgaben
der gesellschaftlichen Selbstregulierung überlassen.
3. Selbstregulierende Elemente können keine Alternative zur gesetzlichen
Absicherung der Grundkomponenten des Datenschutzes sein.
4. Bei der datenschutzrechtlichen Selbstregulierung muss sich der Staat die
Vorgabe der Spielregeln und die Kontrolle ihrer Einhaltung vorbehalten.
5. Die hierfür am besten geeignete Methode verkörpert das Prinzip der
regulierten Selbstregulierung.
1
2
3
4
5
Davon zu unterscheiden ist die Selbstregulierung i.S.d. Förderung von Verhaltensregeln gem.
Kap. V (Art. 27) der Richtlinie, denen im Gemeinschaftsgebiet lediglich eine unterstützende
Funktion eingeräumt wird, s. dazu unten 4.
Mit einer Zusammenstellung wichtiger US–amerikanischer Verbände und ihrer Codes of
Conduct, Codes of Ethics, Guidelines etc.
Zur Selbstregulierung durch Privacy Statements u.a.m. sowie zu den in den USA pro und contra vorgebrachten Argumenten zur Selbstregulierung mit zahlr. Nachw. auf S. 451 f.;
Zum Inhalt von Privacy Codes of Conduct für einen global operierenden Konzern.
Erste Definitionen finden sich bei Dammann/Simitis 1997, Art. 27 Anm. 1 und Bing 2000, 76.
Freundesgabe Büllesbach 2002
»Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung«
6
7
221
Damann/Simitis 1997, Einleitung, Anm. 11 und Kaspersen 2000, 122 sprechen von »kontrollierter Selbstregulierung« bzw. »controlled self-regulation«; Lutterbeck 2000, 103, plädiert für
ein »mixed system out of self-regulation and regulation by statutes.«
Hierzu und zum Vorstehenden Heil 2001, S.129 ff.; insbes. S. 133 f.; zusammenfassend Gerhold/
Heil 2001, S. 382.
Literatur
Abel, H. (1993): Praxishandbuch Datenschutz, Augsburg 1993 ff.
Bennett (2000): Privacy Self-Regulation in a Global Economy: A Race to the
Top, the Bottom or Somewhere Else?, Paper Prepared for Plenary Session
III of the International Conference of Privacy and Data Protection Commissioners, Venice, September 28 – 30, 2000.
Bing, J. (2000): Regulation and Self-Regulation in Data Networks: The Role or
Rule of Law in the Information Society, in: Wiebe (2000), S. 75 ff.
Bizer. J. (2001 a): Selbstregulierung des Datenschutzes, DuD 25 (2001), 168.
Bizer, J. (2001 b): Ziele und Elemente der Modernisierung des Datenschutzrechts, DuD 25 (2001), 274 ff.
Brühann, U. (1999): Richtlinie 95/46/EG zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr,
in: Grabitz/Hilf, Kommentar zur Europäischen Union, Teil II: Sekundärrecht,
EG-Verbraucher- und Datenschutzrecht (Hrsg. Wolf), A 30, München 1999.
Büllesbach, A. (2000): Datenschutz in einem globalen Unternehmen, RDV
2000, 1 ff.
Büllesbach A. (1999): Datenverkehr ohne Datenschutz? – Eine globale
Herausforderung, Köln 1999.
Büllesbach A. (Hrsg.) (1999 a): Innovation und technikgestaltender Datenschutz – gesellschaftliche und wirtschaftliche Anforderungen, in:
Büllesbach (1999), S. 1 ff.
Büllesbach, A. / Höss-Löw, P. (2001): Vertragslösung, Safe Harbor oder Privacy
Code of Conduct, DuD 25 (2001) 135 ff.
Bull, H.-P. (1998): Neue Konzepte, neue Instrumente? – Zur Datenschutzdiskussion des Bremer Juristentages, ZRP 1998, 310 ff.
Bundeskabinett (2000): Beschluss des Bundeskabinetts vom 26. Juli 2000, in:
Bundesministerium des Innern (Hrsg.), Moderner Staat – Moderne
Verwaltung, Berlin 2000.
Dammann, U. (2000): Safe Harbor – neue Elemente im internationalen
Datenschutz, in: Simon/Weiss (Hrsg.) (2000), S. 19 ff.
Dammann, U./Simitis, S. (1997): EG-Datenschutzrichtlinie, Kommentar,
Baden-Baden 1997.
Ehmann, E./Helfrich, M. (1999): Die EG-Datenschutzrichtlinie, Kurzkommentar, Köln 1999.
EPIC/PI (1999): Electronic Privacy Information Center (EPIC) / Privacy International (PI), Privacy and Human Rights 1999 – An International Survey of
Privacy Laws and Developments, Washington/D.C., USA, 1999
Gackenholz (2000): Datenübermittlung ins Ausland unter besonderer
Freundesgabe Büllesbach 2002
222
Jacob/Heil
Berücksichtigung internationaler Konzerne, DuD 24 (2000), S. 727 ff.
Gerhold, D. / Heil, H. (2001): Das neue Bundesdatenschutzgesetz 2001, DuD 25
(2001), S. 377 ff.
Grimm, R. / Rossnagel, A. (2000): Datenschutz für das Internet in den USA,
DuD 24 (2000), S. 446 ff.
Gusy, Chr. (2000): Informationelle Selbstbestimmung und Datenschutz: Fortführung oder Neuanfang? , KritV 83 (2000), S. 52 ff.
Heil, H. (1999 a): Die Artikel 29-Datenschutzgruppe, DuD 23 (1999), S. 471 ff.
Heil, H. (1999 b): Europäische Herausforderung – Transatlantische Debatte/
Zur Datenschutzdiskussion zwischen der EU und den USA, DuD 23 (1999),
S. 458 ff.
Heil, H. (2000): Safe Harbor: Ein Zwischenstandsbericht, DuD 24 (2000),
S. 444 f.
Heil, H. (2001): Datenschutz durch Selbstregulierung – Der europäische
Ansatz, DuD 25 (2001), S. 129 ff.
Hoffmann – Riem, W. (1998): Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Weg zu einem neuen Konzept des Datenschutzes, AöR 123 (1998), S. 513 ff.
Jacob, J. (2000): Datenschutz in Netzen: Es gibt keinen Grund zur Resignation! – Perspektiven zwischen Regulierung und Selbstregulierung, in: Wiebe
(2000), S. 17 ff.
Kaspersen, H. (2000): Self-regulation and the Internet, in: Wiebe (2000),
S. 117 ff.
Kranz, H.-L. (1998), Datenschutz im internationalen Luftverkehr, DuD 22 (1998),
S. 215 ff.
Kranz, H.-L. (2001): Kundendatenschutz und Selbstregulierung im Luftverkehr,
DuD 25 (2001), S. 161 ff.
Kuitenbrouwer (1997): Self-Regulation: Some Dutch Experiences, in: U.S.
Department of Commerce (Ed.), Privacy and Self-Regulation in the
Information Age, Washington/D.C., USA, 1997, S. 109 ff.
Lutterbeck, B. (2000): Regulation and Self-Regulation in Open Networks – Four
Theses on Internet Governance, in: Wiebe (2000), S. 103 ff.
Privacy Commissioner Hong Kong (2000): Office of the Privacy Commissioner
for Personal Data, Annual Report 1999 – 2000, Hong Kong 2000.
Privacy Commissioner Hong Kong (2002): Office of the Privacy Commissioner
for Personal Data, Draft Code of Practice on Monitoring and Personal Data
Privacy at Work, Consultation Document, Deadline for Submission of Comments 7 June 2002, Hong Kong 2002.
Reidenberg, J. R. (2001): E-Commerce And Trans-Atlantic Privacy, Houston
L.R. 44 (2001), S. 713 ff.
Roßnagel, A. (1997): Globale Datennetze: Ohnmacht des Staates –
Selbstschutz der Bürger, ZRP 1997, S. 26 ff.
Roßnagel, A. / Pfitzmann, A. / Garstka, H. (2001): Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Innern,
Berlin 2001.
Freundesgabe Büllesbach 2002
»Datenschutz im Spannungsfeld von staatlicher Kontrolle und Selbstregulierung«
223
Roßnagel, A. / Scholz, P. (2000): Datenschutz in Japan, DuD 24 (2000), S. 454 ff.
Schwartz, P. (1999): Privacy and Democracy in Cyberspace, Vanderbilt L.R. 52
(1999), S. 1609 ff.
Schwartz, P. (2000): Privacy, Participation, and Cyberspace: An American
Perspective, in: Simon/Weiss (Hrsg.) (2000), S. 337 ff.
Schwartz, P. / Reidenberg, J. R: (1996): Data Privacy Law, Charlottesville/Virginia, USA, 1996.
Simitis, S.: Der Transfer von Daten in Drittländer – ein Streit ohne Ende? in:
Büllesbach (1999), S. 177 ff.
Simitis, S. / Dammann, U. / Geiger, H. / Mallmann, O. / Walz, S.: Kommentar
zum Bundesdatenschutzgesetz, 4. Aufl., Baden-Baden 1992 ff.
Simon, D. / Weiss, M. (Hrsg.) (2000): Zur Autonomie des Individuums – Liber
Amicorum Spiros Simitis, Baden-Baden 2000.
Tauss, J. / Özdemir, C. (2000): Umfassende Modernisierung des Datenschutzes
in zwei Stufen, RDV 2000, S. 143 ff.
Walz, S. (2000): Selbstkontrolle versus Fremdkontrolle – Konzeptwechsel im
deutschen Datenschutzrecht? in: Simon / Weiss (Hrsg.) (2000), S. 455 ff.
Wiebe, A. (2000): Regulierung in Datennetzen, Darmstadt 2000.
Wuermeling, U. (2000): Handelshemmnis Datenschutz – Die Drittländerrege
lung der Europäischen Datenschutzrichtlinie, Köln etc. 2000.
Freundesgabe Büllesbach 2002
224
Freundesgabe Büllesbach 2002
225
Winfried Hassemer
Staat, Sicherheit und Information*
1. Vorläufiges
1.1 Der rhetorische Trick
Seit Menschen von Berufs wegen anderen Menschen etwas erzählen, gehört
es zu ihren rhetorischen Tricks, gleich am Anfang zu betonen, man verstehe
von der Sache, um die es jetzt gleich gehen wird, rein gar nichts – nichts – fast
nichts – jedenfalls viel zu wenig, um vor einem Publikum wie dem, das man
gerade vor sich hat, auch nur länger als zwanzig Minuten halbwegs bestehen
zu können.
Dieser Trick, der garantiert auch einen Namen hat, wahrscheinlich einen
griechischen – die Griechen haben diese Tricks zwar nicht alle erfunden, sie
aber in ein System gebracht und ausgebaut, wovon dann die Römer profitieren konnten –, ist hochklassig, nämlich sowohl simpel als auch vielversprechend. Dies vor allem dürfte der Grund sein, warum er zum eisernen Bestand
derjenigen Täuschungsinstrumente rechnet, mit denen die Amerikaner
(gemeint sind natürlich die Nordamerikaner) immer wieder versuchen, sich
ihre unwilligen Hörer gefügig zu machen; denn die Amerikaner lieben diese
Art Rhetorik – warum, weiß ich auch nicht, ist hier aber auch egal.
Der Trick jedenfalls ist nicht schlecht. Er macht den Redner nämlich gleich
sympathisch: Der hat offenbar nicht nur wenig Ahnung, sondern sagt das
auch noch, und der Zuhörer darf sich gebauchpinselt fühlen, weil er paradoxerweise aus seinem anonymen Publikum auf den isolierten armen Kerl da
vorne hinuntergucken kann, und das ist doch ein wirklich schönes Gefühl; und
dieses Gefühl hat er dem Redner zu verdanken, was ihn schon mal für diesen
einnimmt, und das ist rhetorisch bereits die halbe Miete. (Als Redner muss
man nur aufpassen, dass es bei dem Gefühl bleibt; denn sollten die Zuhörer
den Eindruck gewinnen, dass ihnen gar kein rhetorischer Trick, sondern die
reine Wahrheit aufgetischt worden ist, werden sie sich trotz aller schönen
Gefühle vielleicht fragen, was sie hier sollen: weshalb sie Zeit, Geld und Mühe
aufgewendet haben, um jemandem zuzuhören, der tatsächlich weniger
Ahnung von der Sache hat als sie selber. Es ist also ein schmaler Grad, auf
dem man wandelt als Redner, und leicht kann man abstürzen.)
1.2 Pfeiler und Gewimmel
Drei Pfeiler sind es, die ich zu dem rechnen möchte, was ein Professor des
Rechts, ein Verfassungsrichter, ein am Zeitgeschehen interessierter Bürger,
Zeitungsleser und gelegentlicher Fernsehzuschauer mehr oder weniger vollständig zur Verfügung hat und worauf er sich jedenfalls vorläufig verlassen darf:
Freundesgabe Büllesbach 2002
226
Hassemer
– eine Einschätzung des Staates, seiner Geschichte und seiner Möglichkeiten zuerst;
– des Weiteren ein auch auf Gründe gestütztes Gefühl für Information und
Privatheit, für deren Chancen und Bedrohungen;
– und endlich Erfahrungen mit den aktuellen Bedürfnissen sowohl des
Staates als auch der Bürgerinnen und Bürger nach Sicherheit – alles
gesehen, erinnert und erlebt unter den Scheinwerfern unserer Zeit, die
durchaus selektiv und dabei auch in wechselnder Intensität das beleuchten oder im Dunkeln belassen, was uns umgibt. Staat, Sicherheit und
Information sind die Felder, auf denen ich mir Urteilskraft zutraue – auch
in Erinnerung und Wiederbelebung der Erfahrungen, die ich während der
fünf Jahre machen durfte, die ich als der Datenschutzbeauftragte des
Landes Hessen gearbeitet habe.
Die Gebiete, auf denen ich mich auf mein eigenes Urteil nicht gänzlich verlassen kann, setzen sich aus fast sämtlichen Einzelheiten der Informationstechnologie im Jahr 2002 zusamnmen – wobei »Einzelheiten« nicht identisch sind
mit »Quisquilien«, sondern durchaus anspruchsvoll und komplex bestimmt
mit dem, was das Wort umgangssprachlich zum Ausdruck bringt. Das Programm dieses Kongresses benennt in seinen Gegenständen das, was ich
meine – von Online-Wahlen bis E-Mail-Sicherheitslösungen.
Diese Einzelheiten sind mir, trotz entschlossener Bemühungen, den Faden
nicht abreißen zu lassen, seit meinem Wechsel aus dem Amt des Datenschutzbeauftragten an das Bundesverfassungsgericht im Frühsommer 1996
immer weniger zur Hand, sie werden immer mehr zum Gewimmel, das den
Gesetzen des Chaos zu folgen scheint statt denen einer wohlbegründeten
Erwartung. Dieser Eindruck kann natürlich der Wirklichkeit entsprechen; aber
mit Urteilen dieser Art möchte ich lieber etwas vorsichtiger sein. Eine solche
Erfahrung mag auf Gebieten wie denen der Allgemeinen Strafrechtslehre oder
der Moralphilosophie, die sich eher sub specie aeternitatis entwickeln, nicht
der Rede wert sein. Bei den Technologien von Information und Kommunikation sieht das gänzlich anders aus. Dort nämlich geht es eher zu wie beim
professionellen Musikmachen, wo man selber nach dem ersten Tag, das aufmerksame Publikum aber schon nach dem dritten Tag merkt, dass man nicht
geübt hat.
Also, ich habe lange nicht mehr richtig geübt. Und ich kann ein Lied davon
singen – keine Angst: nicht hier –, wie unterschiedlich die Erinnerungsfähigkeit der Bereiche ist, auf denen wir uns Wissen und Können erarbeitet haben.
Möglicherweise wird die eine oder der andere mir jetzt freundlich entgegenhalten, auf solche Einzelheiten komme es nicht an, wenn nur die
Grundlagen richtig bestimmt sind und die Richtung. Ich kann überdies auch
darauf verweisen, dass ich nicht nur gesammelt, sondern auch gelesen habe,
was mir in den letzten Monaten an relevanten Einzelheiten für mein Thema
unter die Finger gekommen ist. In der Sache aber hilft es am Ende nur ein bisschen:
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
227
Der Hinweis auf die richtige Grundlagen- und Richtungsbestimmung oberhalb eines Gewimmels von Einzelheiten ist geradezu gefährlich; denn was, so
frage ich, wenn nicht die Einzelheiten eines Gegenstandsbereichs, ist letztlich
Kriterium dafür, ob Richtung und Grundlagen richtig bestimmt worden sind?
Gewiss, nie sind es die Einzelheiten allein, die einem die Richtung angeben
können, und es »gibt« auch keine Einzelheiten außerhalb ihrer theoretischen
Bestimmung, ja außerhalb ihrer Konstitution durch Beobachtung, durch
Vorstellung und Theorie. Das weiß jeder handwerklich gebildete Erkenntnistheoretiker (Hassemer, 2001, S. 15 ff.). Einzelheiten brauchen das Ganze, damit
es sie – für uns – überhaupt gibt. Aber es gibt eben, wie derselbe Handwerker
der Kognition ebenso gut weiß, auch keine akzeptable Vorstellung ohne eine
solide Verfügung über das Vorgestellte, es gibt keine Form ohne Stoff, kein
Allgemeines ohne das Besondere, es gibt das Ganze nicht ohne die Einzelheiten, und da liegt mein Hase im Pfeffer. Klar, dass viele Leute vor lauter
Bäumen den Wald nicht mehr sehen können, dass dem Gschaftlhuber unter
seinen vielen einzelnen Kostbarkeiten das Ganze entgleitet – aber andersherum wird auch ein Schuh draus: Wer, wie ich, über die Einzelheiten nicht
verläßlich verfügt, ist in der Gefahr, zumindest das sichere Gefühl für das
Ganze zu verlieren, wenn nicht schon die Verlässlichkeit der Wahrnehmung
von Einzelheiten.
Das ist nun keine Klage und noch viel weniger eine Entschuldigung. So ist
eben das Leben auf den Feldern der Wissenschaft und der wissenschaftlich
angeleiteten Praxis heutzutage. Bescheidenheit ist angebracht – und zwar für
alle. Wer meint, er verfüge über das Gesamte, über die Pfeiler und das
Gewimmel zugleich, der sollte gerade über diese seine Meinung einmal vertieft nachzudenken beginnen. Nein, ich entschuldige mich nicht, sondern
mache bloß den Versuch, Ihre Erwartungen zu präzisieren und notfalls zu korrigieren:
Ich möchte darüber sprechen, was es mit Staat und Information in unseren
Zeiten auf sich hat und welche Rolle die Sicherheit dabei spielt. Ich bin davon
überzeugt und habe dafür Gründe, dass die Kategorie der Sicherheit, auch
außerhalb des Bereichs von Information und Kommunikation, heute eine zentrale Bedeutung für unser Leben hat – innen und außen, also nicht nur für
Marktplatz und Institutionen, sondern auch für Ängste und Einschätzungen.
Ich meine, dass es hier Probleme gibt, die sich beschreiben lassen, und ich
sehe einige Auswege. Ob das alles in Einzelheiten und in der Richtung stimmt,
wenn man es, wie Sie es diesem Kongress zum Ziel gesetzt haben, auf die
Sicherheitsinfrastruktur konzentriert, das weiß ich nicht, hoffe es aber.
Insofern bin ich bezüglich aller Einzelheiten auf Sie angewiesen (wie Sie hoffentlich auch auf mich, soweit es um die allgemeineren Einschätzungen der
Lage und der Auswege geht).
Das alles ist am Ende vielleicht nicht wenig – wenn man bedenkt, daß es
meine Aufgabe ja nicht ist, Ihren Sicherheitskongress bündig und mit sicheren Einschätzungen der Probleme abzuschließen, sondern vielmehr bloß: ihn
einzuleiten.
Freundesgabe Büllesbach 2002
228
Hassemer
2. Befunde
Staat, Sicherheit und Information, meine drei Pfeiler, sind miteinander nicht
starr, aber doch fest verbunden und stehen zueinander in engem Kontakt. Das
ist nicht weiter verwunderlich in Zeiten, da sowohl die Infomation als auch die
Sicherheit in das Zentrum der öffentlichen und der privaten Wahrnehmung
gerückt sind; sollte, wie bei uns, in diesen Zeiten auch der Staat noch überlebt
haben, so darf man getrost erwarten, daß die Entwicklungen von Sicherheit
und Information – man kann diese Entwicklungen schon Karrieren nennen –
nicht an ihm vorbei gelaufen sind, dass sie ihn vielmehr ebenfalls ergriffen
und verändert haben.
So ist es auch, und man kann es vorläufig kurz zusammenfassen: Wir leben
in einer Informationsgesellschaft, der Sicherheit zu einem der wichtigsten
Güter geworden ist. Beides hat den Staat und unser Verhältnis zu ihm tiefgreifend verändert. Davon soll jetzt die Rede sein.
2.1 Information
Wären wir hier unter Strafrechtsprofessoren oder Hühnerzüchtern statt unter
Theoretikern und Praktikern der Informationsgesellschaft, so wäre das
Gähnen, das ein Redner verbreitet, der sich über die Informationsgesellschaft
auslässt, vermutlich dasselbe. Dass wir in einer Informationsgesellschaft leben, gehört heute nämlich zum gesicherten Bestand jeglicher Sonntagsrede
wie früher beispielsweise die Warnung vor den Gefahren der Technik für die
abendländischen Werte: Hier kann ein Redner, solange er unter den Fittichen
des Zeitgeists verbleibt, absolut nichts mehr falsch machen, hier ist er auf der
sicheren Seite, und auch kritische Zuhörer kann er mit ein paar Floskeln bis
zum Gähnen ruhig stellen. Das Problem ist nur, dass die auch dann gähnen,
wenn er etwas ganz anderes vorhat als sie ruhig zu stellen.
2.1.1 Informationsgesellschaft
Das ist nun genau meine Lage. Denn was allgemein verbreitet ist, ist ja nicht
schon deshalb auch gleich falsch, und dass wir in einer Informationsgesell
schaft leben, ist, auch wenn alle dran glauben und es immer wieder erzählen,
gleichwohl wahr, und vor allem hat es Konsequenzen. Und um diese Konsequenzen geht es mir. Deshalb muss ich, so prekär das hier auch sein mag, kurz
skizzieren, was für mich heute »Informationsgesellschaft« meint und welche
Züge sie hat; darauf nämlich baut sich dann eine Analyse der Rollen auf, die
Sicherheit und Staat heute spielen.
Immerhin kann ich einer Mehrheit unter Ihnen versprechen, das Phänomen
»Information« aus einem Blickwinkel zu präsentieren, der Ihnen nicht geläufig
ist. Es ist der Blick des Strafrechts und des Strafverfahrensrechts. Ich werde
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
229
dann später, wenn Sie mit diesem Blick vertraut sind, noch einmal schnell aus
dieser Ecke schauen, wenn es um die Analysen von Sicherheit und von Staat
geht.
Ohne Zweifel steht die Kategorie »Information« jedenfalls in der westlichen
Gesellschaft des Jahres 2002 im Zentrum unserer Welt, und deshalb nennen
wir uns mit Fug eine Informationsgesellschaft. Nicht so, als ob es in diesem
Zentrum nichts anderes gäbe – man denke nur an die Gentechnologie oder an
die Durchdringung unserer Lebensgrundlagen mit ökonomischen Parametern. Aber doch so, dass »Information« die Ordnung der Eisenfeilspäne,
nach denen wir uns ausrichten, mit definiert. Sie bestimmt das Äußere und
das Innere, das Objektive wie das Subjektive, also nicht nur das Leben, sondern auch unsere Wahrnehmung vom Leben.
Es geht bei dem, was durch Information definiert wird, beispielweise um
das Bruttosozialprodukt, um seine Kriterien und Faktoren und um die Orte, an
denen es erwirtschaftet wird, es geht um die Typen von Berufen und
Beschäftigungen, die an den Rand wandern oder in die Mitte, es geht um den
Stellenwert des Produkts »Information« auf den Skalen des individuellen, des
ökonomischen, des gesellschaftlichen und des staatlichen Lebens. Das Gut
»Information« hat diese Räume und ihre Strukturen durcheinander gebracht
und neu geordnet, und es hat sie, nebenbei gesagt, auch geweitet; denn
Informationen sind leicht transportabel. Es geht aber auch um die Art und
Weise, wie die Menschen ihr Leben wahrnehmen, was sie für wichtig und
bedeutsam halten, wovon sie träumen, was ihnen als plausibel oder als verführerisch erscheint, kurz: In der Informationsgesellschaft durchwirkt die
Kategorie »Information« nicht nur – was nahe liegt – die objektiven Strukturen
und Inhalte des öffentlichen und privaten Lebens; sie konstituiert auch die
Akteure und deren Wahrnehmung der Welt. Sie ist ein roter Faden unseres
Alltags, von der herrschenden Ökonomie über Kriterien der lebensweltlichen
Rationalität bis hin zu dem, was wir als Kunst gelten lassen.
2.1.2 Belege
Betrachtet man sich nun das Strafrecht als Beleg, so findet man Bestätigungen
dieser Diagnose in einer recht unwichtigen, ja abgelegenen, dafür aber umso
verlässlicheren Ecke; im Strafrecht nämlich. Das Strafrecht läuft der Informationsgesellshaft natürlich, wie allen anderen gesellschaftlichen Entwicklungen, hinterher, und das aus gutem Grund; es wäre ja schrecklich, wenn
diese Entwicklungen ausgerechnet vom Strafrecht angestoßen oder gar verantwortet würden. Es läuft also hinterher. Es läuft aber wacker.
2.1.2.1 Blut und Information
Das Strafrecht ist vermutlich dasjenige Rechtsgebiet – und aus diesem Grund
Freundesgabe Büllesbach 2002
230
Hassemer
ist es hier ja auch ein verlässlicher Indikator –, das von der Kategorie
»Information« weiter entfernt ist als alle anderen. Selbst das doch ebenfalls
erdnahe Familienrecht lässt Konstellationen von Information als seine normalen Probleme zu, etwa hinsichtlich von Vermögensbeständen der Ehegatten
oder von Abstammungsverhältnissen. Das Strafrecht hat es herkömmlich mit
handfesten Dingen zu tun, mit Blut, Knochen und Geld, mit Entführen und
Festhalten, Berauben und Vergewaltigen. Das Rechtsgut der Ehre, dem flüchtigen Gegenstand »Information« noch am nächsten verwandt, macht den
Kriminalisten eben deshalb traditionell Probleme (Im Zusammenhang dargestellt bei Frisch, 1983, passim, bes. S. 37ff., 161ff.). Das strafrechtliche Denken, am Handhaften hängend, hat die Beleidigung einmal erschöpfend
beschreiben wollen als das Auftreffen von Schallwellen auf das Trommelfell –
nicht nur zu unserer Belustigung, sondern auch zu unserer Belehrung: wie
fern diesem Denken alles Vergeistigte, Entmaterialisierte, wie fern ihm das
Phänomen Information ist und wie nah alles, was man anfassen kann.
Das hat sich, mit dem Heraufkommen der Informationsgesellschaft, dramatisch geändert, und das strafrechtliche Denken hat diese Entwicklung noch
lange nicht verkraftet. Daran kann man studieren, bis in welche Winkel sich
bei uns die Kategorie Information ausgebreitet hat.
2.1.2.2 Strafbarkeit
Im materiellen Strafrecht, wo es im Wesentlichen um die Beschreibung des
strafbaren Verhaltens und um die Strafdrohungen geht, kann man die
Reformen der vergangenen Jahre getrost als die Karriere derjenigen Deliktstypen kennzeichnen, die es mit Information zu tun haben. Gewiss, es gab auch
gesetzliche Veränderungen im Recht der Abtreibung, der Körperverletzung
oder der Vergewaltigung; das aber, was man mit Grund eine Modernisierung
des Strafrechts nennen kann im Sinne seiner Anpassung an den sozialen
Wandel, der gerade im historischen Moment sich ereignet, der das Strafrecht
umgibt und den es mit beeinflussen will, das bezieht sich auf flüchtige, auf
nicht-handhafte, eben auf »moderne« Gegenstände wie die Kategorie der
Information.
Das sind natürlich und trivialerweise zuerst einmal die Tatbestände, die den
Schutz der Datenverarbeitung im weitesten Sinne gewährleisten wollen; das
sind aber auch und vor allem die Verbote von informativem Zusammenschluss, von kommunikativer Verbrechensvorbereitung, von informationeller
Abstimmung und krimineller Einwirkung auf kognitive Vorstellungen des
Opfers – sämtlich Verhaltensweisen, welche die Information als instrumentum
sceleris, als Verbrechensmittel einsetzen: Subventions- und Kapitalanlagebetrug, Korruption, organisierte Vorbereitung und Durchführung von Rechtsverletzungen, Steuerhinterziehung usw., gewerbsmäßige Kriminalität und
Bandenkriminalität. Diese Art Rechtsverletzung riecht nicht mehr nach dem
klassischen Arme-Leute-Strafrecht früherer Zeiten, sondern eher nach After
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
231
Shave und Benzin. Sie lebt und stirbt mit dem Gelingen und Mißlingen informationellen Austauschs.
2.1.2.3 Strafverfahren
Im formellen Strafrecht, wo es im Wesentlichen um das Verfahren zur
Aufklärung und Verhandlung von Straftaten geht, ist das Bild ähnlich. Hier
haben sich die Reformen der vergangenen Jahre auf ein ganz kleines Feld des
gesamten Gegenstandsbereichs konzentriert, sie haben nur in eine ganz
bestimmte Richtung gewirkt, und sie haben fast ausschließlich die Kategorie
»Information« bedient.
Diese Reformen beschränkten sich auf das strafrechtliche Ermittlungsverfahren und verschärften dort die gesetzlichen Instrumente der Wahrheitserforschung. Sie ergänzten die klassischen Eingriffsmittel wie Durchsuchung,
Beschlagnahme oder Untersuchungshaft, die – ähnlich den herkömmlichen
Tatbeständen des materiellen Strafrechts – eher handhaft konstruiert waren,
durch Erkenntnisinstrumente, die in einer dem materiellen Strafrecht vergleichbaren Weise »modern« aussehen und »modern« wirken. Es sind sämtlich Mittel, die auf Informationsgewinnung setzen: Rasterfahndung, langfristige polizeiliche Observation, Lausch- und Spähangriffe, Erweiterung der
Fernmeldeüberwachung, Nutzung geheimdienstlicher Erkenntnisse für das
Strafverfahren. Diese Mittel unterscheiden sich von den überkommenen
Methoden der Wahrheitserforschung im Ermittlungsverfahren durch zwei fundamentale Kennzeichen, die sich sämtlich dem Umstand verdanken, dass es
nunmehr zentral um Informationsgewinnung geht: Sie sind auf Heimlichkeit
angewiesen, weil sie ansonsten schon technisch nicht funktionieren, und sie
erstrecken sich nicht nur auf den Verdächtigen, sondern typischerweise auf
eine ganze Anzahl von Menschen, die mit der aufzuklärenden Tat eher zufällig
und vorübergehend verbunden sind.
Es läßt sich, jedenfalls mit einer gewissen eingriffstheoretischen Sensibilität, leicht sehen, dass diese Modernisierung des Strafrechts nicht nur ein
rechtsstaatlicher Glücksfall ist; sie ist auch, ja vor allem eine Verlängerung und
Verschärfung des Schwerts, mit dem das Strafrecht in bürgerlichen Freiheitsräumen operiert. Darum aber soll es hier nicht gehen. Hier geht es um den
handgreiflichen Beleg für den Siegeszug der Kategorie »Information« auch in
Bereichen, die herkömmlich – und übrigens auch aus guten Gründen (Köhler,
S. 53ff. m. Nachw.) – mit dieser Kategorie wenig zu tun hatten. Und dieser
Beleg liegt offen zu Tage.
2.2. Sicherheit
Man hat uns eine »Risikogesellschaft« genannt, und diese Kennzeichnung,
vorgetragen von Sozialwissenschaftlern, Philosophen und auch Kriminalisten
Freundesgabe Büllesbach 2002
232
Hassemer
(F. Herzog, 1991, bes. S. 50ff.; Prittwitz, 1993, passim), teilt das Schicksal des
Labels »Informationsgesellschaft«: Sie ist mittlerweile fester Bestandteil zeitgeistiger Sonntagsreden, was aber nichts daran ändert, dass sie stimmt. Und
von der Risikogesellschaft geht es geradewegs zu den Gefilden, in denen das
Bedürfnis der Menschen nach Sicherheit wächst und gedeiht, um sodann in
Theorie und Praxis des Verfassungsrechts reiche Früchte zu tragen. Auch das
möchte ich – in umgekehrter Reihenfolge – kurz skizzieren und dabei wiederum ein paar Belege aus den Entwicklungen meines Fachs, des Strafrechts,
vorzeigen.
2.2.1 Grundrecht auf Sicherheit
Schon 1983 hat ein Staats- und Verfassungsrechtler, der auch über einen
scharfen Blick für politische und gesellschaftliche Entwicklungstendenzen verfügt – Josef Isensee –, ein »Grundrecht auf Sicherheit« formuliert (Isensee),
das in mancherlei Hinsicht quer steht zu unseren verfassungsrechtlichen
Traditionen und zu der Art und Weise, wie wir gewohnt waren, Grundrechte
zu verstehen und dem Staat theoretisch wie praktisch gegenüberzutreten.
Isensee hat die Entwicklung zu einem Recht auf Sicherheit nicht
»erfunden«oder gar »initiiert« – wie denn auch, wenn sie, was ich behaupte,
alle modernen westlichen Gesellschaften gleichermaßen kennzeichnet –; er
hat sie aber theoretisch auf den Punkt gebracht und sie vielleicht hie und da
auch praktisch befördert (Umsichtige und aktuelle Darstellung der Sicherheit
als »Schutzgut« bei Marion Albers, 2001, S. 30ff.)..
Ein Grundrecht auf Sicherheit passt mit unseren verfassungsrechtlichen
Herkömmlichkeiten augenscheinlich schlecht zusammen. Die Grundrechte
galten der liberalen Tradition, die Verfassung zu verstehen, als Abwehrrechte,
und zwar gegen den Leviathan, den übermächtigen Staat, der die Menschen
zugleich nährte und bedrohte (Exemplarisch Denninger, 1990).
Der Staat und niemand sonst war die Gefahr, die es in den Texten zu
beschwören und im Alltag zu bändigen galt, er war es, der die Freiheitsräume
der Bürgerinnen und Bürger gefährdete und beschränkte durch Machtlust,
Ordnungsfanatismus, Neugierde oder blinden Unterwerfungseifer, ihm
gegenüber galt es, auf der Hut zu sein und im Notfall – beispielsweise mithilfe der Verfassung, der Gerichte, aber auch der Presse – die Grenzen legitimen
Eingriffs zu bewachen, zu markieren und dann auch durchzusetzen. Die Rechte
auf Unverletzlichkeit der Wohnung, auf Freiheit der Meinungsäußerung oder
auf Schutz des Eigentums – klassische Grundrechte – waren in der Tradition
der politischen Philosophie der Aufklärung, der wir uns verbunden wussten,
Vorkehrungen gegen einen gefräßigen, zu Übergriffen neigenden Staat.
Vor diesem Hintergrund wird sichtbar, dass ein Grundrecht auf Sicherheit
einer anderen Welt angehört. Es hat gleichsam die Seiten gewechselt, hat sich
ins Feld des Feindes geschlagen, wendet sich hilfesuchend ausgerechnet an
denjenigen, dessen Übergriffe es – als Grundrecht – einstmals abzuwehren
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
233
hatte. Denn wie ist die Sicherheit herzustellen, auf die das Grundrecht auf
Sicherheit sich richtet? Doch nur durch Einschränkungen anderer - eben der
klassischen – Grundrechte. Denn die haben ja den Bürgern – und natürlich
auch den frechen, den verbrechensgeneigten – Freiheit verbürgt, wollten den
Staat an die Kette legen. Ein Grundrecht auf Sicherheit hingegen läßt sich nur
ins Werk setzen, wenn der Staat exakt das Gegenteil dessen tut, was das überkommene Verständnis der Grundrechte wollte, wenn er nämlich die Freiheitsrechte beschränkt: die allgemeine Handlungsfreiheit durch Verhaltensgebote
und -verbote, das Eigentum durch Abschöpfung verdächtiger Gewinne, den
Schutz der Wohnung durch Lausch- und Spähangriffe.
Sicherheit ist ein Widerlager von Freiheit. Und die Freiheit ist es, welche die
Grundrechte als Abwehrrechte auf ihrer Agenda hatten. Ein Grundrecht auf
Sicherheit dreht den Spieß um.
2.2.2 Sicherheitsbedürfnisse
Jenseits der Verfassungsdogmatik ist die Karriere eines Grundrechts auf
Sicherheit vor allem wichtig als Symbol, als Kennzeichen unserer Zeit. An ihr
können wir vordergründig verstehen, was sich hintergründig vollzieht. Und
was sich vollzieht, ist offenkundig (Hassemer, 1995, S. 16 ff. und passim). Es
vollzieht sich eine dramatische Erosion des Konzepts und der Praxis von
Privatheit, wir beobachten einen wahren Siegeszug der Prävention, und als
eine partielle Erklärung dieser Entwicklungen bietet sich das Theorem der
»Risikogesellschaft« an. Davon ist jetzt nacheinander die Rede.
2.2.2.1 Privatheit
Es ist keineswegs ein aggressiver, hinterhältiger oder bösartiger Staat, der die
Bürger – gleichsam wie mit einer Art Gehirnwäsche oder mit den groben
Methoden, die sich George Orwell noch ausgedacht hatte – unter Druck setzt,
einlullt oder geistig enteignet, so dass sie nicht mehr verstünden, was um sie
herum vorgeht; es ist keineswegs ein Staat, der in den geheiligten, privaten
Bezirk der Bürger eindringt, sich einschleicht oder auch nur einkauft. Nein, es
ist der freie Wille dieser Bürger, auch auf Kosten der Freiheit auf Sicherheit zu
setzen und den überwachenden Staat dazu einzuladen. Der Staat ist daran
ziemlich unschuldig.
In meinen Augen sind wir derzeit dabei, das klassische Konzept von
Privatheit zu verlieren. Wer George Orwells »1984« gelesen hat oder sich noch
an die Diskussionen und Demonstrationen im Kontext des verfassungsgerichtlichen Urteils zum Volkszählungsgesetz 1983 (BVerfGE 65, 1.) erinnert,
kann sich im Jahre 2002 nur verwundert die Augen reiben. Es hat sich an
Stelle der Angst vor Entdeckung und Veröffentlichung intimer Daten nunmehr
eine rechte Lust darauf verbreitet. Was früher einmal von Jedermann mit allen
Freundesgabe Büllesbach 2002
234
Hassemer
Kräften unter Verschluss gehalten wurde, wird jetzt auf den Markt getragen.
Es gibt eine wachsende Zahl von Leuten, die für irgendeinen Auftritt in den
Medien bereit sind, gerade die Dinge auszubreiten, an die man früher am
liebsten noch nicht einmal ganz allein für sich im stillen Kämmerlein gedacht
hätte, und es gibt eine wachsende Zahl von Leuten, die scharf darauf sind, bei
solchen Abstürzen zuzuschauen. Es war sicherlich nicht die pure Naivität (ich
hoffe es jedenfalls), ausgerechnet die Sendung, die es auf diese Schaulust
angelegt hat, »Big Brother« zu nennen und damit locker anzuspielen auf den
einstmals bedrohlichen Ausforscher, Verwirrer und Überwinder. Jetzt macht
er nur noch Spaß und keine Angst mehr, jetzt hat er bunte Kleider an oder gar
keine (Ich habe das im Feuilleton der Süddeutschen Zeitung vom 28. 2. 2000
etwas genauer betrachtet. Ich finde freilich, beiseite gesprochen, jetzt macht
er noch mehr Angst als früher, nur aus anderen Gründen.)
Was die Menschen früher umgetrieben, was sie geängstigt und tief beschäftigt hat, leuchtet ihnen heute nicht einmal mehr ein. Was das Bundesverfassungsgericht noch im Jahre 1983 mit düsterer Feierlichkeit als Menetekel an
die Wand geschrieben hat: dass nämlich in einer normlosen Gesellschaft die
»Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß« (BVerfGE 65, 1 (43)), dürfte den meisten Leuten heute
schnuppe sein. Jedenfalls verhalten sie sich so, dass möglichst viele Unbekannte möglichst viel über sie zu wissen kriegen.
Ich kritisiere das hier nicht; es könnte ja der Beginn einer neuen Lebensform
von Privatheit sein (obwohl zum Hegen dieser Hoffnung schon eine Menge
Blauäugigkeit gehört). Ich möchte aber doch festhalten, daß die staatlichen
und gesellschaftlichen Halteseile, die einmal zur Rettung der Privatheit entwickelt worden waren, keinen Gegenstand mehr haben oder jedenfalls einen
ganz anderen als zur Zeit ihrer Erfindung. Das gilt für so unterschiedliche
Dinge wie die Empfindung von Scham oder die Institution des Datenschutzes.
Soll es diese Halteseile auch morgen noch geben, dann müssen sie umgestellt
werden auf eine Bürgerschaft, der die Wonnen des Dabeiseins über alles
gehen. Ob eine solche Umstellung möglich ist, ist durchaus offen. Vielleicht
haben sich die Halteseile mit der Erosion der Privatheit aber auch für's erste
erledigt.
2.2.2.2 Prävention
Gewissermaßen unter der Hand haben sich die Eisenfeilspäne unserer
Weltbetrachtung umorientiert vom Pol der Freiheit zum Pol der Sicherheit.
Das führt zu Umstellungen auch in anderen Bereichen unseres privaten und
öffentlichen Lebens. Ein Begriff, der in diesem Prozess Karriere gemacht hat,
heißt Prävention. Prävention ist nicht nur im öffentlichen Eingriffsrecht das
Paradigma der Stunde (Grimm; Albrecht; Schmidt – sämtlich in KritV 1986,
38 ff., 43 ff., 83 ff.). Sie ist der entschlossene Versuch, Gefahren unter allen
Umständen und mit allen Mitteln zuvorzukommen, und sie kennzeichnet weite
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
235
Bereiche des modernen Alltags. Ich führe als Beleg für den Siegeszug der
Prävention die Wandlungen des Strafrechts ins Feld, die sich auf
Veränderungen unseres Empfindens gegenüber den aktuellen Bedrohungen
unseres Lebens stützen können. Diesen Bedrohungen suchen wir mit fast
allen Mitteln zu wehren.
Von der »klassischen« Aufgabe des Strafrechts, auf verschuldetes Unrecht
angemessen, gerecht zu antworten (Darstellung im Zusammenhang und mit
Nachw. bei Jescheck /Weigend, 1996, S. 63 ff.), ist nur noch in eher abgelegenen und überholten Traktaten die Rede. Diese klassische Aufgabe hieß einmal
»Vergeltung« – ein Wort, das heute eher den Geruch von etwas abgestandener und jedenfalls sinnloser Grausamkeit verbreitet. Wozu soll das Vergelten
denn gut sein, fragt man sich und andere; viel wichtiger ist es doch, rechtzeitig zu verhindern, dass etwas entsteht, was dann am Ende vergolten werden
müsste? Das Vergelten setzte eine Gesellschaft voraus, die ihrer selbst sicher
wahr, die angesichts des Verbrechens nicht in Panik geriet und deren Gelassenheit so stabil war, dass sie die kriminelle Rechtsgutsverletzung abwarten,
sie aufklären und wägen und erst danach aus der Distanz auf sie antworten
konnte.
Das hat sich fundamental geändert. Niemandem leuchtet mehr ein, das
Kind erst in den Brunnen fallen zu lassen, bevor man mit helfenden Eingriffen
reagiert. Man muss, davon sind wir heute überzeugt, den Problemen zuvorkommen und sie beseitigen, bevor sie entstehen. Das ist Prävention: entschlossene Reaktion auf die Erwartung künftiger Schäden.
Am Siegeszug der Prävention ist, wenn man sich bloß diese Oberfläche
anschaut, noch nichts Schlechtes – im Gegenteil: Sie ist eine rationale
Reaktion (Kaiser, 1997, S. 73 ff.) auf eine bedrohliche Umwelt. Wer sich von
Gefahren und Risiken umstellt sieht, tut gut daran, rechtzeitig dafür zu sorgen,
daß das Befürchtete nicht Wirklichkeit wird. Kennzeichnend für das Maß unserer Sicherheitsbedürfnisse wird das Paradigma der Prävention erst, wenn man
es in einen weiteren Kontext stellt und zugleich Einzelheiten seiner Verwirklichung betrachtet. Ich zitiere aus einigen Pressemeldungen im zeitlichen Zusammenhang von nur wenigen Tagen, die sowohl Einzelheiten vor Augen führen als auch den Kontext aufscheinen lassen.
»Deutschland ist Weltmeister im Abhören«, titelt der Tagesspiegel Anfang
März dieses Jahres (Tagesspiegel vom 4.3.2001, Claudia Wessling) und teilt an
Einzelheiten mit, dass es E-Mails ohne Datenspuren nicht gibt, dass in den
Industriestaaten jeder Erwachsene in durchschnittlich 200 Computerdatenbanken registriert ist, dass von 1988 auf 1999 die Zahl der gerichtlich angeordneten Telefonüberwachungen bei uns von 9800 auf 12600 angestiegen ist
oder dass der Bundesnachrichtendienst täglich an die 100 000 Telekommunikationen mit seinen »Staubsaugern« auf verdächtige Begriffe hin untersucht
(dazu auch – rechtlich und tatsächlich – BVerfGE 100, 313 (317 ff., 336 ff.)). Die
Datenschutzbeauftragten von Bund und Ländern warnen vor der »gläsernen
Internet-Gemeinde« und verweisen auf Pläne der Innenminister, die digitalen
Signaturen der Internet-Nutzer aufzuzeichnen und zu speichern (Frankfurter
Freundesgabe Büllesbach 2002
236
Hassemer
Rundschau vom 10.3.2001, Reinhard Voss). Die Bundesjustizministerin will
rechtsradikale Botschaften im Internet eindämmen und eine Verschärfung des
Presserechts hinsichtlich der Verjährungsfristen prüfen (Die Welt vom
12.3.2001). Der Ermittlungsrichter des BGH urteilt, zur Telefonüberwachung
beim Handy gehörten auch Informationen über die Position des Überwachten,
wenn der gar nicht telefoniert (Frankfurter Rundschau vom 9.3.2001, Az. 2
BGs 42/2001, mit kritischem Kommentar von Ursula Knapp); damit öffnet er
die Tür für die Fabrikation von Bewegungsprofilen. Rechts- und Innenpolitiker
nehmen die Vergewaltigung und Ermordung eines Mädchens zum Anlass der
Forderung, allen Männern in Deutschland einen DNA-Test abzuverlangen,
dessen Ergebnisse in der Gendatenbank des Bundeskriminalamts abgespeichert werden; nur so könne man solche Verbrechen verhindern (Frankfurter
Allgemeine vom 13.3.2001, mit kritischem Kommentar von Volker Zastrow).
Wir können uns nicht mehr sicher sein, dass auch bei uns irgendwann im
Interesse der allgemeinen Prävention so genannte »Pädophilen-Listen« veröffentlicht werden, wie das schon in Großbritannien, Belgien und Italien geschehen ist (Süddeutsche Zeitung vom 25.8.2000, mit kritischen Bemerkungen von
Stefan Ulrich, »Renaissance des Prangers«, Angriff auf die Menschenwürde
und auf die »Würde der Gesellschaft«, »Akt der Barbarei«).
Auch diesmal kritisiere ich nicht in der Sache; dazu liegen die berichteten
Einzelheiten – von Verjährungsfristen bis zu einer allgemeinen Gendatei ohne
Tatverdacht – eingriffspolitisch ja auch viel zu weit auseinander, und man
müsste deutlich differenzieren. Nein, es geht mir vielmehr um eine allgemeine Tendenz, die mächtig, einhellig und unzweideutig ist; diese Tendenz und
nichts sonst hält meine Beispiele als roter Faden zusammen. Es ist die
Tendenz, bei der Risikoprävention jegliches Maß aufzugeben und dabei der
obrigkeitlichen Kontrolle vorbehaltlos zu trauen.
Wer sich heute gegen Prävention ausspricht, hat nicht nur politisch schlechte Karten, sondern macht sich verdächtig – bestenfalls als »Gutmensch«,
schlimmstenfalls als Beschützer gefährlicher Täter. Das Zweckbindungsprinzip des Datenschutzes verblasst angesichts des Informationshungers von
Polizei, Verfassungsschutz und Ermittlungsbehörden vor der verbreiteten
Überzeugung, man solle doch nicht vor mühsam erlangten Informationen
lebensfremd die Augen verschließen, wenn diese Informationen dazu geeignet seien, schwere Schäden abzuwenden. Der Grundsatz der Verhältnismäßigkeit staatlicher Eingriffe ist derzeit als Grundsatz zwar nicht angefochten; auf der Waage, die er bereithält, wiegen in Zeiten der Risikoangst aber die
Gewichte der Bedrohungen unserer Sicherheit immer schwerer gegenüber
den normativen Empfehlungen von Zurückhaltung.
2.2.2.3 Risiko
Es ist die Kategorie der »Risikogesellschaft«, mit der sich diese hier kurz nachgezeichnete Entwicklung hin zu einem Paradigma der Sicherheit jedenfalls an
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
237
der Oberfläche einsichtig machen lässt (Ausführlicher mein Buch Strafen im
Rechtsstaat, 2000, S. 184 f., 258 ff.). Wie die Verbrechensfurcht, die beileibe
kein Spiegel der realen Bedrohung durch Verbrechen ist, sondern sich nach
ihren eigenen Gesetzen entwickelt (Dörmann/Remmers, 2000, passim.). so ist
auch die Risikoangst, deren große Schwester, keineswegs das Ergebnis riskanten Lebens, sondern eher dessen Gegenteil. Ihre Nachdrücklichkeit und ihr
Expansionsdrang werden erst verständlich, wenn man zur Kenntnis nimmt,
was die Sozialwissenschaftler in der modernen Welt unter »Risiko« verstehen,
nämlich Szenerien, die über eine bösartige Mischung schlechter Verheißungen verfügen. Moderne Risiken bestreichen gerade diejenigen Felder, auf
denen sich die Modernisierung unseres Lebens vollzieht, Felder, die expandieren und zu einem guten Teil noch unbekannt sind: Globalisierung von
Wirtschaft und Kultur, Umwelt, Drogen, Währung, Migration und Integration,
Datenverarbeitung, Gewalt unter Jugendlichen. Auf allen diesen Feldern kann
sich ein Zusammenbruch der Systeme ereignen, der zu unvorhergesehenen
Folgen führt, und dieser Zusammenbruch ist voraussichtlich nicht zu verhindern.
Angesichts diese Art Bedrohung lässt sich eine rationale, gelassene, besonnene Reaktion der Betroffenen nicht erwarten. Die erwartet auch niemand.
Erwartet wird vielmehr eine allgemeine Verunsicherung, eine Angst und
Orientierungsunsicherheit und die Erfahrung von Überforderung (Belege bei
Prittwitz, 1993, S. 68 ff.). Überforderung resultiert nicht zuletzt aus den angestrengten Versuchen, Risiken unter Kontrolle zu bringen und wirksame
Schutzmechanismen zu entwickeln (Prittwitz, 1993, S. 74 mit Verweis auf
Franz-Xaver Kaufmann, 1987).
Hier geht es nicht darum, im Einzelnen nachzufragen oder gar nachzuprüfen, ob das auch alles und bis in alle Verästelungen so stimmt; es geht mir jetzt
auch nicht um die Frage, welche Auswege aus Risikoangst und Verunsicherung es gibt (Das habe ich ausgeführt in 2000, S. 184 ff., 260 ff., oder,
2001, S. 177 ff.). Es reicht aus, dass diese Beschreibungen unsere Lebenserfahrung dieser Jahre wiedergeben und dass die von der Theorie der Risikogesellschaft vorausgesagten Folgen von Risikoangst im Wesentlichen mit
dem übereinstimmen, was uns tatsächlich umgibt und was mit Händen greifbar ist. Stimmen die Beschreibungen im großen und ganzen, so ist mein Ziel
erreicht: Es wird verständlich, warum Sicherheit für uns so wichtig geworden
ist, warum Prävention im Zentrum unseres Planens steht und warum Privatheit uns wie ein Konzept von vorgestern vorkommt.
2.3 Staat
Diese Veränderungen gehen nicht ab ohne Konsequenzen für den Staat und
vor allem für unser Verhältnis zu ihm. Ich habe sie eher beiläufig hier und da
schon angedeutet und brauche diese Andeutungen jetzt nur noch einzusammeln und auf den Punkt zu bringen:
Freundesgabe Büllesbach 2002
238
Hassemer
Innerhalb der Ellipse von Freiheit und Sicherheit hat der Staat sich in den
letzten Jahren mit leisen, aber großen Schritten bewegt. Er ist vom
Brennpunkt der Freiheit in Richtung Brennpunkt der Sicherheit gewandert. Er
hat das Kleid des Leviathan, des Bedrohers bürgerlicher Freiheit, abgelegt und
das Kleid des Partners übergezogen; er zeigt derzeit, wenn man so will und
wenn man bei den überkommenen Symbolen bleiben möchte, eher seine
Potenz als Ernährer und Helfer und eher nicht seine Potenz als Kontrolleur und
Kerkermeister.
Das Bild der Ellipse will zweierlei zum Ausdruck bringen: nicht nur, dass
Freiheit und Sicherheit unauflöslich und zu allen Zeiten in einem
Spannungsverhältnis zueinander stehen – wie immer die Schwerpunkte historisch gerade verteilt sein mögen. Es will auch darauf hinweisen, dass radikale Zuweisungen (als ginge es ausschließlich um Freiheit oder ausschließlich
um Sicherheit) übertrieben oder naiv wären. Es geht immer nur um Schwerpunkte, um Tendenzen – die freilich können, wie wir gesehen haben, deutlich
und stabil sein.
Dieser Wandel wirft eine Reihe von Problemen auf wie etwa das der bürgerlichen Aufmerksamkeit gegenüber einem Staat, der trotz – oder vielleicht
sogar wegen – seiner partnerschaftlichen Angebote in einem Bündnis für
Sicherheit seinen Hunger nach Informationen und seine Bedürfnisse nach
Kontrolle keineswegs eingebüßt hat – auch insofern wieder: eher im Gegenteil. Auch – oder gerade – der Sicherheit suchende und verbürgende Staat
bleibt bedrohlich für die Grund- und Freiheitsrechte. Denn er kann – bei aller
informationstechnologischer Fortschrittlichkeit und beim Einsatz moderner,
weicher Methoden der Verhaltensregulierung – Sicherheit am Ende nicht
garantieren ohne Eingriffe in Freiheitsbereiche der Bürger. Und davon werden
wir ja auch täglich Zeugen.
Aber auch um diese Probleme soll es hier im einzelnen nicht gehen. Es
reicht hin, gezeigt zu haben, dass der Staat in der Phase der Risikogesellschaft
und der Sicherheitsbedürfnisse in einem neuen Gewand auftritt, dass er sich
den Bürgern – auch in deren Wahrnehmung – hilfreich nähert und dass er im
Kontext von Information und Sicherheit eine Schlüsselrolle besetzt. Vor diesem Hintergrund kann es keinen Zweifel geben, dass Informationssicherheit
eine Staatsaufgabe ist und dass sie es nie mit tieferen Wurzeln und mit größerem Nachdruck war als heute.
3. Konsequenzen
Nun können wir die Ernte einfahren.
Es gibt drei Überlegungen, die sich vor dem Hintergrund, den ich hier
gezeichnet habe, aufdrängen. Sie werfen die Frage auf, was eigentlich genau
gemeint ist, wenn man über »Sicherheit als Staatsaufgabe« nachdenkt, und
was daraus praktisch und politisch folgt; sie führen in Einzelheiten der Informationstechnologie und streiten dort dafür, den Staat nachdrücklich an der
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
239
Herstellung informationeller Sicherheit zu beteiligen; sie rufen aber auch in
Erinnerung, dass sowohl zu unserer Rechtskultur als auch zu den Hoffnungen,
mit denen viele Menschen die Informationstechnologie entwickelt und begleitet haben, so etwas wie Staatsferne gehört.
3.1 Sicherheit durch den Staat
»Sicherheit als Staatsaufgabe« – wenn ich mein Thema einmal so verallgemeinern und zusammenfassen darf – meint vordergründig zweifellos die Erwartung, dass der Staat Sicherheit herstellt, dass er sie garantiert und durchsetzt. Das ist eine traditionsreiche und bis heute unerschütterte Erwartung der
Menschen, die vergesellschaftet miteinander leben und auskommen müssen
(oder dürfen).
Die Moderne hat diese Erwartung noch einmal auf den Begriff gebracht. Sie
hat das Recht mit der Entstehung der Staaten beginnen lassen und den Staat
eingesetzt und legitimiert als den Garanten gleichmäßiger, gerechter und stabiler Ordnung. Sie hat den Staat mit einem Gewaltmonopol ausgestattet und
dieses mit Gewaltverboten gegenüber mächtigen Privaten befestigt. Im Staat
bündeln sich – bei allen Tendenzen zu Deregulierung, Privatisierung oder Regionalisierung – bis heute die Hoffnungen auf die Umhegung des guten
Lebens: Nicht für die Herstellung von Autonomie der Menschen, nicht für die
Entwicklung ihrer Moral oder auch für die Lebendigkeit ihres Alltags ist der
Staat zuständig (obwohl manche Politiker das gerne hätten und damit hin und
wieder spielen), sondern für etwas ganz anderes.
Der Staat ist zuständig für die Ränder dieses Lebens: für die Möglichkeiten,
menschenwürdig zu wohnen und sich zu ernähren, für die Sicherheit vor
Verletzungen, für die Chance, die eigenen berechtigten Interessen gegenüber
anderen Interessen zu bewahren. Dass das alles immer bedroht ist und nie bis
zur Sättigung gewährleistet sein kann, ist wohlbekannt, ändert aber nichts an
der Tatsache, dass es dieses Äußerliche ist, das auf der Agenda des Staates
steht. Wenn es ihm eher recht als schlecht gelingt, den Menschen diese
Möglichkeiten, Sicherheiten und Chancen zuzusagen und einzuräumen, werden Gewaltmonopol und Gewaltverbote im Gleichgewicht sein. Für den Rest
können die Menschen, alleine oder gemeinsam, selber sorgen.
Im Bereich der Informationssicherheit ist es vor diesem Hintergrund keine
menschenrechtsfreundliche Option, den Staat aus seiner Pflicht zu entlassen,
die schützenden Garantien zu schaffen, die ich gerade eben unter allgemeinen
Hinsichten entwickelt habe. Information ist, wie gezeigt, ein Essentiale unserer Gesellschaft, mit allen positiven und negativen Begleiterscheinungen.
Dann aber ist es eine zwingende Folgerung, die Umhegung gerade auch des
informationellen Lebens, das Äußerliche auch der informationellen
Entwicklung von niemandem anderen als vom Staat zu erwarten und einzufordern. Er ist auch heute, so weit das Auge reicht, die einzige Instanz, die eine
gleichmäßige, gerechte und stabile Ordnung versprechen darf.
Freundesgabe Büllesbach 2002
240
Hassemer
Das gilt für alle Einrichtungen der Informationssicherheit, die weder der
Einzelne noch eine nichtstaatlich verfasste Institution oder Gruppe von
Menschen hinreichend tragen und stützen kann, für alle Einrichtungen also,
die ein Fundament und ein Gerüst brauchen,
– das zum Schutz von Essentialien des menschlichen Lebens aufgebaut ist,
– nicht von heute auf morgen einfach abgebaut werden darf und
– auf das die Menschen einen Anspruch haben, den sie notfalls vor den
staatlichen Gerichten durchsetzen können.
Beispiele für diese informationellen Essentialien gibt es mittlerweile zuhauf.
Das vornehmste ist die Entscheidung des Bundesverfassungsgerichts zum
Volkszählungsgesetz aus dem Jahre 1983 (BVerfGE 65, 1.); diese Entscheidung
darf bei uns als der Beginn staatlicher Umhegung der informationellen Selbstbestimmung gelten. Sie hat nämlich, mit der Erhebung dieses Rechts zu
einem Grundrecht, einen Schutzwall gegen spontane und beiläufige Eingriffe
errichtet, und sie hat zweierlei staatliche Vorkehrungen als Garanten der
Informationsfreiheit zur Folge gehabt: die eigentlichen Datenschutzgesetze
des Bundes und der Länder sowie bereichsspezifische Regulierungen etwa für
die Krankenhäuser, die Schulen oder die Polizei einerseits und die Einrichtungen von Behörden des Datenschutzes andererseits (Ich habe dies, in
der auch hier verfolgten Richtung der Argumentation, in Einzelheiten schon
dargestellt in Hassemer 1995, S. 31 ff., 36 ff., 55 ff.). Beides – Normativierung
durch Gesetze und Institutionalisierung durch Datenschutzbeauftragte - wäre
ohne staatliche Intervention gestern wie heute undenkbar, und beides ist notwendige Entstehungs- und Überlebensbedingung für das Grundrecht auf
informationelle Selbstbestimmung.
Überhaupt sind die Datenschutzgesetze in ihrem klassischen Zuschnitt,
soweit sie die private Datenverarbeitung noch aussparen, sinnfällige Belege
für das, was im Bereich der Informationssicherheit Staatsaufgabe ist (Belege
wiederum in Hassemer 1995, S. 44 ff.). Staatsanwaltschaft, Geheimdienste,
Gesundheit, Soziales, Telekommunikation, Wissenschaft oder die gesetzliche
Regulierung des Umweltschutzes – es steht außer Diskussion, dass hier der
Staat zu regulieren und auch für Informationssicherheit zu sorgen hat. Wie er
das tut, ob er Private bei der Erfüllung dieser Aufgaben heranzieht und ihnen
dabei etwa Teilbereiche der Sicherungspflichten überträgt, ist freilich grundsätzlich seine Sache. Das kann bei der Informationstechnologie nicht anders
sein als auch sonst in der modernen Staatsverwaltung.
Ich kann nicht sehen, dass die Informationssicherheit durch staatliche
Gewährleistung ein auslaufendes Modell sei. Auch wenn Sicherheitsaufgaben
in immer größerer Zahl weiterhin aus den hölzernen Handschuhen des
Staates in die flinken Händen von Privaten wandern sollten (niemand kennt
die Zukunft!), so wird doch dieser Abfluss durch andersartige Zuflüsse mehr
als ausgeglichen: Schon dass die ursprünglichen Prognosen der siebziger und
achtziger Jahre, die künftige Datenverarbeitung werde sich in Großrechnern
konzentrieren, durch die vielen kleinen Hexenmeister der Informationstechnologie widerlegt worden sind, hat den Staat in seinen Sicherungsaufgaben
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
241
keineswegs entlastet, sondern diese Aufgaben nur komplexer und komplizierter gemacht. Auch die verlässliche Überwachung der privaten Datenverarbeitung – die eine Aufgabe der Gegenwart und der unmittelbaren Zukunft ist – ist
(mir) in ausschließlich privater Hand nicht vorstellbar. Und endlich ist auch der
natürliche Zwilling des Datenschutzes, das moderne Recht auf Informationsfreiheit (Freedom of Information) nur einzurichten mit der Hilfe eines modernen und einsichtigen Staates.
Gerade in Zeiten der Privatisierung und Globalisierung brauchen wir den
Staat, auch und wiederum gerade bei der Sicherung der Informationsverarbeitung: als Haltepunkt und Garanten für die Bewahrung des »Öffentlichen« in
unserer Gesellschaft, nämlich für die auf Dauer gestellte, verlässliche und notfalls einklagbare Sicherung der essentiellen bürgerlichen Interessen. Informationssicherheit braucht eine langfristig angelegte und breit diskutierte Politik;
deren Voraussetzungen kann ich außerhalb des Staates nicht erkennen.
Natürlich gibt es, wie immer im Leben, Abgrenzungsprobleme. Die aber
erreichen, wie fast immer, nicht das Niveau des Regulierungsproblems, und
so ist es auch hier. Wer soll beispielsweise zuständig sein, der Staat oder
andere, für die Analyse und Beseitigung von Sicherheitslücken bei ITProdukten (Der Hessische Datenschutzbeauftragte (HDSB), 2000, S. 77 ff.), für
die Erstellung »elektronischer Adressbücher« im Bereich der E-Mails (Die
Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, 2001, S. 40 ff.)
oder den Schutz von Kundendaten bei Payback Cards? (Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, 2001, S. 6). Diese Abgrenzungen
lassen sich einsichtig, wenn auch nicht mit mathematischer Schärfe, treffen,
nämlich an der Linie der beiden folgenden Fragen:
– was im jeweiligen Handlungsbereich als notwendige Voraussetzung
einer gleichmäßigen, gerechten und stabilen Ordnung der Informationssicherheit gelten darf und
– welche nichtstaatlichen Wächter anstelle des Staates die Informationssicherheit subsidiär hinreichend gewährleisten können.
Auch hier sind Innovation und Phantasie möglich und am Platze; so kann der
moderne Staat, statt durch Befehle, beispielsweise durch Handreichungen
regulieren, wie etwa durch Mustervereinbarungen, die er selber ausarbeitet,
den Privaten vorführt und werbend anbietet.
3.2. Sicherheit gegenüber dem Staat
Nach dem Szenario der Risikogesellschaft und der aus ihr wachsenden
Kontrollbedürfnisse, wie es hier gezeichnet worden ist, wäre die Frage nach
der Rolle des Staates im Bereich der Informationssicherheit unvollständig
erfasst, würde nur, wie gerade geschehen, über Sicherheit durch den Staat
nachgedacht. Mit gleicher Dringlichkeit ist auch die Sicherheit gegenüber dem
Staat ein Thema der Informationssicherheit.
Im Gegenüber von Sicherheit durch den Staat und Sicherheit gegenüber
Freundesgabe Büllesbach 2002
242
Hassemer
dem Staat kommt die Ambivalenz auch semantisch zum Ausdruck, die in der
Figur des nährenden und bedrohlichen Leviathan Kontur gewonnen hat und
die auch für diesen Vortrag so etwas wie ein roter Faden gewesen ist. Der
Staat, so das Bild, ist nicht nur Partner in der Abwehr von Risiken und Verletzungen, er ist nicht nur Baumeister und Helfer bei der Konstruktion von
Schutzwällen, welche die Sicherheit der Informationsverarbeitung gewährleisten; er ist bei dieser Verarbeitung auch Spion und Lauscher an der Wand,
und er ist es gegen die Interessen derer, für deren Kommunikation er sich
interessiert.
Ich würde freilich eine nicht ganz flache Wette halten für die Annahme, dass
die Veranstalter dieses Sicherheitskongresses auf ein solches Verständnis von
»Sicherheit der Informationsverarbeitung« keinen großen Wert legen. Ihnen
geht es um die Herstellung von Informationssicherheit durch den Staat, wie
sie gerade besprochen worden ist, und ich bin natürlich weit davon entfernt,
Sie mit einem Gedanken zu behelligen, der Sie eigentlich gar nicht interessiert, weil Ihre professionellen Fragestellungen ganz anders ausgerichtet sind.
Ihrer Profession geht es, an einem Beispiel, eher darum, die Videobeobachtung auf öffentlichen Plätzen sicherzustellen, als darum, vor dieser Beobachtung sicher zu sein (Dazu jetzt ausführlich und mit Beispielen HDSB, 2000,
S. 21 ff.); dennoch werden Sie mir sicherlich nicht bestreiten, dass Informationssicherheit nicht nur ein Gegenstand der professionellen Sicherheitstechnologie, sondern auch ein Thema des Rechtsstaats ist.
So will ich einen Mittelweg zwischen Wahrheitsliebe und Höflichkeit suchen
und eine einzige Überlegung zur Sicherheit gegenüber dem Staat ausführen;
sie betrifft den Charakter des modernen Informationsrechts und berührt
wiederum die Rolle des Staates heute:
Es ist ein Fehler zu meinen, der moderne Staat mit seinen Tendenzen der
Deregulierung, Privatisierung, Ökonomisierung und des Wettbewerbs (Dazu
jetzt Wallerath, in: JZ 2001, 209 ff.) habe sein Gebiss verloren. Zwar lässt sich
nicht leugnen, dass dieser Staat sowohl in seinen Leitbildern als auch in seinen Instrumenten »ziviler« geworden ist, dass die Kategorien von Zwang und
Unterwerfung, von Befehl und Gehorsam schrittweise ergänzt – nicht ersetzt!
– werden durch Künste der Lenkung und Überredung, die am Ende nicht auf
die Knochen zielen, sondern auf Herz und Hirn.
Dies aber ändert nichts daran, dass dieser moderne Staat in seiner Überwachungspraxis nicht nachgelassen hat – im Gegenteil: Die wachsenden
Sicherheitsbedürfnisse der Bevölkerung sind ein treibender politischer Faktor,
sie setzen sich machtvoll durch, und es ist gerade die Informationstechnologie, die diesen Bedürfnissen und ihrer staatlichen Bedienung hilfreich
entgegenkommt. Es sind die neuen Mittel der Informationsverarbeitung, die
unser Strafverfahren umgestalten, und es ist der moderne Staat, der in dieser
Umgestaltung die Erfüllung seiner Schutzpflicht sieht und nicht etwa einen
übermäßigen Eingriff in ein gewachsenes Recht oder in den Freiheitsraum seiner Bürger. Das ist kein soft law, mit dem es die Informationsverarbeitung hier
zu tun hat; es ist das, was es immer war: Zwangsrecht. Und deshalb ist der
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
243
Aspekt der Sicherheit gegenüber dem Staat ein integraler Bestandteil eines
Sicherheitskonzepts in der Informationsverarbeitung.
3.3 Sicherheit jenseits des Staates
»Lawrence Lessig, Guru des Internet-Codes aus Harvard, fürchtet eine
Entwicklung des Internet zu unerträglicher Kontrolldichte durch eine Koalition
ökonomischer und politischer Interessen. Während das Internet in seinen
anarchischen Anfängen auf den Prinzipien der Inklusion aller, der Anonymität,
Kontrollfreiheit und Heterarchie aufgebaut war, verstärken sich heute die
politökonomisch motivierten Tendenzen zur Herausbildung von sogenannten
Intranets, also geschlossener Netze, die auf Exklusion, Kontrolle, Hierarchie
und strikter Zielorientierung beruhen (Teubner, in: Frankfurter Rundschau
v. 21. 10. 2000, S. 20).« Wenn diese Entwicklung richtig beschrieben ist, und
ich habe daran keinen Zweifel, so muss, wer über »Informationssicherheit als
Staatsaufgabe?« nachdenkt, sich und seinen Zuhörern nicht nur »Information« und »Sicherheit«, sondern auch »Staatsaufgabe« als offenes Problem
vorlegen.
Die Analyse des Wissenschaftlers Teubner wird vom Manifest des gewählten Europa-Direktors von Icann (Internet Cooperation for Assigned Names and
Numbers), Müller-Maguhn, ergänzt. Der will (in: Frankfurter Allgemeine Zeitung v. 17. 10. 2000, S. 49) »den öffentlichen Raum frei von kommerziellen
Spielregeln halten, den freien Informationsfluss hüten und den Bits ihre Freiräume geben. Wir wollen lauter Dachgärtlein,« schwärmt er, »wo sie sprießen,
gedeihen und sich vermehren können«. Auf seinem Weg zur »Geschenkkultur«, zu Dezentralität und Kontrollfreiheit bleibt das Urheberrecht auf der
Strecke, und die Juristen werden kräftig abgewatscht. Teubner, ein Jurist,
schwenkt seine Plakate weniger forsch, steuert aber immerhin eine »Verrechtlichung ohne Staat« an – also eine Rechtsbildung in der Hand nichtstaatlicher privater Organisationen und transnationaler Regimes.
Hier ist weder Raum noch Zeit, diesen Entwürfen gerecht zu werden. Sie
mögen – und sie tun es wohl auch – kräftig übertreiben und zu weit ausgreifen. Eines aber mahnen sie mit Recht an: den Traum einer kontrollfreien,
staatsfernen Kommunikation. Sie realisieren, daß dieser Traum ausgeträumt
ist, und sie ziehen daraus unterschiedliche Konsequenzen. Ich will diesen
Traum hier nicht noch einmal träumen, sondern an ihn nur erinnern und
gegenüber den treffenden, aber auch farblosen und entmutigenden Analysen
der realen Zustände festhalten, dass Träume für die Entwicklung von
Informationstechnologien nicht der schwächste Treibsatz gewesen sind.
Nicht als Ersatz solcher Träume, wohl aber als ihre Fortsetzung mit anderen
Mitteln, will ich am Ende noch an ein juridisches Prinzip erinnern, das die
Staatsferne geradezu im Programm hat. Es ist der Grundsatz der Subsidiarität
(Isensee; Rupp).
Der ist aus seinem dogmengeschichtlichen Nest der katholischen SozialFreundesgabe Büllesbach 2002
244
Hassemer
lehre längst flügge geworden und überbringt – in dem Zuschnitt, wie er für die
Informationssicherheit als Staatsaufgabe passt – diese Botschaft: Was die kleinen, näher am Menschen lozierten, Einheiten genausogut oder besser
machen können, das soll der Staat ihnen nicht entziehen. Die Verwirklichung
dieses Prinzips setzt zweierlei voraus: Aufmerksamkeit und Phantasie.
Aufmerksamkeit gegenüber den technischen Entwicklungen und dem sozialen
Wandel, weil morgen eine Problemlage entstehen kann, deren Lösungsbedingungen sich gegenüber den heutigen vollständig gewandelt haben.
Phantasie, weil die Übersetzung von Strukturen der Problemlösung vom Staat
auf die Handlungsbedingungen kleinerer Einheiten gewaltige analytische
Leistungen erfordern kann. Kurz: Subsidiarität verwirklicht sich nicht von
selbst, sie verlangt Aufwand.
Im Bereich der Informationssicherheit freilich bietet sie sich dringend an,
und ich behaupte, dass sie auf diesem Felde, über das derzeit Erreichte hinaus, noch fröhliche Urständ feiern wird. Es geht um die Herstellung einer
Informationssicherheit »von unten«, es geht um Dezentralität, um die
Ersetzung von deduktiven Kontrollen durch induktive Entwicklungen und vor
allem um die Förderung der Möglichkeiten autonomen Handelns der Benutzer
dieser Technologien (Ansätze eines solchen Konzepts finden sich schon in
Hassemer, S. 20ff., 60 ff.). Dass Sicherheitsprobleme sich zu einem Gutteil
nicht durch Sicherheitsverwaltung, sondern durch technische Vorkehrungen
selber lösen lassen, ist ein Beispiel (Die digitale Signatur ist ein Beispiel für
das Zusammenwirken beider; vgl. jüngst Neue Zürcher Zeitung v. 18. 1. 2001,
Frankfurter Allgemeine Zeitung v. 21. 2. 2001; Hoffmann, S.12 ff.). Dass die
Kontrolle sowohl krimineller als auch sonst unerwünschter Angebote im
Internet sich nicht allein durch exekutive und gesetzliche Vorkehrungen durchführen lässt, sondern darauf setzen muss, dass die Menschen kundig und
bereit sind, für ihre eigenen informationellen Interessen zu sorgen, ist ein
anderes (Richtig Dembowski, Das Paradox des elektronischen Handels:
Sicherheit und Internet widersprechen sich. Rasantes Wachstum des Computernetzwerks weckt Interesse von Wirtschaft und Kriminellen. Technisches
Verständnis und Vorsicht sind der beste Schutz). Beide werben für ein
Sicherheitsdenken, das nicht schon im ersten Zugriff auf den Staat setzt, sondern auslotet, ob ein konkretes Problem näher an den betroffenen Menschen
besser aufgehoben ist.
*
Der Text ist die um einige Fußnoten erweiterte Fassung eines Vortrags vor dem 7. Deutschen
Sicherheitskonkress des Bundesamts für Sicherheit in der Informationstechnik aus dem Mai
2001. Ich widme ihn dem Freund und zeitweisen Kollegen Büllesbach, der mich zu diesem
Vortrag nachdrücklich aufgefordert hat.
Literatur
Albers Marion, Die Determination polizeilicher Tätigkeit in den Bereichen der
Straftatenverhütung und der Verfolgungsvorsorge, 2001.
Freundesgabe Büllesbach 2002
Staat, Sicherheit und Information
245
Albrecht, P.-A., Prävention als problematische Zielbestimmung im Kriminaljustizsystem, in KritV 1986, 43 ff.Dörmann/Remmers, Sicherheitsgefühl und
Kriminalitätsbewertung, 2000.
Denninger, Der gebändigte Leviathan, 1990.
Dembowski, Das Paradox des elektronischen Handels: Sicherheit und Internet
widersprechen sich, in: Frankfurter Rundschau v. 4. 11. 2000, S. 11.
Der Hessische Datenschutzbeauftragte (HDSB), 29. Tätigkeitsbericht, 2000,
S. 77 ff.
Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, Datenschutzbericht 2001.
Frisch, Prognoseentscheidungen im Strafrecht. Zur normativen Relevanz
empirischen Wissens und zur Entscheidung bei Nichtwissen, 1983.
Grimm, Verfassungsrechtliche Anmerkungen zum Thema Prävention, in KritV
1986, 38 ff.
Hassemer, Freiheitliches Strafrecht, 2001.
Hassemer, Datenschutz und Datenverarbeitung heute, 1995.
Hassemer, Strafen im Rechtsstaat, 2000.
Herzog F., Gesellschaftliche Unsicherheit und strafrechtliche Daseinsvorsorge.
Studien zur Vorverlegung des Strafrechtsschutzes in den Gefährdungsbereich, 1991.
Hoffmann, Die Entwicklung des Internet-Rechts, in: NJW 2001, Beilage zu H.
14, 12 ff.
Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, 1983.
Isensee, Subsidiaritätsprinzip und Verfassung, 1968;
Jescheck/Weigend, Lehrbuch des Strafrechts. Allgemeiner Teil, 5. Aufl. 1996.
Kaiser G., Kriminologie, 10. Aufl.,1997.
Kaufmann Franz-Xaver, Normen und Institutionen als Mittel zur Bewältigung
von Unsicherheit: Die Sicht der Soziologie, in: Gesellschaft und Unsicherheit, 1987.
Köhler, Strafrecht. Allgemeiner Teil, 1997.
Müller-Maguhn, Meine Regierungserklärung. Auch an die Freunde des
Buches: Ein Netz wider das geistige Eigentum, in: Frankfurter Allgemeine
Zeitung v. 17. 10. 2000, S. 49.
Prittwitz, Strafrecht und Risiko. Untersuchungen zur Krise von Strafrecht und
Kriminalpolitik in der Risikogesellschaft, 1993.
Rupp H. H., Die Unterscheidung von Staat und Gesellschaft, in:
Isensee/Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik
Deutschland, Bd. I: Grundlagen von Staat und Verfassung, 2. Aufl. (1995).
Schmidt J ., Prävention als Zielbestimmung im Zivilrecht, in KritV 1986, 83 ff.
Teubner, Das Recht der globalen Zivilgesellschaft. Spontan und doch organisiert – zur Verfassung gesellschaftlicher Aktivitäten auf Weltebene, in:
Frankfurter Rundschau v. 21. 10. 2000, S. 20.
Wallerath, Der ökonomisierte Staat. Zum Wettstreit zwischen juridisch-politischem und ökonomischem Paradigma, in: JZ 2001, 209ff.
Freundesgabe Büllesbach 2002
246
Freundesgabe Büllesbach 2002
247
Michael Hange
Wirksamkeit von Regelungen und Empfehlungen in der
IT-Sicherheit
Durchgreifende Umwälzungen in der Informationstechnologie haben auch
qualitativ neuartige Bedrohungen der IT-Sicherheit zur Folge und offenbaren
technologische Schwachstellen von neuer Komplexität. Das Internet und die
Mobilkommunikation haben in den letzten zehn Jahren die Entwicklung der
Informationstechnik maßgeblich geprägt. Mit der rasanten Ausbreitung hat
das Internet als Plattform erst übergreifende Konzepte für digitale Dienstleistungen des E-Business und E-Government ermöglicht. Trotz inzwischen
zurückhaltender Erwartungen bei den Internet-Unternehmen hat das Internet
bereits heute zu einer Veränderung in Wirtschaft und Verwaltung geführt.
Künftig werden die digitalen Anwendungen und Dienstleistungen selbst die
treibenden Kräfte der Fortentwicklung des Internets sein.
In vielen Staaten sind Programme aufgelegt, um E-Government im Zeitraum von 2003 bis 2005 in die Praxis umzusetzen. Mit der Initiative BundOnline 2005 verfolgt die Bundesregierung die Zielsetzung, bis 2005 durch EGovernment für den Bürger mehr und qualitativ bessere Dienstleistungen
online bereitzustellen und das Verwaltungshandeln effizienter zu gestalten.
Entscheidender Faktor für eine breite Akzeptanz der angebotenen digitalen
Dienstleistungen wird das Vertrauen der Bürger in die IT-Sicherheit des
Internets sein – insbesondere der Bürger, die für die Nutzung der Onlinedienste noch gewonnen werden müssen. Auch eine erfolgreiche Überwindung
der »digitalen Spaltung« in Nutzer und Nicht-Nutzer wird maßgeblich davon
abhängen, vertrauenswürdige sowie sichere rechtliche und technologische
Rahmenbedingungen zu schaffen.
Wirkung von Regelungen und Empfehlungen auf die
Verbesserung der IT-Sicherheit
Nachfolgend werden einige ausgewählte Regelungsbereiche und Empfehlungen vorgestellt, die im Kontext von E-Government eine Rolle spielen.
Beispiele für Regelungen im Bereich IT-Sicherheit
– Bundesdatenschutzgesetz (BDSG)
– Signaturgesetz (SigG)
Beispiele für Empfehlungen im Bereich IT-Sicherheit
– IT-Grundschutzhandbuch
– E-Government-Handbuch
Beispiele für Selbstregulierung durch die Wirtschaft im Bereich IT-Sicherheit
– Interoperabilitätsstandard ISIS-MTT für elektronische Signaturen
– ISO-Standard ITSEC/CC für die Sicherheitszertifizierung von IT-Produkten.
Freundesgabe Büllesbach 2002
248
Hange
Die Aufzählung ist beispielhaft, denn es fehlen u.a. bereichsspezifische Regelungen für das E-Government, die teilweise noch nicht verabschiedet sind
sowie u.a. das Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG), das zum Ziel hat, einen modernen und verlässlichen Rechtsrahmen für den elektronischen Geschäftsverkehr zu schaffen.
Für die Bewertung der Wirksamkeit von Regelungen und Empfehlungen in
der IT-Sicherheit können folgende Kriterien zugrunde gelegt werden:
– Anwendbarkeit auch bei Technikveränderung – insbesondere keine Behinderung des Fortschritts der Technik,
– Überprüfbarkeit der Einhaltung; dies bedeutet, dass eine Regelung oder
Empfehlung eindeutig und verständlich formuliert sein muss,
– positiver Aufwand-Nutzen-Effekt bei Umsetzung für den Betroffenen und
– Schaffen eines allgemeinen Vertrauensvorteils.
Bisherige Erfahrungen
1. Im Bundesdatenschutzgesetz aus den siebziger Jahren waren in §9 die
so genannten zehn Gebote enthalten, in denen die technisch-organisatorischen Regelungen zur Datensicherheit (z. B. Speicherkontrolle) beschrieben wurden. Die Regelungen orientierten sich weitgehend an der
Arbeitsweise in Großrechenzentren – d.h. der Rechnerwelt vor ca.
25 Jahren. Mit Einführung der Client-Server Architekturen in den achtziger Jahren entsprachen die in § 9 beschriebenen Sicherheitsmaßnahmen
nicht mehr dem Stand der IT-Sicherheit. Dies ändert aber nichts an der
Tatsache, dass das BDSG in den letzten 25 Jahren nachhaltig zu einem
gesteigerten Datenschutzbewusstsein bei den Bürgern geführt und auch
in der Praxis zu einer Verbesserung der Vertrauensbasis für den Einsatz
von IT beigetragen hat.
Mit Novellierung des BDSG im Jahre 2001 ist auf eine technikbezogene
Spezifizierung der Sicherheits- und Kontrollmaßnahmen verzichtet worden.
2. Das 1997 verabschiedete Signaturgesetz (SigG) sah in einer der ersten
Fassungen neben der Signaturverordnung einen ausführlichen Katalog
von Sicherheitsmaßnahmen vor, in dem konkret die Umsetzung der
rechtlichen in technische Anforderungen beschrieben wurde. Insbesondere wurden in dem 300-seitigen Maßnahmenkatalog, der mit Wirtschaft
und Wissenschaft ausführlich erörtert wurde, die hohen Sicherheitsanforderungen an die eingesetzten Sicherheitskomponenten (z. B. Chipkarten) detailliert beschrieben. Obwohl die Wirtschaft auf der Ebene der
Experten an dem Maßnahmenkatalog aktiv mitgearbeitet hatte und die
Qualität der aufgezeigten Sicherheitsmaßnahmen allgemein anerkannt
wurde, lehnten im Anhörungsverfahren die betroffenen Wirtschaftsverbände den Katalog weitgehend ab. Es wurde die Auffassung vertreten,
dass durch die Beschreibung der für Sicherheitsmaßnahmen geeigneten
Freundesgabe Büllesbach 2002
Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit
249
Technologien andere mögliche Lösungen benachteiligt und technische
Innovation behindert würden.
3. Es wurde daraufhin entschieden, den Maßnahmenkatalog als Handbuch
des BSI mit Empfehlungscharakter herauszugeben. In dieser Form hat er
sich sowohl bei der Entwicklung von Sicherheitsprodukten wie auch bei
der Errichtung von Trust-Centern als nützliche Orientierungshilfe bewährt.
4. Anfang der neunziger Jahre wurde der Bundesverwaltung die Durchführung von Risikoanalysen und die Erstellung von Sicherheitskonzepten
in der Bundesverwaltung verpflichtend vorgegeben. Von jeder Bundesbehörde mussten bei IT-Vorhaben auch IT-Sicherheitskonzepte zur
Genehmigung der Haushaltsmittel vorgelegt werden. Die Erstellung der
Sicherheitskonzepte mit aufwändigen Bedrohungs-, Schwachstellen-,
und Risikoanalysen orientierte sich an dem IT-Sicherheits-Handbuch. Das
Verfahren der Risikoanalysen führte vielfach zu umfangreichen Untersuchungen, deren Ergebnisse in keinem Verhältnis zu den Aufwänden standen. Das IT-Sicherheits-Handbuch hat sich trotz Empfehlung in der Bundesverwaltung als Standardwerk in der Breite nicht durchsetzen können.
5. Das alternativ im BSI entwickelte IT-Grundschutzhandbuch wurde daher
bei der Einführung zunächst nur als Hilfsmittel zur Selbsthilfe den
Verwaltungen und Wirtschaftsunternehmen empfohlen. Entscheidendes
Kriterium für die Akzeptanz der im Grundschutz-Handbuch beschriebenen Vorgehensweise waren die Qualität der erzielten Ergebnisse sowie
der positive Aufwand-Nutzen-Effekt des Verfahrens. Mit Bewährung des
Grundschutz-Handbuches in der Praxis wurde es in einigen Verwaltungen und Wirtschaftsunternehmen in Selbstregulierung als verbindliches
Standardwerk festgelegt.
Regelungen und Empfehlungen im E-Government
Die von der Bundesregierung gestartete Initiative BundOnline 2005 hat das
Ziel, bis zum Jahr 2005 alle internetfähigen Dienstleistungen der Bundesverwaltung online anzubieten.
Rahmenbedingungen für die Umsetzung von IT-Sicherheit im E-Government
– Bei der Kommunikation und bei Transaktionen über das Internet sind
Rechtssicherheit und der Schutz der Verbraucherinteressen sicherzustellen. Hierzu bedarf es rechtlicher Rahmenbedingungen. Daneben sind
bereichsspezifisch zusätzliche Regelungen zu treffen.
– Die Interoperabilität von Sicherheitstechnologien im Kommunikationsbereich ist zwingende Voraussetzung, um mit E-Government alle Bürger
erreichen zu können. In Selbstregulierung bedarf es zwischen den betroffenen Hersteller- und Anwendergruppen der Festlegung interoperabler
Freundesgabe Büllesbach 2002
250
Hange
Schnittstellenspezifikationen. Darüber hinaus würde auch die Einführung
von Sicherheitszertifikaten das erreichte Sicherheitsniveau von OnlineDienstleistungen transparenter machen. In Selbstregulierung könnten
die Internetdienstleister über Sicherheitszertifikate das Vertrauen der
Verbraucher in das Internet erhöhen.
– Im Bereich der Wirtschaft und ebenso aufgrund der föderalen Struktur
in den deutschen Verwaltungen haben Empfehlungen zur IT-Sicherheit
einen hohen Durchdringungs- und Verbreitungsgrad. Ursache hierfür
sind die Praxisnähe, der Zeitfaktor und die formale Unverbindlichkeit von
Empfehlungen. Ein geschicktes Marketing durch die Implementation in
Pilotverfahren, durch das Publizieren von beispielhaften Lösungen (Best
Practise) sowie durch gemeinsame Initiativen von Wirtschaft und Verwaltung (Public Private Partnership) können Empfehlungen eine hohe
Verbreitung und breite Akzeptanz verschaffen.
Aktionsplan zur Umsetzung von BundOnline 2005
Regulativer Rahmen
– SigG und BDSG wurden im Jahre 2001 novelliert. Aufgrund der Gleichstellung der elektronischen mit der manuellen Unterschrift müssen in
Folge auch weitere Gesetze und Verordnungen novelliert werden.
Moderne Sicherheitstechnologien (z. B. Signaturverfahren), versehen mit
Sicherheitszertifikaten bzw. -bestätigungen sollen in der Umsetzung den
Schutz der Internetnutzer sowie den Anspruch an Rechtssicherheit – insbesondere bei Transaktionen über das Netz – gewährleisten.
Selbstregulierung
– Im Online-Sektor sollte Selbstregulierung die Gesetzgebung ergänzen.
So bietet sich u.a. die Festlegung von Schnittstellen des elektronischen
Geschäftsverkehrs zwischen Wirtschaft und Verwaltung für Vereinbarungen unterhalb gesetzlicher Regelungen an.
Der Aufbau einer Public Key Infrastruktur für elektronische Signaturen
und Verschlüsselung ist eine der zentralen Herausforderungen in der
Realisierung des E-Governments, um innerhalb der Verwaltung sowie
mit der Wirtschaft und den Bürgern formgebundene und inhaltlich sensitive Nachrichten sicher zu kommunizieren. Zwingende Voraussetzung für
die sichere Kommunikation über das Internet ist die Interoperabilität der
eingesetzten Sicherheitsprodukte und -systeme. Die Definition von entsprechenden Interoperabilitätsstandards wie beispielsweise ISIS-MTT für
den Bereich der Elektronischen Signaturen kann nicht von staatlichen
Stellen vorgegeben werden, sondern obliegt den einschlägigen Herstellerverbänden. Die Selbstregulierung der Interoperabilität durch die Hersteller sichert den Wettbewerb der Produkte auf dem Markt sowie deren
innovative Weiterentwicklung für die Zukunft.
Freundesgabe Büllesbach 2002
Wirksamkeit von Regelungen und Empfehlungen in der IT-Sicherheit
251
– Einen Beitrag zur Vertrauensbildung im Internet kann auch die Einführung von Sicherheitszertifikaten für Internetangebote darstellen. Analog
zu dem Ansatz von Gütesiegeln (Trustmarks), die Qualitätsaussagen von
Internetangeboten auf der Grundlage klar definierter Qualitätskriterien
bestätigen, können auch Sicherheitszertifikate das erreichte Sicherheitsniveau im Internet transparenter machen und so das Vertrauen auf Seiten
des Bürgers erhöhen. Hierzu hat das BSI im Frühjahr 2002 auf Basis des
IT-Grundschutz-Handbuches ein Qualifizierungs- und Zertifizierungsschema veröffentlicht. Damit können grundsätzlich auch für Internetangebote Sicherheitszertifikate vergeben werden. Es wird angestrebt,
gemeinsam mit den Dienstleistern im Bereich der Internet-Wirtschaft auf
der Basis des IT-Grundschutzes und der Common Criteria so genannte
Schutzprofile zu entwickeln, die das Sicherheitsniveau für die Vergabe
von Sicherheitszertifikaten definieren. Die Entscheidung, ein Zertifizierungsverfahren in Selbstverpflichtung einzuführen, bleibt den Internetserviceprovidern in Eigenverantwortung überlassen.
Empfehlungen
– Zur Unterstützung des Programms BundOnline 2005 veröffentlicht das
BSI ein E-Government-Handbuch. Das Handbuch präsentiert verschiedene Themen als eigenständige Module, ergänzt um nützliche Werkzeuge.
Die gesammelten Empfehlungen aus der Beratungspraxis sollen nicht
reglementieren, sondern werden als arbeitsökonomisches Hilfsmittel
angeboten. Sie sollen den Behörden bei der Einführung von internetbasierten Verwaltungsdienstleistungen unterstützen und insbesondere
Empfehlungen und Hinweise für die Implementierung der erforderlichen
technischen und organisatorischen Sicherheitsmaßnahmen geben. Das
Handbuch bietet auch eine Plattform für die Darstellung von Modellprojekten als Best Practise. Beispiele für E-Government-Modellprojekte sind
die Projekte E-Vergabe und Digitaler Dienstausweis.
– Public private Partnerships sind geeignete Instrumente, um die Nutzung
und Akzeptanz des Internets in Gesellschaft und Verwaltung voranzutreiben. Ein Beispiel für das gemeinsame Engagement von Staat und Wirtschaft ist die Initiative D21, die inzwischen von mehr als 130 Unternehmen unterstützt wird. Gemeinsam mit der Bundesregierung werden
hier Konzepte für den Übergang in die Informationsgesellschaft erarbeitet und umgesetzt. In der Arbeitsgruppe 5 »Sicherheit im Internet« der
Initiative D21 wurden zu diesem Zweck vier Projektgruppen mit Experten
aus Wirtschaft und Verwaltung eingerichtet. Die in den Projektgruppen
erzielten Arbeitsergebnisse werden als Empfehlungen im Rahmen der
Informationskampagnen von D21 publiziert. Im Einzelnen haben die
Projektgruppen folgende Empfehlungen erarbeitet:
– Zum Aufbau so genannter Computer Emergency Response Teams,
deren Aufgabe es ist, auf Schwachstellen hinzuweisen und vor Angriffen aus dem Internet zu warnen,
Freundesgabe Büllesbach 2002
252
Hange
– zum Aufbau und Ausbau von übergreifenden Public-Key-Infrastrukturen, die gemeinsam von Wirtschaft und Verwaltung genutzt werden
können,
– zum Einsatz von Chipkarten als Träger von Sicherheitsmechanismen
und
– zur Anwendung geeigneter IT-Sicherheitskriterien für die Erstellung
von Sicherheitskonzepten; hierzu wurde ein Leitfaden erstellt.
Mit den Sicherheitsempfehlungen sollen nicht nur Spezialisten, sondern
auch Führungskräfte angesprochen werden. Ausgehend von Umfragen, die
besagen, dass drei Viertel aller deutschen Unternehmen ihre E-BusinessStrategie durch mangelnde IT-Sicherheit bedroht sehen, muss über
Aufklärung und Sensibilisierung ein Bewusstsein dafür gestärkt werden,
dass Sicherheitslösungen keinen Luxus, sondern einen Erfolgsfaktor bei der
Einführung digitaler Dienstleistungen darstellen.
Schlussfolgerung:
Aus den oben dargestellten Beispielen lassen sich einige Grundprinzipien
ableiten, an welchen Stellen Bürger, Unternehmen bzw. Behörden Regelungen für die IT-Sicherheit benötigen, wo das Instrument der Selbstregulierung
besser greift und wo Empfehlungen besser geeignet erscheinen:
– Gesetzliche Regelungen sind erforderlich für den Rechtsrahmen zum
Schutz der Internetnutzer sowie zur Rechtssicherheit von elektronischen
Transaktionen.
– Rechtliche Regelungen sollten technikneutral und entwicklungsoffen formuliert werden.
– Initiativen zur Selbstregulierung des Internets sind in den Bereichen sinnvoll, in denen staatliche Regulierung nicht notwendig oder nicht möglich
ist. So kann die Einführung von Sicherheitszertifikaten für Internetangebote (analog zu Gütesiegeln in Bezug auf die Qualität von Internetangeboten) ein Weg sein, über den das Vertrauen der Bürger in die
Sicherheit von Online-Dienstleistungen nachhaltig erhöht werden kann.
– Empfehlungen sind ein sehr erfolgversprechender Ansatz zur Erhöhung
der IT-Sicherheit, wenn es um die Festlegung von Standards, den Aufbau
von Sicherheitsinfrastrukturen (z. B. CERT) sowie um die Implementation
von IT-Sicherheit in Anwendungen insbesondere unter engen Zeitvorgaben geht. Public Private Partnerships sind geeignete Instrumente, um
Empfehlungen eine breite Akzeptanz zu verschaffen und somit das
Vertrauen in die sichere Nutzung des Internets in Gesellschaft und
Verwaltung zu fördern.
Freundesgabe Büllesbach 2002
253
5. GLOBALISIERUNG UND ENTGRENZUNG DES RECHTS
Joachim Rieß
Baustellen globaler Architekturen des Rechts
Die Entgrenzung rechtlicher Regulierung
Die Globalisierung ist in vielen Lebensbereichen der Industriegesellschaften
greifbar. So eingängig der Globalisierungsbegriff erscheint, so diffus und unübersichtlich wird er in der konkreten Analyse. Ulrich Beck charakterisiert die
Dimensionen der Globalisierung aus soziologischer Sicht folgendermaßen:
1. Geographische Ausdehnung und zunehmende Interaktionsdichte des
internationalen Handels, die globale Vernetzung der Finanzmärkte und
der Machtzuwachs transnationaler Konzerne,
2. die informations- und kommunikationstechnologische Dauerrevolution,
3. die universal durchgesetzten Menschenrechte,
4. die Bilderströme der globalen Kulturindustrien,
5. die postinternationale, polyzentrische Weltpolitik – neben den Regierungen gibt es an Macht und Zahl zunehmende transnationale Akteure (Konzerne, Nicht-Regierungsorganisationen, Vereinte Nationen),
6. die Fragen der globalen Armut,
7. der globalen Umweltzerstörung und
8. transkultureller Konflikte am Ort. (Beck, S. 29)
Diesen Umbruchprozessen muss sich das Recht stellen und es ist ihnen zugleich fundamental unterworfen. Die nationalstaatlich geprägten Rechtskulturen geraten immer mehr in eine globale Vernetzung.
Die Beiträge im folgenden Kapitel markieren zum einen derartige Bruchstellen des Rechts vor dem Hintergrund der Globalisierung und stellen zum
anderen Konzepte auf verschiedenen Rechtsgebieten vor, die diese Fragestellung aufgreifen. Diese Darstellung kann nur eine unvollständige Aufnahme sein, die sich zusammenfügt aus dem fachlichen Hintergrund der Autoren,
die mit Prof. Büllesbach die fachliche und kollegiale Diskussion um diese Veränderungsprozesse in besonderer Weise verbindet.
Verlust der nationalstaatlichen Souveränität
Es lassen sich mehrere Fäden aufnehmen. Einen Teil der Beiträge verbindet
der rechtskulturelle Umgang mit einem globalen Anspruch auf Menschenrechte und deren Implementierung in internationale Systeme und Regulierungssysteme. Diese Beiträge verbindet die Frage der Souveränität. Das
Territorialprinzip, der Bezugsrahmen nationalstaatlicher Souveränität und
demokratischer Legitimation wird durch Globalisierung entgrenzt. ZunehFreundesgabe Büllesbach 2002
254
Rieß
mende multinationale Konfliktinterventionen erfordern eine Lösung der Frage
internationaler gerichtlicher Sanktion bei Verbrechen gegen die Menschlichkeit durch die Konfliktparteien.
Ein weiterer Faden lässt sich zu einer Vielzahl neuer Regelungstatbestände
aufnehmen, die aus der »Dauerrevolution der Informations- und Kommunikationstechnologien« resultieren. Viele Staaten sehen sich gezwungen, in ihre
Rechtssysteme neue Regelungstatbestände wie Privacy Rights einzuführen,
die sich sowohl auf den Schutz der Betroffenen als auch auf die Spielregeln
im Umgang mit elektronischen Informationen beziehen. Dabei stellen sich
Fragen der Rechtskultur, des anzuwendenden Rechts und der Rechtsdurchsetzung angesichts der Globalisierung der Märkte bis zum Verbraucher.
Über das Internet erhält der Nutzer direkten Zugang zu Informations- und
Kommunikationsangeboten und Märkten, auf dem andere Gesetze und
Regeln gelten als in dem territorialen Umfeld, in dem der Nutzer beheimatet
ist. Der Staat kann hier seinen Bürgern kaum noch Schutz bieten. Bruchstellen,
an denen ebenfalls unterschiedliche Rechtskulturen aufeinandertreffen.
Europa erlebt diesen Transformationsprozess in der Europäischen Union in
einem historisch beachtenswerten Projekt der politischen und rechtlichen
Steuerung, in der die nationale Souveränität von den Mitgliedstaaten schrittweise aufgegeben wird. Trotz eines bereits eingeübten rechtlichen Instrumentariums innerhalb der Mitgliedstaaten hat Europa die Frage einer neuen
Verortung der Souveränität noch nicht beantwortet.
Der Verlust nationalstaatlicher Souveränität ist keine europäische Fragestellung. Sie stellt sich weltweit angesichts der fundamentalen Globalisierungsprozesse. Multinationale Abkommen lassen sich üblicherweise nur langwierig
und schwerfällig händeln und erscheinen angesichts der Geschwindigkeit der
technik- und marktgetriebenen Veränderungsprozesse zu schwerfällig.
Transnationale Akteure als Handelnde einer globalen Öffentlichkeit?
Unterhalb nationalstaatlicher Vereinbarungen entwickeln sich neue transnationale Akteure und neue Regelungsinstrumente wie: Selbstverpflichtungen
der Wirtschaft, Codes of Conduct von Unternehmen und Branchen,
Zertifizierungsverfahren, Alternative Streitschlichtungsverfahren. In der
»Initiative Global Business Dialog (GBD)« arbeiten Unternehmen, die global
tätig sind, an dem Thema E-Commerce zusammen. Als Ergebnis haben sie
eine Reihe von Dokumenten zu verschiedenen Themen verabschiedet. Diese
Dokumente verstehen sich als Anregung – sowohl an betroffene Unternehmen als auch an die Gesetzgeber – zur Gestaltung der Rahmenbedingungen
des E-Commerce. Die Dokumente beziehen sich auf Alternative Dispute
Resolution, Summary of Recommendations, Affecting Consumer Confidence,
Cyber Security and Cyber Crime, Digital Bridges Task Force, Intellectual
Property Rights – Model IPR-Specific Notice and Takedown Procedures, Protection of Personal Data, Taxation, Trustmark und Trade.
Freundesgabe Büllesbach 2002
Globalisierung: Baustellen globaler Architekturen des Rechts
255
Solche Initiativen erfolgen auch im Rahmen der OECD und UNCITRAL mit
dem Ansatz, weltweit ähnliche Prinzipien zu etablieren. Dem liegt die Hoffnung zugrunde, dass solche Prinzipien, die sich zunächst interkulturell entwickeln, letztendlich auf die legislativen Prozesse in den verschiedenen Nationalstaaten rückwirken oder/und in Selbstregulierungsverfahren einfließen.
Zu den Akteuren der globalen Öffentlichkeit gehören natürlich auch die vielen kritischen NGOs zur Globalisierungs-, Umwelt- und Menschrechtspolitik,
die gewissermaßen die globale Opposition stellen.
Selbstregulierung, eine neue Form des kategorischen Imperativs
in globalen Gesellschaften?
Selbstregulierungsinstrumente werden bereits umfangreich auf dem Markt
eingesetzt. Viele Online-Angebote enthalten Privacy- und Consumer
Confidence Statements. Weitergehend geben sich einige Unternehmen Codes
of Conduct, mit denen sie sich als Unternehmen verpflichten, bestimmte
Verhaltensregeln im Wege der Selbstverpflichtung einzuhalten.
Diese Instrumente erlauben flexible, sachnahe Regelungen, beruhen auf
dem Prinzip der Selbstbindung und sind nicht territorial beschränkt. Auf diesem Wege könnte es möglich sein, Wertmaßstäbe, Prinzipien, Standards und
Verfahren festzulegen, die eine globale Transparenz und Orientierung bieten.
Es bleibt die Frage der Legitimität und der Durchsetzbarkeit. Die Geeignetheit derartiger Instrumente wird sich daran beurteilen lassen müssen, ob sie
für die Betroffenen transparent, vertrauenswürdig, kontrollierbar und durchsetzbar sind. Die Vertrauenswürdigkeit und Durchsetzbarkeit kann je nach
Regulierungsphilosophie durch mehr oder weniger staatlich oder durch den
Markt regulierte Verfahren erreicht werden. Die Vergabe von Qualitätszertifikaten kann staatlich reguliert oder im Wettbewerb erfolgen. Hier wird es auf
Beteiligungsformen ankommen, die durch die Marktbeteiligten legitimiert und
akzeptiert werden.
Generalklauseln zur Selbstregulierung – erste Bausteine
entgrenzten Rechts ?
Selbstregulierungsverfahren werden bereits vom Gesetzgeber in gesetzliche
Regulierungen generalklauselartig incorporiert. So sehen Art. 16 des E-Commerce-Gesetzes und Art. 27 der EG-Datenschutzrichtlinie vor, dass Branchen
und Verbände ihren Bereich selbst regulieren können. Diese Codes of Conduct
können die Akteure von der EU-Kommission auf ihre Entsprechung mit den
EU-Richtlinien hin überprüfen lassen, um dann eine Art offizielle Anerkennung
zu erhalten. Hier wird ein neues gesetzliches Instrument eingeführt. Die einzelnen Bereiche sollen ihren Verhaltenskodex selbst regulieren und können
eine Quasilegitimation durch die EU-Kommission erhalten. Die niederländiFreundesgabe Büllesbach 2002
256
Rieß
sche Gesetzgebung kennt seit längerem Gesetze, die Bedingungen für zukünftige gesetzliche Regulierungen setzen, falls die Unternehmen innerhalb einer
gesetzten Frist nicht Verhaltens-Codices etablieren. Das im deutschen Datenschutzgesetz vorgesehene freiwillige Datenschutzaudit, dass im Gutachten
des Bundesministeriums des Innern zur »Modernisierung des Datenschutzrechtes« weiterentwickelt wird, ist dagegen mehr eine Selbstregulierung der
staatlichen Aufsicht.
Basierend auf Art. 25 der EU-Richtlinie wurden zwischenstaatlich garantierte Verhaltensregeln, wie z.B. die »Safe Harbour Principles« zwischen den USA
und der Europäischen Union vereinbart. Es wurden Datenschutzprinzipien
vereinbart, denen sich jene Firmen unterwerfen können, die Daten aus Europa
erhalten. Das Department of Commerce führt eine Art Zertifizierung durch und
nimmt die Aufsicht wahr.
Dies könnten Bausteine für die Verzahnung traditioneller territorial gebundenen Rechts mit globalen, d. h. nicht territorial gebundenen Selbstverpflichtungen von Verbänden, multinationalen Unternehmen oder Institutionen sein,
die sich als entgrenztes Recht bezeichnen lassen. Angesichts des Souveränitätsverlustes des Nationalstaates scheint es lohnend, derartige nicht territorial gebundene Instrumente weiterzuentwickeln und kritisch zu diskutieren.
Literatur:
Ulrich Beck, Was ist Globalisierung, Frankfurt a. Main 1997.
Freundesgabe Büllesbach 2002
257
Otfried Höffe
Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung
Philosophische Bausteine für eine interkulturelle Begründung
1. Die neue Aufgabe
Der Datenschutz ist ein Beispiel für die Aufgabe, die sich im Zeitalter der
Globalisierung generell stellt: Ein globaler Handlungsbedarf braucht global
geltende Regeln und für sie eine global gültige, deshalb interkulturell überzeugende Rechtfertigung.
Der globale Handlungsbedarf herrscht in zwei Dimensionen. Einerseits stellen sich die Fragen so gut wie allerorten in der Welt. Denn ob Kranken- oder
Lebensversicherungen, Arbeitsplätze, Wohnungssuche, Bankgeschäfte, Arztund Krankenhausbesuche, Schulen und Hochschulen – in immer mehr
Lebensbereichen werden in immer mehr Ländern persönliche Daten erfragt,
teils unmittelbar, teils über Auskünfte bei Dritten. Andererseits werden die
Daten immer mehr mittels jener neuen Techniken, allen voran den Computern, erfasst, die an das elektronische Weltnetz (»Internet«) angeschlossen
sind, so dass die Daten nicht an ihrem ursprünglichen Ort verbleiben. Die
weltweit abgefragten Daten werden auch weltweit verfügbar, und dieses häufig ohne die Zustimmung der Betroffenen. Und wegen der wachsenden
Internationalität der menschlichen Kooperation, übrigens nicht nur im Bereich
der Wirtschaft, sondern auch der Wissenschaft, der Kultur und des Tourismus,
leider auch der organisierten Großkriminalität und des Terrorismus, wird über
das weltweit Verfügbare in wachsendem Maße tatsächlich weltweit verfügt.
Dazu kommt der Umstand, dass die Globalisierung nicht bloß der traditionellen Kriminalität eine globale Ausweitung erlaubt. Dank des elektronischen
Weltnetzes drohen auch neuartige Formen von Missbrauch und Kriminalität.
Beiden Seiten des globalen und nicht bloß ökonomischen »Marktes«, sowohl
den Geschäftsleuten, Anbietern und Ämtern als auch den Kunden, Arbeitnehmern, Bürgern und den Patienten, droht eine Unterhöhlung ihrer Rechte: Weil
digital gespeicherte Werke ohne jeden Qualitätsverlust beliebig kopiert,
andernorts eingespeist und abgerufen, überdies mühelos verändert und mit
anderen Werken kombiniert werden können, ist geistiges Eigentum gefährdet.
Ferner können Hacker, Spione, Erpresser und andere »gierige Datensammler«
(einschließlich der Regierungen), Informationen stehlen, missbrauchen und
manipulieren.
Die Folgen sind offensichtlich: Der Datenschutz wird gefährdet, im Betrug
bei elektronischen Bankgeschäften zusätzlich materielles Eigentum. Weiterhin
entgehen den Finanzministerien Zölle und Umgangssteuern. Nicht zuletzt drohen bei der – zweifellos notwendigen! – Verbrechens- und Terrorismusbekämpfung staatliche Überreaktionen. Diese schränken den Daten- und Persönlichkeitsschutz durch jene Gewalten ungebührlich ein, die doch für den
Rechtsschutz, einschließlich Datenschutz geschaffen sind. Die fälligen
Freundesgabe Büllesbach 2002
258
Höffe
Güterabwägungen können im Einzelfall schwierig sein, gewiss. Weil die liberale Demokratie um der Menschen und ihrer Freiheit willen besteht, trägt sie
aber bei jeder Einschränkung von Rechten eine hohe Beweislast.
Offensichtlich braucht es hier einen neuen, nicht mehr auf Landesgrenzen
festgelegten, vielmehr internationalen, sogar globalen Rechtsschutz. Dafür ist
jene globale Rechtsordnung, die auf Dauer einzurichten ist, eine demokratische Weltrechtsordnung bzw. Weltrepublik (vgl. Höffe 2002), nur subsidiär,
gleichwohl obligatorisch verantwortlich. Subsidiär ist ihre Verantwortung, da
der Rechtsschutz primär den Einzelstaaten obliegt und diese die grenzüberschreitenden Aufgaben durch zwischenstaatliche Absprachen lösen können.
Bei ihnen droht aber die zu Steueroasen analoge Gefahr, dass sich gewisse
Gemeinwesen, um sich Vorteile zu verschaffen, entweder den Absprachen gar
nicht beitreten oder aber deren Einhaltung nicht ernst nehmen. Nicht von
vornherein, aber sobald und soweit dies geschieht, eben subsidiär, ist die globale Rechtsordnung gefordert.
Weil sich die digitale Welt für die Gangart von Regierungen zu schnell entwickelt, ist eine alternative Doppelstrategie denkbar, die Verbindung von
(Bürger-)Selbstschutz mit (Unternehmens- und Ämter-)Selbstkontrolle: Einerseits schützen sich die Bürger, sowohl Kunden als auch Urheber geistigen
Eigentums, durch den Einsatz spezieller Programme (»Software«) selber.
Andererseits unterziehen sich die Unternehmen und Ämter, angefangen beim
sehr sparsamen Umgang mit persönlichen Daten, einer freiwilligen
Selbstkontrolle. Da auf dem elektronischen Markt aber große Gewinne winken
und das Weltnetz eine schier unerschöpfliche Fundgrube für Daten bietet, werden Begehrlichkeiten geweckt, derentwegen weder mit einer wirksamen
Selbstkontrolle noch mit einem wirksamen Selbstschutz zu rechnen ist. Ohnehin können auch in technischer Hinsicht die Sicherheitsfachleute im Wettlauf
mit »Code-Knackern« mit keinem dauerhaften Sieg rechnen. Infolgedessen
bleibt die Weltrechtsordnung gefragt. Nicht als Alternative zur genannten
Doppelstrategie ist sie nötig, aber zu deren notwendiger Ergänzung.
Ein globales Recht hat für die Grund- und Rahmenregeln des Datenschutzes
zu sorgen, sowohl (a) für die Bestimmung der Regeln als auch (b) deren wirksamer Durchsetzung und (c) der unparteiischen Streitschlichtung. Diese drei
Aufgaben entsprechen aber den drei bekannten öffentlichen Gewalten. Ob es
in der strengen (»strict«) Form oder deren sanfter (»soft«) Variante geschieht:
um die andernfalls drohende Willkür und Gewalt abzulösen, brauchen der
Datenschutz und, allgemeiner, der Persönlichkeitsschutz gemeinsame Regeln
(»Legislative«), eine unparteiische Durchsetzung (»Exekutive«) und die
gewöhnliche Gerichtsbarkeit oder Schiedsgerichte (»Jurisdiktion«).
2. Hegemonie oder interkultureller Konsens?
Für die näheren Bestimmungen sind andere zuständig, auf der Ebene der
Wissenschaft vor allem die Kooperation der Rechts- und PolitikwissenschafFreundesgabe Büllesbach 2002
Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung
259
ten mit der Informatik. Insbesondere als Rechtsethik stellt sich die Philosophie
eine Frage, die die Fachkompetenz dieser Kooperation übersteigt, nämlich die
normative Frage, wie die einschlägigen Grund- und Rahmenregeln zu rechtfertigen sind. In substantieller Hinsicht legen sich die Menschen- und
Grundrechte als Kriterium Regeln nahe. Formaliter liegen dagegen zwei
Rechtfertigungsstrategien auf der Hand.
Einerseits kann eine Hegemonialmacht ihre eigenen Regeln weltweit durchsetzen. Je nach Art der Hegemonie fällt die Durchsetzung mehr oder weniger
»hemdsärmlig« aus. Beispielsweise greift man auf seine militärische Überlegenheit zurück oder deutet sie mehr oder weniger verhüllt an. Oder man lässt
seine wirtschaftliche oder rechtliche oder politische Überlegenheit spüren.
Oder man operiert mit einem Zusammenspiel dieser Faktoren.
Hegemoniale Tendenzen im internationalen Recht gibt es durchaus. Nach
Ende des Ost-West-Konflikts haben sie sich sogar, normativ gesehen, merkwürdigerweise verstärkt. Denn in dem Konflikt sollte doch das Gegenteil von
Hegemonie verteidigt werden, die »Recht«, »Demokratie« und »Freiheit« oder
auch »Menschenrechte» genannte Gleichberechtigung aller Menschen und
Völker. Tatsächlich nimmt die nach dem Konflikt einzig verbliebene Großmacht ihre hegemoniale Sonderrolle kräftig wahr.
Die Hegemonie ist aber ein politischer Begriff. Weil sie etwas über
Machtverhältnisse oder Verhandlungsmacht (»bargaining power«) aussagt,
widerspricht sie nicht bloß dem damaligen Rechtsbewusstsein, sondern auch,
grundsätzlich betrachtet, dem Wesen des Rechts. Denn die Ausübung einer
Hegemonie kann zwar gewissen Bedingungen von Rechtsvernunft dienen,
beispielsweise dort, wo ein übermächtiger Staat in die Rolle eines »TeilzeitLeviathans« schlüpft und dank überlegener Macht für Rechtssicherheit sorgt.
Die Vormachtstellung lässt sich aber auch zu jener Unterdrückung, sogar
Ausbeutung missbrauchen, die bei den Unterdrückten Ressentiments, vielleicht sogar Hass und ein Gefühl der Demütigung hervorruft. Selbst wenn die
Hegemonie nicht in Despotie übergeht, droht doch die Gefahr der
Parteilichkeit: Warum soll sich eine unstrittig überlegene Macht dem Recht
beugen oder das Recht auch nur »sine ira et studio« anwenden? Vor allem
fehlt bei einer Hegemonie die Grundbedingung von Recht und Gerechtigkeit:
die wechselseitige freie Zustimmung, die Vereinbarung.
Ein hegemonial eingerichteter Daten- und Persönlichkeitsschutz hat daher
nur zur Hälfte Rechtscharakter. Auch wenn er inhaltlich elementaren
Rechtskriterien genügt, widerspricht die Art, den Schutz zu etablieren, elementarem Recht. Die Alternative besteht in der angedeuteten Vereinbarung:
in einer Zustimmung, und zwar einer nicht hegemonial erzwungenen, sondern freien Zustimmung aller Betroffenen. Und die Betroffenen sind weniger
die einzelnen Rechtsgenossen als die verschiedenen Rechtskulturen. Weder
die USA allein noch die europäisch-amerikanische Kultur dürfen ihre
Rechtskultur den anderen Kulturen aufzwingen.
Gegen das Kriterium »universaler« bzw. »interkultureller Konsens« drängt
sich freilich der pragmatische Einwand auf, historisch-faktisch lasse sich die
Freundesgabe Büllesbach 2002
260
Höffe
freie, allgemeine Einstimmung nie erfüllen. Denn zum einen könne die
Zustimmung auch aus Gedankenlosigkeit oder Verblendung erfolgen, womit
sie nicht im vollen Sinn frei wäre. Zum anderen seien manche gar nicht anwesend oder könnten sich mangels Zurechnungsfähigkeit nicht frei entscheiden.
Weil der Einwand eine gewisse Berechtigung hat, ist das Kriterium zu präzisieren: Damit die Zustimmung überlegterweise (»vernünftig«) erfolgt, ist sie
an einen nachprüfbaren Zusammenhang mit den Rechtsinteressen verschiedener Rechtskulturen zu binden. Das formale Kriterium »freie Zustimmung«
geht deshalb in das substantielle Kriterium »zustimmungswürdig« über, hier
in dem Sinne, dass sich die verschiedenen Kulturen mit ihren berechtigten
Interessen darin wiederfinden.
3. Skepsis gegen kulturgeschichtliche Skepsis
Nach einer verbreiteten Ansicht sind die Menschen- und Grundrechte derart
von jüdisch-christlichen, griechischen, römischen und germanischen Elementen geprägt, dass sie für die abendländische Kultur typisch, anderen Kulturen dagegen fremd sind. Infolgedessen sei das Kriterium »interkultureller
Konsens« von vornherein zum Scheitern verurteilt und nur die Alternative
Rechtlosigkeit oder hegemoniales Vorgehen bleibe übrig. Dem Verzicht auf
einen globalen Daten- und Persönlichkeitsschutz dürfte aber der Export der
eigenen Schutzbestimmungen vorzuziehen sein: der Imperialismus bzw. die
Hegemonie einer Rechtskultur als die nicht beste, aber doch zweitbeste
Lösung.
Es ist hier nicht der Ort, alle oder auch nur die wichtigsten Rechtskulturen
durchzumustern. Vielfach fehlen schon die dafür erforderlichen Vorstudien.
Schon ein kurzer Blick in die Geschichte entdeckt aber in anderen, selbst sehr
frühen Rechtskulturen deutliche Anknüpfungspunkte. Auch wenn der Begriff
der Privatheit als strenger Rechtsbegriff relativ neu ist, in das Gemeine Recht
(Common Law) der USA rechtstheoretisch erst im Jahre 1890 von Warren und
Brandeis eingeführt und rechtspraktisch 1965 als Verfassungsrecht anerkannt,
ist die Sache mindestens ansatzweise sehr viel älter, was Skepsis gegen die
skizzierte Skepsis weckt. Ohnehin hat die Behauptung einer bloß kulturrelativen Gültigkeit gelegentlich nur strategische Bedeutung: Ganz- oder teilautoritäre Regierungen wollen sich gegen Kritik schützen.
Selbst wenn die Gegenbehauptung nicht nur strategisch gemeint ist, lässt
sich ihre Begründung, die Inanspruchnahme von angeblich konkurrierenden
etwa asiatischen oder afrikanischen Werten, in der Regel kulturimmanent entkräften: Beispielsweise soll der in China noch wirksame und in anderen ostasiatischen Ländern sogar vorherrschende Konfuzianismus oder Neokonfuzianismus nicht über einen abstrakten Begriff »des Menschen« verfügen, sondern nur die Verschiedenheit von Rollen und Leistungen kennen, so dass ihm
schon der Träger der Menschenrechte, »der Mensch«, fehle. Nach dem zweitwichtigsten Klassiker des Konfuzianismus, Mong Dsi (Meng zi, 4. Jh. v. Chr.),
Freundesgabe Büllesbach 2002
Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung
261
besitzt aber »jeder einzelne Mensch« eine ihm angeborene »Würde in sich
selbst« (Lehrgespräche, 163 f.). Weil sie in der dem Menschen vom »Himmel«
verliehenen moralischen Natur gründe, könne sie durch Machthaber weder
gewährt noch genommen werden; legitime Herrschaft dagegen sei an die
Achtung dieser Würde gebunden. Mong Dsi bekräftigt also nicht bloß eine normativ anspruchsvolle Grundlage der Menschenrechte, die Menschenwürde. Er
unterscheidet auch deutlich das originäre Gewähren von Seiten des Himmels
und das bloß subsidiäre Gewährleisten seitens menschlicher Herrschaft.
Außerdem darf man die im Konfuzianismus betonte Verschiedenheit der
Rollen sozial- und rechtstheoretisch nicht überschätzen. Auch wenn man teils
Bruder, teils Sohn, teils Ehemann, teils Vater usw. ist, erkennen konfuzianische
Rechtskulturen insofern einen rechtstheoretischen Kern des Personenbegriffs
an, als sie ein Strafrecht kennen und sowohl die Täter als auch die Opfer als
Individuen identifizieren. Verstöße gegen die Verbote zu stehlen, zu morden
usw. werden den betreffenden Tätern zugeordnet, die wiederum zur Verantwortung gezogen, gegebenenfalls bestraft werden, somit qua Täter ihrer
Taten als verantwortliche Rechtspersonen gelten. Entsprechendes gilt für das
Zivilrecht. Im Handelsrecht und Schuldrecht gelten die Rechtsgenossen unter
den entsprechenden Bedingungen, etwa der Volljährigkeit, als geschäftsfähig,
also als Personen, die Geschäfte abschließen dürfen und für deren Folgen einstehen müssen. Man darf extrapolieren: Im Zivil- und im Strafrecht, auch bei
Fragen der Staatsbürgerschaft und (beispielsweise sozialstaatlicher) Leistungsversprechen beziehen sich alle Kulturen auf Rechtssubjekte im Sinne
konkreter Individuen.
Auch von der afrikanischen Kultur her lässt sich der Gedanke der Menschenrechte nicht relativieren. Manche afrikanische oder europäische Intellektuelle befürchten zwar, in der für Afrika charakteristischen Betonung der
Solidarität gehe die Grundlage der Menschenrechte, die individuelle Personalität des Menschen, unter (vgl. Höffe 1999a, 43 f.). Der afrikanische Sozialethiker Bujo (1993) aber weist diese Deutung entschieden zurück. Schon in der
Namensgebung vieler Stämme Afrikas trete die Hochschätzung der Individualität zutage. Statt des im Westen üblichen Familiennamens, der vom Vater
zum Sohn – liberaler: von den Eltern zu den Kindern – übergehe, habe jedes
Kind nur einen eigenen Namen. Und dieser sei durch jene Umstände, unter
denen es geboren wurde, geprägt, so dass er »das Individuum in seiner
Geschichtlichkeit und seiner unwiederholbaren Einmaligkeit« bezeichne.
Derartige Beispiele erlauben, die beliebte, aber unberechtigte Annahme
zurückzuweisen, der Westen sei der einzige Treuhänder der Menschenrechte
(lesenswert: Rouland 1991). Ohnehin widerspricht ihr das Strafrecht. In so gut
wie allen Kulturen schützt es nämlich gewisse Rechte menschenrechtlicher
Dignität, namentlich die Rechte auf Leib und Leben, auf Eigentum und auf
einen guten Namen (»Ehre«). Und die Verbindung beider Elemente, der
Schutz von Leib und Leben mit dem Verbot zu stehlen, bietet einen guten
Einstieg in den Daten- und Persönlichkeitsschutz. Weitere Bausteine für
Menschenrechte lassen sich in jener Kritik ungerechter Herrschaft entdecken,
Freundesgabe Büllesbach 2002
262
Höffe
die weit in die Frühzeit zurückreicht. Im Gilgamesch-Epos (in seiner ältesten
Fassung ca. 2000 v. Chr.) etwa wird der Titelheld, der große König von Uruk,
aufgefordert, seine Macht nicht zu mißbrauchen und die Diener gerecht zu
behandeln. Im indischen Nationalepos Mahabharata aus dem 16. Jahrhundert
v. Chr. wird von den Herrschern verlangt, ihr Volk mit allen Mitteln zu schützen. Besonders eindrucksvoll ist ein Bund der Irokesen, der schon im 16. Jahrhundert, mehr als zwei Jahrhunderte vor der ersten westlichen Menschenrechtserklärung, alle Mitglieder der irokesischen Stämme als persönlich frei
und in ihren Privilegien und Rechten gleich erklärt (Morgan 1851).
Angesichts einer so überwältigenden Evidenz darf man eine Generalisierung wagen und zumindest Ansätze des Gedankens von Menschenrechten
zum gemeinsamen Gerechtigkeitserbe der Menschheit zählen. Wer die Menschenrechte allerdings wie Renteln (1990) lediglich aus einem faktischen Wertkonsens der Kulturen bestimmen will, läuft Gefahr, eine Minimalisierung vorzunehmen.
Unberechtigt ist nicht bloß jener Hochmut des Westens, der die
Menschenrechte zur exklusiven Erfindung des Abendlandes macht. Falsch ist
auch die plane Umkehrung, jene bloße Selbstkritik, die die Menschenrechte
durch Pathologien herausgefordert sieht, die sich angeblich nur im Westen
finden. Zweifellos sind Menschenrechtserklärungen oft buchstäblich »aus der
Not geboren«. Die Not, massives Unrecht wie etwa Sklaverei, Kolonialismus,
religiöse und andere Unterdrückung, findet sich aber auch außerhalb des
Westens und außerhalb seiner Neuzeit.
Ist aber nicht zumindest der Gedanke der Privatheit für einen Kulturkreis,
den Westen, typisch, sogar nur für dessen Neuzeit, also lediglich eine einzige
Epoche? Es ist richtig, dass beispielsweise der Orient seit jeher, seit dem Alten
Orient, in Begriffen von Familien und Großfamilien denkt, ihm daher der
Gedanke eines individuellen Privatraums ziemlich fremd ist. Wahrscheinlich
geht es aber beim überwiegenden Teil des Datenschutzes und des damit verknüpften Persönlichkeitsschutzes gar nicht um die Individualsphäre innerhalb
von Familien, sondern um den Schutz der Privatsphäre gegen Personen oder
Institutionen. Diese sind aber im Sinne orientalischen Denkens Fremde, vielleicht sogar Wildfremde. Im übrigen bedeutet privatio wörtlich Mangel,
Beraubung; der Ausdruck meint im Sozial- und Rechtsbereich den der Öffentlichkeit, dem Gemeinwesen, entzogenen Raum.
Der Ausdruck »Privatrecht« bewahrt die ursprüngliche Bedeutung auf: Das
Private ist primär das vom Öffentlichen Abgesonderte, das Nichtöffentliche.
Dessen Teilräume – ist zu ergänzen – sind ihrerseits gegeneinander abgesondert. Das Privatrecht regelt nicht bloß die Beziehung von Individuen zueinander, sondern den Gesamtbereich der auf dem Boden der Gleichordnung
erwachsenen Beziehungen, einschließlich der familiären Binnenbeziehungen
(Ehe, Kindschaft, Verwandtschaft), dem Handelsrecht, Teilen des Arbeitsrechts
usw. Insofern besteht das Private in einer doppelten Aus- und Abgrenzung: in
der Ausgrenzung des Nichtöffentlichen aus dem öffentlichen Bereich und
innerhalb des Nichtöffentlichen in die Ausgrenzung des einen gegen alle
Freundesgabe Büllesbach 2002
Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung
263
anderen. Und die Ausgrenzung ist in dem starken Sinn zu verstehen, dass das
Ausgegrenzte eo ipso als etwas Eigenes gilt, als ein Innen, das gegen das
Außen geschützt ist. Ob der Schutz relativ oder absolut ist, ist eine sekundäre
Frage, ziemlich stark ist er auf jeden Fall. Sowohl systematisch als auch historisch gesehen dürfte die Untergliederung des Privaten sekundär sein: dass
man innerhalb der Häuser bzw. (Groß-) Familien eine Sphäre der Individuen
gegeneinander abgrenzt. Und ziemlich spät wird die Sphäre der Individuen
zur Hauptbedeutung einer Privatheit, in die nicht bloß der Staat, sondern jeder
andere nicht eindringen darf.
Gegen Fremde grenzt man sich im Orient deutlich ab, sichtbar schon in der
Architektur. Die Häuser sind nach außen sehr rigoros durch Mauern abgeschirmt; die Straßen werden beiderseits von Mauern flankiert. Und der der
Öffentlichkeit entzogene Raum, der also im wörtlichen Sinn von privatio
Privatraum, der jenseits der Mauern anfängt, ist gegen den Privatraum der
anderen abgegrenzt, überdies in sich noch mehrfach gestuft: Durchschreitet
man das Tor, so beginnt (1) die äußerste Privatsphäre, die in der Regel noch
keinen Blick aufs Haus erlaubt. (2) Erst wenn man um eine Ecke biegt, kommt
das Haus in Sicht und man betritt die äußere Privatsphäre. (3) Das Haus selbst,
in das man dann durch eine Tür geht, kann man als die Privatsphäre im engeren Sinn ansehen. (4) Schließlich ist innerhalb des Hauses noch der Haram
abgegrenzt, der wörtlich den abgeschlossenen Raum meint, also innerhalb
der Privatheit eine sogar architektonisch abgegrenzte Intimsphäre.
4. Ius gentium: Ein historisches Vorbild
Im Gegensatz zur vorherrschenden Meinung sind beide Elemente nicht grundlegend neu: weder staatenübergreifende, ansatzweise globale Beziehungen
noch ein staatenübergreifendes, sogar globales Recht:
Einerseits findet ein Austausch unter Kulturen zwischen Mesopotamien und
Ägypten schon vor mehr als vier Jahrtausenden statt. Ferner entwickeln sich
weit vor der Neuzeit internationale Handelswege wie die antike Seidenstraße.
In hellenistischer Zeit verschmelzen der Orient (einschließlich Indien und
China) und der Mittelmeerraum (sogar bis Inner-Afrika) in Annäherung zu
einem Welthandelsgebiet mit Weltmarktpreisen und mit Welthandelszentren
wie Alexandria und dem mesopotamischen Seleukia. (Übrigens entsteht aus
der Verbindung des Griechentums mit orientalischen Elementen eine neue,
beinahe weltumfassende Kultur.) Außerdem breiten sich gewisse Religionen
weltweit aus, weshalb sie Weltreligionen heißen. Und vor allem »globalisieren sich« seit der Antike die Gestalten der natürlichen Vernunft: Philosophie,
Wissenschaft, Medizin und Technik.
Auf der anderen Seite bildet sich seit dem dritten Jahrhundert v. Chr. ein ius
gentium heraus, ein Völkerrecht, das aber weniger die Beziehung zwischen
Völkern als die zwischen den Mitgliedern verschiedener Völker regelt (s. Kaser
1993). Es betrifft vornehmlich die nichtöffentliche Dimension eines internatioFreundesgabe Büllesbach 2002
264
Höffe
nalen Rechts, also ein internationales Privatrecht. Entwickelt aus den Handelsund Verkehrsbräuchen des internationalen Marktes in Rom, erlaubt es,
Rechtskonflikte zu schlichten, die die Grenzen von Staaten überschreiten, aber
nicht in den Bereich des üblichen Völkerrechts, des internationalen öffentlichen Rechts, fallen.
Das Modell erlangt bald weltgeschichtliche Bedeutung. Für einen interkulturellen Rechtskonsens haben vier Elemente einen Vorbildcharakter: Erstens
handelt es sich nicht um ein »nur philosophisches Recht«, etwa um überpositives Naturrecht, sondern um ein positiv geltendes, überdies hochverfeinertes
Recht. Zweitens reicht seine Geltung über die Landesgrenzen hinaus; tendenziell gilt es sogar weltweit. Es achtet drittens nicht auf ethnische oder religiöse Zugehörigkeit, sondern auf den Menschen als Rechtssubjekt und praktiziert
deshalb eine strenge Gleichbehandlung. Viertens geht man nicht vom eigenen, »nationalen« Recht aus, sondern arbeitet mit Elementen, von denen man
erwartet, dass sie von allen Rechtskulturen anerkannt werden können.
5. Menschenrechte: Skizze einer interkulturell gültigen Rechtfertigung
Wer einen interkulturellen Konsens sucht, darf sich nicht auf kulturspezifische
Kriterien berufen. Während die Prinzipien der Verteilungsgerechtigkeit interkulturell umstritten sind, ist der Gedanke der Tauschgerechtigkeit, die
Gleichwertigkeit im Nehmen und Geben, unstrittig. Deshalb versuche man die
Rechtfertigung einmal auf dieser Basis. Allerdings darf man weder einen zu
engen, nur ökonomischen noch einen zu kleinlichen Tauschbegriff haben.
Vielmehr muss man wissen, dass außer materiellen auch ideelle Dinge
getauscht werden oder, allgemeiner, im Tausch in und aus Wechselseitigkeit
entstehen: Sicherheit, Macht, Anerkennung, insbesondere auch Freiheiten
und Chancen der Selbstverwirklichung. Außerdem muss man phasenverschobene Tauschbeziehungen berücksichtigen: Die Hilfe, die die Kinder in den
ersten Jahren erfahren, können sie als Erwachsene gegen ihre dann hilfsbedürftigen Eltern »wiedergutmachen«.
Über die Feinbestimmung der Menschenrechte wird bis heute gestritten,
über die Grundbestimmungen aber kaum. Seit ihren griechischen Anfängen
weiß die philosophische Anthropologie, dass das wohl elementarste »Gut«
des Menschen, seine Handlungsfähigkeit, an dreierlei gebunden ist, sichtbar
in drei Grundbestimmungen, die auf jeden Menschen jeder Kultur zutreffen:
Jeder ist (1) ein Leib- und Lebewesen (zôon bzw. animal), das (2) sich durch
Denk- und Sprachfähigkeit auszeichnet (zôon logon echon bzw. animal rationale) und (3) der Gemeinschaft mit ihrer politischen Ordnung bedarf (zôon
politikon bzw. animal sociale). Weil die beiden ersten Bestimmungen an negative und positive Vorbedingungen gebunden sind, lassen sich drei
Hauptgruppen von Menschenrechten unterscheiden: negative Freiheitsrechte,
positive Freiheitsrechte bzw. Sozial- und Kulturrechte und (demokratische)
Mitwirkungsrechte.
Freundesgabe Büllesbach 2002
Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung
265
Die für den Daten- und Persönlichkeitsschutz besonders wichtigen negativen Freiheitsrechte lassen sich über den Gedanken eines transzendentalen
Tausches begründen: Da der Mensch sowohl verletzbar als auch gewaltfähig
ist, kann er sowohl ein Täter der die Handlungsfähigkeit bedrohenden Gewalt
als auch ihr Opfer sein. Um trotzdem sein transzendentales, nämlich den
gewöhnlichen Interessen zugrunde liegendes Interesse an Handlungsfähigkeit zu wahren, muss er sich auf einen wechselseitigen Verzicht einlassen,
der die zuständigen Menschenrechte begründet: Verzichtet jeder auf Körperverletzung und Töten, so wird jedem das Recht auf Leib und Leben gewährt.
Indem jeder die Religionsausübung der anderen nicht behindert, erhält er das
Recht auf Religionsfreiheit usw. Auf den absolutistischen Staat fixiert, versteht
man die Freiheitsrechte zwar vornehmlich als Abwehrrechte gegen den Staat.
Tatsächlich gewähren sie sich aber die Rechtsgenossen selbst, während der
Staat lediglich die subsidiäre, freilich auch unverzichtbare Aufgabe des
Gewährleistens übernimmt (für die analoge Rechtfertigung der beiden anderen Gruppen von Menschenrechten s. Höffe 2002, Kap. 3.4 und 4.3).
Ziehen wir eine vorläufige Bilanz: Da es auf allgemeinmenschliche
Interessen ankommt, können die nichtwestlichen Kulturen sich das Gefühl der
Demütigung ersparen und statt dessen sich mit den Menschenrechten positiv
identifizieren. Der Westen spielt sich hier nicht als herrschsüchtiger Hegemon
auf, sondern ist allenfalls der Wortführer einer Entwicklung, die ein allgemeinmenschliches Potential zugunsten allgemeinmenschlicher Interessen
und Fähigkeiten zur Blüte führt. Und weil nur allgemeinmenschliche
Interessen zählen, lassen sich die Erfahrungen anderer Kulturen integrieren.
Der Gedanke der Menschenrechte ist im Prinzip flexibel und lernfähig.
6. Ausblick: Philosophie als Anwalt der Menschheit
Seit ihren Anfängen sucht die Philosophie zu generellen, oft universalen
Problemen mittels universal gültiger Argumente ebenso universal gültige
Aussagen. Zu diesem Zweck lässt sie sich im Zeitalter der Globalisierung auf
einen teils die Kulturen vermittelnden: interkulturellen, teils sie umgreifenden:
transkulturellen Diskurs ein (zum Gedanken interkultureller Rechtsdiskurse
vgl. Höffe 1996 und 1999). Auch beim Daten- und Persönlichkeitsschutz ist er
auf drei Ebenen zu führen: In der Theorie beruft er sich nicht auf spezifische
Elemente der europäisch-amerikanischen Rechtskultur. Denn nur dort, wo
man alle Besonderheiten beiseite setzt, kann man verschiedenartige Kulturen
auf Gemeinsamkeiten verpflichten.
Auf der zweiten, geschichtlichen Ebene verbindet der Diskurs historisches
Bewusstsein mit sozialgeschichtlichen Kenntnissen. Er erinnert beispielsweise
daran, dass die westliche Zivilisation schon in ihren Anfängen von außerwestlichen Quellen, dass die griechische Kultur etwa von orientalischen (ägyptischen, babylonischen, hethitischen, phönizischen ... ) Einflüssen mitgeprägt
ist und dass die Vermittlung dieser Kultur ins lateinische Mittelater großenteils
Freundesgabe Büllesbach 2002
266
Höffe
nicht über Rom erfolgte, sondern über syrische Christen und den islamischarabischen Kulturraum. Dank seines historischen Bewusstseins findet der
interkulturelle Diskurs für drei Bestandteile der »westlichen Rechtskultur«, für
die Volkssouveränität, die Menschenrechte und die Gewaltenteilung, Ansätze
in anderen Kulturen: Für die Volkssouveränität verweist er auf die frühen
Jägerkulturen, in denen verwandtschaftlich aufgebaute Horden (Sippen) ihre
Entscheidungen gemeinschaftlich treffen. Demokratischen Charakter haben
auch viele religiöse Orden. Und in der afrikanischen Institution des Palavers
wird so lange unter allen Betroffenen beraten, bis ein Konsens erzielt ist.
Einen Großteil der Menschenrechte wiederum schützt das in den Rechtsordnungen geltende Strafrecht. Asiatische Autoren wie Carolina Hernandez 1997
und Eun-Jerny Lee 1997 sehen den Gedanken der Menschenrechte sogar in
den eigenen, asiatischen Traditionen verwurzelt. Schließlich finden sich überall dort Ansätze von Gewaltenteilung, wo den Herrschern teils als Gewohnheitsrecht, teils als göttliches Recht Regeln vorgegeben sind.
Mindestens ebenso wichtig ist die dritte Ebene: Für die Praxis plädiert der
interkulturelle Diskurs für eine so behutsame Verwirklichung der formalen
Prinzipien, dass deren Offenheit tatsächlich zum Tragen kommt. Die Rechtsund Gerechtigkeitsansprüche der modernen Zivilisation dürfen nur dann
anderen Kulturen zugemutet werden, wenn diese ein hohes Maß an Eigenständigkeit behalten. Statt ihre Identität aufgeben zu müssen, haben sie das
Recht auf eine Akkulturation: auf eine ihrer Kultur gemäße Einverleibung.
Grundlegend neu ist der inter- und transkulturelle Rechtsdiskurs nicht. Denn
schon immer hat sich die Philosophie als Anwalt der Menschheit verstanden,
wobei »Menschheit« primär das Humane im Menschen bedeutet, dessen Berücksichtigung sekundär der Menschheit im Sinne der Gattung zukommt. Gewohnt, sich nicht auf gewisse Traditionen oder Konventionen zu stützen, auch
nicht auf heilige Texte oder eine Offenbarung, verlässt sich die Philosophie
lediglich auf die allgemeinmenschliche Vernunft und auf allgemeinmenschliche Erfahrungen. Auf diese Weise gewinnt sie, was sich für globale Rechtsdebatten einschliesslich denen über Daten- und Persönlichkeitsschutz als normativer Kern eignet: kulturübergreifend gültige Begriffe und Prinzipien.
Literatur
Bujo, B. (1993): Die ethische Dimension der Gemeinschaft. Das afrikanische
Modell im Nord-Süd-Dialog, Freiburg, Schweiz
Gilgamesch-Epos, übers. v. A. Schott, Stuttgart 1988
Hernandez, C. (1997): How different are the civilisations? A view from Asia, in:
Internationale Politik und Gesellschaft 2 (1997), 117–129
Höffe, O. (1996): Vernunft und Recht. Bausteine zu einem interkulturellen
Rechtsdiskurs, Frankfurt/M.
– (1999): Gibt es ein interkulturelles Strafrecht? Ein philosophischer Versuch, Frankfurt/M.
– (2002): Demokratie im Zeitalter der Globalisierung, München
Freundesgabe Büllesbach 2002
Daten- und Persönlichkeitsschutz im Zeitalter der Globalisierung
267
Kaser, M. (1993): Ius gentium, Köln u.a.
Lee, E.-J. (1997): Asiatische Werke als Zivilisationsleitbild? in: Internationale
Politik und Gesellschaft 2, 130 –140
Mahabharata. Indiens großes Epos, übers. v. B. Roy, München 1989
Mong Dsi (Meng Zi): Die menschliche Natur ist gut, m: die Lehrgespräche des
Meisters Meng K’o, Köln 1982
Morgan, L. (1851): League of the Hode’nosaunee or Iroquis, Rochester
Renteln, A.D. (1990): International human rights: universalism versus relativism, Newbury Park, Calit.: Sage
Rouland, N. (1991): Aux confins du droit. Anthropologie juridique de la
modernité, Paris: Jacob
Freundesgabe Büllesbach 2002
268
Freundesgabe Büllesbach 2002
269
Jackson Janes
The Transformation of the German-American Debate over Privacy
Prior to September 11, 2001, the transatlantic debate over data protection was
essentially focused on ways to manage the increasing reach of the World
Wide Web and the commerce evolving within it. With billions of dollars at
stake on both sides of the ocean, access to markets was – and is – of enormous importance to industries competing with new technological innovations. Yet finding common ground in the management of data protection/privacy regulatory policies has been a continuing challenge for government and
corporate leaders. This has as much to do with the legal approaches as it does
with political and cultural differences in approaches to this complicated issue.
After September 11, the debate became more dramatically connected to
the war against terrorism. The German and American reaction to the attacks
in New York and Washington D.C. generated a new set of challenges to the
protection of civil society. Germany and the United States quickly called for
ways to increase security and both countries passed legislation which was
designed to respond to the threats of more terrorism. In both legal frameworks, the legislation enhanced the power and tasks of the security authorities. While the United States considered itself at war after September 11,
Germany did not. As a result, the U.S. invoked special powers (military tribunals, inmate-attorney discussions monitored, and expansion of surveillance
powers) as it passed the USA Patriot Act. The German legislation evolved
amidst more controversy within the Parliament but also focused on the need
for collective security measures which also carried with them some restraints
on civil liberties.
Even in the shadow of September 11, Germans and Americans will continue to argue among themselves and across the Atlantic about how to achieve the most effective balance between collective security and the rights of the
individual. Yet the debate itself has now become charged with concerns about
global terrorist threats as well as the challenge of protecting privacy. On both
sides of the Atlantic, its evolution will be shaped by the unique combination
of history and culture as well as political and legal traditions defining the
national dialogues.
What is at stake?
The old and new questions about protecting privacy in the post September 11
environment remain those which center on the role of the government and
regulatory powers, the globalization of trade – and now terrorism, on the free
flow of information within the world wide web, and the balance between collective security and the protection of the privacy of data and enforcement of
that protection.
Freundesgabe Büllesbach 2002
270
Janes
It is a paradox of modern society that we live in an ever shrinking world in
which the increasing interaction of ideas and individuals can enhance our
democratic dialogues while it can also lead to confrontation and conflict. As
the old adage says, familiarity can breed both understanding and contempt.
Yet we have no choice in dealing with both developments emerging from an
increasingly interlocked global grid.
The Economic Grid
The information sector and the multitude of services which have evolved within it during just the last two decades alone have made it the largest economic theater on the globe. The growth of the World Wide Web has defined the
concept of exponential expansion. In the last ten years, popular web use has
come from virtually nothing to many millions of people making use of this
global tool. While half of those can be found in the United States, the rest of
the world is rapidly catching up. The top four users of the web remain the
U.S., Japan, the U.K. and Germany.
Originally an instrument shared only by sophisticated research specialists,
the commercial dimension of the web has become the dominant mode, which
is reflected in the enormous amount of business being done through it. The
estimates of the revenues generated over the Internet have been growing significantly during the past decade, some projecting over a half trillion in the
United States where the majority of the web traffic has been produced.
However, that will grow dramatically in the future as the markets and masses
around the world enter this new era of access to the web. With half the world’s population currently concentrated in two countries, China and India, it is
probable that both the languages and the content of the web will reflect that
fact in the coming decade.
With increasingly larger numbers of people going on line to do their shopping at all levels of business, the incentive for information technology corporations to expand their capabilities and their reach to the markets is virtually
unlimited. With that potential comes a corresponding need to maintain both
access and protection for all those engaging in these transactions and enforcement of laws which are aimed to prevent the criminal use of the web. Yet
arriving at a legal consensus on this need across so many different borders
remains a continuing problem. This not only involves the question of the protection of data and personal information. There are many other unresolved
issues surrounding the use of the web. The challenge of creating an acceptable taxation system for cyberspace commerce remains unresolved. Regulating e-commerce with an eye on anti-trust concerns offers another difficult
issue. Arriving at a fair resolution of these matters is driven by the enormous
promise of an exploding market. Yet the post September 11 environment now
demands that additional issues be revisited.
Freundesgabe Büllesbach 2002
The Transformation of the German-American Debate over Privacy
271
The Security Grid
In the information technology environment of the twenty-first century, people
who use the web leave their virtual footprints whereever they go. From credit
card transactions to mail-order firms, from on-line bank accounts to airline frequent flyer programs, the users of the web are making it possible for companies to know their customers ever more intimately all over the world. The
result of these developments has been increased concern about the protection
of consumers in electronic commerce with particular emphasis on how information about people is collected, stored and used. If it is easier to secure data
about people, how can the security of that data be guaranteed, and by whom
should it be controlled or regulated? Both governments and businesses have
the capability to know more about the patterns of people than ever before in
history. »Big Brother« is no longer a fictional threat. The recent film Enemy of
the State provides a dramatic exaggeration of the misuse of that power. Yet
any company which is dealing with magazine subscriptions or retail billing
maintains a large amount of details concerning the incomes, lifestyles and
habits of millions of people all over the world.
On the one hand, such control of information can be of beneficial use if one
is trying to improve the efficiency of serving either citizen or consumer by
having a better picture of the needs and demands of both within the political
process or the market. The ability of a democracy to implement self-correction
requires knowing more about the issues and developments in question. This
is why we have a census every ten years in the United States, which does
more than count heads. It can also address questions about the impact and
efficiency of its education, health care and social welfare. Businesses are forever trying to figure out what the consumer wants so that they can introduce
new products and services and also deliver operational efficiency at lower
costs. Medical information needs to be transferred among doctors, hospitals,
insurers, pharmacies and even research centers, sometimes in an expedient
manner if there is an outbreak of disease. Democratic governments need to
have constant feedback from the citizens in order to maintain their own support and legitimacy.
On the other hand, there is ample room for misuse of this information and
there is always a need to be alert to those dangers in an open society. For
example, the unregulated transfer of health data among hospitals, pharmaceutical industries or insurance companies without proper controls can be
detrimental for individuals and ethnic, racial or sexual groups. The vicious circle of organized crime, terrorist strategies to exploit the open political and
social structures of democracies, and the wide presence of political corruption
can all combine to undermine the basis of achieving a healthy balance between civil security and stability and individual rights.
Freundesgabe Büllesbach 2002
272
Janes
Protecting Privacy: beyond September 11
During the past ten years, the European Union and the United States – the two
main arenas in which electronic commerce and the use of data collection is
most advanced – have been debating the policy responses surrounding these
issues within their own respective frameworks as well as across the Atlantic.
Those debates reflect different attitudes toward privacy, the degree to which
the citizens of a given country show trust and confidence in the governments
and their corporate leaders. And these differences have made it difficult to
achieve a transatlantic consensus.
When it was implemented in 1998, The Privacy Directive of the EU prompted many in the United States to accuse the data protection policy of limiting
the free flow of information and infringing on what some Americans would
refer to as constitutional free speech. With regard to the Internet, the prevailing American attitude is to not attempt to control it. Making such an attempt,
it is argued, would be no more successful than trying to control the content of
the global telephone grid. The American approach has been to emphasize the
self-regulatory capabilities and responsibilities of the corporate sector with
regard to how they handle data and privacy safeguards. However, there
remains a set of questions which still shape the transatlantic debate: what
form of dispute mechanisms can be implemented to resolve conflicts, who
judges those disputes, and what resolutions can be proposed.
The European Union – and Germany was a primary leader in this context –
has been rigorous in enforcing its Privacy Directive. While negotiating with the
United States over how the adequacy of data protection can be guaranteed,
there has been consistent emphasis on the fundamental right of Europeans to
protect privacy and that the enforcement was the responsibility of the governments and their respective agencies charged with implementing it.
Yet after September 11, and within the German legislation which was implemented at the beginning of 2002, there was recognition that to deal with the
threat of terrorism, some leeway was needed in gaining access to data. Now
the security agencies have the right to ask postal services, telecommunications providers and financial institutions for information on specific individuals. As of this writing, The EU is revising its regulatory policies on data retention for the purposes of enhancing national security. The search for a balance
between the needs of law enforcement and the requirement of the right of privacy continues. The fact that information of any sort remains critical to the
prevention of the terrorist attacks experienced in September, 2001, will provide evidence to some that the government needs to access a broad range of
data to track down those who threaten us. At the same time, the increasing
recognition that so much data is available argues for others that we need to
be as vigilant about the need to protect personal privacy. There can be no zero
sum game played with the needs of security and freedom.
Freundesgabe Büllesbach 2002
273
Anja Miedbrodt
Unterschiede im Regulierungsverständnis der deutschen
und der amerikanischen Rechtskultur
1. Einleitung
Ausgehend von seiner kontinentaleuropäischen Sicht nähert sich der deutsche Jurist einem Rechtsproblem zunächst über das Studium der das relevante Rechtsgebiet betreffenden Vorschriften. Hierbei wird ihm zunächst auffallen, dass US-amerikanische Gesetze häufig eine Reihe von Legaldefinitionen und Detaillösungen enthalten, die für ihn die Regelung eher überladen
erscheinen lassen. Entsprechend der deutschen Praxis wird er weiterhin zur
umfassenden Klärung der bestehenden gesetzlichen Rahmenbedingungen ergänzend zum Gesetzestext die einschlägige Rechtsprechung heranziehen.
Dazu kann er sich der sogenannten Restatements of the Law, der umfassenden Entscheidungssammlungen und der Indexwerke bedienen (siehe dazu
Blumenwitz 1998, S. 75 ff.). Bezüglich dieses Vorgehens ähneln sich die
Arbeitsweisen der deutschen und der US-amerikanischen Juristen. Der entscheidende Unterschied besteht meiner Ansicht nach darin, welches Gewicht
der Rechtsprechung im Rahmen der juristischen Argumentation zukommt.
Während der deutsche Jurist die Lösung einer materiellen Rechtsfrage immer
auf eine Gesetzesvorschrift zurückzuführen sucht, wird sich der US-amerikanische Jurist für seine Argumentation zunächst auf Präzedenzfälle stützen und
nur in Ausnahmefällen auf eine Gesetzesvorschrift verweisen.
Diese unterschiedliche Argumentationstechnik beruht möglicherweise auf
Unterschieden zwischen der deutschen und der US-amerikanischen Regelungskultur. Aufgabe dieses Beitrages soll es sein, zu untersuchen, ob sich der
erste Eindruck bei näherer Betrachtung bestätigt und tatsächliche Unterschiede bestehen und worin diese möglicherweise begründet sind.
Mit diesem Thema hat sich Prof. Büllesbach im Rahmen seiner Aufgaben
in einem multinationalen, aber auch insbesondere deutsch-amerikanischen
Konzern, sehr engagiert auseinandergesetzt.
2. Bestimmende Elemente einer Rechtsordnung
Zur Untersuchung der Frage, ob tatsächlich Unterschiede im Regulierungsverständnis zwischen der deutschen und der US-amerikanischen Rechtskultur
bestehen, ist zunächst nach den bestimmenden Elementen einer Rechtsordnung zu fragen. Auf den ersten Blick scheint eine Rechtsordnung lediglich
eine Summe von Normen, Prinzipien und Rechtsbegriffen zu sein, die durch
unterschiedlichste Akteure geprägt werden. Bei näherer Betrachtung stellt
sich allerdings heraus, dass diese Elemente nicht gleichberechtigt nebeneinander stehen, sondern es gerade ihre Rangordnung und ihre Beziehungen
Freundesgabe Büllesbach 2002
274
Miedbrodt
untereinander sind, durch die eine Rechtsordnung charakterisiert wird.
Bestimmt wird diese Rangordnung durch das Wertesystem, das jeder
Rechtsordnung zugrunde liegt (Constantinesco 1971, Band I, S. 263.). Dieses
wiederum wird entscheidend durch die Wirtschaftsverfassung, die offizielle
Ideologie, den Grundsatz der Gewaltenteilung und die Bindung der Gewalten
an das Recht geprägt (Constantinesco 1971, Band I, S. 265). Da sowohl das
US-amerikanische als auch das System der Bundesrepublik Deutschland auf
den politischen und sozialen Grundsätzen der liberalen Demokratie und den
wirtschaftlichen Grundsätzen des Kapitalismus beruht, kann es nur die Rangordnung der einzelnen Elemente der Rechtsordnung sein, die zu den eingangs
beschriebenen Unterschieden führen (so auch Zajtay 1965, S. 99). Die unterschiedliche Argumentationstechnik legt nahe, dass den Normen und Prinzipien, die beide Rechtsordnungen der Rechtsprechung einerseits und dem
Gesetzgeber andererseits zuweisen, ein unterschiedliches Gewicht beigemessen wird.
3. Historische Entwicklung der beiden Rechtsordnungen
Bei der Verifizierung dieser Hypothese kann die Beschäftigung mit der Entstehungsgeschichte der beiden Rechtsordnungen weiterhelfen.
3.1 Deutschland
Grundlegende Bedeutung für die Entwicklung des heutigen kontinentaleuropäischen Rechts kommt dem Corpus Juris Civilis des byzantinischen Kaisers
Justinian I. (527 – 565 n. Chr.) zu, dessen zweiter Teil, die sogenannten Digesten oder Pandekten, eine Zusammenfassung der klassischen römischen
Juristenschriften vor allem aus dem 2. und 3. Jahrhundert enthält. Im späten
11. Jahrhundert wurde dieses im Westen Europas bekannt und dann in
Bologna, Pavia und den im 12. und 13. Jahrhundert neu gegründeten Universitäten zur Grundlage des juristischen Studiums erhoben. Auf diese Weise
verbreitete sich das römische Recht allmählich in ganz Europa und drang insbesondere auch in das Rechtswesen Deutschlands ein (Rheinstein 1987,
S. 83 f.). Dies bedeutet allerdings nicht, dass damit auch die einzelnen
Rechtssätze des römischen Rechts in Deutschland galten. Vielmehr wurde mit
der Rezeption des römischen Rechts die systematische Strukturierung der
Rechtssätze, die Bildung von logischen Grundsätzen und die Oberbegriffsbildung, gewissermaßen die Verwissenschaftlichung des juristischen
Denkens, übernommen (Zajtay 1965, S. 107 f.). Von ihrer Struktur her zielten
die Rechtssätze darauf ab, Entscheidungen für eine Vielzahl bislang noch
unbekannter Einzelfälle bereit zu halten (Grasmann 1988, S. 202). Insoweit
stellte sich die Rechtsordnung als ein zusammenhängendes Ganzes, als ein
»geschlossenes System«, dar, in welchem alle Rechtsfragen – zumindest
Freundesgabe Büllesbach 2002
Unterschiede im Regulierungsverständnis zwischen der deutschen und der
amerikanischen Rechtskultur
275
theoretisch – durch Auslegung von bestehenden Rechtsnormen zu lösen sind
(Will 1988, S. 477).
Noch bis zum neunzehnten Jahrhundert haben im Wesentlichen die
Rechtsgelehrten zur Weiterentwicklung des Rechts beigetragen. Grund dafür
war nicht zuletzt die Zersplitterung der Rechtspflege, wodurch die Herausbildung einer die Rechtsfortbildung beherrschenden Richter- und Anwaltschaft behindert wurde. Auf der anderen Seite waren die Gerichte nicht durch
eine Beschränkung ihrer Zuständigkeit auf besondere Klagen mit besonderem
Verfahren gehindert, umfassende Erwägungen zur inhaltlichen Gerechtigkeit
anzustellen und die durch die Rechtsgelehrten erarbeiteten Rechtssätze anzuwenden (Will 1988, S. 448).
Mit der Einführung der Demokratie hat der Gesetzgeber die Rolle der Rechtsgelehrten übernommen (Grasmann 1988, S. 213).
3.2 Vereinigte Staaten
Mit der Besiedlung des amerikanischen Kontinents im 17. Jahrhundert durch
englische Untertanen fand auch das englische Common Law Verbreitung.
Zwar standen die Siedler anfangs der Anwendung des englischen Common
Law ablehnend gegenüber. In vielen Fällen waren sie wegen Verfolgung in
ihrem Heimatland zur Emigration gezwungen worden. Auch warfen die
Lebensumstände der Siedler spezielle Probleme auf, für die sich im englischen Common Law keine Lösungen fanden. Mit der zunehmenden Verbesserung der wirtschaftlichen und der sozialen Lebensumstände der Siedler
stieg allerdings auch deren Bedürfnis nach einem entwickelten Recht, wodurch die Anwendung und Verbreitung des englischen Common Law begünstigt wurde (Cloidt 1984, S. 502 f.).
Veranlasst durch die 1776 erklärte politische Unabhängigkeit der Vereinigten Staaten entbrannte auch die Diskussion über die Unabhängigkeit des
amerikanischen Rechts. Bis zur Mitte des 19. Jahrhunderts war der Ausgang
dieses Meinungsstreits zwischen den Vertretern des Common Law und den
Befürwortern einer umfassenden Kodifikation ungewiss. Schließlich setzte
sich doch das Common-Law-System durch, so dass das Recht der Vereinigten
Staaten, mit Ausnahme des Staates Louisiana, auf dem in England vor 1776
geltenden Recht beruht. Begünstigt wurde die Entwicklung durch die
Sprachengleichheit und den englischen Ursprung der überwiegenden Zahl
der Siedler (Cloidt 1984, S. 503 ff.).
Was kennzeichnete nun das englischen Common Law zu dieser Zeit?
Ursprünglich beruhte das Common Law auf der Rechtsprechung der nach der
Eroberung durch die Normannen im Jahre 1066 eingerichteten kirchlichen
Gerichte, die seit dem 13. Jahrhundert nach ihrem Sitz als WestministerGerichte bezeichnet wurden (Will 1988, S. 437 ff.). Ihre Zuständigkeit richtete
sich nach der Wahl einer bestimmten Klageart. Im Vordergrund des hochformalisierten Verfahrens stand die Herausarbeitung von Tatfragen, die einer
Freundesgabe Büllesbach 2002
276
Miedbrodt
Jury zur Entscheidung vorgelegt wurden. Durch entsprechende Beweisregeln
sollte verhindert werden, dass die aus Laienrichtern bestehende Jury unangemessen beeinflusst wurde. Aufgrund dieser Gestaltung des Verfahrens galt
die Hauptsorge der englischen Juristen weniger der materiellen Begründung
einer Entscheidung, sondern der Wahl der richtigen Klageart und anschließend der Befolgung der Verfahrensregeln. Innerhalb dieser Formzwänge musste sich das materielle Recht entwickeln, was eine Rezeption römischer
Rechtsvorstellungen verhinderte (Will 1988, S. 448). Dies hatte zur Folge, dass
sich Begrifflichkeiten, Kategorien und Einteilungen im Common Law lediglich
in Abhängigkeit von konkreten Problemen im Rahmen von einzelnen Rechtsstreitigkeiten entwickeln konnten. (Zajtay 1965, S. 109). Eine umfassende Systematisierung des Rechts konnte somit nicht erfolgen.
Damit gleiche Sachverhalte auch gleich entschieden wurden, waren die
Gerichte an vorangegangene Entscheidungen gebunden (»stare decisis«). Um
von einer vorangegangenen Entscheidung abweichen zu können, musste begründet werden, worin der eine andere Entscheidung rechtfertigende Unterschied (»distinguishing«) bestand.
Im 15. Jahrhundert setzte sich die Erkenntnis durch, dass die Anwendung
der starren Regeln des Common Law in bestimmten Zusammenhängen zu
ungerechten Ergebnissen führe. In diesen Fällen wurde dem Rechtsuchenden
die Möglichkeit eingeräumt, den Kanzler (»Chancery«) anzurufen, damit dieser kraft königlicher Prärogative das starre Recht lockere oder ergänze, wo
dies die Billigkeit erfordere (»Equity«) (Will 1988, S. 461). Bis 1875 durfte dieses Billigkeitsrecht allein von der Chancery angewandt werden. Heute sind
diese Normen fester Bestandteil des englischen Rechts (Will 1988, S. 452).
Zur Ergänzung und Berichtung des Common Law diente auch der Erlass von
Gesetzen, weshalb diese historisch betrachtet nur als zweitrangige Rechtsquelle angesehen werden (Fikentscher 1975, S. 460 f.). Sie stellen daher im
englischen Rechtssystem eher einen »Fremdkörper« dar (Cloidt, 1988, S. 534).
4. Auswirkungen der historischen Entwicklung
Obwohl der historischen Entwicklung zu entnehmen ist, dass beide
Rechtsordnungen dem durch die Rechtsprechung bzw. die Gesetzgebung entwickelten Recht einen unterschiedlichen Rang innerhalb der Rechtsordnung
einräumen, würde man damit nicht den Kern des unterschiedlichen Regulierungsverständnisses treffen (Rheinstein 1987, S. 97). Das Wesen liegt meiner
Ansicht nach vielmehr in der unterschiedlichen Konzeption auf der Suche
nach Gerechtigkeit. Nach deutschem Verständnis versucht man diese durch
die Bindung des Gerichts und der Verwaltung an ein auf demokratischer
Grundlage zustande gekommenes Gesetz zu erreichen. Der Gesetzgeber
selbst ist wiederum an ein Gesetz gebunden, das die Grundlagen der Gesellschaft regelt.
Nach der Idee des Common Law soll Gerechtigkeit vornehmlich dadurch
Freundesgabe Büllesbach 2002
Unterschiede im Regulierungsverständnis zwischen der deutschen und der
amerikanischen Rechtskultur
277
erreicht werden, dass durch die Regelung des Verfahrens im Einzelfall eine
gerechte Entscheidung abgesichert ist (Grasmann 1988, S. 161). Durch gesetzgeberische Entscheidungen kann allerdings Einfluss auf die in das Verfahren
einfließenden Wertungen und somit auf seinen Ausgang genommen werden.
Im Grunde genommen versuchen beide Rechtsordnungen gerechte Entscheidungen über Verfahrensgarantien abzusichern. Dabei kann die deutsche Sicht
eher als eine Top-down-Herangehensweise beschrieben werden, weil der
Gesetzgeber versucht, den Rahmen für künftige Entscheidungen vorwegzunehmen. Im Gegensatz dazu stellt sich die US-amerikanische Verfahrensweise
eher als eine Bottom-up-Ansicht dar, da zunächst die praktische Rechtsentwicklung beobachtet wird, bevor der Gesetzgeber tätig wird.
Plastisch wird diese unterschiedliche Herangehensweise beispielsweise
anhand der Datenschutzregulierung. Während in Deutschland durch das Bundesdatenschutzgesetz vom 18. 5. 2001 umfassende Rahmenbedingungen für
den öffentlichen und privaten Sektor, ergänzt durch eine Reihe von Spezialvorschriften, geschaffen wurden, finden sich in den Vereinigten Staaten nur bereichsspezifische Regulierungen, wie z. B. für den öffentlichen Bereich, den Finanzbereich oder das Gesundheitswesen. Daneben bestehen einzelne Gesetze
für spezielle Anwendungszusammenhänge, wie z. B. für die Ausleihe von
Videos, das Kabelfernsehen, Onlinetransaktionen von Kindern unter 13 Jahren,
die Verwendung von Ausbildungsunterlagen und Fahrzeuganmeldungen sowie
von Telefonaufzeichnungen. Auch die einzelnen Staaten haben eine Vielzahl
von Datenschutzgesetzen erlassen, die allerdings ebenfalls in ihrem Anwendungsbereich beschränkt sind (siehe dazu Electronic Privacy Information
Center 2001, S. 310 ff.). Auf diese Weise nimmt der Gesetzgeber nur in bestimmten Beziehungen Einfluss auf die rechtlichen Rahmenbedingungen.
Ein weiteres Beispiel ist auch die Diskussion über die Schaffung von rechtlichen Rahmenbedingungen zur digitalen Signatur. Während es in Deutschland für die Entwicklung dieser Technologie als unerlässlich angesehen
wurde, die rechtlichen Rahmenbedingungen durch den Gesetzgeber vorzugeben, wurde in den USA eine derartige Gesetzgebung eher als hinderlich betrachtet. Vielmehr stand man auf dem Standpunkt, dass man zunächst die
Marktentwicklung beobachten und erst dann gesetzgeberisch eingreifen sollte, wenn das sich entwickelte Ungleichgewicht der Marktkräfte dies gebiete
(siehe dazu Miedbrodt 2000, S. 111 ff.).
4.1 Deutschland
Die oben aufgestellte These, dass sich die beiden Rechtsordnungen in ihrer
Methode zur Herstellung von gerechten Entscheidungen unterscheiden, soll
im Folgenden näher ausgeführt werden.
Nach Art. 20 Abs. 3 GG ist die Gesetzgebung an die verfassungsmäßige
Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Recht und
Gesetz gebunden.
Freundesgabe Büllesbach 2002
278
Miedbrodt
Vornehmlicher Maßstab jeder gerichtlichen oder administrativen Entscheidung sind demnach die Gesetze.
Die Entscheidungen des Gesetzgebers wiederum müssen sich am Grundgesetz messen lassen, das auf der verfassungsgebenden Gewalt des deutschen Volkes beruht. Das Grundgesetz stellt somit den originären Ausgangspunkt unser Rechtsordnung dar; d.h. dass vor dem Grundgesetz keine rechtliche Bindung bestand (Maunz B and 1 1991, S.16).
Die Überprüfung der Vereinbarkeit von Gesetzen mit dem Grundgesetz
sowohl in materieller als auch in formeller Hinsicht findet durch das
Bundesverfassungsgericht statt (Art. 93 Nr. 2, 2a GG, § 13 Satz 1 Nr. 6, 6a,11
BVerfGG). Damit wird einerseits sichergestellt, dass Gesetze nicht gegen die
materiellen Wertungen, die aus dem Grundgesetz folgen, verstoßen. Andererseits gewährleisten die Ausgestaltung des Verfahrens zur Einbringung von
Gesetzesbeschlüssen nach Art. 76 Abs. 1 GG, die Vorschriften über die Beteiligung der unterschiedlichsten Gremien nach Art. 76 Abs. 2, 3, 77 Abs. 2 – 4,
GG und die Abstimmung über Gesetzesbeschlüsse, dass sowohl die unterschiedlichen Ansichten aus den verschiedensten gesellschaftlichen Gruppen
berücksichtigt werden als auch dass sich die demokratisch gewählten Mehrheiten bei der Abstimmung eines Gesetzes widerspiegeln. Auf diese Weise
soll erreicht werden, dass Gesetze nur dann Bestandteil der Rechtsordnung
werden, wenn sie im Einklang mit dem Gerechtigkeitsverständnis unserer
Gesellschaft stehen.
Die Befolgung der verfassungsgemäß zustande gekommenen Gesetze wird
dadurch sichergestellt, dass jedes nach außen gerichtete Vorgehen der Verwaltung einer gesetzlichen Ermächtigung bedarf (Grundsatz vom Vorbehalt
des Gesetzes) (Herzog, Band 1, 2001, Art. 20, Rn. 25). Zum Erlass von Rechtsverordnungen, die ebenfalls als gesetzliche Grundlage von Verwaltungshandeln dienen können, ist die Verwaltung nach Art. 80 Abs. 1 Satz 1 und 2 GG
nur dann befugt, wenn Inhalt, Zweck und Ausmaß der erteilten Ermächtigung
im Gesetz näher bestimmt sind. Ob diese verfassungsmäßigen Grenzen durch
die Verwaltung eingehalten wurden, wird durch die Gerichte kontrolliert. Im
Rahmen der Überprüfung der Rechtmäßigkeit einer Verwaltungsentscheidung, die auf eine Rechtsverordnung gestützt war, prüfen die Gerichte inzident auch die Verfassungsmäßigkeit der Rechtsverordnung.
Auch die Gerichte haben grundsätzlich die Entscheidung des Gesetzgebers
zu respektieren und sind keinesfalls befugt, dessen Entscheidung durch eine
eigene zu ersetzen. Selbst in dem Fall, in dem ein Gericht ein nachkonstitutionelles Gesetz für verfassungswidrig hält, kann es das Gesetz nicht einfach
unangewendet lassen. Nach Art. 100 Abs. 1 GG hat in einem solchen Fall das
Gericht das Verfahren auszusetzen und eine Entscheidung des Bundesverfassungsgerichts zu dieser Frage einzuholen. Nur für den Fall, dass das Bundesverfassungsgericht seine Ansicht bestätigt, darf das Gericht die Anwendung
des fraglichen nachkonstitutionellen Gesetzes ablehnen. Lediglich über die
Verfassungsmäßigkeit vorkonstitutioneller Gesetze kann ein Gericht aus eigener Machtvollkommenheit entscheiden.
Freundesgabe Büllesbach 2002
Unterschiede im Regulierungsverständnis zwischen der deutschen und der
amerikanischen Rechtskultur
279
Die seitens des Gesetzgebers getroffenen Regelungen sind überwiegend
generell und abstrakt, enthalten unbestimmte Rechtsbegriffe und Generalklauseln. Je nachdem, ob ein Richter den zu entscheidenden Lebenssachverhalt streng oder großzügig würdigt, kann er die Voraussetzungen der Anwendbarkeit einer Rechtsnorm beeinflussen.
Hierbei können die seitens der Rechtsprechung entwickelten Grundsätze
zum Verständnis einer Norm faktisch eine ähnliche Bedeutung wie Präzendenzfälle erlangen. Da kein Richter will, dass seine Entscheidung durch höhere Instanzgerichte aufgehoben wird, wird er sich bei seiner Urteilsfindung
immer an der Rechtsprechung der höheren Instanzen orientieren. Zur Vermeidung von unterschiedlichen Rechtsauffassungen zwischen den Senaten des
Bundesgerichtshofes ist nach § 132 Abs. 2 GVG die Anrufung des Großen
Senats bzw. die Anrufung der Vereinigten Große Senate vorgesehen.
Trotz dieser Rolle, die der Rechtsprechung im Rahmen ihrer Subsumtionsarbeit für die Rechtsentwicklung beizumessen ist, ist es immer noch der
Gesetzgeber, der den rechtlichen Rahmen setzt. Die Auslegung durch die
Rechtsprechung findet grundsätzlich ihre Grenze am Wortlaut (Larenz 1991,
S. 343). Nur in sehr eng begrenzten Ausnahmefällen kann die Auslegung über
den Wortlaut hinaus im Rahmen der gesetzesimmanenten (vgl. hierzu Larenz
1991, S. 370ff.) oder der gesetzesübersteigenden Rechtsfortbildung (vgl. hierzu Larenz 1991, S. 413 ff.) erfolgen.
4.2 Vereinigte Staaten von Amerika
Anders als nach deutschem Verständnis versucht das US-amerikanische
Rechtssystem von seiner Zielrichtung her, gerechte Entscheidungen in erster
Linie durch die Absicherung eines fairen Verfahrens zu erreichen. Es besteht
generell eine gewisse Zurückhaltung vor der Aufstellung allgemein abstrakter
materieller Rechtsgrundsätze, die nicht aus der Anwendung praktischer
Rechtsfälle folgen. Vielmehr liegt dem Common Law die Idee zugrunde, dass
mit jeder Einzelentscheidung die Zukunft gestaltet werden kann und muss
(Fikentscher 1975, S. 469). Sehr häufig finden sich in Entscheidungen Hinweise, man müsse so und nicht anders entscheiden, weil sonst in Zukunft die
Rechtsentwicklung so oder so verlaufe.
Radbruch (zitiert in Fikentscher 1975, S. 464) hat die Grundlagen des Common Law anhand des englischen Rechts sehr zutreffend beschrieben:
»Die Art des englischen Denkens kann mit den Worten Empirismus oder
Induktion gekennzeichnet werden. Englischem Denken liegt es nicht, die Tatsache mittels der Vernunft zu vergewaltigen, es sucht die Vernunft in den
Dingen, Vernunft ist ihr ›Natur der Sache‹. Der englische Tatsachensinn liebt es
auch nicht, Entschlüsse zu gründen auf die Erwartung künftiger Tatsachen – er
lässt die Tatsachen an sich herankommen, um sich erst dann zu entscheiden,
wenn sie da sind. Er traut weder der Phantasie noch der Berechnung künftiger
Situation – die wirkliche Situation ist ja immer ganz anders; er wartet vielmehr,
Freundesgabe Büllesbach 2002
280
Miedbrodt
bis die Situation selbst die Entscheidung bringt, zur Entscheidung zwingt. Er
fühlt sich nicht zur Konsequenz verpflichtet, zur Fortsetzung des falschen
Weges, bloß weil er einmal betreten wurde, nicht verpflichtet zur Eleganz der
klaren Linie, zur Vermeidung eines unschönen Zickzackkurses, er hält sich
vielmehr unvoreingenommen dem Gebote jeder neuen Stunde offen ...«
Aus diesem Denken folgt, dass das Verfahren der Einzelentscheidung geeignet sein muss, um zu einem gerechten Ergebnis zu gelangen. Dies lässt sich
nach anglo-amerikanischer Vorstellung am besten dadurch erreichen, dass
man es den Parteien gestattet, in einer kämpferisch-agitatorischen Bemühung
ihre jeweiligen Standpunkte bewusst einseitig geltend zu machen, dies unter
bloß passiver Assistenz des Richters, der im Wesentlichen nur über die
Einhaltung der Verfahrensregeln zu wachen hat (Zweigert/Kötz 1984, S. 317;
Hay 2000, S. 74). Insoweit wird der Grundsatz des »adversary procedure« mit
besonderer Strenge praktiziert. Dies beruht insbesondere darauf, dass in den
Vereinigten Staaten auch Zivilprozesse in erster Instanz noch vor Geschworenengerichten verhandelt werden, soweit der geltend gemachte Anspruch
seine Grundlage im Common Law findet. Die Entscheidungskompetenz der
Geschworenen geht dabei viel weiter als die der Schöffen im deutschen
Strafprozess. Sie entscheiden nicht nur darüber welche Tatsachen als bewiesen angesehen werden, sondern auch über die Anwendung der Rechtsregeln,
z. B. ob ein bestimmtes Verhalten als fahrlässig anzusehen ist oder ein Mitverschulden vorliegt. Um in Geschworenenprozessen eine unsachgemäße
Beeinflussung der Jury durch die Anwälte auszuschließen, entscheidet der
Richter auf der Grundlage eines komplizierten Netzwerkes von Beweisregeln,
den sogenannten »rules of evidence« (Zweigert/Kötz 1984, S. 319; Hay 2000,
S. 75). Auf diese Weise hält das Recht gewissermaßen Instrumente bereit, um
zu einer gerechten Lösung zu gelangen. Mit Mitteln des Rechts wird gefragt,
was Rechtens ist. Das bedeutet nicht das Fehlen einer Rechtsphilosophie, sondern ihre Bejahung unter methodischer Funktionalisierung (Fikentscher 1975,
S. 460).
Auch die zu beobachtende Zunahme der Gesetze nimmt dem anglo-amerikanischen Recht keineswegs diesen Charakter. Es werden keine Gesetzesbücher nach kontinentaleuropäischer Manier geschaffen. Die Rechtsfortbildung
bleibt wesentliche Aufgabe der Gerichte. Die Funktion der Legislative wird allgemein darin gesehen, einzelne Rechtsprobleme zu regeln, nicht aber eine
fundamentale Änderung des Common Law herbeizuführen. Insofern eröffnet
das Parlament den Gerichten eher lediglich neue Möglichkeiten und zeichnet
eher neue Linien vor, als dass es selbst neues Recht schafft (Will 1988, S. 454).
Auch sind die Gesetze erst dann in das amerikanische Rechtssystem wirklich eingegliedert, wenn sie von den Gerichten ausgelegt und angewendet
worden sind, so dass man sich zur Lösung eines Rechtsproblems nicht mehr
auf die Gesetze selbst berufen muss, sondern die Gerichtsentscheidungen auf
der Grundlage der Gesetze heranziehen kann (Cloidt 1988, S. 508f.). Etwas
anderes gilt lediglich für die Verfassung der Vereinigten Staaten, die die
Grundlagen der Gesellschaft selbst festlegt.
Freundesgabe Büllesbach 2002
Unterschiede im Regulierungsverständnis zwischen der deutschen und der
amerikanischen Rechtskultur
281
Einen wesentlichen Einfluss auf die Entwicklung des materiellen Rechts haben
somit die organisatorische Verfassung der Gerichte, die Richterauswahl und
die Art und Weise des Argumentierens vor den Gerichten (Fikentscher 1975,
S. 259).
5. Zusammenfassung
Auch wenn sich die Verhältnisse zwischen gesetztem und nicht gesetztem
Recht in beiden Rechtskulturen wesentlich genähert, die Bindungen der
Instanzgerichte an die Entscheidungen der oberen Gerichte faktisch eine ähnliche Autorität erlangt und die zu lösenden wirtschaftlichen und politischen
Aufgaben zu vergleichbaren Lösungen geführt haben, so bestehen doch
unverkennbare Unterschiede in der Regulierungskultur.
In Deutschland geht die juristische Gedankenführung von dem schriftlich
niedergelegten Rechtsmaterial aus, das aus Gesetzen und Verordnungen
besteht. Auch wenn dieses durch Auslegung konkretisiert und ergänzt werden
muss, so bildet doch das durch den Gesetzgeber gesetzte Recht den Rahmen
zur Lösung eines Rechtsproblems. Damit die Anwendung dieses gesetzten
Rechts zu einer gerechten Entscheidung führt, enthält das deutsche Recht
Verfahrensgarantien für den Erlass von Gesetzen und Rechtsverordnungen.
Anders verhält es sich nach US-amerikanischem Regulierungsverständnis. Da
in diesem Recht der Rechtsprechung eine überragende Rolle bei der
Rechtsfortbildung zukommt, enthält das Recht Garantien, damit der Ausgang
eines Rechtsstreits zu einer gerechten Entscheidung führen kann.
Literatur
Blumenwitz, D., Einführung in das anglo-amerikanische Recht, 6. Auflage,
München 1998.
Cloidt, J., Das Recht der Vereinigten Staaten von Amerika, in: Grasmann, D.
(Hrsg.): Einführung in die großen Rechtssysteme der Gegenwart, 2.
Auflage, München 1988, S. 501.
Constantinesco, L.-J., Rechtsvergleichung, Band I, II, Köln, Berlin, Bonn,
Mannheim 1971.
Grasmann, D., Die römisch-germanische Rechtsfamilie Rechtsquellen und
Kräfte, die in der römisch-germanischen Rechtsfamilie an der Schaffung
und Fortentwicklung des Rechts mitwirken, in: Grasmann, D. (Hrsg.):
Einführung in die großen Rechtssysteme der Gegenwart, 2. Auflage,
München 1988, S.155.
Electronic Privacy Information Center, Privacy and Human Rights 2001 An
International Survey of Privacy Laws and Developments, Washington DC,
USA, 2001.
Fikentscher, W., Methoden des Rechts in vergleichender Darstellung, Band II
Anglo-Amerikanischer Rechtskreis, Tübingen 1975.
Freundesgabe Büllesbach 2002
282
Miedbrodt
Hay, P., US-Amerikanisches Recht, München 2000.
Herzog, R. in: Maunz, T., Dürig, G. (Hrsg.), Grundgesetz Kommentar, Band 1,
Art. 1 – 11, München 2001.
Larenz, K. Methodenlehre der Rechtswissenschaft, 6. Auflage, Berlin,
Heidelberg, New York, London, Paris, Tokyo, Hong Kong, Barcelona,
Budapest, 1991.
Maunz, T. in: Maunz, T., Dürig, G. (Hrsg.), Grundgesetz Kommentar, Band 1,
Art. 1 – 11, München 2001.
Miedbrodt, A., Signaturregulierung im Rechtsvergleich Ein Vergleich der
Regulierungskonzepte in Deutschland, Europa und in den Vereinigten
Staaten von Amerika, Baden-Baden, 2000.
Rabel, E., Dt. und amerikanisches Recht, RabelsZ 16 (1951), S. 340.
Rheinstein, M., Einführung in die Rechtsvergleichung, München 1987.
Will, Das englische Recht, in: Grasmann, D. (Hrsg.): Einführung in die großen
Rechtssysteme der Gegenwart, 2. Auflage, München 1988, S. 421.
Zajtay, I., Begriff, System und Präjudiz in den kontinentalen Rechten und im
Common Law, AcP 165 (1965), S. 1ff.
Zweigert, K. Kötz, H., Einführung in die Rechtsvergleichung auf dem Gebiete
des Privatrechts, Band I: Grundlagen, Tübingen 1984.
Freundesgabe Büllesbach 2002
283
Peter J. Hustinx
Co-regulation or self-regulation by public and private bodies – the case of
data protection
1. Introduction
In his whole career, Alfred Büllesbach has demonstrated a great capacity for
combining or switching from different disciplines, social sectors, national
environments and so on. In most of these situations, he not only demonstrated great skills in the subject at hand, but above all impressed observers with
a unique combination of boundless energy and catching enthusiasm which
has left its marks on all those who crossed his path. This seems to provide the
ideal inspiration for a reflexion on one of the areas he has been active in – i.e.
data protection from an international and cross-sectoral point of view, but
with a solid base. In this case, the solid base is in the Netherlands and the
question was how to develop a combination of means to improve the effectiveness of data protection.
This article sets out to present the main lines of the constitutional framework within which »data protection« or the protection of personal data has
developed in the Netherlands. Against this background, it discusses the reasons why and the different ways in which self-regulation has played its role in
that development. The article then focuses on the structure of the Data Protection Act and on the ways in which the Data Protection Authority has interpreted its role in that context and is planning to proceed in the near future.
2. Constitutional framework
It should be realised at the start that the Netherlands has traditionally been
very open minded towards international law and legal developments in the
international scene. Article 93 of the Dutch Constitution provides that terms of
international agreements which can be applied directly, have such binding
force after the publication. Article 94 of the Constitution provides that where
the application of a certain legal provision would be incompatible with a binding provision of an international agreement, the latter must always prevail.
In legal and political discussions on privacy and data protection, this has
resulted in an early and frequent use of Article 8 of the European Convention
on Human Rights (ECHR):
Article 8
1. Everyone has the right to respect for his private and family life, his home
and his correspondence.
Freundesgabe Büllesbach 2002
284
Hustinx
2. There shall be no interference by a public authority with the exercise of
this right except such as is in accordance with the law and is necessary
in a democratic society in the interests of national security, public safety
or the economic well-being of the country, for the prevention of disorder
or crime, for the protection of health or morals, or for the protection of
the rights and freedoms of others.
Although the precise scope of the right to privacy as described here is still
uncertain, there can be no doubt that it at least covers information of a more
sensitive or intimate nature. This implies that any interference by a public
authority is only allowed under the conditions laid down in the second paragraph. Any such interference should be »in accordance with the law« and
should also be »necessary in a democratic society« for certain purposes. In its
case law, the European Court of Human Rights has developed criteria for the
quality of national laws and the need to provide for certain measures. The latter should be »proportional« to a pressing social need and where necessary
accompanied by »additional safeguards« against abuse. In addition to the
»negative« protection against undue interference by public authorities, the
Court has developed the idea that there is also a »positive« obligation to provide a sufficient legal protection against undue interference by others.
In the early 1970’s the Council of Europe came to the conclusion, that Article
8 ECHR had a number of defects in the light of new developments, particularly in the area of information technology. The uncertain scope of the term »private life« could create problems where the information was less sensitive. The
limitation to »public authorities« seemed to overlook the possibility of interference by »private interests«. It was also felt that more positive action was
required. This resulted in 1981 in the adoption of the Convention on Data
Protection, laying down the basic principles for data protection, which later
served as the conceptual starting point for Directive 95/46/EC, now the dominant instrument in this area.
Article 10 of the Dutch Constitution, adopted in 1983, carefully reflects this
development. The first paragraph provides for a right of everyone to respect
for his privacy, subject to restrictions provided in or by virtue of an Act of
Parliament. This latter element is somewhat stricter than Article 8 ECHR which
applies in other respects. The second and third paragraph of Article 10 provide for further safeguards for the protection of privacy with regard to the processing of personal data. These provisions are still at the basis of the national
legislation which now implements the Directive.
3. The role of self-regulation
It is often overlooked that »self-regulation« is nothing new, but actually nothing
more or less than the »default position« of the way in which most problems are
solved in an orderly society. If legislation or other forces do not intervene, it is
self-regulation by which individuals and organisations handle their interests.
Freundesgabe Büllesbach 2002
Co-regulation or self-regulation by public and private bodies – the case of data protection
285
In discussions about privacy and data protection, the concept of »self-regulation« has also been used in a more strategic way. Initially, the possibility of
self-regulation is often advanced as a means of preventing or postponing
legislation. In a more positive sense, self-regulation can be used as a means
to experiment and to prepare for legislation in a flexible way. A third option is
that self-regulation serves as a sector-specific way to implement legislation
and to avoid too much detail in the legislation itself. A fourth option is that
self-regulation can serve as a way to provide solutions beyond the scope of
the existing legislation, which may or may not result in a new cycle of policymaking along the lines mentioned before.
When a Dutch Royal Commission reported on the need for data protection
legislation in the mid 1970’s, it suggested that self-regulation should play its
part, at least during the long phase in which this legislation was to be developed. In retrospect, the commission could hardly have been more right. It took
almost fifteen years and three draft bills, before the Data Protection Act of
1988 was finally adopted. Most of this long period was spent on »methods«
rather than on »substance«: the question how data protection law could be
made effective without much bureaucracy. By the time the legislation was
adopted, self-regulation in various sectors and on different levels of government had developed into a standard practice, both in the public and in the private sector.
The Data Protection Act took this on board in two ways. On sector level the
Act provided for the possibility to develop a code of conduct as means of
implementation and to request the Data Protection Authority for its approval.
The decision of the authority was non-binding, but in practice often seen as a
seal of good quality. Under this regime, twelve codes of conduct have been
officially approved, which covered major sectors like banking and insurance,
direct marketing, health and pharmaceutical research. The relevant provision
of the Act served as a model for Article 27 of Directive 95/46/EC, which provides for implementation via sectoral codes of conduct, both on the national
and on the European level.
The Data Protection Act also provided for regulations on an organisational
level in the public sector. This feature did not return in the new Data Protection
Act, which entered into force in September 2001. The sectoral codes of conduct still enjoy a considerable degree of popularity. Most of the existing codes
are currently under revision for adaptation to the new legislation.
4. Data Protection Authority
The present Data Protection Act covers both the public and the private sectors,
with only very few exceptions. Some specific areas, like the population files
and the police, are covered by special legislation, which derogates from the
general scheme. However, many other fields of activity are affected by legal
provisions, which coincide with the general legislation and give it additional
Freundesgabe Büllesbach 2002
286
Hustinx
substance. The implementation of the Directive required a general revision of
this other legislation in order to make it fully compatible.
What resulted from this exercise is a mixture of continuity and change. The
most important difference on a technical level is the replacement of the concept of »personal data file« by the »processing of personal data«. This shift is
more in line with the development of technology, but also allows ‘data processing’ to be regulated more closely. Among the substantial changes are a
greater emphasis on transparency, new rights for data subjects (i.a. right to
object), and additional powers of enforcement for the Data Protection
Authority. It now has the power to impose administrative fines, in cases of
non-notification, and to exercise coercive measures in other cases of noncompliance. This second possibility is a last resort which may be necessary
where data subjects or organisations acting on their behalf, like consumer or
trade unions, do not reach an acceptable result.
Both in the previous and in the present Act, the Data Protection Authority
has found itself competent to deal with a variety of tasks and subjects in an
area which essentially covers all sectors of society, and certainly all those in
the field of »information intensive services«. In order to invest its resources in
the most productive way, the Authority has decided to structure its activities
along four »policy tracks«: raising awareness, development of norms, information technology and enforcement. Together, these tracks can be regarded
as a quality cycle which can be employed to enhance data protection in different sectors and individual organisations. In other words, it is a »strategic
model« used by the Authority to develop its own policies and to measure the
quality of data protection in organisations.
Different forms of communication are used to reach various »target
groups« and to help raise their awareness of privacy issues. The Authority’s
website is the central part of its strategy which should allow individual organisations and intermediary organisations to find what they need to make
informed choices on privacy related issues.
The development of norms takes place in preliminary surveys on different
subjects, advice to government departments and parliamentary commissions
on new legislation, discussions with various sectors of industry about new
codes of conduct, and in formal decisions on individual cases about new or
important questions. The result of this work is made available to the public
and to interested organisations by means of different publications.
It is almost common place by now to say that information technology not
only leads to new challenges for privacy and data protection, but also offers a
number of solutions to solve or to reduce these problems. That is why the
Authority made early investments in the development of Privacy Enhancing
Technologies (PET) and is still making substantial efforts to promote the use
of these technologies at the earliest possible stage. In this context, the emphasis is on »Privacy by Design«.
The final test of data protection is the degree in which it is followed in practice and enjoyed by data subjects. Privacy audits and other kinds of systemaFreundesgabe Büllesbach 2002
Co-regulation or self-regulation by public and private bodies – the case of data protection
287
tic research are means to measure to what extent that goal is reached.
Together with professional organisations and EDP audit firms, the Authority
has developed standard tools to measure data protection compliance. The
explicit aim of this project was to allow the »market« to provide and employ
services which responsible organisations need to ensure compliance and
which can also be built upon by the Authority. The new enforcement powers
of the Authority only emphasized the need for this development.
The four »policy tracks« indicated here are developed in annual programs
and evaluated on a permanent basis. Standard business is usually dealt with
in a »front office« and special cases or projects are handled in the »back office«. The Authority reserves a certain part of its resources to deal with incoming requests and another part to initiate priorities of its own. No one should
be surprised that »organisation and inspiration« go together, in this field as
much as elsewhere.
5. Policy perspectives
In its latest policy plan, its first under the new Data Protection Act, the
Authority has decided to continue and deepen its overall policy, which is
based on an integrated approach of data protection, using all legal, technical
and other appropriate means to ensure that the rights and freedoms of citizens in an information society are respected. However, the plan also contains
some new elements which are relevant to the subject of this contribution.
The Authority emphasizes the responsibility of government and business
for adequate data protection, as well as the right of data subjects to make the
best use of their opportunities under the new Act. At the same time, data protection is perceived more and more as »critical success factor« for other
important projects in our society, which range from e-government and ehealth to e-commerce. Moreover, other organisations act as institutional safeguards in specific contexts, like consumer organisations and trade unions. The
most effective policy for data protection authorities is therefore in many cases
not to act directly, but rather to have other »stakeholders« act in the right
direction. In this light, the Authority intends to emphasize its role as a ‘second
line’ institution, whenever possible. In that capacity it will be in a better position to concentrate on subjects which require its primary attention and for
which it has been given special powers and resources. What emerges is »coregulation« with other players in the field of data protection. It is obvious that
the Authority needs to be able to act and be both selective and flexible, in
order to play its role in this context.
A second element in this approach is that the Authority will give more attention to various ways of systematic monitoring and is ready to enforce the law
where that turns out to be necessary. This means a gradual shift to activities
in the latter area and requires an internal separation of work in order to isolate education and consultancy from investigation and enforcement. The ideal
Freundesgabe Büllesbach 2002
288
Hustinx
strategy would be to keep resources in the former area at the present level and
to develop new resources in the latter. A »second line« institution should be
in a position to deal with the more complicated questions that reach its desks.
At the same time, the development of an adequate capacity for investigation
and enforcement is crucial for the long term success of self-regulatory and coregulatory approaches.
6. Final remarks
The primary purpose of this contribution is to give information about the way
in which data protection has developed and is still developing in the
Netherlands. A secondary purpose is to stimulate reflexion and discussion on
a question that should permanently »bother« all data protection authorities:
i.e. how to be most effective.
Other data protection authorities will have their own experience. However,
it is quite clear that all of them are heading for »even more interesting times«.
Exchanges of experience and co-operation between offices will be necessary
as never before.
Freundesgabe Büllesbach 2002
289
Ulf Brühann
Selbstregulierungsinstrumente zur Liberalisierung des Datenexports
1. Warum Datenexportregeln?
Alle Studien zum Datenschutz belegen, dass die Entwicklung zur Informationsgesellschaft eine weltweite Welle von Datenschutzregeln ausgelöst hat. Die
vorerst jüngste Übersicht dieser Art wurde von der internationalen
Anwaltsfirma White & Case LLP auf dem Global Privacy Symposium in New
York am 30. 4. 2002 vorgelegt (http://www.whitecase.com/report_global_ privacy.pdf). 15 Länder wurden einer vergleichenden Analyse ihrer Datenschutzsysteme unterzogen. Alle hatten gesetzliche Regelungen, und in acht von
ihnen wurden Änderungen vorbereitet. »Es gibt eine anhaltende Flut von gesetzlichen und anderen Vorschriften, die die Nutzung von Wirtschaftsdaten
von Unternehmen reguliert.« »Dies betrifft alle Wirtschaftsbereiche, aber die
Tatsache, dass es sich um einen weltweiten Trend handelt, heißt nicht, dass
die Regelungen einheitlich oder mindestens konform wären. Für multinationale Unternehmen bedeutet die Notwendigkeit der Beachtung aller dieser
Regeln ständige Wachsamkeit und besondere Aufmerksamkeit.« Soweit die
Vorstellung der Ergebnisse der Studie (http://www.whitecase.com/pr_wc_
privacy_law_survey.html).
Die Informationsgesellschaft hat aber nicht nur Aktivität des Gesetzgebers
ausgelöst. Internationale Organisationen wie der Europarat und die OECD
haben die Anwendbarkeit ihrer allgemeinen Instrumente auf die Verarbeitung
personenbezogener Daten insbesondere im Internet und elektronischen
Handel überprüft. Der Europarat hat beispielsweise eine Empfehlung verabschiedet zum Datenschutz auf dem Internet (http://www.legal.coe.int/dataprotection/Default.asp?fd=general&fn=InstrumentsE.htm). Die Ministerkonferenz
der OECD hat auf ihrer Tagung 1998 in Ottawa aus einer detaillierten Überprüfung die Schlussfolgerung gezogen, dass die allgemeinen Datenschutzprinzipien auch für den elektronischen Handel volle Anwendung finden und
beschlossen, die notwendigen Schritte einzuleiten, um sicherzustellen, dass
die Leitlinien der OECD zum Datenschutz in globalen Netzwerken effektiv
angewandt werden (Declaration on the protection of privacy on global networks made by OECD Ministers at the Conference »A borderlesss world:
Realising the potential of global electronic commerce«, 7 – 9 October 1998,
Ottawa, Canada, DSTI/ICC/REG(98)10/FINAL v. 22.12.1998).
Darüber hinaus ist der Datenschutz zu einem der wesentlichen Bereiche
geworden, für den sich die interessierten Kreise der Wirtschaft über die
Notwendigkeit von Selbstregulierungselementen verständigt haben. Schon
im sogenannten Bangemann-Bericht wurde die Verbindung geknüpft zwischen einem wirksamen Datenschutz und der effektiven Entwicklung des
elektronischen Handels. Diese Gruppe Vertreter europäischer Industrie unter
dem Vorsitz des Vizepräsidenten der Kommission, Dr. Martin Bangemann, verFreundesgabe Büllesbach 2002
290
Brühann
abschiedete einen Bericht an den Europäischen Rat, in dem festgestellt wird
dass der Datenschutz eine der wesentlichen Voraussetzungen ist für die
Akzeptanz der Dienste der Informationsgesellschaft und deren wirtschaftliche
Entwicklung (»The Group believes that without the legal security of a Unionwide approach, lack of consumer confidence will certainly undermine the
rapid development of the information society. Given the importance and sensitivity of the privacy issue, a fast decision from Member States is required on
the Commission's proposed Directive setting out general principles of data
protection.« http://europa.eu. int/ISPO/infosoc/backg/bangeman.html).
Im Transatlantischen Wirtschaftsdialog (TABD) wurde ausdrücklich bekräftigt, dass effektive Datenschutzregeln für die Entwicklung des elektronischen
Handels erarbeitet werden sollten (»Industry should continue to develop
mechanisms for privacy protection parallel to the evolution of electronic commerce«, http://www.tabd.org/recommendations/Berlin99.pdf).
Im Weltweiten Wirtschaftsdialog wurden bereits erste Entwürfe für ein
Selbstregulierungsinstrument mit weltweiter Anwendbarkeit diskutiert (http://
consumerconfidence.gbde.org/protection.html).
Auch die G8 haben eine »Okinawa Charter on Global Information Society«
angenommen, in der die Entwicklung effektiver und sinnvoller Instrumente
zum Schutz personenbezogener Daten angemahnt wird und eine gemischte
Arbeitsgruppe »Digital Opportunity Task Force« (DOT) eingesetzt, die Vertreter
von Regierungen, Wirtschaft und Wissenschaft auf weltweiter Basis zusammenbringt (http://www.dotforce.org/reports/it1.html).
Fast alle dieser Instrumente enthalten Regelungen zum Datenexport. Ziel
dieser Regelungen ist, den Export von geschützten personenbezogenen Daten
aus dem räumlichen und sachlichen Geltungsbereich des jeweiligen
Schutzinstruments heraus zu beschränken und nur zuzulassen, soweit sonstige Garantien für den Schutz der Daten nach der Übermittlung in einen ungeschützten Empfängerbereich sichergestellt sind.
Es ist ein Paradox der Entwicklung zur Informationsgesellschaft, dass sie
sowohl den Grund für eine solche Regelung als auch die Schwierigkeit seiner
Durchsetzung verstärkt hat. Daten können ohne größere Schwierigkeiten und
Kosten auf im Ausland gelegene Verarbeitungsmittel übertragen, dort frei von
den Anforderungen des inländischen Datenschutzes weiterverarbeitet und
wieder in das Inland reimportiert werden. Inländische Kontrollinstanzen betonen die Schwierigkeiten einer grenzüberschreitenden Durchsetzung inländischer Datenschutzgrundsätze und reagieren oft defensiv, indem sie sich für
die grenzüberschreitenden Verarbeitungsvorgänge oft nicht für zuständig
halten. Die Gründe für eine solche Internationalität der Datenströme können
vielfältiger Art sein, insbesondere von Gesichtspunkten der Kosten für die
Arbeitsfaktoren in einem Drittland beeinflusst sein, so dass in diesen Fällen
nicht automatisch eine Absicht der Umgehung der nationalen Regeln unterstellt werden kann. Wird es möglich, die Anwendung nationaler Regeln durch
Nutzung der Möglichkeiten der dezentralen Struktur der Datenverarbeitung in
der Informationsgesellschaft und insbesondere des Internet zu vermeiden, so
Freundesgabe Büllesbach 2002
Selbstregulierungsinstrumente zur Liberalisierung des Datenexports
291
verliert die Territorialität der Verarbeitung ihre Bedeutung bei der Kontrolle
und vor allem der Durchsetzung der Einhaltung der Regeln. Daraus entwickel
sich aber ein Problem der generellen Akzeptanz inländischer Datenschutzanforderungen, wenn im übrigen ausländische Unternehmen, die nicht denselben Zwängen unterliegen, ohne Schwierigkeiten Daten im Inland erheben
oder sich sonst übermitteln lassen können und mit inländischen Unternehmen in direkten Wettbewerb treten können. Schließlich weist auch der
menschenrechtliche Ansatz des Datenschutzes, der keinen Unterschied nach
Nationalität zulässt, in dieselbe Richtung.
Angesichts dieses Befundes, nämlich der aus guten Gründen in vielen Staaten
bestehenden rechtlichen Beschränkungen des internationalen Datentransfers,
ist die Rolle von Selbstregulierungsinstrumenten der Wirtschaft zu untersuchen. Es liegt auf der Hand, dass solche Instrumente im Hinblick auf ihre
Charakteristik der Freiwilligkeit nicht geeignet sind, Beschränkungen, die auf
rechtlichen Instrumenten beruhen, abzubauen: Gesetze können nur durch
ebensolche modifiziert werden.
Dennoch sollte Platz für Selbstkontrollinstrumente innerhalb des gegenwärtigen, durch die Existenz rechtlicher Instrumente charakterisierten
Systems sein. Verhaltenskodices könnten erstens die Anwendung allgemeiner
Datenschutzprinzipien im Hinblick auf bereichsspezifische Verarbeitungen
präzisieren. Verhaltenskodices könnten zweitens den Gesetzgeber veranlassen, die Regelungsdichte zu senken, indem sie den Mangel an Datenschutz
durch staatliche Maßnahmen in Drittstaaten kompensieren.
Beide Fälle haben unterschiedliche Ausgangspunkte und Zielsetzungen und
benötigen deshalb ein unterschiedliches Instrumentarium. Im ersten Fall
ergänzen Selbstkontrollinstrumente bestehende rechtliche Regeln im innerstaatlichen Bereich. Sie können sie deshalb voraussetzen, brauchen sie nicht
zu wiederholen und können sich ganz auf die Einzelfragen bei der Anwendung
der Prinzipien im Hinblick auf die Besonderheiten der Wirtschaftsbereiche
konzentrieren. Auch die Durchsetzung der freiwilligen Regeln könnte in diesem Fall den gesetzlichen Grundsätzen folgen. Wenn die freiwilligen Regeln
die Anwendung der allgemeinen rechtlichen Grundsätze präzisieren, könnten
sie auch an ihren Durchsetzungsmechanismen teilnehmen.
Ganz anders die Regeln zur Kompensation mangelnder verbindlicher staatlicher Datenschutzregeln in einem Drittland. Sie müssen alle wesentlichen
Elemente eines kompletten Datenschutzsystems enthalten und darüber hinaus selbst Mechanismen für ihre Durchsetzbarkeit schaffen, insbesondere den
betroffenen Personen die Geltendmachung ihrer Rechte ermöglichen. Außerdem könnten sie zusätzliche bereichsspezifische Regeln wie oben beschrieben
enthalten.
Dieser Fall ist im Zusammenhang mit Artikel 26 der Richtlinie 95/46/EG zu
untersuchen, während der erste Fall davon zu unterscheiden ist und in Artikel
27 behandelt wird.
Freundesgabe Büllesbach 2002
292
Brühann
2. Welche Exportdatenregeln?
Zunächst darf nicht vergessen werden, dass der Datenverkehr innerhalb der
gegenwärtig 15 Mitgliedstaaten der Gemeinschaft sowie den Staaten des
EWR (Norwegen, Island, Liechtenstein) auf der Basis der Garantie eines
gleichwertigen Schutzniveaus durch Harmonisierung der Datenschutzgesetze
in allen diesen Ländern durch die Richtlinie 95/46/EG selbst bereits liberalisiert
ist. Artikel 1 Abs. 2 der Richtlinie sieht ausdrücklich vor, dass die Mitgliedstaaten den freien Verkehr personenbezogener Daten zwischen ihnen nicht
aus Gründen des Datenschutzes beschränken oder untersagen.
Die EU-Datenschutzrichtlinie eröffnet grundsätzlich drei Wege zur Liberalisierung des internationalen Datenverkehrs: erstens die inländische oder
gemeinschaftliche Anerkennung der Existenz eines angemessenen Datenschutzniveaus seitens des Datenimporteurs, zweitens die inländische oder
gemeinschaftliche Anerkennung der Erbringung angemessener Garantien für
den Schutz der Daten nach ihrer Übermittlung seitens des Datenexporteurs,
und drittens die Feststellung einer Situation, in der nach Einschätzung in der
Richtlinie selbst das Risiko für die Privatsphäre der betroffenen Person auch
nach der Übermittlung typischerweise gering ist.
2.1
Die besonderen Situationen, in denen die Richtlinie das Risiko für die
Privatsphäre des Einzelnen auch nach Übermittlung als gering ansieht, können in diesem Zusammenhang vernachlässigt werden, weil sie nicht auf die
Existenz von Selbstregulierungsinstrumenten abstellen.
2.2
Die Angemessenheit des Datenschutzes in einem Drittstaat, in dem der
Empfänger der übermittelten Daten niedergelassen ist, ist anhand der in
Artikel 25 Abs. 2 der Richtlinie genannten Merkmale des konkreten Transfers
und des Schutzes im Drittland durch allgemeine Rechtsnormen, sektorelle
Rechtsnormen, Standesregeln und Sicherheitsmaßnahmen zu beurteilen.
2.3
Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und
der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit
verbundenen Rechte kann auch der für die Übermittlung Verantwortliche beibringen. Die Richtlinie erwähnt insbesondere entsprechende Vertragsklauseln,
lässt aber damit auch andere Möglichkeiten offen.
Freundesgabe Büllesbach 2002
Selbstregulierungsinstrumente zur Liberalisierung des Datenexports
293
Es ist deshalb zu fragen, welche Rolle Selbstregulierungsinstrumente zur
Liberalisierung des internationalen Datenverkehrs nach den beiden letztgenannten Möglichkeiten spielen können.
3. Wann können freiwillige Selbstkontrollen anerkannt werden?
3.1 Selbstregulierungsinstrumente als Teil eines angemessenen
Datenschutzsystems im Drittland?
Aus dem erwähnten Artikel 25 Abs. 2 der Richtlinie 95/46/EG ergibt sich, dass
auch nichtgesetzliche Maßnahmen in einem Drittland bei der Prüfung der
Angemessenheit berücksichtigt werden können, sofern diese Regeln effektiv
befolgt und durchgesetzt werden. Die Beurteilung ihrer Angemessenheit
erfolgt nach denselben objektiven Kriterien, nach denen auch die Angemessenheit gesetzlicher und sonstiger Vorschriften bemessen wird.
In den bisherigen Entscheidungen zur Angemessenheit hat die Europäische
Kommission zur materiellen Ausfüllung regelmäßig auf die von der Gruppe
für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten entwickelten Grundsätze Bezug genommen. Diese durch
Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe mit beratender Funktion,
an deren Beschlussfassung auch Vertreter der deutschen öffentlich bestellten Datenschutzbeauftragten teilnehmen, ist unabhängig und hat u.a. den
Auftrag, zum Schutzniveau in der Gemeinschaft und in Drittländern gegenüber der Kommission Stellung zu nehmen. In der Arbeitsunterlage »Übermittlungen personenbezogener Daten an Drittländer: Anwendung von Artikel 25
und 26 der Datenschutzrichtlinie der EU« (WP 12) vom 24.7. 1998 (http:// europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12de.pdf) hat sie
einen funktionalen Ansatz für die Beurteilung der Angemessenheit des Schutzniveaus in Drittländern entwickelt. Ausgangspunkt ist die Tatsache, dass
Datenschutzregeln nur dann zum Schutz der Grundrechte und -freiheiten, und
insbesondere der Privatsphäre, beitragen können, wenn sie in der Praxis befolgt werden. Deswegen muss jede ernsthafte Analyse des Datenschutzniveaus
zwei Elemente umfassen: den Regelungsinhalt und die Durchsetzung der Regeln.
Ausgehend von einer Analyse der Risiken für die Privatsphäre des Einzelnen nach Übermittlung seiner personenbezogenen Daten in ein Drittland und
unter Berücksichtigung der international anerkannten Grundsätze des
1
Datenschutzes entwickelte die Gruppe einen Kern inhaltlicher Prinzipien sowie Anforderungen an ihre effektive Durchsetzung.
Diese materiellen Grundsätze enthalten die Zweckbestimmung und -bindung, Datenqualität und -verhältnismäßigkeit, Transparenz, Sicherheit, Auskunfts-, Widerspruchs- und Berichtigungsrechte, Drittlandtransfers sowie
gegebenenfalls sensitive Daten, Direktmarketing und automatisierte Entscheidungen.
Freundesgabe Büllesbach 2002
294
Brühann
Die Effektivität der Durchsetzung soll daran gemessen werden, ob erstens
eine gute Befolgungsrate gewährleistet wird, ob zweitens den einzelnen betroffenen Personen Unterstützung und Hilfe zuteil wird und ob drittens eine
angemessene Entschädigung bei Verstoß gegen die Bestimmungen gewährleistet wird.
Dieser funktionale Ansatzpunkt erlaubt eine Analyse des jeweiligen
Schutzsystems in einem Drittland unabhängig von seiner Art und Rechtsnatur. Er ist deshalb auch grundsätzlich auf Selbstregulierungsinstrumente
anwendbar. Artikel 25 Abs. 2 der Richtlinie nennt selbst »Standesregeln« als
mögliches Element der Angemessenheit des Schutzniveaus in einem
Drittland. Allerdings ist deren Charakteristikum, dass sie durch staatliche
Maßnahmen im Drittstaat abgesichert und für eine repräsentative Anzahl von
Empfängern von Daten einer Berufsgruppe oder eines Wirtschaftsbereichs
verbindlich sind.
Der US-Safe Harbor erfüllt diese Voraussetzungen. Die Mitgliedstaaten
unterstützten einstimmig einen entsprechenden Vorschlag einer Entscheidung der Kommission über die Angemessenheit des durch den Safe Harbor
erbrachten Datenschutzes, die am 27.6.1998 angenommen wurde (http://europa.eu.int/comm/internal_market/en/dataprot/news/decision_de.pdf). Das System ist offen für alle im Inland niedergelassenen Organisationen, die ihm
beitreten wollen und die Voraussetzungen erfüllen (insbesondere der Aufsicht mindestens einer staatlichen Behörde unterliegen, die Befugnisse zur
Sicherstellung der Einhaltung der Regeln hat und diese effektiv einsetzt).
Es basiert auf der freiwilligen Akzeptanz von Verhaltensregeln durch solche
Organisationen, ohne dass sie die Regeln abändern oder für die Vergangenheit aufsagen können. Zur Sicherstellung angemessener Maßnahmen zur
Durchsetzung ist zwingend vorgesehen: eine (externe oder interne) periodische Überprüfung der internen Verfahren zur Datenverarbeitung (z.B. in Form
eines Audits), ein privates System der Streitschlichtung, das für den Einzelnen
leicht zugänglich und kostengünstig sein muss sowie die Existenz einer staatlichen Aufsichtsbehörde, der alle ungelösten Konfliktfälle über die Einhaltung
der Regeln vorgelegt werden können und die wirksame Sanktionen im Fall der
Nichtbeachtung verhängt. Darüber hinaus müssen die Unternehmen Ersatz
im Fall des Eintritts eines auf einer Verletzung der Regeln beruhenden Schadens gewährleisten.
Unternehmensregeln, wie sie beispielsweise von der DaimlerChrysler AG
erarbeitet und den Aufsichtsbehörden in Deutschland zur Genehmigung vorgelegt worden sind, unterscheiden sich von den Safe-Harbor-Regeln in mehrfacher Hinsicht. Zunächst sind sie für eine weltweite Anwendung konzipiert
und nicht in das Rechtssystem eines bestimmten Drittstaates eingebettet.
Diese Besonderheit erschwert nicht nur die Zuordnung des Schutzsystems zu
einem bestimmten Drittstaat, wie dies in Artikel 25 Abs. 1, 2 der Richtlinie 95/
46/EG vorausgesetzt wird, sondern führt ferner zu Schwierigkeiten bei der
Rückbindung der Kontrolle der Einhaltung der Regeln in ein staatliches
Sanktionssystem. Außerdem führt es zu Unsicherheiten über die VerbindlichFreundesgabe Büllesbach 2002
Selbstregulierungsinstrumente zur Liberalisierung des Datenexports
295
keit der Regeln, insbesondere wenn sie von nationalen Vorschriften in positiver oder negativer Hinsicht abweichen. Ferner stehen die Unternehmensregeln nur den selbständigen Unternehmen als Teile eines bestimmten Konzerns zur Verfügung, nicht aber den Unternehmen eines gesamten Wirtschaftsbereichs, geschweige denn allen Organisationen, die ihnen beitreten wollen. Allein aus diesen Gründen können solche Regeln nicht die »Angemessenheit« des Schutzniveaus eines Drittstaates (welchen?) begründen.
Aus denselben Gründen scheint eine Einordnung der Unternehmensregeln
unter den in Artikel 25 Abs. 2 der Richtlinie enthaltenen Begriff der »Standesregeln« nicht möglich.
3.2 Selbstregulierungsinstrumente als Garantien des Exporteurs?
In Artikel 26 Abs. 2 der Richtlinie ist vorgesehen, dass die zuständigen Behörden in den Mitgliedstaaten einzelne Übermittlungen in ein Drittland ohne
angemessenes Schutzniveau genehmigen können, wenn der Exporteur der
Daten (nota bene nicht das Drittland oder der dortige Empfänger oder Importeur der Daten) ausreichende Garantien hinsichtlich des Schutzes der
Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie
hinsichtlich der Ausübung der damit verbundenen Rechte beibringt. Diese
Garantien können ausdrücklich – aber nicht ausschließlich – durch entsprechende Vertragsklauseln erbracht werden. Damit sind zunächst zweiseitige
Verträge angesprochen, in denen sich der Datenimporteur gegenüber dem
Datenexporteur verpflichtet, auf die weitere Verarbeitung der übermittelten
Daten einen bestimmten Datenschutzstandard anzuwenden und in denen
Garantien im Hinblick auf die Durchsetzung der Verpflichtungen des Importeurs der Daten sowie der Rechte der betroffenen Personen enthalten sind, die
den oben genannten von der Gruppe für den Schutz der Rechte von Personen
bei der Verarbeitung personenbezogener Daten entwickelten Datenschutzgrundsätzen entsprechen.
Die Richtlinie schließt aber nicht aus, dass der Datenexporteur andere Arten
von Garantien erbringt, soweit sie diesen Anforderungen an angemessenen
Inhalt und Durchsetzung Genüge tun. In diesem Zusammenhang könnten
Selbstregulierungsinstrumente eine wesentliche und neue Rolle spielen.
Unternehmensregeln könnten als interne Regelungen von den jeweiligen
nach Gesellschaftsrecht zuständigen Organen für die Organisationen im oder
sogar außerhalb des Konzerns verbindlich gemacht werden. Auch wenn keine
zweiseitige vertragliche Verpflichtung mit dem Importeur besteht, könnte das
jeweilige exportierende Konzernunternehmen im Grundsatz mittels (ggfs.
eines Bündels) dieser einseitigen, aber verbindlichen Selbstverpflichtung seitens des Empfängers der Daten Garantien erbringen, sofern diese den Erfordernissen eines angemessenen Schutzstandards genügen. Zum Nachweis
dürfte die Vorlage des verbindlichen Beschlusses der zuständigen Organe der
Gesellschaft, an die die Daten übermittelt werden, ausreichen.
Freundesgabe Büllesbach 2002
296
Brühann
3.2.1 Angemessenheitsprüfung der Datenschutzprinzipien
Relativ unproblematisch erscheint ebenfalls die Prüfung der Angemessenheit
des Inhalts der Datenschutzprinzipien: sie sind an den allgemeinen Anforderungen an die Angemessenheit des Schutzniveaus zu messen. Die auf den
Datenimporteur anwendbaren Unternehmensregeln müssen Grundsätze enthalten über die Zweckbestimmung und -bindung, Datenqualität und -verhältnismäßigkeit, Transparenz, Sicherheit, Auskunfts-, Widerspruchs- und
Berichtigungsrechte, Weiterübermittlungen an Dritte sowie gegebenenfalls
sensitive Daten, Direktmarketing und automatisierte Entscheidungen.
3.2.2 Durchsetzungsmechanismen
Die Effektivität der Durchsetzung muss daran gemessen werden, ob erstens
eine gute Befolgungsrate gewährleistet wird, ob zweitens den einzelnen betroffenen Personen Unterstützung und Hilfe zuteil wird und ob drittens eine
angemessene Entschädigung bei Verstoß gegen die Bestimmungen gewährleistet wird (siehe Arbeitsunterlage »Übermittlungen personenbezogener Daten
an Drittländer: Anwendung von Artikel 25 und 26 der Datenschutzrichtlinie
der EU« (WP 12) vom 24.7.1998, aaO., S. 12 ff.)
3.2.2.1 Allgemeine Befolgung
Eine allgemeine gute Befolgungsrate könnte insbesondere durch organisationelle und technische Maßnahmen in den Unternehmen, aber auch durch die
regelmäßige Kontrolle der Verfahren der Datenverarbeitung im Hinblick auf
die Einhaltung der Unternehmensregeln, etwa durch interne oder externe
Auditierung, sichergestellt werden. Die Bestellung eines internen Konzerndatenschutzbeauftragten zur Überwachung der Einhaltung der Unternehmensregeln, insbesondere wenn er durch ein Netzwerk an Datenschutzkoordinatoren unterstützt wird und Stichproben vornehmen kann, ist ebenfalls ein
entscheidender Beitrag in diesem Zusammenhang. Am wichtigsten erscheint
jedoch die Art und Weise der Durchsetzung von Sanktionen im Fall der Nichteinhaltung der Unternehmensregeln. Neben der Änderung der nicht konformen Praxis kommt es auch gerade darauf an, dass eine »Strafe« ausgesprochen werden kann, die sich auf das künftige Verhalten des Unternehmens auswirkt, indem schon die bloße Möglichkeit einen Anreiz für die Einhaltung der
Unternehmensregeln bietet. In diesem Zusammenhang erscheint es nicht
ausreichend, Verstöße gegen die Unternehmensregeln der Geschäftsleitung
des betroffenen Unternehmens sowie der Konzernleitung mit einer Stellungnahme des Konzerndatenschutzbeauftragten zu unterbreiten. Deshalb könnte
im Fall eines letztlich unlösbaren Konflikts ein gewisses Maß externer Publizität sowie eine unabhängige Stelle vorgesehen werden, die ein Gericht, eine
Freundesgabe Büllesbach 2002
Selbstregulierungsinstrumente zur Liberalisierung des Datenexports
297
Schiedsstelle oder die zuständige Datenschutzkontrollbehörde sein und die
Sanktionen aussprechen könnte. Ohne derartige Sanktionsmöglichkeiten ist
schwer zu vermitteln, wie ohne ein effektives System externer Überprüfung
ein hohes Niveau allgemeiner Einhaltung der Regeln sichergestellt werden
kann.
3.2.2.2 Hilfe und Unterstützung der betroffenen Person
Hilfe und Unterstützung der betroffenen Personen kann durch die Einrichtung
interner und externer Stellen gewährt werden, an die sich der Einzelne wenden kann, wenn sein Anliegen einer behaupteten Verletzung der Unternehmensregeln nicht auf andere Weise gütlich beigelegt werden konnte. Im
Rahmen der internen Verfahren kann die Einräumung einer Kompetenz des
Konzerndatenschutzbeauftragten zur Anhörung von Beschwerden und zur
Ermittlung des Sachverhalts eine wesentliche Garantie sein. Darüber hinaus
sollte eine unabhängige Stelle bestehen, die im Konfliktfall den Sachverhalt
untersuchen und eine verbindliche Lösung vorschlagen kann.
3.2.2.3 Schadensersatz
Eine angemessene Entschädigung müsste für den Fall gewährt werden, dass
betroffenen Personen infolge eines Verstoßes gegen die Unternehmensregeln
ein (finanzieller oder immaterieller) Schaden entstanden ist. Ein entsprechender Antrag kann von den Datenschutzkoordinatoren und dem Konzerndatenschutzbeauftragten behandelt werden. Wichtig ist aber auch hier, dass für die
Durchsetzung im Konfliktfall die Einschaltung einer unabhängigen Stelle möglich ist, deren Entscheidungen zu respektieren das Unternehmen verbindlich
anerkannt hat.
3.2.2.4 Haftung des Datenexporteurs
Während es der Datenimporteur ist, der die notwendigen Maßnahmen zur
Sicherstellung der Einhaltung der Verhaltensregeln treffen oder dulden muss,
kann der Datenexporteur eine gleichwertige Rolle bei der Sicherstellung der
Hilfe und Unterstützung der betroffenen Person sowie der Entschädigung
spielen. Der Datenexporteur könnte die Verpflichtung übernehmen, die betroffenen Personen bei der Durchsetzung ihrer Rechte gegenüber dem Datenimporteur zu unterstützen oder für die Schadensersatzleistung selbst an die
Stelle des Datenimporteurs zu treten. Dies ist allerdings nur adäquat, solange
der Datenexporteur als solventes Unternehmen diese Verpflichtung auch
effektiv honorieren kann.
Freundesgabe Büllesbach 2002
298
Brühann
4. Wie können Unternehmensregeln anerkannt werden?
Nach Artikel 26 Abs. 2 der Richtlinie 95/46/EG bedürfen alle Übermittlungen
von Daten, die auf der Grundlage von durch den Exporteur beigebrachten
Garantien erfolgen sollen, der Genehmigung durch die zuständige Stelle in
dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist. Eine etwaige informelle Stellungnahme der zuständigen Behörde zu den Unternehmensregeln ist natürlich möglich und für das Unternehmen im Hinblick auf die
Beurteilung zukünftiger Anträge zur Genehmigung von Einzelübermittlungen
von Daten hilfreich.
Jede Genehmigung durch eine nationale Stelle ist nach Artikel 26 Abs. 3 der
Europäischen Kommission und den Mitgliedstaaten mitzuteilen, denen damit
die Möglichkeit eröffnet werden soll, eine Stellungnahme in Bezug auf den
Schutz der Grundrechte und -freiheiten und insbesondere der Privatsphäre
abzugeben. Die damit ermöglichte Harmonisierung der Praxis liegt letztlich im
Interesse der Mitgliedstaaten selbst. Sie erlaubt es, künstliche Verkehrsverlagerungen zu Mitgliedstaaten mit einer großzügigen Genehmigungspraxis
entgegenzuwirken und damit zu verhindern, dass eine strengere Praxis in
manchen Mitgliedstaaten durch Ausnutzen der innergemeinschaftlichen
Datenverkehrsfreiheit weitgehend unterlaufen könnte.
Ein eventuelles Ergebnis dieser Information könnte bereits sein, dass die
zuständigen Behörden in den übrigen Mitgliedstaaten, in denen konzernangehörige Unternehmen niedergelassen sind, eine einheitliche Genehmigungspraxis entwickeln. Allerdings machen die bisherigen Erfahrungen eine
solche zufällige und freiwillige Harmonisierung nicht sehr wahrscheinlich.
Wahrscheinlicher ist die Möglichkeit, dass die Mitgliedstaaten und die
Kommission nach Ergebnis und Begründung verschiedene Stellungnahmen
abgeben und dass davon zumindest eine einen »hinreichend begründeten
Widerspruch« im Sinne des Artikel 26 Abs. 3 geltend macht. Für diesen Fall ist
vorgesehen, dass die Kommission die »geeigneten Maßnahmen« nach dem
Verfahren des Artikel 31 Abs. 2 einleitet. Diese kann feststellen, dass für die
mitgeteilte Übermittlung unter Berücksichtigung der gebotenen Garantien die
Genehmigung nicht zu erteilen ist, oder – wahrscheinlicher – die Bedingungen
oder zusätzlichen Garantien aufführen, die erforderlich sind, um eine rechtmäßige Genehmigung der in Frage stehenden Übermittlung erteilen zu können (Brühann, in: Grabitz/Hilf, Kommentar zum EU Vertrag II, Verbraucherund Datenschutzrecht A 30, Art. 26, Rn. 18). Diese Entscheidung hat Wirkung
für alle Mitgliedstaaten der Gemeinschaft und muss von ihnen umgesetzt werden, soweit sie nach ihrer Rechtsordnung nicht mit unmittelbarer Wirkung
ausgestattet ist. Allerdings bezieht sich die Entscheidung der Kommission nur
auf die mit der Genehmigung vorgelegte Einzelübermittlung. Sie bringt deshalb noch nicht die Rechtssicherheit, dass zukünftige Übermittlungen unter
Zugrundelegung der der Entscheidung angepassten Unternehmensregeln
durch konzernangehörige Unternehmen aus allen Mitgliedstaaten automatisch
zulässig wären. Auch verfahrensmäßig wäre eine Genehmigung jeder einzelFreundesgabe Büllesbach 2002
Selbstregulierungsinstrumente zur Liberalisierung des Datenexports
299
nen Übermittlung durch die zuständigen Behörden der Mitgliedstaaten
weiterhin erforderlich. In diesem Verfahren wären die Mitgliedstaaten nicht
verpflichtet, selbst bei Vorliegen der Voraussetzungen, eine Genehmigung tatsächlich zu erteilen, da die Möglichkeit der Genehmigung in Artikel 26 Abs. 2
für die Mitgliedstaaten nicht zwingend, sondern fakultativ ist (»ein Mitgliedsstaat kann…«). Insoweit bleibt der Harmonisierungseffekt dieser Entscheidung der Kommission unvollständig.
Nach Artikel 26 Abs. 4 kann allerdings die Kommission mit verbindlicher
Wirkung für alle Mitgliedstaaten bestimmen, dass bestimmte »Standardvertragsklauseln« ausreichende Garantien gemäß Artikel 26 Abs. 2 bieten. Zu
prüfen ist, ob Verhaltensregeln von Unternehmen als solche »Standardvertragsklauseln« angesehen werden können oder ob diese Möglichkeit es der
Kommission auch erlauben würde, mit Wirkung für die gesamte Gemeinschaft andere als vertragliche Garantien, nämlich Unternehmensregeln, als
angemessen anzuerkennen.
Unternehmensregeln werden in der Regel als einseitige Rechtsakte, beispielsweise durch Beschluss, der selbständigen Organisationseinheiten in
dem Konzern entsprechend den für die Beschlussfassung geltenden Bestimmungen insbesondere des Gesellschaftsrechts geschaffen. Als solche
sind sie nicht als »Vertragsklauseln« anzusehen, weil ihnen das Element der
wechselseitigen Verpflichtung, das Synallagma, fehlt. Demgegenüber könnten die Unternehmen jedoch mehrseitige Verträge mit dem Inhalt von
Unternehmensregeln schließen, in denen alle teilnehmenden Konzernunternehmen durch ihre Unterschrift gemeinsam und gegenseitig versprechen, die Unternehmensregeln einzuhalten. In diesem Fall wäre durch die
Verpflichtung der Konzernunternehmen auf ein gemeinsames Ziel ein
Vertragsverhältnis entstanden, das die Möglichkeit für die Kommission eröffnet, eine für die Gemeinschaft verbindliche Anerkennung des Schutzniveaus
vorzunehmen. Nach dem Sinn und Zweck der Vorschrift des Artikel 26 Abs. 4
erscheint es aber auch vertretbar, den Verweis auf den Abs. 2 in einem umfassenderen Sinne auszulegen, dass nämlich alle dort genannten Garantien auch
Gegenstand einer Entscheidung nach Artikel 26 Abs. 4 durch die Kommission
sein können. Gründe des Datenschutzes, die dagegen sprechen könnten, sind
nicht ersichtlich, der Umweg über die Konstruktion eines mehrseitigen Vertrages führt zum selben Ergebnis und es besteht ein mehrfach geäußertes
Bedürfnis der Wirtschaft, durch eine einzige Entscheidung auf Ebene der
Gemeinschaft die Anerkennung der Unternehmensregeln für alle in Europa
niedergelassenen konzernangehörigen Unternehmen zu erwirken.
Darüber hinaus hätte erst die Entscheidung der Kommission über die
Angemessenheit des Schutzniveaus der Unternehmensregeln eine wesentliche verfahrensmäßige Erleichterung zur Folge. Inhalt dieser Entscheidung
könnten die Unternehmensregeln als solche sein, so dass die Notwendigkeit
der Genehmigung der darauf gestützten nachfolgenden Einzelübermittlungen
entfiele. Damit wäre ihre Anerkennung auch in den Mitgliedstaaten sichergestellt, die die Möglichkeit der Einzelgenehmigungen nach Artikel 26 Abs. 2
Freundesgabe Büllesbach 2002
300
Brühann
nicht vorsehen, und damit eine vollständige Harmonisierung der Praxis im
Sinne einer erheblichen Verbesserung des internationalen Datenschutzes im
Sinne der europäischen Bürger erreicht.
1
Insbesondere das Ȇbereinkommen No. 108 zum Schutz des Menschen bei der automatischen
Verarbeitung personenbezogener Daten« des Europarats v. 28. 1. 1981 sowie die »Leitlinien
zum Schutz der Privatsphäre und grenzüberschreitender Fluss personenbezogener Daten« der
OECD v. 23. 9. 1980. Darüber hinaus sei auf die Instrumente der UN und ihrer Unterorganisationen hingewiesen.
Freundesgabe Büllesbach 2002
301
Stefan Walz
EG-Datenschutzrichtlinie und Selbstregulierung –
Umsetzungsdefizite beim Medienprivileg des BDSG
1. Selbstregulierungsansätze in der EG-Datenschutz-Richtlinie
Alfred Büllesbach war und ist ein engagierter Anhänger der Selbstregulierung
im nichtöffentlichen Datenschutz. Diese Festgabe bezeugt diese Feststellung
mit der Aufnahme mehrerer einschlägiger Beiträge. In der Diskussion um die
Anforderungen der EG-Datenschutzrichtlinie an Datenübermittlungen in Drittstaaten hat Büllesbach sich dafür eingesetzt, konzernweite Codes of Conduct
als Garanten des nach Art. 26 erforderlichen angemessenen Datenschutzniveaus anzuerkennen. Solche Verhaltensregeln müssten aber – und vorrangig um diesen Aspekt geht es im Kontext dieses Beitrags – auch »Sanktionsmaßnahmen bei Nichteinhaltung« vorsehen (Büllesbach 1999, S. 61). Die
Frage nach der Kontrolle und den Sanktionen bei Verstößen war einer der
Kernpunkte der Diskussion über die Safe-Harbour-Principles zwischen der EU
und den USA.
In Art. 27 öffnet die Richtlinie generell den Weg für berufsbezogene und
brancheneigene Verhaltensregeln und verlangt, dass Mitgliedstaaten und
EU-Kommission diese auf nationaler bzw. europäischer Ebene fördern sollen.
Art. 27 Abs. 1 macht allerdings deutlich, dass Verhaltensregeln nur die Funktion haben dürfen, die einzelstaatlichen Umsetzungsbestimmungen auszufüllen und zu konkretisieren, nicht aber nationale Normgebung zu ersetzen. Nach
Art. 27 Abs. 2 erhalten untergesetzliche Verbandsregeln nur dann »staatlichen
Segen«, wenn sie von der zuständigen Kontrollstelle bzw. auf EU- Ebene von
der Gruppe nach Art. 29 der Richtlinie für tauglich befunden wurden. Einen
Beitrag zur Umsetzung einer Richtlinie können sie nur bei flächendeckender
Geltung, Transparenz und Einklagbarkeit der Betroffenenrechte sowie wirksamer Kontrolle und Sanktionierung von Verstößen leisten (s.u. Abschnitt 4).
Selbstregulative Elemente spielen in der Datenschutzrichtlinie außer bei
den Artikeln 26 und 27 auch eine Rolle im Zusammenhang mit Art. 9, in dem
es um das Regelungsmodell für die Herstellung von Konkordanz zwischen
dem Schutz des Rechts auf informationelle Selbstbestimmung und der ebenfalls – europäisch wie national – grundrechtlich gewährleisteten Medienfreiheit geht. Art. 9 schreibt den Mitgliedstaaten vor, für Print- und Funkmedien
Ausnahmen und Einschränkungen von den Bestimmungen der Richtlinie über
die Zulässigkeit personenbezogener Datenverarbeitung, die Datenübermittlung in Drittstaaten und die externe Datenschutzkontrolle zu machen.
Die Begründung der Kommission zum Geänderten Richtlinien-Vorschlag von
1992 erwähnt, bei der regulatorischen Bewältigung der Grundrechtskollision
könne »unter anderem berücksichtigt werden, dass ... ein Verhaltenskodex existiert..« (Abl. EG Nr. C 311 v. 27.11.1992, S.19). Erwägungsgrund 37 der
Richtlinie legt wiederum Wert darauf, dass mindestens die in diesem
Freundesgabe Büllesbach 2002
302
Walz
(sc. Medien-)Bereich zuständige (sc. staatliche) Kontrollstelle bestimmte nachträgliche Zuständigkeiten erhalten (solle), beispielsweise zur regelmäßigen
Veröffentlichung eines Berichts oder zur Befassung der Justizbehörden.«
Die Bemerkung der Kommission aus dem Jahr 1992 zur Möglichkeit der
Berücksichtigung eines bestehenden brancheneigenen Verhaltenskodex hat
bei der Neugestaltung des Medienprivilegs im BDSG 2001 ganz erstaunliche
Wirkungen entfaltet. Zu der aus anderen, kompetenzrechtlichen Gründen
erfolgten Begrenzung des § 41 BDSG auf die Presse und damit die Printmedien kommt hinzu, dass der Bund nicht nur bis auf wenige Ausnahmen auf
konkretere Regelungsvorgaben für die zur Gesetzgebung aufgerufenen
Länder verzichtet, sondern darüber hinaus gehenden Regelungsbedarf auf
Länderebene auch verneint mit dem Hinweis auf die Eigenregulierung der
Presse, d.h. auf den durch Bestimmungen zum redaktionellen Datenschutz
angereicherten Pressekodex bzw. die Beschwerdeordnung des Deutschen
Presserates (vgl. Begründung zum RegE, BT-Drucks. 14/4329, zu Nr. 45, 46 f.).
Der Presserat hat im Juni 2001 nach Inkrafttreten des BDSG 2001 beide Texte
um neue, wenngleich aus § 41 Abs. 2 und 3 BDSG sowie generell aus dem
Rundfunkrecht wohl bekannte Elemente wie Zuspeicherungspflicht von
Gegendarstellungen, Auskunftsanspruch nach Berichterstattung, Sperrung
und Löschung kodexwidrig verarbeiteter Daten, Redaktionsgeheimnis und
Beschwerderecht bei angenommenen Verstößen gegen das »Recht auf
Datenschutz« erweitert.
2. Konstanten des Medienprivilegs
Um die Richtlinienkonformität der deutschen Umsetzung im Hinblick auf
Selbstregulierung und externe Kontrolle besser beurteilen zu können, ist
zunächst eine genauere Analyse von Gesetzgebungshistorie und Regelungsinhalt des § 41 in seiner Neufassung durch das BSG 2001 geboten.
Das »Medienprivileg« zählt ja seit dem ersten BDSG 1977 zu den umstrittensten Bestimmungen dieses Gesetzes. Dies belegt die umfangreiche Literatur zu dieser Problematik zunächst bis zur BDSG-Novellierung 1990. Auch in
den 90er Jahren riss der Strom von Fachveröffentlichungen nicht ab. Ab 1995
hat insbesondere die Notwendigkeit der eingangs angesprochenen Umsetzung des Art. 9 der Datenschutzrichtlinie die Diskussion animiert. Auch die Spezialisten des traditionellen Presse- und Rundfunkrechts haben sich seit Erlass
des BDSG 1990 zunehmend in die Debatte datenschutzrechtlicher medienbezogener Fragestellungen eingeschaltet. Insbesondere die Datenschutzbeauftragten haben sich immer wieder für einen einheitlichen medienrechtlichen
Datenschutz auf dem im Rundfunkrecht erzielten Standard eingesetzt. Der Gesetzgeber des BDSG 2001 hat jedoch diesen Ansatz – erneut – nicht aufgegriffen. Vielmehr hat die Novellierung die Unterschiede in Regelungsdichte und
Regelungsinhalt zwischen den Printmedien – mit ihrer partiellen Selbstregulierung – , den Mediendiensten und dem Rundfunk eher noch verstärkt.
Freundesgabe Büllesbach 2002
EG-Datenschutzrichtlinie und Selbstregulierung
303
§ 41 Abs. 1 zielt nach wie vor – insoweit hat die Novellierung 2002 nichts
geändert – darauf ab, den Schutz des informationellen Selbstbestimmungsrechts, den in § 1 Abs. 1 verankerten Zweck des BDSG, mit den besonderen
grundrechtlichen Gewährleistungen für die (Print-)Medien in Einklang zu bringen. Erreicht werden soll eine praktische Konkordanz zweier potentiell kollidierender Grundrechte, die beide nach dem Verständnis des Grundgesetzes
zu den fundamentalen Voraussetzungen einer freiheitlichen und demokratischen Gesellschaft zählen. Der in Art. 5 Abs. 1 GG im Interesse öffentlicher
Meinungsbildung garantierten Pressefreiheit und den daraus resultierenden
besonderen Verarbeitungsbedingungen soll durch eine – eng auf diese
Funktion begrenzte – Einschränkung des informationellen Selbstbestimmungsrechts Rechnung getragen werden.
Der Gesetzgeber hat im Interesse der Freiheit der journalistischen Recherche und zur Sicherung des Redaktionsgeheimnisses die Presse aus der Anwendung des größten Teils der Vorschriften des BDSG herausgenommen: Ihr
gegenüber können die datenschutzrechtlichen Individualrechte der §§ 33 bis
35 nicht geltend gemacht werden. Eine staatliche Datenschutzaufsicht besteht
in diesem Bereich nicht. Die Zulässigkeit der Datenverarbeitung wird nicht
durch Vorgaben wie dem Vorhandensein einer gesetzlichen Grundlage, einer
Einwilligung oder von »berechtigten Interessen« (vgl. § 28) beschränkt. Statt
der materiellen Vorschriften des Dritten und teilweise des Ersten Abschnitts
des BDSG gilt für die Datenverarbeitung im journalistisch-redaktionellen
Kernbereich der Printmedien das Presse- oder sonstige pressebezogene
Medienrecht. Individualansprüche auf Gegendarstellung, Widerruf und
Schadensersatz bestehen ausschließlich nach den einschlägigen Landespresse- bzw. Landesmediengesetzen sowie nach den zum Schutz der Ehre und
des Persönlichkeitsrechts nach §§ 823, 1004 BGB entwickelten Prinzipien des
Richterrechts. Allerdings besteht die datenschutzrechtliche Sonderstellung
nur bei ausschließlich journalistisch-redaktioneller oder literarischer Verarbeitungsabsicht.
Dagegen werden vom BDSG voll erfasst die zu kommerziellen oder administrativen Zwecken verarbeiteten Daten. Gemeint sind damit in erster Linie
die Unternehmensbereiche Vertrieb, d.h. die Bezieher-, Abonnenten-,
Gebührenzahler- und Lieferantendateien, und Anzeigenverwaltung. Hier liegt
ebenso Datenverarbeitung für eigene Zwecke nach § 28 vor wie bei den
Arbeitnehmerdaten sowie in den Bereichen Technik, Fuhrpark oder Hausverwaltung. Gleiches gilt für Honorar- und Lizenzverwaltungssysteme. Auch
wenn sich aus solchen Dateien im Einzelfall Hinweise auf redaktionelle
Tätigkeiten ergeben können, liegt doch der Zweck dieser Datenverarbeitung
nicht in der redaktionell-inhaltlichen Vorbereitung einer Medienproduktion,
sondern vorrangig in der haushaltstechnischen Abwicklung. Das administrative bzw. kaufmännische Interesse des jeweiligen Medienunternehmens steht
im Vordergrund mit der Folge der vollen Anwendbarkeit des BDSG.
Freundesgabe Büllesbach 2002
304
Walz
3. Regelungsinhalt nach der Novellierung 2001
Wesentliche Neuerung des § 41 Abs. 1 i.d.F. des BDSG 2001 ist es, dass die
datenschutzrechtliche Privilegierung der (jetzt nur noch Print-)Medien durch
den Bundesgesetzgeber nicht mehr selbst abschließend kodifiziert wird.
Vielmehr werden die Landesgesetzgeber aufgrund der Rahmenkompetenz
des Art. 75 GG durch den Bund, der ihnen einen Mindeststandard an Regelungen vorgibt, in die Pflicht genommen.
Der mit der Neufassung umzusetzende Art. 9 der EG-Richtlinien sieht vor,
dass die Mitgliedstaaten für die Verarbeitung personenbezogener Daten, »die
allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt«,
von den Kapiteln II, IV und VI, d.h. vor allem von den Vorschriften über die materielle Zulässigkeit der Verarbeitung sowie über die Datenschutzkontrolle,
Abweichungen zur Sicherung der Medienfreiheit vorsehen, und zwar nur, soweit sich dies als notwendig erweist, um das »Recht auf Privatsphäre« mit der
Medienfreiheit in Einklang zu bringen. Keine Ausnahme besteht dagegen bei
den Anforderungen, die sich aus den Kapiteln I (Allgemeine Bestimmungen),
III (Rechtsbehelfe, Haftung und Sanktionen), und V (Verhaltensregeln) ergeben.
Art. 9 stellt deutlich klar, dass die Richtlinie die letztgenannten Regelungsbereiche für die Medien voll zur Wirkung bringen will. § 41 Abs. 1 BDSG
schreibt der Landesgesetzgebung aber nur die Aufnahme der Vorschriften der
§§ 5, 7, 9 und 38a BDSG vor. Der Abgleich von europäischem Umsetzungsanspruch und in Kraft getretener deutscher Gesetzgebung bedingt zunächst
einen Blick auf die Regelungskonsequenzen des neuen § 41 Abs. 1.
Die Erwähnung des § 5 BDSG bedeutet, dass die Länder für die personenbezogene Datenverarbeitung zu ausschließlich eigenen journalistisch-redaktionellen Zwecken das Datengeheimnis des § 5 entsprechend vorzusehen
haben. Für Redaktionsmitglieder und alle übrigen publizistisch tätigen Personen gilt also das Verbot der unbefugten Verarbeitung und Nutzung personenbezogener Daten. Solche Erhebungs-, Nutzungs-, Übermittlungs- und Veröffentlichungsverbote können sich für Mitarbeiter der Medien aus dem
allgemeinen Strafrecht, aus bereichsspezifischen Datenschutznormen außerhalb des BDSG oder aus arbeitsvertraglichen Klauseln ergeben. Speziell auf
Journalisten und sonstige Medienschaffende gemünzte gesetzliche Befugnisnormen für den Umgang mit persönlichen Angaben finden sich in den
Landespresse- und Landesmediengesetzen allerdings nicht. Die medienrechtliche Sorgfaltspflicht in Bezug auf die Beschaffung, die Herkunft und den
Inhalt von Informationen ist lediglich als Generalklausel formuliert. Doch wird
sie für die einzelnen Phasen der journalistischen Recherche und Berichterstattung konkretisiert durch berufsethische Maßstäbe, etwa durch die – wie
oben ausgeführt in Folge des neuen BDSG um datenschutzbezogene
Regelungen erweiterten – »Richtlinien für die publizistische Arbeit« des Deutschen Presserats.
Kriterien für die Anwendung von § 5 im redaktionellen Bereich ergeben sich
in allgemeinerer Form aus dem auf die Sicherung der Pressefreiheit begrenzFreundesgabe Büllesbach 2002
EG-Datenschutzrichtlinie und Selbstregulierung
305
ten Schutzziel des § 41 Abs. 1. So ist das Datengeheimnis z.B. einzuhalten
gegenüber Redaktionsmitgliedern oder Verlagsmitarbeitern, die nicht aus professionellem Interesse, sondern aus privater Neugierde personenbezogene
Angaben, die nach allgemeinem Datenschutzrecht nicht offenbart werden
dürften, etwa aus Medienarchiven oder Pressedatenbanken, erhalten wollen.
Vor allem greift § 5 aber gegenüber den Mitarbeitern der kommerziell-administrativen Abteilungen des Medienunternehmens. Alle bei der publizistischen
Datenverarbeitung beschäftigten Personen müssen nach § 5 Abs. 2 auch förmlich auf das Datengeheimnis verpflichtet werden.
Auch die durch § 41 Abs. 1 ebenfalls als zwingende Regelung vorgegebene
Datensicherungsvorschrift des § 9 und der zugehörigen Anlage spielt eine
wichtige Rolle. Sie soll bewirken, dass speziell auf die spezifischen Bedingungen der Pressebranche zugeschnittene Vorkehrungen zur Wahrung der
ausschließlich eigenen publizistischen Datennutzung zu treffen sind. Unbefugte Außenstehende und Nichtberechtigte innerhalb des Medienunternehmens sollen keine Kenntnis von den privilegiert verarbeiteten Daten erlangen. Technische Maßnahmen nach der Anlage zu § 9 sind insbesondere bei
der Textkommunikation, bei der Vernetzung in und zwischen Redaktionen und
Verlagen oder bei der Einrichtung von Online-Anschlüssen an Medienarchive
erforderlich. So dient beispielsweise die Zugriffskontrolle zur Überprüfung
des journalistischen Charakters der Abfragen aus dem Datenbestand. Die vernetzten DV-Strukturen in Pressehäusern sind so auszugestalten, dass personenbezogene Daten nicht verfälscht und nicht über den presserechtlich zulässigen Umfang hinaus verarbeitet werden können.
Wird mit der Inbezugnahme auf §§ 5 und 9 an den gesicherten dogmatischen Bestand der Vorläufernorm des BDSG 1990 angeknüpft, ist die Haftungsregelung entsprechend § 7 Neuland: Sie soll nach der Formulierung in
§ 41 Abs. 1 a.E. »hierauf«, d.h. auf die zuvor erwähnten Bestimmungen der
§§ 5, 9 und 38a bezogen sein. Schadensersatz auf datenschutzrechtlicher
Grundlage kann von einem Presseunternehmen also (nur) dann verlangt werden, wenn ein Verstoß gegen das Datengeheimnis – etwa wegen unbefugter
Datenweitergabe – vorliegt, unzureichende technisch-organisatorische Maßnahmen getroffen oder im Wege der Selbstregulierung gesetzte Verhaltensregeln verletzt worden sind.
Dass die Landespressegesetze eine Norm entsprechend § 38a aufnehmen
müssen, öffnet die Möglichkeit für Presseverbände, datenschutzbezogene
Verhaltensregeln für ihre Mitglieder zu schaffen. Die in § 38a vorgesehene
Vorlage an und Überprüfung durch die zuständige Aufsichtsbehörde ist allerdings nicht vollziehbar, da das Medienprivileg des § 41 Abs. 1 auch die Freiheit
des Pressesektors von externer Datenschutzkontrolle umfasst. Dies hindert
Verbände von Printunternehmen selbstverständlich nicht daran, die Aufsichtsbehörde informell einzuschalten und diese um eine Einschätzung freiwillig vorgelegter Verhaltensgrundsätze, Leitlinien o.ä. zum redaktionellen
Datenschutz zu bitten. Es darf allerdings bezweifelt werden, und dies tut der
Deutsche Presserat selbst, dass es in den Ländern nennenswertes Interesse
Freundesgabe Büllesbach 2002
306
Walz
daran gibt, über seine aufgrund des Inkrafttretens des BDSG 2001 geänderten
Publizistischen Grundsätze (Pressekodex), Richtlinien für die publizistische
Arbeit und Beschwerdeordnung, die bundesweit gelten sollen (s.o. Abschnitt
1), hinauszugehen (vgl. die Stellungnahme des Dt. Presserats zum BDSGRefE, AfP 1999, 458, 465).
4. Zweifel an der Richtlinienkonformität
Betrachtet man diese wenigen verbindlichen normativen Vorgaben auf dem
Hintergrund des Art. 9 Datenschutzrichtlinie, der den Medien nur eine klar
begrenzte datenschutzrechtliche Sonderstellung einräumen will, ergeben sich
Zweifel, ob § 41 Abs. 1 i.d.F. des BDSG 2001 die Vorgaben der Richtlinie ausreichend umsetzt und damit die vom Europäischen Gerichtshof in ständiger
Rechtsprechung definierte gemeinschaftsrechtliche Anforderung der Erreichung der größtmöglichen Wirksamkeit von Richtlinien (»effet utile«) erfüllt,
eine Anforderung, die der EuGH im Fall TA Luft bereits dann als verfehlt
betrachtet hat, wenn die Umsetzung durch – anders als Verhaltensregeln
immerhin verbindliche – Verwaltungsvorschriften erfolgt (vgl. EuGH, Rs.
C-361/88, TA Luft, Slg. 1991, S. I 2567, 2602 f.). Denn es fehlt an jeder rechtsverbindlichen, sei es gesetzlichen oder untergesetzlichen, Regelung der materiellen Aspekte des Medienprivilegs, also der in Art. 9 der Normierung durch
die Gesetzgebung der Mitgliedstaaten überantworteten Abweichungen und
Ausnahmen von den Zulässigkeits- und Kontrollvorschriften.
Gegenüber dem Referentenentwurf 1999 ist die Gesetz gewordene Fassung
des Art. 41 Abs. 1 aufgrund heftiger Proteste von Verleger- und Journalistenvereinigungen stark reduziert worden; seinerzeit waren noch die verbindliche
Übernahme u.a. der Normen über den redaktionsinternen Datenschutzbeauftragten, die besondere Zweckbindung, den Auskunftsanspruch und die
Berichtigungspflicht zur Übernahme in die Landesgesetze vorgesehen. Die
Bundesregierung begründet – wie oben dargelegt – diese Abschwächung und
damit die teilweise Verabschiedung aus der staatlichen Gesetzgebungsverantwortung in der Begründung zum Regierungsentwurf mit dem Hinweis
auf die Selbstregulierung durch den Deutschen Presserat. Dem steht der
Geltungsanspruch der Richtlinie gegenüber, die die medienbezogenen Ausnahmemöglichkeiten eng gefasst und im Prinzip vom Gesetzgeber entschieden wissen will.
Zwar können freiwillige Verhaltensregeln unter bestimmten Voraussetzungen auch zur Umsetzung von Richtlinien beitragen. Doch hat der EuGH
dafür die Voraussetzungen aufgestellt, dass dieses Regelsystem die vollständige Anwendung der Richtlinie durch alle Normadressaten sicherstellt, die
Betroffenen über ihre Rechte informiert sind und sie gegebenenfalls auch vor
staatlichen Gerichten geltend machen können, dass die flächendeckende Einhaltung der Regeln wirksam kontrolliert wird und ausreichende Sanktionen
für den Fall der Nichtbefolgung ausgesprochen und durchgesetzt werden (vgl.
Freundesgabe Büllesbach 2002
EG-Datenschutzrichtlinie und Selbstregulierung
307
Brühann mit Hinweis auf EuGH Rs. C-29/84, Slg. 1985, 1661, 1673). Selbstregulierung kann m. a. W. nur dann und insoweit in Betracht kommen, als die
Mitgliedstaaten bei presseeigenen Kodices hinsichtlich Inhalt, Repräsentativität, flächendeckender Erfassung und Effizienz des Sanktionsmechanismus
bei Verstößen die Einhaltung dieser Anforderungen (vgl. Ehmann/ Helfrich
1999, Art. 9 Rdnr. 16) gewährleisten können. Der jetzige Bundesverfassungsrichter di Fabio formuliert dahingehend, die Einhaltung ethischer Standards
durch Journalisten sei regelmäßig nur dann gewährleistet, wenn alle einschlägigen Marktteilnehmer erfasst sind, der Selbstbindungswille allgemein
ist, die Öffentlichkeit Übertretungen tatsächlich ächtet oder der Staat unter
Einsatz des Gewaltmonopols empfindliche Maßnahmen androht (vgl. di Fabio
1999, S. 130 f.).
Der Erfüllung dieser Kriterien steht entgegen, dass – soweit dies
Presseberichten zu entnehmen ist – der Deutsche Presserat nur etwa 80 % der
deutschen Printunternehmen zu Mitgliedern haben soll, also keine flächendeckende Erfassung der deutschen Presse durch seine verbandseigenen
Regeln zum redaktionellen Datenschutz und zum Beschwerdeverfahren gewährleisten kann. Was den fast ebenso wichtigen Aspekt der Sanktionierung
von Regelverstößen angeht, hat eine neuere empirische Analyse der Reaktion
des Presserats auf Beschwerden und Rügen – vorsichtig formuliert – eine erhebliche Zurückhaltung bei der Ausübung des verbandseigenen Instrumentariums enthüllt (vgl. Münch AfP 2002, 18 ff). Die datenschutzrechtlichen
Auskunfts- und Berichtigungsrechte sind – anders als für den Rundfunk – nicht
einmal bei Berücksichtigung der legitimen pressespezifischen Verweigerungsmöglichkeiten gesetzlich gewährleistet und können dementsprechend auch
nicht gerichtlich eingeklagt werden.
5. Konsequenz: Länderrechtliche Vollregelung als Auffanglösung
Im Ergebnis lässt sich kaum bestreiten, dass die deutsche Lösung für das
Medien- bzw. Presseprivileg, die keine flächendeckende Anwendbarkeit
gewährleistet, auf tendenziell sanktionsunwillige Beschwerdegremien baut
und keine staatliche (Letzt-) Implementationskontrolle einrichtet, die von der
Richtlinie gesetzten Voraussetzungen für Selbstregulierung verfehlt. Daher
stellt sich die Frage nach den Konsequenzen. Eine der möglichen Konsequenzen bei unzulänglicher Umsetzung von Richtlinien ist die Einleitung eines
Vertragsverletzungsverfahrens nach Art. 226 EGV; die Prüfung des Vorliegens
der entsprechenden Voraussetzungen ist Angelegenheit der EU-Kommission.
Die vorrangige Konsequenz auf der deutschen Ebene trifft die Landesgesetzgeber. Sie sind gehalten, eine landesrechtliche Vollregelung des Presseprivilegs jedenfalls insoweit zu schaffen, als die vom Deutschen Presserat getroffenen neuen datenschutzbezogenen Richtlinien nicht greifen. Für die von den
branchenautonomen Regelungen des Presserats etwa wegen fehlender Mitgliedschaft nicht erfassten Printunternehmen muss m.a.W. der von der RichtFreundesgabe Büllesbach 2002
308
Walz
linie angeordnete Standard – etwa was die Einhaltung der journalistischen
Zweckbindung und die Überprüfung von Eingaben angeht – durch gesetzliche
Normierung gesichert werden (vgl. HmbDSB, 18. Tätigkeitsbericht für
2000/2001, Ziff. 2.2.3). Den Ländern steht es aufgrund ihrer eigenen Regelungskompetenz – innerhalb der durch den Bund ausgeübten Rahmenkompetenz – ohnehin frei, auch ohne Berücksichtigung verbandsautonomer Bindung an Verhaltensregeln über die in § 41 Abs. 1 genannten Normen hinaus
zusätzliche Vorschriften zum Verhältnis von Presse und Datenschutz zu schaffen, da das BDSG insoweit dem Landesgesetzgeber nur den Mindeststandard
vorgibt.
Für die legislativen Aktivitäten der Länder ist Eile geboten: Nach Art. 75 GG
löst zwar eine Rahmenvorschrift nur dann eine Gesetzgebungspflicht der
Länder aus, wenn der Bund in seinem (verfassungsmäßigen) Rahmengesetz
eine angemessene Frist für den Erlass der erforderlichen Landesgesetze
bestimmt hat. Eine solche Frist ist für die Umsetzung von § 41 Abs. 1 zwar
nicht im BDSG selbst gesetzt. Doch trifft die Länder die eigenständige Pflicht
zur Umsetzung von EG-Richtlinien in ihrem Zuständigkeitsbereich. Daraus
ergibt sich, dass die Länder keinen zeitlichen Spielraum für die Ergänzung
ihrer Landespressegesetze mehr haben, ist doch die dreijährige Umsetzungsfrist der Richtlinie bereits im Oktober 1998 abgelaufen.
6. Fazit: Staatliche Regelungsverantwortung bei unzureichender Selbstregulierung
Für die EU-Richtlinie und damit EU-weit ist die Selbstregulierung durch
Verhaltensregeln, Codes of conduct o.ä. ein zentraler Baustein des Datenschutzmodells. Für Deutschland mit seiner stark staatlich-normativen Regelungstradition kann diese Delegation von Regelungsverantwortung auf zivilgesellschaftliche Akteure innovativ und befruchtend wirken. Doch können und
dürfen selbst gesetzte Regeln den staatlichen normativen Rahmen nur konkretisieren und ausfüllen. Element einer gemeinschaftsrechtlich akzeptierten
Richtlinienumsetzung sind sie nur dann, wenn sie die Kriterien wie Repräsentativität, wirksame Sanktionierung etc. erfüllen. Wo die Selbstregulierung bei
Anlegung dieser Kriterien versagt, und dies gilt auch und gerade bei der Umsetzung von EG- Richtlinien, muss der Staat seine Regelungsverantwortung
(wieder) übernehmen.
Literatur
Brühann, Ulf (1999): In: Grabitz/Hilf Das Recht der Europäischen Union
Komm., BD 2 Sekundärrecht (Lesebl.), A 30
Büllesbach, Alfred (1999): Datenschutzrechtsfragen der internationalen
Vertriebsdatenverarbeitung. In: Büllesbach, A. (Hrsg.), Datenverkehr ohne
Datenschutz?, Köln 1999, S. 51 ff.
Freundesgabe Büllesbach 2002
EG-Datenschutzrichtlinie und Selbstregulierung
309
Di Fabio, Udo (1999): Persönlickeitsrechte im Kraftfeld der Medienwirkung,
AfP 1999, 126 ff.
Ehmannn, Eugen, Helfrich, Marcus (1999): EG Datenschutzrichtlinie,
Kurzkommentar, Köln 1999
Münch, Henning (2002): Der Schutz der Privatsphäre in der Spruchpraxis des
deutschen Presserats, AfP 2002, 18 ff.
Freundesgabe Büllesbach 2002
310
Freundesgabe Büllesbach 2002
311
Anne Carblanc1
Building Bridges between different approaches of privacy
1. Background
While there is a difference between those countries who see the protection of
privacy as a matter of human rights and those who have approached it as a
practical matter which must be addressed to ensure continued transborder
data flows, all OECD Member countries share the same commitment to the
protection of privacy, based on the OECD Privacy Guidelines.
Indeed in 1998, at the OECD Ministerial level Conference »A Borderless
World: Realising the Potential of Global Electronic Commerce« held in Ottawa
on 7-9 October 1998, Ministers reaffirmed this commitment to privacy protection in order to ensure the respect of important rights, build confidence in the
online environment, and to prevent unnecessary restrictions on transborder
flows of personal data. They declared they would build bridges between their
traditional national approaches and take the necessary steps to ensure, by
various specified measures, the effective implementation of the OECD Guidelines on global networks. They charged the OECD with examining specific
issues raised by, and with providing practical guidance to Member countries
2
on, the implementation of the Guidelines online .
The online environment
Digital computer and network technologies, and in particular the Internet,
have facilitated information exchange, allowed the creation of new products
and services, and increased user and consumer choice. However, as Internet
users leave behind electronic »footprints« or records of where they have
been, what they spent time looking at, the thoughts they aired, or the goods
and services they purchased, concerns over the protection of privacy and personal data have increased deriving from the fear that all this computerprocessable personal information, whether automatically generated or not, be
collected, stored, detailed, individualised, and easily linked and put to a variety of uses in places geographically dispersed all around the world, without the
user knowledge or consent.
In this context, the OECD was considered the appropriate forum to foster a
dialogue among governments, the private sector, the user and consumer
communities, and data protection authorities in order to:
»Offer a balanced understanding of the issues linked to the protection of
privacy and transborder flows of personal data in relation to global networks«
»Consider the various solutions which would facilitate the seamless implementation of privacy protection online and contribute towards building a
trustworthy environment for the development of electronic commerce«.
Freundesgabe Büllesbach 2002
312
Carblanc
The two traditional approaches to protection of privacy
Privacy protection has traditionally been approached as if there were primarily two approaches: government regulatory and legislative actions and marketbased self-regulatory efforts. Each of these approaches has advantages and
disadvantages and it cannot be assumed that one system is more effective
than the other is. Government efforts offer predictable, enforceable legal protections and redress mechanisms yet they may lack the predictive skills and
flexibility to adequately regulate the online environment. Self-regulatory efforts enable organisations in different sectors to tailor detailed guidelines to
work within specific circumstances. However, the resulting policy patchwork
and divergent implementation may not provide the necessary transparency,
uniformity and legal certainty. Whatever the approach is, enforceability is crucial because compliance either with statutory or self-regulation is not automatic, and more and more, the »summa divisio« between regulation and selfregulation is seen as a false dichotomy.
The 1980 OECD Privacy Guidelines
The widely accepted and technologically neutral privacy principles found in
the OECD Privacy Guidelines represent an international consensus on basic
principles for protecting privacy and personal information. Irrespective of differences in national approaches to privacy, they still provide appropriate guidance for handling personal data on global networks. The eight principles are:
– Collection Limitation: There should be limits to the collection of personal
data and any such data should be obtained by lawful and fair means and,
where appropriate, with the knowledge or consent of the data subject.
– Data Quality: Personal data should be relevant to the purpose for which
they are to be used, and, to the extent necessary for those purposes,
should be accurate, complete and kept up-to-date.
– Purpose Specification: The purposes for which personal data are collected should be specified not later than at the time of data collection and
the subsequent use limited to the fulfilment of those purposes or such
others as are not incompatible with those purposes and as are specified
on each occasion of change of purpose.
– Use Limitation: Personal data should not be disclosed, made available or
otherwise used for purposes other than those specified in accordance
with the Purpose Specification Principle except:
a) With the consent of the data subject; or
b) By the authority of law.
– Security Safeguards: Personal data should be protected by reasonable
security safeguards against such risks as loss or unauthorised access,
destruction, use, modification or disclosure of data.
– Openness: There should be a general policy of openness about developFreundesgabe Büllesbach 2002
Building Bridges between different approaches of privacy
313
ments, practices and polices with respect to personal data. Means
should be readily available of establishing the existence and nature of
personal data, and the main purpose of their use, as well as the identity
and usual residence of the data controller.
– Individual Participation: An individual should have the right:
a) To obtain from a data controller, or otherwise, confirmation of whether
or not the data controller has data relating to him;
b) To have communicated to him, data relating to him
i) Within a reasonable time;
ii) At a charge, if any that is not excessive;
iii) In a reasonable manner; and
iv) In a form that is readily intelligible to him;
c) To be given reasons if a request made under subparagraphs (a) and (b)
is denied, and to be able to challenge such denial; and
d) To challenge data relating to him and, if the challenge is successful, to
have the data erased, rectified, completed or amended.
– Accountability: A data controller should be accountable for complying
with measures which give effect to the principles stated above.
The OECD ministerial mandate
Since 1998, the OECD has focused much of its work on the implementation of
the elements of the six-step programme of work for online privacy protection
approved by Ministers at the Ottawa Conference. These steps included:
– encouraging the adoption of privacy policies
– encouraging the online notification of privacy policies to users
– ensuring that enforcement and redress mechanisms are available in
cases of non-compliance
– promoting user education and awareness about online privacy and the
means at their disposal for protecting privacy
– encouraging the use of privacy-enhancing technologies, and
– encouraging the use and development of contractual solutions for online
transborder data flows.
To carry out this programme of work, the OECD has closely co-operated with
business, industry, privacy experts and consumer representatives, as well as
with relevant regional and international organisations. The work achieved has
accelerated consensus on effective protection within the framework of either
industry-led self-regulation or legal regulation.
The OECD has adopted a pragmatic approach with a strong emphasis on
education, gathering legal and technical information, collecting and distributing examples of efforts and experience on implementation of the Guidelines,
offering a forum for discussion, building an internet-based tool, and exploring
and discussing a number of legal and technical instruments and mechanisms
to ensure privacy protection online. User education and awareness about priFreundesgabe Büllesbach 2002
314
Carblanc
vacy has been considered in each component of the work achieved, in particular when designing the Privacy Generator and examining PETs.
2. Work achieved by the OECD Committee for Information, Computer and
3
Consumer Policy (ICCP )
The exchange and analysis of information
In furtherance of the Privacy Declaration, the OECD has commenced new studies by compiling inventories and overviews, and organising broad-based
workshops to better inform itself before performing analysis.
Inventory of Instruments and Mechanisms Contributing to the Implementation and Enforcement of the OECD Privacy Guidelines on Global Networks
(1998-1999)
With a focus on the online environment, the OECD 1999 inventory surveyed,
at international, regional and national levels, the legal and self-regulatory
instruments, practices, techniques and technologies, either in use or being
developed, to implement and enforce privacy principles in networked environments. If the inventory recognised the wide variety of traditional instruments to implement the OECD Privacy Guidelines, it also drew attention to the
emerging trend for privacy rights to be protected online through technological tools, some of which allow users to take charge of their own data protection and privacy. It emphasised that effective protection of privacy online
requires an online public not only knowledgeable enough to look after themselves through use of these tools, but also aware of the privacy implications
of their actions.
Report on Transborder Data Flow Contracts in the Wider Framework of
Mechanisms for Privacy Protection Online (1999-2000)
The report aimed at helping develop a common understanding of the issues
raised by applying contractual analysis and structures to online communications, in particular to business to consumer (or B2C) communications.
Recognising the potential of contracts, and in particular B2B model contracts,
to satisfy privacy protection expectations as measured against various privacy instruments, regardless of whether or not the transfer occurs in an online
or offline environment, the report, however, stressed the need to address
effectively the issue of the recourse of the individual under a B2B transborder
data flow contract. In this respect, the support of ancillary measures, such as
notice to the individuals at the point of data collection, was mentioned.
Freundesgabe Büllesbach 2002
Building Bridges between different approaches of privacy
315
Therefore, the report recommended the monitoring of future developments in
the work of other international organisations4 having expertise and experience in the area of B to B privacy model contracts.
As concerns B2C contracts, the report demonstrated that attempts to design
privacy protection measures for online B2C interactions within the constraints
of a contractual framework posed many difficulties. In this respect, the difficulty of establishing a binding intention to contract, between an individual
visiting a Web site and the data controller of that Web site, or the difficulties
facing any individual wishing to obtain redress under a contract were mentioned. The report therefore recommended focussing less on contractual solutions, and more on exploring how to ensure redress through online alternative dispute resolution measures.
Alternative Dispute Resolution (ADR) Mechanisms for B2C Privacy and
Consumer Protection Disputes (2000-2002)
Alternative Dispute Resolution (ADR) refers to mechanisms and processes
intended to supplement court adjudication in assisting parties in resolving differences. The objective of the Joint OECD Conference with the Hague
Conference on Private International Law and the International Chamber of
Commerce (ICC), was to explore whether and how online ADR mechanisms
can help resolve B 2 C disputes arising from privacy and consumer protection
issues, and thus improve trust for global electronic commerce. The primary
focus of the conference was on B 2 C disputes involving small values and/or
low levels of harm, as well as on informal, flexible systems that allow for the
necessary balancing between the type of dispute and the formality of the process for resolution (e.g. assisted negotiation and mediation). Socio-economic
issues, legal issues, technological issues, educational issues, and issues related to trust seals and compliance were discussed.
The Conference’s main conclusions were that:
– Complaints in relation to e-commerce are growing.
– Strong stakeholder co-operation is key.
– Settling disputes as soon as possible is most effective.
– Flexibility and variety in ADR mechanisms are valuable.
– Some common principles are already emerging, such as accessibility,
low cost for consumers, transparency, speed of decision, impartiality, but
there remains a debate about other important matters, such as voluntary
or mandatory recourse to ADR, the binding or non-binding effect of outcomes, and their enforcement.
– Socio-economic/cultural barriers, such as language or differences in how
cultures approach disputes and disagreements, must be addressed.
– Appropriate technological developments may facilitate more effective
ADR mechanisms.
Following up the Conference, the OECD undertook to help provide guidance
Freundesgabe Büllesbach 2002
316
Carblanc
as to how best to use ADR with regard to the OECD Privacy and Consumer
Protection Guidelines by updating the list of online ADR mechanisms in cooperation with the ICC; developing an educational instrument including a
series of questions for potential parties to online ADR (individual users and
businesses, notably SMEs) and intended to inform and guide them; and finally, surveying potential cross-border legal challenges to resolving privacy and
consumer-related disputes through online ADR. This work is close to its completion.
The exploration of technology
The OECD has also explored how the capabilities of network technologies and
their interactive characteristics could provide a potential effective means of
education and protection for users, by facilitating access to information and
developing skills, thus improving the practical ability to protect oneself. The
OECD has notably developed a privacy statement generator, and examined
privacy-enhancing-technologies.
The OECD Privacy Policy Statement Generator (1999-2000)
5
An educational Internet technology based tool (the Privacy Generator ) was
developed with the help of DaimlerChrysler and Microsoft to provide an information resource about privacy protection at the international, regional and
national levels. The objective was to offer guidance on compliance with the
OECD Privacy Guidelines and to assist organisations in developing privacy
policies and statements for display on their Web sites. In particular, the Generator was designed to produce a draft statement that furnishes an indication
of the extent to which the privacy practices of a Web site are consistent with
the Privacy Guidelines, so as to provide organisations with an online step by
step guidance tool to help them respect privacy protection in their activities at
a global level.
By endorsing the Privacy Generator, OECD Member countries took a key
practical step towards encouraging openness and trust in electronic commerce among visitors to Web sites. By making the Generator widely available free
of charge on the Web, OECD Member countries intended to increase business
and individual awareness of the privacy protection framework that applies to
their online activities. They emphasised that by dealing fairly and in good faith
with the Generator and the substance of the statements which it produces,
businesses can help ensure that their privacy policy and statement will not
misrepresent their privacy practices or be inconsistent with applicable regulations. They stressed that the online notification of such privacy statements can
also help individual users to make informed choices about entrusting an
organisation with personal data. They recalled that, once their privacy state-
Freundesgabe Büllesbach 2002
Building Bridges between different approaches of privacy
317
ments are publicly posted, businesses may be legally liable if they fail to abide
by it or if their statement does not comply with local laws.
Privacy-Enhancing Technologies (PETs) (2001-2002)
PETs are technological tools that can assist in safeguarding the privacy of
users and consumers. They are part of the wider package of privacy initiatives
and can help implement privacy principles, such as those contained in the
OECD Privacy Guidelines, within the framework of either industry-led selfregulation or legal regulation. PETs can empower individuals to choose for
themselves and to control their own personal data but they vary in their ability to respond to the different privacy concerns. There are continuous advances in the development and use of such technologies. Work on PETs by the
OECD included an inventory of these technologies, and a special Forum session.
6
An inventory was produced by a consultant to the OECD to analyse the
availability and variety of PETs, consider the factors affecting adoption of
PETs, analyse the relationship between technology and privacy, and form a
basis for policy makers to discuss the use and deployment of such technologies. The paper discussed methods of online personal data collection, analysed different types of PETs and made recommendations to the private sector
for encouraging their increased development and use. Technological tools
that can assist in safeguarding online privacy, PETs were shown to present a
range of characteristics. Some filter »cookies« and other tracking technologies; some allow for »anonymous« Web-browsing and e-mail; some provide
protection by encrypting data; some focus on allowing privacy and security in
e-commerce purchases; and some allow for the advanced, automated
management of users’ individual data on their behalf. In essence, PETs reinforce transparency and choice, which can lead to greater individual control of
data protection. However, many technologies can be used in many different
ways, different products, different technologies and various functions can
serve different purposes depending on the preferences of the user and the
implementation of the particular technology.
A special Forum Session on Privacy-Enhancing Technologies was held at
the OECD on 8 October 2001 in order to facilitate discussion on: the policy
implications of PETs and the future of PETs in the wider context of online privacy protection; and the challenges of, and methods for educating business
about the importance of privacy by design and the use of PETs, and educating
individuals about the benefits and limitations of PETs. The session made it
clear, in particular, that technically speaking, none of the tools identified used
a full range of functionalities that would provide total privacy protection in line
with the OECD Privacy Guidelines, e.g. only one tool addressed five of the
eight privacy principles and fifty eight concerned only one principle.
7
A study and a research paper by two consultants to the OECD included a
Freundesgabe Büllesbach 2002
318
Carblanc
synthesis of a survey of PETs currently available on the Web, and a table of the
surveyed technologies, as well as a discussion of the question of when, for
whom, and under what circumstances, »communication« about PETs might
work, in the sense of encouraging businesses to supply such tools, and individuals to use them.
The discussion highlighted that though PETs are helpful technological tools
that can assist in safeguarding online privacy, they are part of a wider packa8
ge of online privacy initiatives. The need to encourage both individual and
corporate users, as well as software developers to develop, deploy and use
PETs as part of a broader online privacy protection strategy was also stressed.
It was also agreed that the early stage of any technological development is its
most critical, and that all stakeholders need to be actively involved in the
development of technologies to help ensure that global rights and protections
can be taken into account and integrated into systems from the beginning (the
concept of »privacy by design«).
Finally, education and PETs awareness-raising emerged as critical to the
further deployment and use of PETs in homes and the global marketplace. In
that respect, the discussion underlined that, for business, the challenge is one
of persuading them that they should internalise certain costs (to invest in
PETs) in a market where they fear their rivals may externalise such costs. For
consumers, it was noted that the challenge of persuasion is shaped first, by
the extent to which different types of consumers care about privacy risks and
which risks they care about most; second, how preferences for protection
against various kinds of risks are traded off against price increments; and
third, how consumers will trade off their privacy preference against the cost
of searching out and moving to another supplier.
Report on Regulatory and Self-regulatory Legal and Technical Instruments
and Mechanisms for Compliance with and Enforcement of Privacy
Protection (2002)
This still ongoing work gathers information about existing systems for compliance, enforcement and redress for privacy protection, examining their availability and efficiency on global networks. It is expected that the information
gathered will lead to a better understanding of how privacy safeguards, enforcement mechanisms, and potential remedies can enhance privacy as set forth
in the OECD Privacy Guidelines, and the Ministerial Declaration. It will assess
the practical application of available compliance and enforcement instruments in a networked environment and their ability to meet the objectives of
the OECD Guidelines, including effectiveness and coverage across jurisdictions. It is hoped that this exercise will help identify gaps and barriers to interoperability, and suggest solutions to facilitate seamless privacy protection.
Freundesgabe Büllesbach 2002
Building Bridges between different approaches of privacy
319
3. Conclusion
Considering the work already achieved and what still needs to be done to help
ensure effective privacy protection and build trust online, it is important that
governments continue to co-operate among themselves and with the other
stakeholders.
Efforts to implement privacy protection online at the global level should
take account of the following:
Any approach to implementing the privacy Guidelines online must have
flexibility as a key principle to allow for differences between nations and cultures and to respond to the social and psychological diversity of the various
actors on global networks. A mixture of regulatory and self-regulatory approaches as well as of legal, technical and educational solutions is likely to deliver privacy most effectively.
The first step toward respect for privacy online is to provide transparency.
To this end, businesses should continue to develop and publicise their privacy practices, and to offer effective and efficient user/consumer service (e.g.
privacy contact person or chief privacy officer) and complaints handling
systems. Development and use of other mechanisms such as trustmark programmes, privacy-enhancing-technologies are also positive, as part of the
wider privacy package.
Education is essential even though it cannot be a substitute for proper regulation or practices. Practical guidance and sufficient information should be
made available so that users/consumers can understand the capabilities of the
technology, assert their rights, and make appropriate choices about whether
or not to entrust businesses with the collection and use of their personal information.
1
2
3
4
5
6
7
8
This paper represents the views of the author and not necessarily those of the OECD.
OECD Ministerial Declaration on the Protection of Privacy on Global Networks [C(98)177].
The documents and other instruments (e.g. Internet-based tools) listed below have been produced by the OECD Committee for Information, Computer and Consumer Policy (ICCP), and
can be found on the OECD web site www.oecd.org/sti/security-privacy.
Such as the ICC, the Council of Europe and the European Commission.
http://cs3-hq.oecd.org/scripts/pwv3/pwhome.htm
Lauren Hall, Executive Vice President of the Software & Information Industry Association.
Laurent Bernat, Head Information and Strategy, Projetweb, and Perri 6, Director, The Policy
Programme, Institute for Applied Health and Social Policy, King's College, London.
The wider privacy package includes notably the development and notification of privacy policies, the use of contractual solutions, and an increasing availability of online redress mechanisms – in addition to privacy-enhancing technologies.
Freundesgabe Büllesbach 2002
320
Freundesgabe Büllesbach 2002
321
Hans Jürgen Kranz
Selbstregulierter Datenschutz im internationalen Luftverkehr –
eine Fallstudie
Das geläufige wirtschaftspolitische Pro und Contra zur Selbstregulierung der
Wirtschaft hat weltweit tätige Unternehmen im Hinblick auf den Datenschutz
erst seit wenigen Jahren als notwendige Gestaltungs- und Entscheidungsanforderung an das Management erreicht. Anstoß für dieses Phänomen sind
die gesellschaftlichen und wirtschaftlichen Auswirkungen umwälzender weltweiter informationstechnischer Vernetzung von Unternehmenssteuerungsprozessen. Sie sind ein wesentliches Element der »Globalisierung« und betreffen besonders den produktions- und absatzorientierten Instrumentarienkatalog der Unternehmensführung.
1. Strukturelle Besonderheiten der Branche erfordern Selbstregulierung
im Datenschutz
Grundelement, »Geschäftsidee« des internationalen Luftverkehrs ist das weltweite Verfügbarmachen des Dienstleistungsangebots »sicherer und bedarfsgerechter Lufttransport von Passagieren und Fracht«. Immanent ist, dass
sowohl die Produktionsorte als auch die Orte von Absatz und Inanspruchnahme der produzierten Leistungen geographisch in einem eher diffusen, in
jedem Fall jedoch komplexen Wirkungs- und Abhängigkeitsgefüge zu einander stehen. Betriebswirtschaftliche Folge dieser Immanenz ist, dass der physische Standort eines Luftverkehrsunternehmens im Hinblick auf die wesentlichen betrieblichen Funktionen global ist.
Im Hinblick auf die Wahrung des informationellen Selbstbestimmungsrechts der Kunden verursacht diese Globalität für die Branche erhebliche operative Probleme:
Diese beruhen vor allem darauf, dass einerseits derzeit und in dieser
Situation von einem einverständlichen globalen Verständnis von den gesellschaftlichen Werten und Inhalten von Privacy (noch) nicht die Rede sein kann.
Kulturelle Mentalitätsdifferenzen prägen diese Sachlage.
Andererseits ist elementarer Bestandteil des Businessplans professionell
geführter Luftverkehrsgesellschaften, ihre Dienstleistungen weltweit als
durchgängig kundenorientiert wahrnehmbar zu gestalten (»Seamless Service«). Dieses gilt für die gesamte Servicekette (Marketingkommunikation,
Vertrieb/Reservierung, Airportservice, Kabinenservice, Gepäckservice, Kundenfeedback, Kundenbindungsprogramm). Die kundenorientierte Wahrung
der Privacy der Passagiere ist dabei konstitutiver Servicefaktor.
Auch in dieser Hinsicht ist deutschen Passagieren in Deutschland mit der
gleichen persönlichkeitsrechtlichen Zuwendung zu begegnen wie japanischen
in Argentinien.
Freundesgabe Büllesbach 2002
322
Kranz
Diesen branchenspezifischen Antagonismus im Datenschutz (Mentalitätsdifferenzen vs. konzeptionelles Erfordernis des Seamless Service mit global
einheitlicher Qualitätsorientierung) gilt es – für den einzelnen Passagier akzeptabel und nachvollziehbar – aufzulösen. Am Prinzip der Selbstregulierung
durch die Airlines orientierte Lösungen sind hier am ehesten geeignet, dieses
Postulat zu erfüllen. Dabei sind selbstverständlich nationale Gesetze und
Vorschriften zu beachten – sowohl was die Regelung des Datenschutzes im
nichtöffenlichen Bereich als auch was die grundsätzlichen kulturell ja differierenden Vorstellungen und Regelungen über das gesellschaftlich wünschenswerte Ausmaß an Selbstregulierung im privaten Sektor angeht.
Die in dieser Hinsicht durch die EG Datenschutzrichtlinie eingeführten elementaren Regelungsgrundlagen sind als Vorlage für weltweite Lösungen, wie
das in ihrem Gefolge entstandene Safe Harbor Regime in den USA im Grundsatz gezeigt hat, geeignet.
2. Strategische Allianzen im Luftverkehr und Privacy Codes of Conduct
Ein weiteres hier relevantes Spezifikum der Airline-Branche liegt darin, dass
sie zwar physisch betrachtet global operieren, es jedoch im wirtschaftlichen
und gesellschaftlichen Sinn globale Unternehmen (zur Zeit noch) nicht gibt.
Grund hierfür ist, dass das bestehende Verfahren zwischenstaatlicher
Regelung des internationalen Luftverkehrs durch bilaterale Luftverkehrsabkommen globale Fusionen luftverkehrsrechtlich im Ergebnis nicht zulässt.
Um gleichwohl operative und wirtschaftliche Vorteile globaler Unternehmensverbindungen zu erschließen, sind im Luftverkehr strategische
Allianzen rechtlich selbständig bleibender Gesellschaften üblich geworden.
Zu den erfolgsrelevanten Gestaltungskriterien dieser Allianzen gehört es, Servicekonzepte allianzumgreifend auszulegen. Dabei ist konzeptioneller Kern,
dass einerseits prägende unternehmensindividuelle und identitätsstiftende
unterschiedliche Verhaltensmuster in der Kundenorientierung der Allianzpartner für den Passagier dennoch entscheidungsbeeinflussend wahrnehmbar bleiben sollen. Andererseits soll im Passagierinteresse durch vielfältige
operative Kooperationsprozesse die Abwicklung komplexer weltweiter Reisen
über die verschiedenen Verkehrsnetze der Allianzpartner deutlich vereinfacht
sowie beschleunigt und so Seamless Service zusätzlich auch auf der Ebene
der Allianz als Vorteilsfaktor erkennbar sein.
Im Zuge der skizzierten strategischen Ziele der Allianzen im Luftverkehr ist
die zuvor diskutierte Positionierung der datenschutzorientierten Servicezuwendung zum Kunden also nicht nur innerhalb der einzelnen Partnerairlines
zu realisieren. Sie muss ebenso auch auf der strategisch übergreifenden
Ebene der Allianzen vollzogen werden. Nur so kann der – im Hinblick auf
Kundenorientierung und Geschäftserfolg aller Partner strategisch erforderliche – Seamless Service effizient erbracht und als zusätzlicher Wettbewerbsvorteil der gesamten Allianz wirksam werden.
Freundesgabe Büllesbach 2002
Selbstregulierter Datenschutz im internationalen Luftverkehr – eine Fallstudie
323
Als Mittel zur Realisierung einer allianzspezifischen Seamless Privacy in diesem Sinne bieten sich Ansätze der Selbstregulierung in besonderer Weise an.
Aus der Sicht des Lufthansa Datenschutzes ist hier der erfolgversprechendste
Weg derjenige einer Bündelung von selbstverpflichtenden Codes of Conduct
oder Verhaltensregelungen beteiligter Partner zu einem entsprechenden –
ebenfalls auf Selbstregulierung basierenden – allianzweiten und -verbindlichen Instrument.
Dieses Konzept ist in besonderer Weise geeignet, weil sich generell zeigt,
dass diese branchenspezifischen Allianzen vor allem dann erfolgsträchtig
sind, wenn die kulturellen und wirtschaftsethischen Mentalitätsgrundlagen
der Partnerunternehmen ähnlich oder zumindest weitgehend kompatibel sind.
Dass dieser Faktor für ein übergreifendes Datenschutzverständnis in hohem
Maße relevant ist, folgt aus der Tatsache, dass ein weltweiter, alle internationalen Airlines umgreifender Code of Conduct offensichtlich nicht praxisgerecht und rechtskonform realisierbar ist.
Auf diesem Felde sehe ich eine bedeutende Zukunftsaufgabe des betrieblichen Datenschutzbeauftragten (bDSB) in nach deutschem Recht verfassten
weltweit tätigen Unternehmen (»German based companies« nach Alfred
Büllesbach) des Luftverkehrs. Dem bDSB sind – vom Regelungsansatz des
deutschen Datenschutzrechts her gesehen: zu Recht – weitgehend keine direkt
gestaltenden und anordnenden Kompetenzen zugewiesen. Er muss vielmehr
auf Einflussnahme auf das betriebliche Geschehen durch »Hinwirken« zurückgreifen.
Letztlich bleiben also auch hier Geduld und langer Atem als eher triviale
aber einzig verfügbare Managementinstrumente im betrieblichen Datenschutz.
3. Selbstregulierte Kooperation zwischen externem und internem
Datenschutzaudit
Nachvollziehbare und glaubwürdige Kommunikation sowie die strategische
Nutzung der gesetzlichen Unabhängigkeit des bDSB ist für global agierende
deutsche Unternehmen mit weltweit sehr vielen Millionen natürlicher
Personen als Kunden ein bedeutendes und konstitutives Instrument zur
Schaffung von Kundenvertrauen. Dies trifft in besonderer Weise für den
Luftverkehr zu: Bei der Deutschen Lufthansa AG schafft die Nutzung von etwa
50 Millionen Passenger Name Records (Informationen über gebuchte Reisen
einschließlich operativer und abrechnungstechnischer Ergänzungsdaten) pro
Jahr komplexe Datenschutzrisiken. Ihnen ist nur durch vertrauenerweckende
d. h. auch im transkulturellen weltweiten Kontext einleuchtende Datenschutzorientierung der Airline zu begegnen. Die konstruktive Nutzung der
Unabhängigkeit des bDSB besteht hier darin, ihn den Kunden als vertrauenswürdigen »privacy touch point« und »privacy first level support« anzubieten.
Freundesgabe Büllesbach 2002
324
Kranz
Flugpassagiere entstammen vielfältiger nationaler, kultureller, ethnischer
und sozialer Herkunft und Zugehörigkeit. Vor diesem Hintergrund ist die
Regelung eines externen Datenschutzaudit nach § 9a Satz 1 BDSG nicht als
gesetzlich regulierender Eingriff kommunizierbar, der die faktische Unabhängigkeit des bDSB unbeeinträchtigt ließe.
Diese für die Wirksamkeit des Datenschutzes im internationalen Luftverkehr
wenig hilfreiche Situation sollte durch entsprechende, diesen Konflikt lösende
Regelungen im noch offenen Datenschutzauditgesetz nach § 9a Satz 2 BDSG
beseitigt werden. Diese Lücke kann bis dahin – als strategisch bedeutender
Ansatz selbstregulierten Datenschutzes – durch eine situationsgerechte
Beauftragung externer Datenschutzauditoren geschlossen werden: Der bDSB
sollte darauf hinwirken, dass diese Aufträge den Auftragnehmer verpflichten,
über das Auditergebnis (einschließlich der Erteilung und Nichterteilung von
Datenschutzsiegeln) das fachliche Einvernehmen mit dem bDSB herzustellen.
Erste praktische Erfahrungen mit diesem Vorgehen zeigen, dass es praktikabel und effizient ist. Professionelle Anbieter der Dienstleistung Datenschutzaudit sehen in diesem kooperativen Vorgehen eine geeignete Basis für den
zielgerichteten und erfolgreichen Aufbau dieses neuen Geschäftsfeldes der
Beratungsbranche.
4. Selbstregulierter Datenschutz: Praktische Probleme und Lösungsansätze
In der praktischen Arbeit des an der Förderung selbstregulierten Datenschutzes orientierten bDSB im Luftverkehr zeigen sich in Teilbereichen –
im Grundsatz lösbare – Probleme. Sie erfordern aus heutiger Sicht für die
mittlere Zukunft erheblichen Einsatz der weltweiten Privacy Community.
4.1 Einbezug der Verbraucher
Ein erhebliches Problem besteht – vor dem Hintergrund der oben erläuterten
Ansätze kundenorientierten Datenschutzes im Luftverkehr – immer noch in
dem Mangel an konstruktiven Kooperationsstrukturen zwischen betrieblichem
Datenschutz und Konsumenten(organisationen). Dieser sollte auf der Basis
von Selbstregulierung behoben werden.
Die Förderung dieses Ansatzes im Airline-Datenschutz ist im besonderen
deshalb sinnvoll, weil angesichts der angestrebten deutlichen Kundenorientierung auch auf diesem Servicesektor konkrete Problemsichtweisen von
Flugpassagieren effizient in die operative Gestaltung kundenorientierter
Privacy einbezogen werden können. Hier sind kooperative Interaktionsprozesse auch deshalb anzustreben, weil sie hilfreich sind, die – beiderseitig –
nicht immer präzise Wahrnehmung der wechselseitigen Handlungsstrategien
und -ziele zu verstehen lernen.
Freundesgabe Büllesbach 2002
Selbstregulierter Datenschutz im internationalen Luftverkehr – eine Fallstudie
325
Hinzu kommt, dass zwingend damit zu rechnen ist, dass gesetzliche Fremdregulierung auf den Plan gerufen würde, sollte es auf Basis des hier angeregten Selbstregulierungsprinzips nicht zu rechtlich und gesellschaftlich tragfähigen, einverständlichen Ergebnissen kommen. Eine Konsequenz, die für den
globalen Luftverkehrsdatenschutz fatal wäre.
4.2 Kundenbindungsprogramme
Ein weiteres an Selbstregulierung zu orientierendes Handlungsfeld betrieblichen Datenschutzes sind die Auswirkungen der zunehmenden Etablierung
von Kundenbindungsprogrammen (KBP). (Hier hat der Luftverkehr nur zur
Zeit noch ein in der Relation bedeutendes branchenspezifisches Problemfeld:
Weitere Service- und Industriebranchen mit sehr großen Kundenzahlen im
Konsumentenbereich folgen hier sehr schnell.)
Die Deutsche Lufthansa AG ist hier seit vielen Jahren in Deutschland in
einer Vorreiterrolle. Sie wurde dies vor allem deswegen weil insbesondere USKonkurrenten bereits seit Ende der 70er Jahre in Kundenbindungsaktivitäten
auf der Basis von Kundenkarten durch Gewährung von Rabatten und sonstigen vielfältigen Prämien vorgeprescht waren. Ihnen musste auch die
Lufthansa folgen, da das Angebot des »Sammelns von Meilen« zu einem
äußerst erfolgsrelevanten Wettbewerbsvorteil im internationalen Luftverkehr
wurde. Dabei war gegen erhebliche wettbewerbs- und rabattrechtliche
Hemmnisse anzukämpfen, die erst im Jahre 2001 durch gesetzliche Änderungen weitgehend beseitigt wurden.
Damit sind jedoch noch nicht alle Probleme, die sich in Deutschland und
den übrigen EG-Mitgliedstaaten hinsichtlich anzuwendender rechtlicher
Vorschriften und teilweise kritischer Haltung von Verbraucherseite ergeben,
gelöst. Hinzu kommt, dass die Entwicklung auf dem Gebiet des Betriebs von
Kundenbindungsprogrammen – als im besonderen in Deutschland völlig neuartiger Geschäftsidee – in hohem Maße dynamisch wachsend erfolgt.
Dieser Hintergrund bewirkt, dass für die merklich zunehmende Zahl deutscher Unternehmen des Service- und Einzelhandelsbereichs, die Kundenbindungsprogramme entwickeln, erheblicher Handlungs- und Gestaltungsbedarf im Hinblick auf dezidiert datenschutzgerechte Einrichtung der entsprechenden Geschäftsprozesse besteht. Dabei ist zu beachten, dass klare und von
allen Beteiligten (neben den Programmbetreibern i. w. betroffene Kunden,
datenschutzrechtliche Aufsichtsbehörden und Konsumentenorganisationen)
akzeptierte Verhaltensrahmen im Sinne von anerkannten Best-PracticeProzessen oder Codes of Conduct auch wegen der erwähnten hohen Dynamik
in der Realisierung der neuen Geschäftsideen noch nicht entwickelt sind.
Aus Sicht des Lufthansa-Datenschutzes soll dieser formalrechtlich und wirtschaftsethisch unklaren – und daher langfristig auch im Sinne von verpflichtender Kundenorientierung nicht akzeptablen – Situation durch selbstregulierenden Datenschutz abgeholfen werden.
Freundesgabe Büllesbach 2002
326
Kranz
Wir initiierten daher die Gründung eines Arbeitskreises von Datenschutzexperten aus verschiedenen deutschen Großunternehmen, die ebenfalls
Kundenbindungssysteme betreiben oder zukünftig einführen wollten.
Ziel des Kreises ist es seitens der Wirtschaft den Dialog sowohl miteinander
als auch mit datenschutzrechtlichen Aufsichtsbehörden und Verbraucherverbänden zu suchen. Dabei soll die Diskussion um Kunden- und Rabattkarten
in sachlicher Auseinandersetzung geführt werden. So sollen einverständlich
Regeln festgelegt werden, die den einzelnen Konsumenten als Mitgliedern
von Kundenbindungsprogrammen ein hohes Maß an Transparenz verschaffen. Sie sollen so überzeugt werden, dass ihre personenbezogenen Daten
nicht nur im rechtlich zulässigen Rahmen verarbeitet werden und somit der
Datenschutz strikt beachtet wird – was wirtschaftsethisch eine triviale Selbstverständlichkeit ist. Darüber hinaus soll ihnen transparent und nachvollziehbar verdeutlicht werden, dass die Datenverwendungsprozesse der Programme außerdem auch auf vielfältige Weise in ihrem eigenen sonstigen Interesse
erfolgen.
5. Selbstregulierung: Aufgabe für die weltweite Data Protection Community
Selbstregulierender Datenschutz ist aus vielfältigen operativen und strategischen Gründen Gebot der Stunde und wesentliche Anforderung der Zukunft
im Datenschutz des internationalen Luftverkehrs.
Die Data Protection Community des privaten Sektors ist herausgefordert,
für Kunden, Aktionäre und Mitarbeiter adäquate Lösungen zu finden und auf
ihre Befolgung hinzuwirken. Dieses muss – je nach Tragweite des konkreten
Datenschutzproblems – auf nationaler oder internationaler, auf branchenspezifischer oder – übergreifender Ebene erfolgen.
Für die Kernprobleme des globalen Passagierdatenschutzes im Luftverkehr
sollte dies innerhalb der strategischen Allianzen erfolgen, die heute State of
the Art im Luftfahrtmanagement sind.
Freundesgabe Büllesbach 2002
327
6. HERAUSFORDERUNGEN DES STRAFRECHTS
Hansjörg Geiger
Internationaler Strafgerichtshof und Aspekte eines
neuen Völkerstrafgesetzbuches
1. Der Internationale Strafgerichtshof
1.1 Vorgeschichte
1.1.1 Ursprünge
Unter dem Eindruck der Grausamkeiten des deutsch-französischen Krieges
1870/71 legte der Präsident des Internationalen Komitees des Roten Kreuzes,
Gustave Moynier, bei einer Konferenz des Roten Kreuzes am 3.1.1872 einen
ersten Entwurf für die Errichtung eines Internationalen Strafgerichtshofs vor.
Der Strafgerichtshof sollte für Kriegsverbrechen nach der Genfer Konvention
vom 22. 8. 1864 und seiner Zusatzartikel zuständig sein. Moynier schlug ein
internationales Strafgericht vor, nachdem er »die Unzulänglichkeit einer rein
moralischen Sanktion« (»l’insuffisance d’une sanction purement morale«)
hatte erkennen müssen. Die Kriegsparteien warfen sich zwar gegenseitig
Verstöße gegen das Kriegsrecht vor, aber es bestand keine Möglichkeit, diese
Vorwürfe objektiv zu überprüfen – geschweige denn, die Verantwortlichen zu
bestrafen oder den entstandenen Schaden durch Entschädigung wiedergutzumachen. Sein Vorschlag war nicht bis in das letzte Detail ausgearbeitet.
Moynier erhoffte sich vor allem einen Denkanstoß. Es reichte ihm, »...wenn
nur dieser Vorschlag eine ernsthafte Diskussion der von mir erhobenen Frage
zwischen den Fachleuten hervorruft (»...si seulement cette communication
provoquait, de la part des hommes compétents, une étude sérieuse de la
question que j’ai soulevée.«).
1.1.2 Der Erste Weltkrieg
Nach dem Ersten Weltkrieg wurde in den Friedensvertrag von Versailles eine
Bestimmung aufgenommen, wonach der ehemalige Deutsche Kaiser sich vor
einem eigens hierfür zu bildenden internationalen Gerichtshof wegen
»schwerster Verletzung des internationalen Sittengesetzes und der Heiligkeit
der Verträge« verantworten sollte. Der Gerichtshof sollte aus fünf Richtern bestehen, die jeweils von den Vereinigten Staaten von Amerika, Großbritannien,
Frankreich, Italien und Japan zu ernennen waren, und sollte auf der Grundlage »der erhabenen Grundsätze der internationalen Politik ... den feierlichen
Verpflichtungen und internationalen Sittengesetzen« urteilen. Ein Verfahren
Freundesgabe Büllesbach 2002
328
Geiger
fand nicht statt, da die Niederlande den ehemaligen Kaiser nicht auslieferten.
Der Friedensvertrag räumte weiterhin den alliierten und assoziierten Mächten
das Recht ein, Verfahren gegen deutsche Staatsangehörige wegen »Verstoßes
gegen die Gesetze und Gebräuche des Krieges« vor ihre Militärgerichte zu ziehen (Artikel 228). Hierzu kam es jedoch nicht. Die Prozesse wegen Kriegsverbrechen fanden vor dem Reichsgericht in Leipzig als nationalem Gericht
statt, das nationale Straftatbestände anwandte (sog. Leipziger Prozesse).
1.1.3 Die Zeit nach dem Ersten Weltkrieg
In der Folgezeit gab es weitere – auch wissenschaftliche – Bemühungen um
das Völkerstrafrecht und die Errichtung eines Internationalen Strafgerichtshofs. Gegenstand dieser Bemühungen war zunächst die Bekämpfung des
Terrorismus. Am 8.10.1934 fielen in Marseille König Alexander I. von Jugoslawien und der französische Ministerpräsident Barthou einem Attentat zum
Opfer. Am 16.11.1937 wurden auf einer vom Völkerbundrat in Genf einberufenen diplomatischen Konferenz zur Bekämpfung des Terrorismus zwei Konventionen beschlossen:
– die »Konvention zur Verhütung und Bestrafung des Terrorismus«
(»Convention for the Prevention and Punishment of Terrorism«) und
– eine »Konvention zur Errichtung eines Internationalen Gerichts» (»Convention for the Creation of an International Criminal Court«).
Das Internationale Gericht sollte die Zuständigkeit zur Aburteilung von Verbrechen des Terrorismus haben – allerdings stand es den Vertragsstaaten völlig frei, ob sie einen Fall vor die nationalen Gerichte oder das internationale
Gericht bringen würden. 24 Staaten zeichneten den ersten, 13 Staaten den
zweiten Vertrag. Während die erste Konvention noch von Indien ratifiziert
wurde und Mexiko ihr 1939 unter Vorbehalt beitreten wollte, wurde die zweite nie ratifiziert, da schon bald der Zweite Weltkrieg ausbrach.
1.1.4 Zweiter Weltkrieg
Unter dem Eindruck der Verbrechen gegen das Völkerrecht während des
Zweiten Weltkrieges – und ganz besonders des Holocaust – wurden die
Internationalen Militärgerichtshöfe in Nürnberg und Tokio als erste internationale Strafgerichte geschaffen. Das Statut des Internationalen Militärgerichtshofs in Nürnberg (Charter of the International Military Tribunal) wurde
1945 als Anhang des Londoner Abkommens über die Verfolgung und
Bestrafung der Hauptkriegsverbrecher beschlossen. Neben den vier alliierten
Staaten traten dem Abkommen und dem Statut noch während der Prozesse
19 weitere Staaten bei. Schon im Januar 1942 hatten die in London ansässigen Exilregierungen von neun europäischen Staaten in der »Declaration of
St. James« die gerichtliche Bestrafung der Kriegsverbrecher gefordert. Im
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
329
November 1943 hatten sich die Vereinigten Staaten, die Sowjetunion und
Großbritannien in der »Moskauer Erklärung« auf die Bestrafung der deutschen Kriegsverbrecher geeinigt, wobei die »Hauptkriegsverbrecher, deren
Rechtsverletzungen keine bestimmten geographischen Begrenzungen haben,
...auf Grund eines gemeinsamen Beschlusses der Regierungen der Alliierten
bestraft werden sollten.«
Am 18.10.1945 wurde vor dem Internationalen Militärtribunal in Nürnberg
der Prozess gegen 22 Angeklagte eröffnet. Durch Urteil vom 1.10.1946 sprach
das Gericht gegen zwölf Angeklagte die Todesstrafe und gegen sieben Angeklagte Freiheitsstrafen aus. Drei Angeklagte wurden freigesprochen.
Zu den großen Errungenschaften von Nürnberg gehört, dass zum ersten
Mal die schwersten Verbrechen überhaupt als völkerstrafrechtliche Tatbestände formuliert wurden. Dies sind Verbrechen gegen den Frieden,
Kriegsverbrechen und Verbrechen gegen die Menschlichkeit, die auch die
»Ausrottung«, also den Völkermord, umfassen. Jede spätere völkerstrafrechtliche Kodifikation baut auf diesen Definitionen auf. Erstmals wurden Grundsätze individueller Verantwortlichkeit formuliert. Ein historisches Vermächtnis
von Nürnberg sind auch die Anstöße, die von dem Nürnberger Modell für die
Kodifizierung des internationalen Strafrechts und für die Schaffung eines
ständigen internationalen Strafgerichts ausgingen.
Mit dieser neuen Rechtsentwicklung verbanden sich große Hoffnungen. Der
deutsche Völkerrechtler Professor Dr. Hermann Jahrreiß sagte hierzu in seinem Plädoyer vor dem Internationalen Militärtribunal: »Die Vorschriften des
Statuts ... sind revolutionär. Vielleicht gehört ihnen das Hoffen und Sehnen der
Völker der Zukunft« (zitiert nach Heydecker u. Leeb 1958, S. 9).
Der amerikanische Hauptankläger Robert H. Jackson erklärte bei der
Eröffnung des Prozesses vor dem Internationalen Militärtribunal in Nürnberg:
»Die Vernunft der Menschheit verlangt, dass das Gesetz sich nicht genug sein
lässt, geringfügige Verbrechen zu bestrafen, die sich kleine Leute zuschulden
kommen lassen. Das Gesetz muss auch die Männer erreichen, die eine große
Macht an sich reißen und sich ihrer mit Vorsatz und in gemeinsamem Ratschlag bedienen, um ein Unheil hervorzurufen, das kein Heim in der Welt
unberührt lässt... Der letzte Schritt um periodisch wiederkehrende Kriege zu
verhüten, die bei internationaler Gesetzlosigkeit unvermeidlich sind, ist, die
Staatsmänner vor dem Gesetz verantwortlich zu machen... Lassen Sie es mich
deutlich aussprechen: Dieses Gesetz wird hier zwar zunächst auf deutsche
Angreifer angewandt, es schließt aber ein und muss, wenn es von Nutzen sein
soll, den Angriff jeder anderen Nation verdammen.« (zitiert nach Heydecker u.
Leeb 1958, S. 9).
Die Nürnberger Prozesse, die für das Völkerstrafrecht zweifelsohne
Maßstäbe gesetzt hatten, wurden jedoch auch kritisch gesehen. Einer der
Hauptvorwürfe war der Vorwurf der »Sieger-Justiz«. Das Nürnberger Militärtribunal sei ein von den vier alliierten Staaten geschaffenes Besatzungsgericht
gewesen, das den Interessen der Siegermächte gedient habe. Aber unter völkerrechtlichen Gesichtspunkten steht einem Staat durchaus das Recht zu, die
Freundesgabe Büllesbach 2002
330
Geiger
in seinem Gewahrsam befindlichen Gefangenen für die Kriegsverbrechen
abzuurteilen, die sie auf der Gegenseite begangen hatten. Natürlich war auch
keine Gegenseitigkeit gegeben. Mögliche Kriegsverbrechen der Alliierten blieben ungeprüft. Die deutsche Justiz, die durch die NS-Zeit schwer belastet war,
wäre hierfür jedenfalls keineswegs geeignet gewesen. Golo Mann (Mann 1966,
S. 972) hat zwanzig Jahre nach den Nürnberger Prozessen folgende Bewertung abgegeben: »Sieger-Justiz ohne Zweifel und dadurch beeinträchtigt,
dass nach den ›Kriegsverbrechen‹ der Sieger niemand fragen durfte; aber wer
sonst hätte den Prozess führen sollen?«.
Es wurde darüber hinaus kritisiert, dass der Grundsatz »nulla poena sine
lege« verletzt sei, weil das Statut Straftatbestände geschaffen habe, die es so
vorher nicht gegeben habe. Tatsächlich waren aber Kriegsverbrechen bereits
seit der ersten Genfer Rote-Kreuz-Konvention vom 22.8.1864 und den späteren Genfer Abkommen in völkerrechtlichen Verträgen kodifiziert. Bei den
Verbrechen gegen die Menschlichkeit handelte es sich um dermaßen schwerwiegende Verstöße gegen elementare, in allen Rechtsordnungen verankerte
Prinzipien, dass auch von einem völkergewohnheitsrechtlichen Verbot ausgegangen werden konnte. Für die Verbrechen gegen den Frieden konnte auf die
Ächtung des Angriffskrieges im Briand-Kellogg-Pakt von 1928 Bezug genommen werden. Der deutsche Angriff auf Polen ist sicherlich einer der Grundfälle
eines Aggressionskrieges, der auch heute noch in den Verhandlungen zu diesem Tatbestand als Referenzpunkt gilt.
Sowohl für die Verbrechen gegen die Menschlichkeit als auch für das
Verbrechen des Angriffskrieges gab es jedoch noch keine ausdrücklichen
Regeln über die individuelle Verantwortlichkeit. Diesem Problem stellte USChefankläger Jackson folgenden Lösungsansatz entgegen:
»In Deutschland selbst legt Artikel 4 der Weimarer Verfassung fest, dass allgemein anerkannte Regeln des Völkerrechts als wesentlicher Bestandteil des
deutschen Reichsrechts zu gelten haben. Welch andere Bedeutung kann alles
dies im Ergebnis haben, als dass die Regeln des Völkerrechts auch für
Einzelpersonen bindend sind? Sollen wir von diesem Grundsatz nur deswegen abweichen, weil wir es mit den schwersten aller Verbrechen zu tun
haben... gegen den Frieden der Völker und ... gegen die Menschlichkeit? ... Das
Prinzip der Souveränität des Staates, das die Taten dieser Menschen
decken soll, erscheint nur als Maske. Wenn man die Maske fortnimmt,
erscheint die Verantwortung der Menschen wieder.« (zitiert nach Kastner
JA 1995, 802).
Nürnberger Prozesse sind sicherlich nicht über jede Kritik in Einzelpunkten
erhaben. Aber sie sind in ihrem historischen Kontext zu sehen: Sie boten erstmals ein Strafverfahren als Reaktion auf unsägliche Grausamkeit, Tod und
Vernichtung. Und als solche sind sie ein bedeutender Meilenstein. Im
Ergebnis steht außer Zweifel – wie der bekannte Völkerstrafrechtler Professor
Bassiouni zutreffend ausführt – »dass das Tribunal fair handelte und dass die
Verfahren in einem von Würde geprägten gerichtlichen Verfahren stattfanden«. (Bassiouni 1995, S. 15).
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
331
1.1.5 Weitere Arbeiten im Rahmen der Vereinten Nationen
Am 9.12.1948 verabschiedete die Generalversammlung der Vereinten Nationen die Konvention über die Verhütung und Bestrafung des Völkermords. Die
Konvention geht in ihrem Artikel 6 einerseits von einer universellen Zuständigkeit der nationalen Gerichte, andererseits aber auch von der Schaffung
eines internationalen Strafgerichts aus:
»Personen, denen Völkermord oder eine der sonstigen in Artikel III aufgeführten Handlungen zur Last gelegt wird, werden vor ein zuständiges Gericht
des Staates, in dessen Gebiet die Handlung begangen worden ist, oder vor
das internationale Strafgericht gestellt, das für die vertragsschließenden
Parteien, die seine Gerichtsbarkeit anerkannt haben, zuständig ist.«
An demselben Tag beschloss die Generalversammlung eine Resolution
über die Prüfung eines internationalen Strafgerichtshofs.
In ihrer ersten Sitzung 1946 hatte die Generalversammlung der Vereinten
Nationen die »Nürnberger Grundsätze« bekräftigt und die International Law
Commission (ILC), die Völkerrechtskommission der Vereinten Nationen,
ersucht, diese Grundsätze zu formulieren.
1950 legte die ILC die sieben Prinzipien von Nürnberg vor. In der
Generalversammlung konnte über den Inhalt keine Einigung erzielt werden,
so dass lediglich die Mitgliedstaaten zur Stellungnahme aufgefordert wurden.
1954 erarbeitete die ILC den Entwurf einer »Kodifikation über Verstöße gegen
den Frieden und die Sicherheit der Menschheit« (»Draft Code of Offences
against the Peace and Security of Mankind«). Die Arbeiten an dem Entwurf
wurden noch in demselben Jahr ausgesetzt, da die sozialistischen Staaten im
Rechtsausschuss der Generalversammlung darauf beharrten, die Strafgerichtsbarkeit gehöre zu den Elementen der Souveränität, während die westlichen und blockfreien Staaten argumentierten, das materielle Recht könne
nicht festgelegt werden, solange kein Gericht bestehe.
1974 verabschiedete die Generalversammlung eine Definition des Angriffskrieges (Aggression) (3314 (XXIX) v. 14.12.1974) und die Arbeiten wurden im
6. Ausschuss – gegen den Widerstand der westlichen Industrieländer – wieder
aufgenommen.
Ab 1982 befasste sich die ILC wieder mit dem überarbeiteten Entwurf, der
ab 1987 »Draft Code of Crimes against the Peace and Security of Mankind«
hieß. 1989 forderte die Generalversammlung auf einen Antrag von Trinidad/
Tobago hin die ILC auf, die Arbeiten an der Errichtung eines Internationalen
Strafgerichtshofs wieder aufzunehmen. 1991 verabschiedete die ILC eine
Neufassung des »Draft Code of Crimes against the Peace and Security of
Mankind«, der den Mitgliedstaaten zur Stellungnahme zugeleitet wurde.
Durch die Resolutionen 827/1993 und 955/1994 errichtete der Sicherheitsrat
der Vereinten Nationen die Internationalen Strafgerichtshöfe für das ehemalige
Jugoslawien und Ruanda. Die Tribunale wurden als friedenssichernde
Maßnahmen unter Kapitel VII der VN-Charta geschaffen. Als Hintergrund für
die Errichtung des Jugoslawien-Tribunals nennt Resolution 827:
Freundesgabe Büllesbach 2002
332
Geiger
»Widespread and flagrant violations of international humanitarian law
... including ... mass killings, massive, organised and systematic detention and
rape of women, and the continuance of the practice of ›ethnic‹ cleansing,
including for the acquisition and the holding of territory.«
und fährt fort, dass der Gerichtshof errichtet wird,
»Determined to put an end to such crimes and to take effective measures to
bring to justice the persons who are responsible for them,
Convinced, that in the particular circumstances of the former Yugoslavia the
establishment as an ad hoc measure by the Council of an international tribunal and the prosecution of persons responsible for serious violations of international humanitarian law would enable this aim to be achieved and would
contribute to the restoration and maintenance of peace,
Believing that the establishment of an international tribunal and the prosecution of persons responsible for the above-mentioned violations of international humanitarian law will contribute to ensuring that such violations are
halted and effectively redressed.«
Die Reichweite derartiger Ad-hoc-Tribunale ist jedoch zwangsläufig zeitlich
und regional begrenzt und unterliegt politischen Beschränkungen (Einigung
der fünf ständigen Mitglieder des Sicherheitsrats erforderlich).
1994 legte die ILC einen Entwurf für ein Statut des Internationalen Strafgerichtshofs vor. 1995 gründete die Generalversammlung der Vereinten
Nationen ein Vorbereitungskomitee für die Errichtung eines internationalen
Strafgerichtshofs. Am 14. 4.1998 legte das Komitee das »Draft Statute for the
International Criminal Court« vor, das die Grundlage für die Verhandlungen
in Rom bildete.
1.2 Diplomatische Konferenz in Rom
Vom 15. 6. bis 17. 7. 1998 tagte folglich in Rom die »United Nations Diplomatic Conference on the Establishment of an International Criminal Court«
unter der Präsidentschaft von Professor Giovanni Conso. Vorsitzender des
Gesamtkomitees (Committee of the Whole) war der kanadische Delegierte
Phillippe Kirsch, dem der Erfolg der Konferenz ganz maßgeblich mit zu verdanken ist.
Nach bilateralen und Gruppenkonsultationen präsentierten Kirsch und das
Konferenzbüro nacheinander Diskussionspapiere, in denen verschiedene
Optionen zu ungelösten Kernfragen, insbesondere der Frage der Jurisdiktion,
aufgelistet waren. Über diese Diskussionspapiere wurden Orientierungsaussprachen abgehalten. Jeder Staat, der sich zu Wort meldete, hatte seinen
Standpunkt zu den präzisen vom Büro, dem Steuerungsgremium der
Konferenz, formulierten Fragen vorzutragen. Durch dieses Vorgehen wurde
die Diskussion auf die wesentlichen Fragen konzentriert, der Meinungsbildungsprozess wurde beschleunigt und das Büro hatte eine solide,
empirische Basis, um mehrheitsfähige Entwürfe vorzulegen.
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
333
Die Frage der Gerichtsbarkeit des Internationalen Strafgerichtshofs (IStGH)
war eine der umstrittensten Fragen in Rom. Diejenigen Staaten, die strikt auf
die Wahrung ihrer Souveränität bedacht waren, wollten hier die geringsten
Zugeständnisse machen.
Unstreitig waren die Begrenzung der Gerichtsbarkeit auf die vier Kernverbrechen (Völkermord, Verbrechen gegen die Menschlichkeit, Kriegsverbrechen und Aggression) und das Prinzip der Komplementarität (subsidiäre Zuständigkeit des IStGH nur, wenn der zuständige Staat nicht verfolgen kann
oder will).
Streitig war jedoch, unter welchen weiteren Voraussetzungen der IStGH
seine Gerichtsbarkeit ausüben soll. Nach drei Wochen Konferenz waren im
Wesentlichen noch drei Vorschläge auf dem Tisch:
1. Der Opt in / Opt out approach sah vor, dass die Vertragsstaaten die
Gerichtsbarkeit des IStGH für bestimmte Taten (z.B. nur für Verbrechen
gegen die Menschlichkeit, nicht aber für Kriegsverbrechen) und für
bestimmte Zeitspannen wählen können. Dies war der ursprüngliche
Vorschlag der ILC.
2. Dem State Consent Régime zufolge müssen alle betroffenen Staaten
zustimmen, damit ein Verfahren vor dem IStGH durchgeführt werden
kann. Dieser Vorschlag stammte ursprünglich von Frankreich. In dieser
absoluten Form war er aber nicht mehr Grundlage der Verhandlungen.
Einige Staaten, insbesondere die USA, favorisierten ein Modell, wonach
zumindest der Staat, dem der Täter angehört, zustimmen muss.
3. Der Ansatz der automatischen Jurisdiktion sah vor, dass die Vertragsstaaten mit der Ratifikation des Statuts die Jurisdiktion des
IStGH akzeptierten. Nach einer von nichtstaatlichen Organisationen
erstellten Statistik sprachen sich im Laufe der Konferenz 73 % der
Staaten für eine automatische Jurisdiktion aus.
Damit war jedoch noch nicht die Frage gelöst, welche Staaten Vertragsstaaten
sein müssen, damit diese Rechtsfolge eintritt.
Großbritannien vertrat die Auffassung, der Staat, auf dessen Territorium die
Tat begangen wurde (Tatortstaat), müsse Vertragsstaat sein. Deutschland war
der Ansicht, der IStGH solle die automatische universelle Jurisdiktion haben
unabhängig von Tatort und Staatsangehörigkeit des Täters oder des Opfers.
Südkorea favorisierte die automatische Gerichtsbarkeit, wenn der Tatortstaat,
der Gewahrsamsstaat (der den mutmaßlichen Täter in Haft hat), der Staat,
dem eines oder mehrere der Opfer angehören, oder der Staat, dem der Täter
angehört, Vertragsstaat ist. Der südkoreanische Kompromissvorschlag erhielt
sehr große Unterstützung und wurde zeitweilig den weiteren Verhandlungen
zugrunde gelegt. Aufgrund weiterer Kompromisse findet er sich jedoch nur in
einer eingeschränkten Form im Statut wieder. Diese Kompromisse beruhten
auf dem Drängen der ständigen Mitglieder des Sicherheitsrates.
Am 16. Juli 1998, dem vorletzten Tag der Konferenz, legte das Konferenzbüro einen sorgfältig austarierten Entwurf für ein Statut vor. Diesem Entwurf
traten nur noch Indien und die USA mit weitreichenden ÄnderungsvorschläFreundesgabe Büllesbach 2002
334
Geiger
gen entgegen. Indiens Änderungsvorschläge mit der Einbeziehung des Einsatzes von Nuklear- oder anderer Massenvernichtungswaffen in die Gruppe
der Kriegsverbrechen und mit der Beschneidung von mühsam ausgehandelten Kompetenzen des Sicherheitsrates hätten den ständigen Sicherheitsratsmitgliedern die Annahme des Kompromisspakets wohl unmöglich gemacht
und damit die Konferenz insgesamt scheitern lassen. Die Änderungsvorschläge der USA zielten darauf ab, die Gerichtsbarkeit des künftigen Gerichtshofs
ausschließlich auf solche Fälle zu beschränken, in denen der jeweilige
Heimatstaat, auch wenn er nicht Vertragspartei wäre, der Ausübung der Gerichtsbarkeit über den Täter zustimmen würde. Auch der Antrag der USA hätte
das Kompromisspaket gesprengt. Die beiden dargestellten Änderungsvorschläge wurden prozedural dadurch erledigt, dass die Konferenz beschloss,
sich nicht mit ihnen zu befassen.
Schließlich wurde das Statut des Internationalen Strafgerichtshofs nach bis
zum Schluss offenen und zum Teil dramatischen Verhandlungen von einer
überwältigenden Mehrheit von 120 Staaten, darunter allen EU-Staaten, angenommen. Sieben Staaten stimmten gegen das Statut. 21 Staaten enthielten
sich der Stimme. Die Abstimmung erfolgte nicht namentlich. Es ist jedoch
bekannt, dass USA, China, Israel, Irak, Libyen, Jemen und Katar gegen das
Statut stimmten. Die USA lehnten die Jurisdiktion des IStGH über Nichtvertragsparteien ab. Sie beharrten darauf, dass bereits das Statut die Rolle
des Sicherheitsrates bei der Bestimmung des Vorliegens einer Aggression
festschreiben solle. China sah die Befugnisse des Anklägers nicht ausreichend
durch die Vorverfahrenskammer begrenzt.
1.3 Überblick über das Römische Statut
Die Annahme des Römischen Statuts, das seinen Namen vom Tagungsort der
Konferenz ableitet, ist ein historischer Schritt. Mit ihm wird erstmals ein ständiger internationaler Strafgerichtshof geschaffen. Das Statut enthält erstmals
einen allgemeinen Teil des materiellen Völkerstrafrechts und für das Verfahren
vor dem IStGH eine »kleine Völkerstrafprozessordnung«, die aus den verschiedenen Rechtstraditionen entwickelt worden ist.
Die Eckpfeiler des Römischen Statuts bilden die vier Deliktsgruppen, der
Grundsatz der Komplementarität sowie die Definition seiner Gerichtsbarkeit,
seiner Zuständigkeit und der verfahrensauslösenden Situationen.
– Deliktsgruppen
Der zukünftige Internationale Strafgerichtshof (IStGH) mit Sitz in Den Haag
soll schwerste Verbrechen verfolgen, die die internationale Gemeinschaft als
Ganzes betreffen: Völkermord, Kriegsverbrechen, Verbrechen gegen die
Menschlichkeit und das Verbrechen der Aggression.
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
335
Entgegen der bisherigen Tradition der Völkerstrafgerichtsbarkeit werden
die Völkerstraftaten nicht lediglich durch Begriffe angedeutet, die der inhaltlichen Ausfüllung durch das Völkergewohnheitsrecht bedürfen. Vielmehr werden die einzelnen Tatbestände in den Artikeln 6 bis 8 des Römischen Statuts
ausformuliert. Artikel 22 Abs. 1 des Römischen Statuts legt zudem fest, dass
der Internationale Strafgerichtshof nur auf der Grundlage der im Statut
niedergelegten Tatbestände judizieren darf.
Insbesondere den USA ging der Schritt zu mehr Bestimmtheit nicht weit
genug. Sie beharrten auf der Erarbeitung verbindlicher Verbrechenselemente
zur strengeren Eingrenzung der Verbrechenstatbestände. Daher wurden dem
Römischen Statut Verbrechenselemente als allerdings nicht verbindliche
Auslegungsmerkmale beigefügt.
Die Aufnahme des Völkermordtatbestands bereitete in den Verhandlungen
die geringsten Schwierigkeiten. Artikel 6 des Römischen Statuts entspricht
Artikel II der Konvention über die Verhütung und Bestrafung des Völkermordes vom 9. 12.1948. Das Verbrechen des Völkermordes, das der
Internationale Strafgerichtshof für Ruanda als »the crime of crimes« bezeichnet hat, bezieht sein besonderes Gewicht aus dem subjektiven Merkmal der
Absicht, eine nationale, ethnische, rassische oder religiöse Gruppe ganz oder
teilweise zu zerstören.
In Artikel 7 des Römischen Statuts wird die Tatbestandsgruppe der Verbrechen gegen die Menschlichkeit definiert. Sie stellt schwerste Menschenrechtsverletzungen auch in Friedenszeiten unter Strafe. Das Römische Statut
etabliert hiermit einen über den eng begrenzten Völkermordtatbestand hinausgehenden und gegenüber den Kriegsverbrechen selbstständigen Völkerstraftatbestand zur Ahndung von Verletzungen bestimmter international anerkannter Menschenrechte (z.B. Tötung, Versklavung, Folter, Vergewaltigung,
Deportation), soweit diese Verletzungen sich in einen ausgedehnten oder
systematischen Angriff gegen die Zivilbevölkerung einfügen.
Die in Artikel 8 des Römischen Statuts definierten Kriegsverbrechen bilden
die Keimzelle des Völkerstrafrechts. Kriegsverbrechen sind nicht nur im Krieg
zwischen Staaten, sondern auch im Bürgerkrieg begangene Taten. Den
neueren völkerrechtlichen Bezugsrahmen für die Definition der einzelnen
Kriegsverbrechen bilden die Genfer Abkommen vom 12. 8. 1949 und das Erste
Zusatzprotokoll zu diesen Abkommen vom 8. 6. 1977 sowie die Haager Landkriegsordnung. Die Genfer Abkommen nehmen sich im Kern des Schutzes der
Personengruppen außerhalb der eigentlichen Kampfhandlungen an, während
das Erste Zusatzprotokoll und die Haager Landkriegsordnung im Kern völkerrechtliche Kampfführungsbestimmungen enthalten. Verstöße gegen die in
diesen Abkommen enthaltenen und im Römischen Statut definierten Schutzvorschriften führen die Strafbarkeit eines Täters gemäß Artikel 8 herbei. Nach
Artikel 8 Abs. 2 Buchstabe f gilt dies in bestimmten Fällen auch für Bürgerkriegsverbrechen.
Noch nicht im Römischen Statut definiert ist der Begriff der Aggression,
über dessen Definition trotz jahrzehntelanger Diskussionen innerhalb der
Freundesgabe Büllesbach 2002
336
Geiger
Staatengemeinschaft bisher keine Einigkeit erzielt werden konnte. Die ständigen Sicherheitsratsmitglieder wollen stets die alleinige Kompetenz dieses
Gremiums gemäß Artikel 39 der Charta der Vereinten Nationen gewahrt
wissen, über das Vorliegen eines Angriffskrieges zu entscheiden. Neben der
Staatenpraxis zu Artikel 39 der VN-Charta stellt die Definition des Aggressionskrieges durch die Generalversammlung der Vereinten Nationen vom
14.12.1974 einen wichtigen Ausgangspunkt für die Definition des Straftatbestandes der Aggression dar. Der Gerichtshof soll aber seine Zuständigkeit
zur Aburteilung von Aggressionsverbrechen gemäß Artikel 5 Abs. 2 Satz 1 des
Römischen Statuts erst dann ausüben können, wenn es den Staaten gelungen
ist, eine völkerrechtliche Definition des Aggressionsbegriffs auszuarbeiten. Die
entsprechenden Verhandlungen haben im Rahmen der Vorbereitungskommission für den Internationalen Strafgerichtshof begonnen.
– Grundsatz der Komplementarität
Der Gerichtshof soll gemäß dem in Artikel 17 des Römischen Statuts verankerten Grundsatz der Komplementarität immer dann tätig werden, wenn die
innerstaatlichen Gerichte eine Tat nicht verfolgen können oder wollen. Ein
Staat kann nicht verfolgen, wenn das innerstaatliche Justizsystem vollständig
oder weitgehend zusammengebrochen ist. Ein Staat will nicht verfolgen,
wenn er die Strafverfolgung verweigert, wenn das nationale Verfahren nur
geführt wird, um die betreffende Person vor der strafrechtlichen Verantwortlichkeit vor dem IStGH zu schützen, wenn er das Verfahren ungerechtfertigt
verzögert oder wenn er das Verfahren nicht unabhängig oder unparteilich
gestaltet.
– Gerichtsbarkeit, Zuständigkeit und Verfahrenseinleitung
Zur Frage der Gerichtsbarkeit wurde im Ergebnis ein Kompromiss mit folgenden Elementen erreicht:
Automatische (komplementäre) Jurisdiktion ist gegeben, wenn das fragliche Verhalten auf dem Hoheitsgebiet eines Staates, der Vertragspartei des
Statuts ist, stattgefunden hat oder die beschuldigte Person die Staatsangehörigkeit eines Vertragsstaates hat (Artikel 12). Gemäß der Übergangsvorschrift in Artikel 124 kann jeder Staat für sieben Jahre die Jurisdiktion des
IStGH für Kriegsverbrechen ausnehmen, die auf seinem Territorium oder
durch seine Staatsangehörigen begangen werden (Zugeständnis wohl an
Frankreich). Nichtvertragsstaaten können die Jurisdiktion des IStGH im
Einzelfall anerkennen. Vom Sicherheitsrat ist die Jurisdiktion des Gerichtshofs
unabhängig. Wohl aber kann auch der Sicherheitsrat ein Verfahren vor dem
IStGH einleiten. Er kann sogar ein Verfahren vor dem IStGH für zwölf Monate
aussetzen, wenn eine Gefahr für die Sicherheit und den Frieden vorliegt
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
337
(Zugeständnis an die ständigen Mitglieder). Neben dem Sicherheitsrat und
den Vertragsstaaten kann auch der Ankläger die Verfahrenseinleitung betreiben.
Um den Internationalen Strafgerichtshof zu errichten, haben die Staaten
überkommene Souveränitätsbedenken zurückgestellt. So bedarf der Ankläger
beim IStGH zur Verfahrenseinleitung nicht der Zustimmung der betroffenen
Staaten. Diese Unabhängigkeit des Anklägers stellt in den Augen der USAdministration, die keine Einschränkung ihrer Souveränität akzeptiert, den
Hauptgrund für ihre ablehnende Haltung gegenüber dem Römischen Statut
dar.
Der Gerichtshof kann auch und gerade staatliche Repräsentanten zur
Verantwortung ziehen. Er ist gemäß Artikel 27 des Römischen Statuts nicht an
innerstaatliche Immunitätsregelungen gebunden. Auch Staatsoberhäupter
und Regierungschefs können vor ihm angeklagt und von ihm verurteilt werden. Ebenso sind Abgeordnete, gewählte Vertreter und Regierungsbeamte der
strafrechtlichen Verantwortung vor dem Internationalen Strafgerichtshof
unterworfen. Die Gerichtsbarkeit des IStGH wird auch nicht durch internationale Immunitätsregelungen beschränkt. Sie unterliegt ebenso wenig
Einschränkungen durch die jüngste Entscheidung des Internationalen
Gerichtshofs (IGH) vom 14. 2. 2002 (Affaire relative au mandat d’arrêt du
11 avril 2000 – République démocratique du Congo c. Belgique). In dieser
Entscheidung erklärte der Internationale Gerichtshof einen belgischen Haftbefehl gegen den ehemaligen Außenminister der Demokratischen Republik
Kongo für völkerrechtswidrig, da der Außenminister jedenfalls zum Zeitpunkt
des Haftbefehlserlasses noch amtierte und daher Immunität genoss. Ziel der
Entscheidung des IGH war es zu verhindern, dass das Beziehungsgeflecht
innerhalb der internationalen Staatengemeinschaft durch nationale Haftbefehle gegen Repräsentanten eines jeweils anderen Staates gestört wird. Internationale Gerichtshöfe wie den IStGH nimmt der IGH in seiner Entscheidung
von dieser Kompetenzeinschränkung ausdrücklich aus.
1.4 Stand der Zeichnungen und Ratifikationen
Bis zum Ende der Zeichnungsfrist am 31. 12. 2000 hatten 139 Staaten das
Statut gezeichnet. Zu den Unterzeichnern »in letzter Minute« gehören auch
Staaten, die dem Gerichtshof eher skeptisch gegenüberstehen, wie die USA,
Israel und auch der Iran. Deutschland zeichnete das Statut am 10. Dezember
1998, dem fünfzigsten Jahrestag der Allgemeinen Erklärung der Menschenrechte, und ratifizierte es am 11. 12. 2000. Bei der feierlichen Hinterlegung von
weiteren zehn Ratifikationsurkunden am 11. 4. 2002 während der neunten
Tagung der Vorbereitungskommission lagen 66 Ratifikationsurkunden vor,
sechs mehr als für das In-Kraft-Treten erforderlich. Das Römische Statut tritt
somit am 1. 7. 2002 in Kraft.
Freundesgabe Büllesbach 2002
338
Geiger
1.5 Bedeutung des Römischen Status im Verhältnis zu den
Vereinigten Staaten von Amerika
Die USA stimmten in Rom gegen das Statut. Hauptproblem war für sie neben
der oben genannten Kompetenz des Anklägers, dass der IStGH unter Umständen auch Gerichtsbarkeit über die Staatsangehörigen von Nichtvertragsstaaten hat. Dies ist der Fall, wenn der mutmaßliche Täter im Tatortstaat festgenommen und von diesem an den IStGH überstellt wird. Die USA befürchten, dass amerikanische Soldaten sich im Rahmen von Auslandseinsätzen
vor dem IStGH wiederfinden. Senator Jesse Helms brachte aus diesem Grund
im US-Kongress den »American Servicemembers' Protection Act« ein, der die
US-Administration u.a. verpflichten soll, nicht mit dem IStGH zusammenzuarbeiten, und der den US-Präsidenten ermächtigen soll, alle »notwendigen und
geeigneten Maßnahmen« zu ergreifen, um US-Personal oder Angehörige verbündeter Streitkräfte zu befreien, die vom IStGH festgehalten werden. Die
Umsetzung dieses kurz vor seiner Verabschiedung stehenden Gesetzes wird
davon abhängen, ob und in welchem Umfang der US-Präsident von seinen
Aufhebungsrechten in Bezug auf die einzelnen Vorschriften (»Waivers«)
Gebrauch macht.
Trotz der Bedenken der USA zeichnete die scheidende Clinton-Administration das Statut am 31. 12. 2001. Durch die Zeichnung sind die USA an das
Statut gebunden und bis zur endgültigen Entscheidung über die Ratifikation
nach Artikel 18 der Wiener Vertragsrechtskonvention verpflichtet, nichts zu
unternehmen, was mit Ziel und Zweck des Römischen Statuts in Widerspruch
steht.
Die Bedenken der USA werden von einer Vielzahl amerikanisch dominierter
nichtstaatlicher Organisationen unter dem Dach der »Coalition for the ICC«,
»das andere Gesicht der USA«, nicht geteilt. Gerade die nichtstaatlichen
Organisationen haben das Vorhaben des Internationalen Strafgerichtshofs
erheblich vorangetrieben. Das Römische Statut kommt den Bedenken der
USA darüber hinaus durch den in Artikel 17 verankerten Grundsatz der Komplementarität entgegen, aber auch durch Artikel 16, der dem Sicherheitsrat ein
Recht auf aufschiebende Entscheidung hinsichtlich der Ermittlungen des Anklägers einräumt, sowie durch Artikel 124, der eine Aufschubfrist für die Verfolgung von Kriegsverbrechen gewährt. Es sollte – wie der 11. September 2001
deutlich gezeigt hat – auch im Interesse der USA liegen, dass ein wirkungsvoller Gerichtshof vorhanden ist, der autokratische Herrscher vor großangelegter Gewaltanwendung abschreckt. Mit militärischen Mitteln allein wird sich
die Freiheit von fremder Gewalt nicht erreichen lassen.
1.6 Weiteres Vorgehen
An den Internationalen Strafgerichtshof richten sich vielfältige Erwartungen.
Viele sehen in ihm ein Instrument der Herrschaft des Rechts gegenüber staatFreundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
339
lichem Machtmissbrauch. Damit der Gerichtshof diesem hohen Anspruch
gerecht werden kann, muss er wirklich universell sein, d.h. er bedarf einer
möglichst weltweiten Verbreitung seiner Vertragsstaaten. Der Schlüssel zum
Erfolg des Gerichtshofs wird in seiner eigenen Hand liegen: Faire Entscheidungen mit Augenmaß, die frei von politischen Einflüssen sind, werden ihm
Akzeptanz und Ansehen sichern.
2. Aspekte eines neuen Völkerstrafgesetzbuches
Da das Römische Statut am 1. 7. 2002 in Kraft tritt, mithin der IStGH seine
Arbeit in absehbarer Zukunft aufnehmen wird, muss unser eigenes innerstaatliches Recht möglichst schnell und vollständig auf die künftigen Anforderungen ausgerichtet werden. Dazu gehört ganz wesentlich die Gewährleistung einer effektiven Verfolgung von Völkerrechtsverbrechen vor den
deutschen Gerichten. Diesem Anliegen soll das Völkerstrafgesetzbuch
(VStGB) (BT-Drs. 14/8524) dienen, das für die nationale Verfolgung von Völkerrechtsverbrechen eine neue und verbesserte Rechtsgrundlage schafft.
2.1 Ziele des Völkerstrafgesetzbuches
Dass sich der Gesetzentwurf zur Einführung des Völkerstrafgesetzbuches
1
(VStGBEG), der »mit Fug und Recht als ›großer Wurf‹ bezeichnet werden «
darf, nun im Gesetzgebungsverfahren befindet, ist keine Selbstverständlichkeit. Denn eine völkerrechtliche Verpflichtung zur Schaffung des VStGB
besteht nicht2 und die Straftaten, um die es im Völkerstrafgesetzbuch geht,
nämlich die schwersten Verbrechen gegen das humanitäre Völkerrecht, sind
im Wesentlichen schon nach dem bestehenden allgemeinen Strafrecht verfolgbar. Lange Zeit hat man dementsprechend eine ausreichende Pönalisierung durch das vorhandene deutsche Strafrecht angenommen.
Erst der neue Anstoß durch das Römische Statut hat diese Haltung in den
3
letzten Jahren ins Wanken gebracht . Parallel dazu hat die neue Beteiligung
der deutschen Bundeswehr an internationalen Friedensmissionen zu einer
verstärkten Relevanz der Materie aus nationaler Sicht beigetragen.
Der Entwurf eines VStGBEG verfolgt ausweislich seiner Begründung vier
Ziele (BT-Drs. 14/8524, S. 12):
Zunächst geht es darum, das spezifische Unrecht der Verbrechen gegen das
Völkerrecht besser zu erfassen und Lücken auszufüllen. Zwar sind die Einzeltaten der Völkerrechtsverbrechen wie Mord, Vergewaltigung oder Folter im
Wesentlichen schon nach allgemeinem Strafrecht verfolgbar. Dieses vermag
jedoch den eigentlichen völkerrechtlichen Unrechtsgehalt – wie z.B. den funktionalen Zusammenhang der Tat mit einem ausgedehnten oder systematischen Angriff gegen die Zivilbevölkerung, der für die Verbrechen gegen die
Menschlichkeit konstitutiv ist – nicht spezifisch zu berücksichtigen. Darüber
Freundesgabe Büllesbach 2002
340
Geiger
hinaus enthält das VStGB Tatbestände für spezielle Straftaten nach dem
IStGH-Statut, für die es im StGB kein geeignetes Pendant gibt, wie etwa die
Zwangsrekrutierung von Kindersoldaten oder den Vorgesetztenbefehl, »kein
Pardon zu geben«.
Zweitens soll die Normierung in einem eigenen Regelungswerk Rechtsklarheit und Handhabbarkeit in der Praxis fördern.
Im Hinblick auf die Komplementarität der Verfolgungszuständigkeit des
Internationalen Strafgerichtshofs dient die eigenständige Regelung drittens
dazu, zweifelsfrei sicherzustellen, dass Deutschland stets in der Lage ist, ein in
die Zuständigkeit des IStGH fallendes Verbrechen selbst zu verfolgen.
Schließlich – und dieses Ziel ist besonders wichtig – soll durch die
Schaffung eines einschlägigen nationalen Regelungswerks das humanitäre
Völkerrecht gefördert werden und zu seiner Verbreitung beitragen. Andere
Staaten, die ebenfalls vor der Frage stehen, wie sie das Römische Statut
umsetzen sollen, haben ein außerordentliches Interesse an der deutschen
Lösung, die als sehr progressiv bewertet wird. Auf diese Weise kommt dem
Entwurf auch eine Vorreiter- und Vorbildfunktion zu.
2.2 Wesentlicher Inhalt und konzeptioneller Ansatz
Der Entwurf stellt die unter die Gerichtsbarkeit des IStGH fallenden und im
IStGH-Statut in rund 70 Untertatbeständen umschriebenen Verbrechen gegen
das Völkerrecht in einem eigenständigen materiellen Strafgesetz unter Strafe.
Dabei sieht er in Abkehr von der bisherigen Auslegung des § 6 StGB durch den
4
5
BGH die Geltung des Weltrechtsprinzips ohne die Notwendigkeit eines inländischen Anknüpfungspunktes vor. Die Strafverfolgung durch die deutsche
Justiz wird daher auch dann möglich, wenn weder Täter noch Opfer Deutsche
sind und die Tat auch sonst keinen Inlandsbezug hat. Neben einem ersten Teil
mit allgemeinen Bestimmungen enthält der Entwurf einen zweiten Teil mit
besonderen Tatbeständen zu Völkermord, Verbrechen gegen die Menschlichkeit und Kriegsverbrechen. Das VStGB ist eingebettet in den Entwurf eines
Einführungsgesetzes, das neben dem materiellen Völkerstrafrecht insbesondere eine prozessuale Begleitregelung zur Strukturierung des Einstellungsermessens im Hinblick auf das Weltrechtsprinzip enthält.
Betrachtet man den Normtext im Detail, so fällt auf, dass im Allgemeinen
und im Besonderen Teil ganz unterschiedliche konzeptionelle Ansätze verfolgt
werden.
Grundsätzlich findet der Allgemeine Teil des StGB Anwendung.
Sonderregelungen sind nur vorgesehen, soweit sie wegen abweichender
Bestimmungen im Statut erforderlich sind. Der Allgemeine Teil beschränkt
sich daher auf lediglich fünf Paragrafen. Abgesehen von einer Bestimmung
zum Anwendungsbereich des Gesetzes und zur Anwendung des allgemeinen
Rechts, enthält der Entwurf Sonderregelungen nur für das Handeln auf Befehl,
die Verantwortlichkeit militärischer Befehlshaber und anderer Vorgesetzter
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
341
sowie die Frage der Verjährung6. Weder ist eine besondere Regelung der Strafmündigkeit vorgesehen noch etwa eine solche zu Fragen der Schuldfähigkeit,
des Irrtums oder der Täterschaft und Teilnahme. Auch hinsichtlich des
Vorsatzes und der Notwehr verzichtet der Entwurf auf eine spezielle Regelung.
Dieses Konzept erschwert zwar die Rezipierbarkeit für andere Staaten, es vermeidet aber die Gefahr erheblicher Rechtsverwirrung im eigenen Strafrecht,
zu der ein umfassender Allgemeiner Teil eines VStGB unweigerlich führen
müsste, und erleichtert damit die Anwendbarkeit in der Praxis.
Im Besonderen Teil enthält der Entwurf demgegenüber eigenständige
Beschreibungen des strafbaren Verhaltens in spezifischen Tatbeständen.
Diese orientieren sich inhaltlich an den Vorgaben des Statuts und sonstiger
verbindlicher Instrumente des humanitären Völkerrechts, darüber hinaus an
den von einer Vorbereitungskommission für den IStGH ausgehandelten
7
Verbrechenselementen , an der Spruchpraxis internationaler Strafgerichte
sowie an der allgemeinen Staatenpraxis. Sie erfahren aber manche Korrektur
durch die Notwendigkeit, den Entwurf so zu gestalten, dass er dem mit
Verfassungsrang ausgestatteten Bestimmtheitsgebot genügt. Auch das
Bemühen um eine übersichtliche Systematik bringt hier vielfach Abweichungen von den im Statut gewählten Formulierungen mit sich. So fasst der
Entwurf etwa die Kriegsverbrechen im internationalen und im nichtinterna8
tionalen bewaffneten Konflikt zusammen .
2.3 Besonderheiten des Regelungsinhalts und der Gesetzgebungstechnik
Der aus den unterschiedlichen Rechtsordnungen der Vertragsstaaten gespeiste Inhalt des Römischen Statuts, den es im VStGB umzusetzen galt, bringt es
mit sich, dass schon wegen des Kompromisscharakters dieses internationalen
Vertrages im Entwurf manch ungewöhnliches Problem gelöst werden musste.
Dies soll an zwei Beispielen verdeutlicht werden:
Die verschiedenen Regelungsgegenstände der in Art. 28 des IStGH-Statuts
enthaltenen Vorschrift über die Verantwortlichkeit militärischer Befehlshaber
und anderer Vorgesetzter sind im VStGB durch zwei separate Vorschriften
an unterschiedlichen Stellen umgesetzt. § 4 VStGB sieht als Regelung des
Allgemeinen Teils eine Garantenstellung des Vorgesetzten vor, der es unterlässt, seinen Untergebenen an der Begehung einer Tat nach VStGB zu hindern. Die Vorschrift ordnet die Bestrafung des Vorgesetzten im gleichen
Umfang an wie diejenige des Untergebenen. Die Fälle der bloß fahrlässigen
Nichthinderung von Straftaten, in denen der Vorgesetzte mangels Vorsatzes
nicht gleich einem Täter des vorsätzlichen Delikts bestraft werden kann, werden durch die Vorschriften über die Verletzung der Aufsichtspflicht (§ 13)
sowie über das Unterlassen der Meldung einer Straftat (§ 14) im Besonderen
Teil des VStGB erfasst.
Die Bestimmtheitsanforderungen des deutschen Rechts – als zweites
Beispiel – verbieten es, etwa die im IStGH-Statut enthaltene Legaldefinition
Freundesgabe Büllesbach 2002
342
Geiger
des Verschwindenlassens (Artikel 7 Abs. 2 Buchstabe i), die eher auf eine
bestimmte staatliche Politik als auf einen einzelnen Täter zugeschnitten ist, zu
übernehmen. Das VStGB unterscheidet deshalb nunmehr zwei in Anlehnung
an die Verbrechenselemente zum Römischen Statut9 – jeweils aufeinander
bezogene – Handlungsalternativen, die eine persönliche Zurechnung des
Tatunrechts erst ermöglichen und die Vorschrift damit auch für die Praxis anwendbar werden lassen, nämlich die Freiheitsberaubung und die Auskunfts10
verweigerung über den Verbleib . Ebenfalls dem Bestimmtheitsgrundsatz ist
die Zuordnung konkreter Strafrahmen zu den einzelnen Tatbeständen zuzuschreiben (Jarasch/Kreß 2000, S. 111).
Die Eigenart der Rechtsmaterie bringt es mit sich, dass das VStGB durch
seinen Platz an der Schnittstelle zwischen Völkerrecht und Strafrecht auch in
der Gesetzgebungstechnik Neuland betritt.
So sind z.B. an verschiedenen Stellen – so etwa bei § 7 Abs. 1 Nr. 4 –
11
Verweise auf »die allgemeinen Regeln des Völkerrechts« enthalten . Mit Hilfe
dieser Verweisungstechnik werden völkergewohnheitsrechtliche Regelungen12
in den Tatbestand einbezogen. Dies ist nicht nur im Hinblick darauf problematisch, dass die Feststellung des Inhalts des Völkergewohnheitsrechts für einen
Richter mit großen Schwierigkeiten verbunden sein kann (Satzger NStZ 2002,
125). Art. 103 Abs. 2 GG verbietet es darüber hinaus, Straftatbestände oder
Strafen durch Gewohnheitsrecht zu schaffen oder zu verschärfen. Erlaubt ist
nach herrschender Lehre nur die Bildung eines strafbarkeitsausschließenden
oder -einschränkenden Gewohnheitsrechts (Schmidt-Aßmann, Art. 103 Abs. 2
GG, Rn. 222).
13
Die Lösung dieses Spannungsfeldes wird noch geraume Zeit für Dis14
kussionsstoff sorgen . Die fehlende ausdrückliche Klarstellung der Grenzen
des Art. 103 Abs. 2 GG wird dabei beklagt (Werle ZStW 109, 808). Einige versuchen, die Barriere des Art. 103 Abs. 2 GG im Wege einer praktischen
Konkordanz mit Art. 25 GG zu beseitigen. Andere kommen offenbar unter
Annahme eines stillen Verfassungswandels im Wege der teleologischen
Reduktion zur Annahme der Völkerrechtskompatibilität des Gesetzlichkeitsprinzips. Bisweilen wird demgegenüber aber auch die Notwendigkeit
einer Änderung des Art. 103 Abs. 2 GG angenommen. Der Streit kann im vorliegenden Rahmen keiner Lösung zugeführt werden. Immerhin aber ist darauf
hinzuweisen, dass dem Verweis auf die allgemeinen Regeln des Völkerrechts
im Fall des § 7 Abs. 1 Nr. 4 VStGB eine Doppelfunktion zukommt. Er ist zum
einen konstitutiv für die Bejahung eines Völkerrechtsverbrechens (BT-Drs.
14/ 8524, S. 21), weil ohne Völkerrechtsverstoß eine tatbestandsmäßige Vertreibungshandlung nicht denkbar ist. Zum anderen dient der Verweis der
Strafbarkeitsbeschränkung. Er sorgt nämlich dafür, dass aus der Menge der
denkbaren Vertreibungshandlungen nur solche als tatbestandsmäßig definiert
werden, die auch nach universell geltenden Standards strafwürdiges Unrecht
darstellen. Im Übrigen lässt sich der Verweis durch eine ausformulierte
Aufzählung nicht ersetzen, weil das Völkergewohnheitsrecht in seiner Entwicklung nicht abgeschlossen ist.
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
343
2.4 Erstreckung der Strafbarkeit über das Römische Statut hinaus
Bei einzelnen Regelungsgegenständen geht das gesicherte Völkergewohnheitsrecht bereits über das hinaus, was im Römischen Statut festgeschrieben
wurde. Das Völkerstrafgesetzbuch beschränkt sich daher nicht auf die bloße
Umsetzung des IStGH-Statuts, sondern es enthält teilweise z. B. Bestimmungen, die die Strafbarkeit bestimmter Verhaltensweisen über das Römische
Statut hinaus (BT-Drs. 14/8524, S. 12) auch auf den nicht internationalen
bewaffneten Konflikt ausdehnen, wenn hierfür eine völkergewohnheitsrechtliche Grundlage gegeben ist. Anders als im Römischen Statut ist demnach nicht
nur im Krieg zwischen Staaten, sondern auch im Bürgerkrieg das folgende
Verhalten strafbar:
– Verwendung von B- und C-Waffen, § 12 Abs. 1 Nr. 2,
– Verwendung von Gift oder vergifteten Waffen, § 12 Abs. 1 Nr. 1,
– Verwendung von Dum-Dum-Geschossen, § 12 Abs. 1 Nr. 3,
– Aushungern der Zivilbevölkerung, § 11 Abs. 1 Nr. 5 und
– Angriffe mit unverhältnismäßigen zivilen Schäden, § 11 Abs. 1 Nr. 3.
Ebenfalls über das Römische Statut hinaus werden im VStGB Gewebe- und
Organentnahmen an einer nach dem humanitären Völkerrecht zu schützenden
15
Person, von engen Ausnahmen abgesehen, als Kriegsverbrechen bestraft .
Das VStGB kann daher zu Recht für sich in Anspruch nehmen, auf dem Stand
der Entwicklung des humanitären Völkerrechts und des Völkerstrafrechts zu
sein16.
2.5 Sonstige Gesetze und Gesetzgebungsvorhaben im Zusammenhang
mit dem Römischen Statut
Das VStGB steht mit weiteren Gesetzen und Gesetzgebungsvorhaben in
Zusammenhang, die alle mit der Umsetzung des Römischen Statuts zu tun
haben.
Bereits umgesetzt sind das IStGH-Statutgesetz (BGBl. 2000 II S. 1393) als
Vertragsgesetz sowie das Gesetz zur Änderung von Artikel 16 Abs. 2 GG
(BGBl. 2000 I S. 1633), mit dem die verfassungsrechtlichen Bedingungen
erfüllt worden sind, damit Deutschland dem Internationalen Strafgerichtshof
auch deutsche Staatsangehörige überstellen kann.
Noch im Gesetzgebungsverfahren befinden sich neben dem VStGB der
Entwurf eines Gesetzes zur Ausführung des Römischen Statuts (BT-Drs.
14 / 8527) und der Entwurf eines Gesetzes zur Änderung des Grundgesetzes
(BT-Drs. 14 / 8994) sowie der Entwurf eines Gesetzes zur Änderung des
Gerichtsverfassungsgesetzes (BT-Drs. 14 / 8978). Die beiden letztgenannten
Entwürfe dienen der Einführung einer einheitlichen erstinstanzlichen Zuständigkeit der Oberlandesgerichte und des Generalbundesanwalts für sämtliche
Straftatbestände des VStGB.
Freundesgabe Büllesbach 2002
344
Geiger
2.6 Ausblick
Zielsetzung der Bundesregierung war es von Anfang an, den Abschluss des
Gesetzgebungsvorhabens Völkerstrafgesetzbuch noch in dieser Legislaturperiode zu erreichen. Erfreulicherweise hat das VStGB das parlamentarische
Verfahren inzwischen erfolgreich durchlaufen. Wenn dieser Aufsatz erscheint,
wird es bereits im Bundesgesetzblatt stehen. Nach dem In-Kraft-Treten des
Römischen Statuts am 1. 7. 2002 rückt die tatsächliche Arbeitsaufnahme durch
den Internationalen Strafgerichtshof in immer greifbarere Nähe. Deutschland
wird durch das Völkerstrafgesetzbuch materiell gewappnet sein, um den Gerichtshof zu entlasten, und gleichzeitig einen wichtigen Beitrag zur weltweiten
Konsolidierung des Völkerstrafrechts leisten.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Vgl. Satzger NStZ 2002, 125; auch Zimmermann, ZRP 2002, 97 nennt es ein »ambitioniertes
und zugleich für die weitere Entwicklung des Völkerstrafrechts wegweisendes Projekt«.
Werle JZ 2001, 885; ebenso Satzger, a.a.O., der ergänzend hinzufügt, dass das Statut in Absatz
VI der Präambel von einer völkergewohnheitsrechtlichen Pflicht zur Verfolgung von
Völkerstraftaten ausgeht; auf eine solche Verpflichtung aus Gewohnheitsrecht oder allgemeinen Rechtsprinzipien weisen auch Wirth/Harder ZRP 2000, 144 hin.
Zu den Defiziten des allgemeinen Strafrechts und zum Handlungsbedarf für den deutschen
Strafgesetzgeber vgl. nur Werle JZ 2000, 755 sowie Kreß 2000, S. 9
Vgl. BGHSt 45, 64, neuerdings offener BGHSt 46, 292; kritisch zum Erfordernis eines
Inlandsbezugs statt vieler Eser 2000, S. 26
Zu den Implikationen einer solchen Einführung des Weltrechtsprinzips vgl. Kreß NStZ 2000, 617
Im Hinblick auf Art. 29 IStGH-Statut postuliert § 5 VStGB die Unverjährbarkeit der im VStGB
geregelten Verbrechen, während für die Vergehen der §§ 13 und 14 VStGB die allgemeinen
Verjährungsfristen greifen sollen.
Zur Funktion der Verbrechenselemente als subsidiäre Rechtsquelle gegenüber dem Statut vgl.
Ambos NJW 2001, 405 bzw. als den Gerichtshof nicht bindende Auslegungshilfe vgl. Lagodny
ZStW 113, 800; außerdem Dörmann/Kreß HuV 1999, 200
Zum Kompromisscharakter der Beibehaltung der Unterscheidung der beiden Konfliktarten im
Statut vgl. Ambos S+F 2000, 12
Vgl. PCNICC/200/1/Add.2, Article 7 (1) (i) Element 1
Vgl. § 7 Abs. 1 Nr. 7 VStGB-Entwurf und die dazu gehörige Begründung, BT-Drs. 14/8524, S. 21
So etwa auch in § 7 Abs. 1 Nr. 10 oder in § 8 Abs. 1 Nr. 6
Mithin Regelungen, die sich in ständiger Fortentwicklung befinden und für deren Geltung die
Staatenpraxis ein Kriterium ist, vgl. Wilms ZRP 1999, 227; zu den Schwierigkeiten der
Ermittlung von universellem Völkergewohnheitsrecht vgl. Charney 87 AJIL 529
Allgemein zur Funktion des Art. 25 GG als Scharnier zwischen Völkerrecht und deutschem
Recht, vgl. Kunig 2001, 2. Abschn., Rn. 145 ff.
Vgl. zum Folgenden Ebert 2001, S. 178 m.w.N.
Die entsprechende Vorschrift (§ 8 Abs. 1 Nr. 8 Buchstabe b) beruht auf Art. 11 Abs. 2 Buchstabe
c i.V.m. Abs. 1 des Zusatzprotokolls I zu den Genfer Abkommen.
Triffterer 1995, S. 169 definiert das Völkerstrafrecht als »das Strafrecht der Völkergemeinschaft,
das diese als Teil ihrer eigenständigen Rechtsordnung des Völkerrechts im Rahmen ihrer
Rechtssetzungskompetenz zum Schutze ihrer Rechtsgüter gegen besonders schwerwiegende
Verletzungen schaffen und einsetzen kann.«
Literatur
Monographien:
Heydecker, Joe J./Leeb, Johannes (Heydecker u. Leeb 1958), Der Nürnberger
Prozess, Köln, Berlin 1958
Freundesgabe Büllesbach 2002
Internationaler Strafgerichtshof und Aspekte eines neuen Völkerstrafgesetzbuches
345
Kreß, Claus (Kreß 2000), Vom Nutzen eines deutschen Völkerstrafgesetzbuchs,
Baden-Baden 2000
Mann, Golo (Mann 1966), Geschichte des 19. und 20. Jahrhunderts, Berlin,
Frankfurt am Main 1966
Aufsätze in Zeitschriften
Ambos, Kai (NJW 2001), »Verbrechenselemente« sowie Verfahrens- und
Beweisregeln des Internationalen Strafgerichtshofs, NJW 2001, 405
Ambos, Kai (S+F 2000), Zur Bestrafung von Verbrechen im internationalen,
nicht-internationalen und internen Konflikt, S+F 2000, 12
Charney, Jonathan (87 AJIL), Universal International Law AJIL 87 (1993), 529
Dörmann, Knut/Kreß, Claus (HuV 1999), Verfahrens- und Beweisregeln sowie
Verbrechenselemente zum Römischen Statut des Internationalen Strafgerichtshofs: Eine Zwischenbilanz nach den ersten zwei Sitzungen der Vorbereitungskommission für den Internationalen Strafgerichtshof, HuV 1999,
2000
Kastner, Klaus (JA 1995), Der Nürnberger Prozess, JA 1995, 802
Kreß, Claus (NStZ 2000), Völkerstrafrecht in Deutschland, NStZ 2000, 617
Lagodny, Otto (ZStW 113), Legitimation und Bedeutung des Ständigen
Internationalen Strafgerichtshofes, ZStW 113 (2001), 800
Satzger, Helmut (NStZ 2002), Das neue Völkerstrafgesetzbuch – Eine kritische
Würdigung –, NStZ 2002, 125
Werle, Gerhard (JZ 2000), Völkerstrafrecht und geltendes deutsches
Strafrecht, JZ 2000, 755
Werle, Gerhard (JZ 2001), Konturen eines deutschen Völkerstrafrechts, JZ
2001, 885
Werle, Gerhard (ZStW 109), Menschenrechtsschutz durch Völkerstrafrecht,
ZStW 109 (1997), 808
Wilms, Heinrich (ZRP 1999), Der Kosovo-Einsatz und das Völkerrecht, ZRP
1999, 227
Wirth, Steffen/Harder, Jan C. (ZRP 2000), Die Anpassung des deutschen
Rechts an das Römische Statut des Internationalen Strafgerichtshofs aus
Sicht deutscher Nichtregierungsorganisationen, ZRP 2000, 144
Zimmermann, Andreas (ZRP 2002), Auf dem Weg zu einem deutschen
Völkerstrafgesetzbuch, ZRP 2002, 97
Aufsätze in Sammelbänden:
Bassiouni, Cherif (Bassiouni 1995), Das »Vermächtnis von Nürnberg«: eine
historische Bewertung fünfzig Jahre danach. In: Hankel, Gerd, Stuby,
Gerhard (Hrsg.), Strafgerichte gegen Menschlichkeitsverbrechen, Hamburg
1995
Ebert, Udo (Ebert 2001), Völkerstrafrecht und Gesetzlichkeitsprinzip. In: Britz,
Guido, Jung, Heike, Koriath, Heinz, Müller, Egon (Hrsg.), Grundfragen staatlichen Strafens, Festschrift für Heinz Müller-Dietz zum 70. Geburtstag,
München 2001
Eser, Albin (Eser 2000), Das »Internationale Strafrecht« in der Rechtsprechung
des Bundesgerichtshofs. In: Canaris, Claus-Wilhelm, Heldrich, Andreas,
Freundesgabe Büllesbach 2002
346
Geiger
Hopt, Klaus J., Roxin, Claus, Schmidt, Karsten, Wittmaier, Gunter (Hrsg.), 50
Jahre Bundesgerichtshof, Festgabe aus der Wissenschaft, München 2000
Jarasch, Frank /Kreß, Claus (Jarasch/Kreß 2000), The Rome Statute and the
German Legal Order. In: Kreß, Claus/Lattanzi, Flavia (Hrsg.), The Rome
Statute and Domestic Legal Orders Volume I: General Aspects and
Constitutional Issues, Baden-Baden 2000
Kunig, Philip (Kunig 2001), Völkerrecht und staatliches Recht. In: Graf
Vitzthum, Wolfgang, Völkerrecht, 2. Aufl. , Berlin, New York 2001
Schmidt-Aßmann, Eberhard, in: Maunz, Theodor, Dürig, Günther u.a. (Hrsg.),
Kommentar zum GG, München 1992
Triffterer, Otto (Triffterer 1995), Bestandsaufnahme zum Völkerstrafrecht. In:
Hankel, Gerd, Stuby, Gerhard (Hrsg.), Strafgerichte gegen Menschheitsverbrechen, Hamburg 1995
Freundesgabe Büllesbach 2002
347
Irini E. Vassilaki
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und
Informationsgesellschaft
1. Problemstellung
»In ihrer weitesten Bedeutung sind Gesetze die notwendigen Bezüge, wie sie
sich aus der Natur der Sache ergeben« (Montesquieu, 1. Buch, 1. Kapitel).
Dieser Aphorismus von Montesquieu pointiert, dass nicht nur die äußeren
Bedingungen menschlicher Gesellschaften, wie etwa das Klima oder geographische Gegebenheiten, sondern auch soziale Strukturen, wie etwa Klassenverhältnisse oder wirtschaftliche Aktivitäten, in einem komplizierten Wechselspiel »die Natur der Sache« ausmachen und den »esprit général«, den
»Zeitgeist« bilden, der die Gesetze einer Gesellschaft durchbringt. Demnach
beruht die Natur der Sache auf natürlichen, wirtschaftlichen und kulturellen
Gegebenheiten, an welche die Rechtsordnung anknüpfen kann und muss.
(Über das Werk von Montesquieu und seine rechtsphilosophische Bedeutung
vgl. nur Coing, S. 184, 190; Strömholm, S. 190 ff.; Zippelius, § 7 I.) Sie weist
nämlich gewisse Strukturen auf, die gewertet und eingeordnet werden, so
dass die Erkenntnis gewonnen wird, ob und gegebenenfalls wie die Rechtsordnung einzugreifen hat.
Die Suche nach der Natur des Sache des 21. Jahrhunderts führt nunmehr
unausweichlich zu den Anwendungen der Informationstechnik. Ihre Relevanz
und Einfluss auf die Gesellschaft, die auch als Informationsgesellschaft
bezeichnet wird, kann als Axiom in dieser Stelle dahingestellt bleiben. (Über
den Einfluss der Informationstechnik auf die Gesellschaft vgl. nur Lange,
Tauss/Kollbeck, Tinnefeld/Phillips/Heil, Weizenbaum). Es sind aber kaum Syllogismen verarbeitet worden, wie die Strafrechtswissenschaft auf diese neuen
informationellen Strukturen agiert. Diese Aufgabe habe ich im folgenden Beitrag als Ziel gesetzt. Ich werde untersuchen, ob die Informationstechnik ein
soziales, kriminologisch relevantes Ordnungsproblem für die Gesellschaft
darstellt (unter 2). Die Ergebnisse werde ich bei den einschlägigen Responsen
des Straf- und Strafprozessrechts anwenden (unter 3 und 4). Hinzu werde ich
die Frage ansprechen, ob und wie die Rechtsinformatik der Strafrechtsfortbildung verhilft (unter 5) und die Ausführungen mit einem Ausblick abschließen (unter 6).
2. Der kriminologische Wertgesichtspunkt
Dass die Information eine dritte »Grundgröße« neben Materie und Energie
darstellt (Wiener zitiert nach Steinbuch, S. 581.), hat Norbert Wiener bei der
Fundierung der Wissenschaft der Kybernetik schon in den fünfziger Jahren
pointiert. Im Anschluss daran hat die Verarbeitung und Übermittlung der
Freundesgabe Büllesbach 2002
348
Vassilaki
Information von computergestützten Systemen in den achtziger Jahren dazu
geleitet, die Information auch als Gefahrenpotential zu nominieren, im Sinne
von unrichtiger, unbefugt gesteuerter, fehlender und rechtsgutgefährdender
Information. (Dazu etwa Bertrand, S. 400 ff.; Bing, S. 12 ff.; Bull; Sieber, NJW
1989, S. 2570 f.; Zimmerli).
Ob diese Betrachtung am Anfang des 21. Jahrhunderts Gültigkeit für das
Strafrecht hat, bleibt offen. Voraussetzung für die Beantwortung der einschlägigen Frage ist die kriminologische Untersuchung des Missbrauchs von
Multimedia und vom Internet, die – wie der Computer der achtziger Jahre –
heute die Information übertragen. Als Erkenntnismittel wurden Strafakten als
auch Täter- und Opferbefragung herangezogen.
2.1 Erscheinungsformen des Missbrauchs des Internets
Aus der Verwertung der Erkenntnisquellen lässt sich ableiten, dass der
Missbrauch des Internet zwei Hauptgruppen bildet: Erstens Aktivitäten, die
Informationen mit rechtswidrigem Inhalt verbreiten und zweitens solche, die
die Rechte dritter Personen an der Information verletzen. (Eine Übersicht über
die Risiken der Computernetzwerke in: Dornsreif/Klein, S. 226 ff.). Eine Zuordnung nach Delikttypen innerhalb dieser Gruppen führt zu folgenden Ergebnissen:
2.1.1 Verbreitung von Informationen mit rechtswidrigem Inhalt
Mittels des Internets lassen sich Informationen mit rechtswidrigem Inhalt
unterschiedlicher Art ausbreiten. Am häufigsten findet man aber Informationen, deren Inhalt in engem Zusammenhang mit drei Deliktgruppen
steht.
1. Delikte gegen die sexuelle Selbstbestimmung
Hier ist die Verbreitung von pornographischen Bildern einzuordnen,
indem die Täter ihre Opfer – meistens Kinder – via Daten-Highways aussuchen und ihre Angebote ohne Verfolgungsrisiko aus der Ferne machen
(vgl. etwa Horb, S. 53). Auch die sexuelle Belästigung am Arbeitsplatz,
die unter besonderen Umständen als Beleidigung betrachtet werden
kann, ist unter diesem Delikttypus einzusortieren. Das Opfer ist mittels
Manipulationen von Daten gezwungen, z.B. pornographische Bilder am
Arbeitsplatz anzuschauen oder die Zusendung sexistischen und pornographischen Materials an seiner Mailbox auf sich zu nehmen. (vgl. dazu
Möhn, CHIIP 1995 (Heft 1), S. 60 ff.).
2. Delikte gegen die öffentliche Ordnung
Neben den sexuell gerichteten Kriminellen wird das Internet auch von
extremistischen politischen Gruppen missbraucht: Das Datennetz wird
einerseits von extremistischen Kreisen benutzt, um ihre Botschaften
Freundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
349
unzensiert zu verbreiten (Pack, S. 52.), während andererseits Informationen, die terroristischer Aktivitäten unterstützen, wie z. B. Anleitungen
zum Bombenbau oder zum Mischen von Nitroglyzerin, öffentlich im
Rahmen der »rechtmäßigen« Nutzung des Systems angeboten werden.
3. Fälschung von Hypertexten
Die Verbreitung von Texten und Bildern via Datennetzen bietet Kriminellen die Möglichkeit, die Inhalte von Internetseiten zu manipulieren.
(P. Klimsa, S. 188 f.). Den Informationen, die dort enthalten sind, wird
durch Bearbeitungsprogramme, etwa Viren, ein völlig neuer Inhalt gegeben oder sie werden zerstört. So sind etwa die Originalinhalte der
Homepage der CIA und des US-Justizministeriums durch Hakenkreuze,
nacktes Fleisch und Anti-Zensur-Parolen ersetzt (siehe Luckhardt, S. 235)
oder Rechner durch Viren (z. B. durch den »I love you«-Virus), die durch
E-Mail verbreitet worden sind, abgestürzt.
2.2. Verletzung von Rechten Dritter an der Information
Bei der Aufarbeitung der zweiten Hauptgruppe des Missbrauchs des Internets
fällt auf, dass die Rechtsgüter, die von den entsprechenden Handlungen verletzt werden, meistens nicht von dem StGB geschützt werden. Vielmehr handelt es sich um Rechtsgüter, die von Normen des Nebenstrafrechts geschützt
werden.
1. Verletzung urheberrechtlicher Vorschriften
Das Angebot von Raubkopien, etwa von Programmen oder Musik-CDs,
wird heute durch das Netz gemacht und diese werden durch die Verwendung des Internet kopiert und übertragen. Hinzu wird den Piraten die
Möglichkeit gegeben, für bestimmte Zeit Zugriff auf Mailboxen zu haben,
die die allerneueste Software enthalten. Damit ist die Anonymität sowohl
des Kunden als auch des Vertreibers gewährt, die gefährlichen Beweisobjekte in Form von Disketten entfallen und die strafrechtlichen Tatbestände des Urhebergesetzes sind erfüllt (vgl. Bär, S. 440). Diese Tatsache führt dazu, dass das Raubkopieren über das Internet zu einem
»Kavaliersdelikt« gemacht wurde, so dass in fast jedem privaten Computer Raubkopien zu finden sind.
2. Verletzung datenschutzrechtlicher Vorschriften
Trotz der hauptsächlichen Anonymität der Nutzung eines Datennetzes ist
die Gefährdung des Rechts auf informationelle Selbstbestimmung möglich. E-Mail-Adressen, Verbindungsdaten z.B. Zeitpunkt und Dauer einer
Verbindung, Entgeltdaten, die für Abrechungszwecke verarbeitet werden, Bestandsdaten wie Namen oder Anschriften von Netzbenutzern können als personenbezogene Daten in Erscheinung kommen, deren
Sammlung Kommunikations- oder Nutzungsprofile herstellen lassen.
Weiterhin verletzt das Abhören der übertragenen Informationen als
Inhaltsdaten die Vertraulichkeit der Kommunikation und leitet zu der
Freundesgabe Büllesbach 2002
350
Vassilaki
Anwendung von datenschutzstrafrechtlichen Normen ( s. dazu Eckhardt,
S. 197 ff.).
2.3 Zwischenergebnis: Ende des 20. Jahrhunderts: Information als
Gefahrenpotential
Aus den Vorangegangenem kann gefolgert werden, dass auch mit dem
Einsatz von Multimedia und des Internets die Aussage aufrechterhalten bleibt,
dass die Information ein Gefahrenpotential darstellt. Diese These ist aber nicht
als eine rechtlich relevante Naturtatsache nach der Radbruchschen Lehre zu
bewerten (Siehe Radbruch, S. 10 ff., wo er den Stoff, der das Recht zu formen
hat, in drei Gruppen gliedert: in die Gruppe der rechtlich relevanten Naturtatsachen, die Gruppe der sozialen Vorformen der Rechtsverhältnisse und die
Gruppe des bestehenden Rechts. Dass die Information per se, um den
Aphorismus von Norbert Wiener zu Ende zu denken, in den meisten Fällen
eine neutrale Größe ist, stellt eine rechtsunerhebliche Seinsgegebenheit dar.
Nur unter Bezug auf einen bestimmten Gesichtspunkt, dass nämlich die
Information mittels der Informationstechnik verarbeitet und übertragen wird,
wird diese zum Gefahrenpotential pervertiert, das für das Recht Relevanz hat.
Denn – um Stratenwerth zu zitieren – »erst die spezielle Blickrichtung hebt das
Wesen der Sache aus der Masse vorfindbarer Fakten heraus.« (Stratenwerth,
Die Natur der Sache, S. 27).
3. Der strafrechtliche Wertegesichtspunkt
Mit der Feststellung, dass die Information ein Gefahrenpotential in Form der
Internet-Kriminalität darstellt, ist aber noch nicht gesagt worden, wie das
Strafrecht solche Sachverhalte bewertet und – wenn notwendig – ordnend
eingreift. Die Ansätze dafür bietet die Rechtsprechung beim Judizieren von
internetspezifischen Fällen.
3.1 Problemkreis: »Anwendbarkeit des deutschen Strafrechts«
Der BGH hat sich in seinem Beschluss vom 12.12.2000 mit der Anwendbarkeit
des deutschen Strafrechts bei der Bestrafung der Internetkriminalität auseinandergesetzt.
Der Angeklagte, ein australischer Staatsbürger, hat von ihm verfasste Äußerungen, die den Tatbestand der Volksverhetzung nach § 130 StGB erfüllten, auf
einem australischen Server in das Internet gestellt, die Internetnutzern in
Deutschland zugänglich waren. Das Gericht entschied für die Anwendung des
deutschen Strafrechts und dabei wie folgend argumentiert: »Wenn für die
Anwendung deutschen Strafrechts die Auslegung des § 9 StGB erfolgen muss,
Freundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
351
so ist das Merkmal ›zum Tatbestand gehörender Erfolg‹ nicht ausgehend von
der Begriffsbildung der allgemeinen Tatbestandslehre zu ermitteln. Der
Erfolgseintritt ist in enger Beziehung zum konkreten Straftatbestand zu
sehen.« Demnach interpretierte der Senat den einschlägigen Tatbestand § 130
Abs. 1, 3 StGB, wobei das deutsche Strafrecht uneingeschränkt zur Anwendung gelangt. Denn nach Ansicht des Gerichts sei der nach § 9 StGB erforderliche Erfolg des konkret abstrakten Gefährdungsdelikts der Volksverhetzung in Deutschland eingetreten (s. dazu BGH, CR 2001, 262 ff. m. Anm.
Vassilaki).
Unklar und vom BGH nicht konkretisiert ist allerdings, welche die Kernaussage des Ausdrucks »zum Tatbestand gehörender Erfolg« sein kann, bzw. was
die Konsequenz ist, wenn dieser Erfolg – was auch immer ihn ausmacht – eintritt. Auf diese Frage kann es nur eine Antwort geben: Wenn der tatbestandsmäßige Erfolg eintritt, wird das geschützte Rechtsgut beeinträchtigt, d.h.
gemäß dem einschlägigen Tatbestand entweder verletzt oder gefährdet.
Wenn nunmehr der Parameter »Eintritt des tatbestandsmäßigen Erfolges«
eng mit dem Parameter »Rechtsgutbeeinträchtigung« verbunden ist, lassen
sich aus einer Betrachtung des letzteren Ansätze zur Konkretisierung des
ersten gewinnen. So erhält der Begriff »tatbestandsmäßiger Erfolg« i. S. von
§ 9 StGB Konturen.
Das mittels eines Straftatbestandes geschützte Rechtsgut kann durch die
Vornahme von Handlungen in zweifacher Hinsicht betroffen werden:
Einerseits kann es unmittelbar beeinträchtigt werden, indem das Rechtsgut
verletzt wird, wie z.B. durch die Verbreitung von Viren, die den ordnungsgemäßen Betrieb einer EDV-Anlage verhindern und so das Rechtsgut
»Eigentum«. Andererseits kann das inkriminierte Verhalten mittelbar zu einer
Beeinträchtigung führen, wovon immer dann auszugehen ist, wenn nicht
sicher ist, ob es zu einer tatsächlichen Schädigung kommen wird, so z. B. das
Verbreiten unvollständiger Informationen über Wertpapiere via Internet, was
nach § 264 a StGB das Allgemeininteresse an der Funktionsfähigkeit des Kapitalmarktes negativ beeinträchtigt. Bei den Erfolgsdelikten wird somit die
Rechtsgutbeeinträchtigung »festgestellt«, während bei den Gefährdungsdelikten eine solche »prognostiziert« wird.
Für eine solche »Prognoseentscheidung« ist im Bereich der Gefährdungsdelikte der Schwerpunkt auf das inkriminierte Verhalten zu legen und zu fragen, ob dieses Verhalten geeignet ist, zu einer Beeinträchtigung des geschützten Rechtsgutes zu führen. Die Feststellung der Geeignetheit soll nach einer
ex-ante-Bewertung des zur Prüfung anstehenden Verhaltens abstrahiert vom
Einzelfall geschehen. Es muss nämlich gefragt werden, ob das konkrete
Verhalten gemäß dem vom Täter vorgestellten Verlauf zur Beeinträchtigung
des geschützten Rechtsgutes führt. Wenn diese Frage positiv beantwortet
werden kann, liegt eine Gefährdung des Rechtsgutes vor und der zum
Tatbestand gehörende, aber in diesem nicht beschriebene Erfolg ist eingetreten, so dass die Anwendung des deutschen Strafrechts gem. § 9 I StGB in
Betracht kommt.
Freundesgabe Büllesbach 2002
352
Vassilaki
3.2 Problemkreis: Garantenstellung
Das AG Tiergarten hatte über einen Fall zu entscheiden, in dem die Angeklagte
durch das Einfügen eines Links in ihrer Homepage den Zugriff auf die
Zeitschrift »Radikal« ermöglichte, deren Verbreitung in Deutschland verboten
ist. Im Heft 154 der Zeitschrift »Radikal« konnte man zwei Artikel lesen, die zu
Sabotageakten gegen die Deutsche Bahn aufforderten und unter dem
Gesichtspunkt des § 316 b Abs. 1, der die Störung öffentlicher Betriebe bestraft, und § 126 Abs. 1 Nr. 7 StGB, der die Störung des öffentlichen Friedens
durch Androhung von Straftaten bestraft, von strafrechtlicher Bedeutung
waren. Für das Gericht war die Tatsache von Bedeutung, dass zum Zeitpunkt
des Installierens des Links, nämlich im April 1996, die entsprechende Ausgabe
der Zeitschrift noch nicht existierte. Erst zu einem späteren Zeitpunkt, nämlich
im Juni 1996, sind die rechtswidrigen Artikel eingespeist worden. Demzufolge
verneinte das Amtsgericht die Absicht der Angeklagten, Beihilfe zur Anleitung
zu Straftaten zu leisten und sprach sie frei. Es sind jedoch keine Ausführungen
zu finden, die die Kardinalfrage betreffen, nämlich ob grundsätzlich jeder, der
einen Link in seiner Homepage einbaut, verpflichtet ist, den Inhalt der von ihm
verwiesenen Web-Seite vorher zu kontrollieren. Gleichwohl hat das Gericht
die Möglichkeit einer Strafbarkeit unter dem Gesichtspunkt der Garantenpflicht aus lngerenz in Betracht gezogen (s. AG Tiergarten., CR 1998, 111 m.
Anm. Vassilaki). Das Gericht hat erkannt, dass die Unterlassungsproblematik
eine wichtige Rolle bei der Bestrafung des Missbrauches von Internet spielen
wird. Dass es keine eindeutige Aussage dazu geliefert hat, ist teilweise auf den
komplizierten dogmatischen Aufbau der Unterlassungsdelikte zurückzuführen. Gleichwohl ist eine Garantenstellung aus lngerenz abzulehnen, denn
diese würde bedeuten, dass, wie die h. M. als Voraussetzung für die Ingerenz
verlangt, das Herstellen des Links ein objektiv pflichtwidriges Verhalten darstellt. Diese Konsequenz wäre aber weder rechtlich noch rechtspolitisch haltbar. Vielmehr ist die Frage zu stellen, ob die Schaltung bzw. Aufrechterhaltung
eines Links die Begründung einer Garantenpflicht zur Folge hat, weil damit der
Linkprovider die Herrschaft über einen Gefahrenbereich übernimmt. Da die
Antwort umfangreiche Ausführungen verlangt, wird an dieser Stelle nur ansatzweise diese Problematik erörtert werden.
Für das Bestehen einer Garantenstellung des Linkanbieters wegen der
Herrschaft über einen Gefahrenbereich könnte der Entstehungsgrund dieser
Garantenpflicht sprechen. Wollen die Menschen via Internet kommunizieren,
können sie dieses nur, wenn sie erwarten können, dass jeder, der die neuen
Medien benutzt, seinen Einflussbereich im Netz in einer Weise gestaltet, dass
von diesem keine unvorhersehbaren Gefahren für die Rechtsgüter Dritter oder
der Allgemeinheit ausgehen. Demzufolge ist der Urheber einer Homepage ein
Inhaltsanbieter, der den rechtlichen Einfluss, die Herrschafts- bzw. Verfügungsgewalt über die Homepage hat. Damit ist er verpflichtet, diese zu kontrollieren, so dass sie keine rechtswidrigen Informationen enthält oder auf
keine rechtswidrigen Inhalte weiterverweist. Unter diesem Gesichtspunkt
Freundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
353
kann eine Rechtspflicht zur Kontrolle begründet werden, deren Zumutbarkeit
für den Garanten gesondert zu prüfen ist (Ausführlich dazu Vassilaki, CR 1999,
85 ff.).
3.3 Problemkreis: Schriftenbegriff (§ 11 Abs. 3 StGB)
OLG Nürnberg hat sich in einem Beschluss v. 23.6.1998 mit der Problematik
des Schriftenbegriffs beschäftigt. Der Senat hatte über die öffentliche Beschimpfung eines christlichen Bekenntnisses nach § 166 StGB zu entscheiden,
weil eine Firma über ihre Internet-Homepage ein T-Shirt anbot, auf dem ein an
das Kreuz genageltes Schwein abgebildet war. Nach der Begründung fallen
die Datenträger der Homepage unter den Schriftenbegriff des §11 III StGB.
Denn Daten, die über das Internet abgerufen werden können, werden durch
Speichermedien wie Festplatten bereitgestellt, so dass eine Verkörperung vorliegt, die für den Schriftenbegriff des §11 III StGB notwendig ist. Unerheblich
ist dabei, dass die Wahrnehmung solcher Daten nur durch den Einsatz von
technischen Mitteln möglich ist.
Damit steht fest, dass die auf Datenspeichern festgehaltenen Informationen
eine Schrift gem. §11 III StGB darstellen. Das OLG Nürnberg hat allerdings die
Frage offengelassen, ob solche Informationen unter dem Begriff der »Darstellung« des §11 III StGB subsumiert werden können. Obwohl das Zögern des
Senats aufgrund der Unklarheiten, die die Technik oft verursacht, verständlich
ist, bleibt das Gericht der Strafrechtswissenschaft eine Antwort schuldig.
Diese kann jedoch aus der Argumentation anderer Gerichte abgeleitet werden. Denn die Auslegung des §11 III StGB lässt es zu, die gespeicherten
Informationen als »Darstellungen«, die den Oberbegriff der Vorschrift bilden,
zu betrachten (Ausführlich dazu Vassilaki, MMR 1999, 528 f.).
3.4 Zwischenergebnis: Materielles Strafrecht + Internet = »Law in action«
Die kurze Darlegung dieser internetspezifischen Urteile weist deutlich darauf
hin, dass im konkreten Zeitpunkt in diesem Bereich grundsätzlich Lösungen
durch die Anwendung des allgemeinen Teils des Strafrechts gesucht werden.
Die Auslegung der Vorschriften des Besonderen Teils erfolgt in der Regel ohne
Schwierigkeiten. Bei der Internet-Kriminalität ist daher nicht die Verhaltensregelung bzw. -bestrafung, sondern die Verhaltenseinordnung problematisch.
Das strafrechtlich relevante Verhalten wird nach den allgemeinen Voraussetzungen der strafbaren Handlung geprüft. Die Gegebenheiten der Informationsgesellschaft werden in die Grundprinzipien des Strafrechts gekleidet.
Diese Feststellung ergibt sich von den Ansätzen der Rechtsprechung, die sich
um die Formung von Grundsatzlinien bemüht, die eine Richtschnur für die
Beantwortung von Fragen der Internet-Kriminalität bilden sollen.
Dieses Vorgehen stellt freilich nichts anderes als die Reaktion des Rechts
Freundesgabe Büllesbach 2002
354
Vassilaki
gegenüber neuen Phänomenen in seiner Eigenschaft als »law in action« dar.
Denn das Recht ist nicht bloß ein normatives Sinngefüge, sondern es hat auch
eine faktische Seite. Diese Seite nimmt die neuen Strukturen der Informationsgesellschaft wahr und versucht den Anwendungsbereich des Rechts
auch auf diese Neuheiten zu erweitern. In diesem Sinne verhilft der Missbrauch des Internet der strafrechtlichen Entwicklung. Neuer Regelungen
durch den Gesetzgeber bedarf es nicht. Vielmehr ist die Strafrechtswissenschaft herausgefordert, die Dogmatik des Allgemeinen Teils auf die neuen
Fragen anzuwenden. Auf diese Weise wird die Strafrechtswissenschaft das
Strafrecht aus geschriebenem Recht (law in the books) zum lebenden Recht
(law in action) des 21. Jahrhunderts überleiten.(Über das Recht als »law in
action« vgl. Esser, S. 19 ff.; Rehbinder, § 1 2; Pound, S. 44 (1910), S. 12 ff.;
Zippelius, ..., S. 16 f.; ders..., Rechtsphilosophie, § 4 III.).
4. Der strafprozessuale Wertgesichtspunkt
Im Gegensatz zu der internetspezifischen Rechtsprechung, die sich mit Fragen
des materiellen Strafrechts beschäftigt, karg sind die Ausführungen, die strafprozessuale Themen betreffen. Gleichwohl mannigfaltig und kompliziert sind
die Probleme, die während der Strafverfolgung der Internet-Kriminalität hervorgerufen werden. Im Folgenden sollen nur die wichtigsten davon erläutert
werden.
4.1 Problemkreis: Durchsuchung
In einem Beschluss vom 3. 8. 1995 betrachtete der BGH die Durchsuchung und
Durchsicht von Datenträgern als Maßnahmen, die den Anforderungen der
§§ 102 ff. StPO gerecht werden (siehe dazu BGH, CR 1996, S. 36 ff. m. Anm.
Bär). Damit ist zuzustimmen. Der Richter hat die Ausführungen einer älteren
Entscheidung des Gerichts fortgeführt, die die Frage der Anwendung des
§ 110 StPO bejahend beantwortet hat (siehe dazu BGH, CR 1988, S. 142 f.).
Damit macht es keinen Unterschied, wenn das für das Strafverfahren von
Bedeutung gewonnenes Beweismaterial in elektronischen Informationsträgern gespeichert ist . Anders ist aber die Sachlage, wenn die Durchsuchung
den Zugriff auf Daten bedeutet, die via Netzwerk aufgerufen werden sollen. In
diesem Fall ist zu differenzieren: Wenn die Durchsuchungsanordnung den
Zugriff auf Daten innerhalb eines lokalen Netzwerkes erfasst, z. B. die internen
Online-Verbindungen eines Betriebs, entstehen aus der »Vergeistigung« der
Durchsuchung keine Probleme. Dieses Vorgehen ist mit dem Fall zu vergleichen, in dem die Durchsuchung ein ganzes Haus betrifft und diese in jedem
Zimmer durchgeführt wird.
Anders ist aber die Konstellation zu betrachten, in der die Beweismittel
durch Zugriff auf Daten gewonnen werden müssen, ohne dass vorher der
Freundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
355
Standort des Servers, in dem die Informationen gespeichert sind, bekannt ist.
Eine solche Durchsuchung von Kommunikationseinrichtungen verstößt
gegen strafprozessuale Normen und Prinzipien. Sie überschreitet zunächst
das Ausmaß der Durchsuchungsanordnung, die, wenn es sich um die Durchsuchung »anderer Räume« handelt, genau bezeichnet werden muss (über die
Bezeichnung des Ausmaßes der Durchsuchungsanordnung vgl. etwa BVerfGE
20, 162 [227]; 42, 212 [21]; 44, 353 [371]; BVerfG, NStZ 1992, S. 91.).
Die für die Rechtmäßigkeit der Maßnahme notwendige Angabe, dass die
Durchsuchung sich in Datenbestände innerhalb Deutschlands erstreckt, würde
dem Gebot der Verhältnismäßigkeit unterlaufen (Bär,1996, S. 229 f.).
Hinzu kommt die Gefahr, die Grenzen zwischen Durchsuchung und Telekommunikationsüberwachung verwischen zu lassen, was die folgende
Bemerkung erleuchtet: Da die durch die Durchsuchung Beweismittel »ex
tunc« während diese mittels der Telekommunikationsüberwachung »ex nunc«
gewonnen werden sollen, ermöglicht die Schnelligkeit der Datenfernverarbeitung und -übertragung solche Differenzierungen nur in wenigen Fällen.
Denn es ist oft schwierig festzustellen, welche Daten gespeichert waren, bevor
die Ausführung der Durchsuchung angefangen hat und welche Daten während der Durchführung dazu kommen (Über die Unterschiede zwischen
Durchsuchung und Kommunikationsüberwachung vgl. detalliert: Council of
Europe, PC-PC (93) 27).
Nicht zuletzt sind die aus der Durchsuchung im Internet abgeleiteten
Probleme des internationalen Strafrechts zu erörtern. Der Zugriff auf Datenbestände im Netz kann schnell den deutschen Hoheitsbereich verlassen und
die Hoheitsgewalt fremder Staaten gefährden. Diese vom Europarat genannte »direct penetration« (Über die Problematik der »direct penetration« siehe
Council of Europe, Recommendation No. R (89), 9 S. 66 ff.) unterläuft das
Rechtshilfeabkommen und führt zur unverwertbaren Beschaffung von
Beweismitteln.
Demzufolge kann eine Durchsuchung angeordnet und ausgeführt werden
nur wenn der Zielrechner, in dem die gesuchten Beweismittel gespeichert
sind, bekannt ist. Für die entsprechende Suche sind §§ 100g, h StPO von Bedeutung, die durch das »Gesetz zur Änderung der StPO« v. 20.12. 2001 in die
StPO eingefügt worden sind. Diese stehen nunmehr als Rechtsgrundlage für
den Zugriff auf Verbindungsdaten zur Verfügung. Danach sind die TK-Anbieter
verpflichtet, etwa die beteiligten Rufnummern einer Kommunikation den
Untersuchungsbehörden mitzuteilen, die zu einem Zentralrechner führen können, der danach untersucht wird (Bizer, S. 237.).
4.2 Problemkreis: Beschlagnahme
Die Unkörperlichkeit von Daten bringt besondere Probleme hervor, wenn sie
beschlagnahmt werden sollen. Gleichwohl besteht Klarheit darüber, wenn sie
in Datenträgern gespeichert sind. In diesem Fall werden die externen SpeicherFreundesgabe Büllesbach 2002
356
Vassilaki
medien als »Gegenstände« nach § 94 StPO sichergestellt. Weil dagegen einzelne Daten nicht verkörperte Objekte darstellen, scheiden als Beschlagnahmeobjekte aus. Das gleiche gilt für Informationen, die via Netz am
Bildschirm zu sehen sind, die freilich wegen ihrer Vergänglichkeit nicht unter
§ 94 StPO subsumiert werden können.
Für unkörperliche Informationen kommt die gem. § 94 StPO Sicherstellung
»in anderer Weise« in Betracht. Diese ist notwendig, wenn Gegenstände, wie
etwa Grundstücke oder Räume, nicht in Verwahrung genommen werden können oder aus Zwecken genauerer Untersuchung, an Ort und Stelle, wenn auch
nur vorübergehend, verbleiben müssen (vgl. dazu Kleinknecht/Meyer-Goßner,
§ 94 Rn. 16; KK-Laufhütte, § 94 Rn. 15; LK-Schäfer, § 94, Rn. 33). Dabei sei aber
bemerkt, dass ein Herrschaftsverhältnis der Strafverfolgungsbehörde begründet werden soll. Es muss nämlich eine amtliche Handlung vorliegen, die in
geeigneter Weise erkennbar zum Ausdruck bringt, dass die Sache der freien
Verfügung des Inhabers entzogen und der amtlichen Obhut unterstellt wird.
Demzufolge dürfen die in einem Zentralcomputer und für ein Strafverfahren
von Bedeutung gespeicherten Daten nicht mehr vom Beschuldigten verwendet werden. Dieses wird in der Regel mittels Sperrung der entsprechenden
Datenbestände erreichbar sein, was darüber hinaus die weitere Benutzung
von Hard- und Software seitens des Beschuldigten ermöglicht. Danach kann
ein Herunterladen der einschlägigen Daten von der Festplatte auf Datenträger
und deren Inverwahrungnahme gem. § 94 Abs. 1 StPO für das weitere
Strafverfahren erfolgen. Gleichwohl reicht das einfache Downloading der in
Betracht kommenden Daten ohne Einwirkung auf die Anlage, in der die
Informationen gespeichert sind, nicht. Denn in diesem Fall wird – entsprechend
der vom BGH gestellten Anforderungen (siehe dazu BGHSt 3, S.400; 15, S.150;
ähnlich auch RGSt 18, S.71 ff.) – keine staatliche Herrschaftsgewalt auf die original gespeicherten Informationen begründet (Anders aber Bär, 1996, S.745, der
das bloße Kopieren beweisrelevanter Informationen und deren Inverwahrungnahme unter dem Begriff »Sicherstellung auf anderer Weise« subsumiert).
Demzufolge ist die Beschlagnahme von für ein Strafverfahren beweisrelevanten Daten in den Fällen beschränkt, in denen zugleich die Datenträger mit
beschlagnahmt werden. Gespeicherte Informationen werden dagegen gem.
§ 94 I StPO »in anderer Weise sichergestellt«, wenn es technisch möglich ist,
sie innerhalb einer Computeranlage zu sperren.
4.3 Problemkreis: Kommunikationsüberwachung
Dass die neuen Formen der Kommunikation innerhalb der Informationsgesellschaft auch Unklarheiten hinsichtlich ihrer Überwachung hervorruft,
benötigt keine besondere Erläuterung. Demnach liegt es der Sache nahe, dass
der Gesetzgeber Änderungen in die einschlägigen Normen durchgeführt hat.
Mit dem BegleitG zum TKG ist das in §§ 100a und 100b StPO verankerte
Wort »Fernmeldeverkehr« von dem Begriff »Telekommunikation« ersetzt worFreundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
357
den. Damit werden die Überwachungsvorschriften, wie die Gesetzesbegründung betont, den neuen Informationstechnologien und der Terminologie des
TKG angepasst (siehe BT-Druck. 369/97, S. 45, 46). Den Begriff der Telekommunikation liefert nunmehr § 3 Nr. 16 TKG, der darunter den technischen Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art, Bildern oder Tönen mittels Telekommunikationsanlagen subsumiert. Dabei ist unerheblich, wie die TKG-Gesetzesbegründung hervorhebt,
welche Art die Nachrichten sind (z. B. menschliche Sprache oder Rundfunkprogramme) (siehe BT-Druck. 13/3609, S. 37).
Daraus folgt, dass die Zwangsmaßnahme der Überwachung eine Wende
erfährt. Ab sofort kann sie in jeglicher Art von Nachrichten eingesetzt werden,
unabhängig davon, ob es um einen Kommunikationsvorgang zwischen
Menschen oder zwischen Menschen und Computern geht. Das Fernmeldegeheimnis wird damit zu einem Kommunikationsgeheimnis umgewandelt.
Dieses aber enthält nicht unbedingt einen sozialen Bezugspunkt im Sinne
eines zwischenmenschlichen Informationsaustausches. Nunmehr reicht für
die Begründung eines überwachungsgeeigneten Vorganges der Zugang zu Informationsquellen, die mittels technischer Vorgänge Nachrichten übermitteln.
Die Veränderung des Charakters des Fernmeldegeheimnisses wird mehr
einleuchtend, wenn man den veränderten § 100b Abs. 3 S. 1 StPO liest. Demnach hat jeder geschäftsmäßige Erbringer von Telekommunikationsdiensten
die Überwachung zu ermöglichen. Wen diese Norm betrifft, bestimmt
§ 3 Nr. 5 TKG. Diese Vorschrift erfasst nämlich alle, die das nachhaltige
Angebot von Telekommunikation, einschließlich des Angebots von Übertragungswesen für Dritte mit oder ohne Gewinnerzielungsabsicht, bereitstellen.
Die daraus abgeleiteten Konsequenzen liegen auf der Hand. Als Telekommunikationserbringer wird jeder nominiert, der mit einiger Nachhaltigkeit
Router und Server im Internet betreibt (Bär, 1998, S. 436; Grundermann,
S. 51), den Betreiber von Mailboxen eingeschlossen (Siehe den Beschluß von
BGH, der sich mit der Überwachung von Mailboxen auseinandersetzte, BGH,
CR 1996, S. 488 ff.; NStZ 1997, S. 247 f.; StV 1997, S. 396 f.; vgl. auch die Anmerkungen von Bär, CR 1996, S. 490 f.; Bizer, DuD 1996, S. 627; Kudlich, JuS
1988, S. 209 ff.; Palm/Roy, NJW 1997, S. 1904 f.). Die Überwachung erstreckt
sich über die öffentlichen Fernmeldenetze hinaus und erfasst nunmehr auch
die geschlossenen Benutzergruppen (Corporate Networks), was, wie in der
Gesetzesbegründung ausdrücklich artikuliert ist , ein Ziel der Veränderung
war.
Die vorangegangenen Ausführungen rufen die Frage hervor, ob die Neufassung der Überwachungsvorschriften den Anforderungen des Verhältnismäßigkeitsgrundsatzes entspricht. Dabei sind nicht nur Bedenken wegen der
Aushöhlung oder besser der Verabschiedung von der Garantie des Fernmeldegeheimnisses anzumelden. Vielmehr ist auch die Beeinträchtigung des Art. 14
Abs. 1 GG der Telekommunikationsanbieter vor Augen zu halten, die mittels
der TKÜV v. 23.1.2002 erfahren haben, welche Maßnahmen sie ergreifen müssen, um staatliche Überwachungen zu ermöglichen (Pernice, DuD 2002, 207 ff).
Freundesgabe Büllesbach 2002
358
Vassilaki
4.4 Strafprozessrecht + Multimedia = Juristisches Neuland
Die ausgewählten Problemkreise haben darauf hingewiesen, dass – im
Gegensatz zum materiellen Strafrecht – das Strafprozessrecht die aus der
Entwicklung der Informationstechnik hergeleiteten rechtlichen Fragen nicht
beantworten kann. Diese Feststellung ist auf die Tatsache zurückzuführen,
dass die strafprozessualen Regelungen an der Sammlung vom Beweismaterial orientiert sind, die aus körperlichen Objekten zu gewinnen ist. Die Immaterialisierung der Information entspricht somit den Prämissen der strafverfahrensrechtlichen Normen nicht.
Demzufolge ist eine Erneuerung des Strafverfahrens erforderlich, die die
einschlägigen Rechtslücken abschließen soll. Dabei ist freilich Vorsicht gefragt. Denn das Strafverfahren muss als angewandtes Verfassungsrecht (Über
das Strafverfahrensrecht als angewandtes Verfassungsrecht vgl. Roxin, 2)
auch grundrechtsschutzorientiert sein. Wie aber aus den ersten Änderungen
zu entnehmen ist, nach denen das Fernmeldegeheimnis zu einem Telekommunikationsgeheimnis unter Vorbehalt gewandelt wird, besteht die Gefahr,
aus solchen gesetzgeberischen Operationen Eingriffsmaßnahmen zu entstehen, die die Grundrechte in Frage stellen. Dadurch würde der Weg vorbereitet,
innerhalb der Informationsgesellschaft den »gläsernen Menschen« zu schaffen.
5. Die Position der Rechtsinformatik
Dass auch die mathematische Methodik der Informationstechnik die gesamte
Rechtswissenschaft beeinflussen wird, ist schon seit den 70er Jahren propagiert worden (Für die ältere Literatur vgl. nur Fiedler, Haft, Philipps, Simitis,
Suhr). Unabhängig davon, ob man über »Juristische Informatik«, »Computers and the law«, »Rechtskybernetik«, »informatique juridique« oder »Rechtsinformatik« spricht, erfassen diese Begriffe »die Lehre von den Möglichkeiten,
Voraussetzungen und Folgen der EDV im Recht« (Steinmüller, S. 30). Diese
Definition enthält drei Hauptfelder, die das Verhältnis der Informationstechnik
mit der Rechtswissenschaft bestimmen: Es handelt sich dabei um das Ansetzen der Informationstechnik für a) die Gewinnung von juristischen Informationen, b) die Optimierung der juristischen Ausbildung und last but not
least c) die Automatisierung der Rechtsgewinnung.
5.1 Juristische Informationssysteme
Als die einfachste Aufgabe der Rechtsinformatik erscheint die Gewinnung von
juristischen Informationen mit Hilfe der Informationstechnik. Der Aufbau von
juristischen Off- und Online Datenbanken – an dieser Stelle sei nur das System JURIS erwähnt – die Möglichkeit, über Internet Zugang zu verschiedenen
juristischen Bibliotheken im ganzen Globus zu erlangen, die Gelegenheit,
Freundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
359
durch das Netz elektronische juristische Presse zu studieren, bieten nur ein
paar Beispiele dafür, welche Vorteile gegenüber den herkömmlichen Informations-Einrichtungen die Informationstechnik dem Juristen anbietet.
5.2 Juristische Lehrtechnologie
Auch wenn die Verwendung der Informationstechnologie beim deutschen
juristischen Studium nicht besonders verbreitet ist, haben einschlägige
Projekte der Universitäten Berlin, Hannover, Heidelberg, Münster, München,
Passau, Saarbrücken, Tübingen und Würzburg gezeigt, dass multimediales
Lernen und Lehren in ein paar Jahren unentbehrliches Instrumentarium der
juristischen Ausbildung sein wird. Es sind dabei dialogfähige Programme
gefragt, die etwa mit Begriffsbäumen dem Lernenden helfen, Tatbestände
besser zu verstehen. Die Selbständigkeit der Erarbeitung je nach dem individuellen Verständnis des Studenten, die unterschiedlichen Alternativen und
das enorme Angebot an Literatur und Rechtsprechung in Verbindung mit der
Möglichkeit der Bewertung der Antworten und der Hilfestellung der
Lernsoftware bieten eine zusätzliche – wohlbemerkt – juristische Ausbildungsmöglichkeit (Über die Anwendungen von juristischen Lernprogrammen vgl.
etwa Brehm, PC-Fallbeispiel Zwangsvollstreckung: Fiedler/Oppenhorts;
Haft/Müller-Krumbhaar, S. 556 ff.; Philipps, S. 103 ff.; Ring, S. 64. Denn die
Erfahrung mit den Lernprogrammen hat auf eine Tatsache hingewiesen: Sie
können neben und nicht statt der klassischen juristischen Basis-Ausbildung
angeboten werden.).
5.3 Juristische Rechtsfindung
Die Herausforderung der Rechtsinformatik liegt darin, die Informationstechnik
zu verwenden, um eine automatisierte Rechtsanwendung zu gewinnen.
Gefragt wird dabei, die Formalisierung von Rechtsanwendungsmodellen der
Methodenlehre, so dass die Subsumtion automatisch folgt. Es sind bis jetzt
zwei Systeme, die ansatzweise eine solche Umsetzung erreicht haben. Das
erste ist das Expertensystem Lex, das ein Forschungsprojekt der IBM Deutschland und der Universität Tübingen § 142 StGB verarbeitet hat. Es verwendet
»Wenn-dann-Regeln« und beinhaltet Auslegungsalgorithmen, die auf Wortinterpretation basieren. (Über das Expertensystem-Lex siehe ausführlich,
Sulz). Das an der Universität München erstellte Neuronale Netz erarbeitet dagegen ein System zum Schmerzensgeldanspruch nach § 847 BGB. Das Netz
besteht aus kleinen Einheiten, die sog. Neuronen, die mit der geeigneten technischen Unterstützung die Eigenschaft besitzen, sich trainieren zu lassen. Das
System enthält höchstrichterliche Rechtsprechung, die den Schmerzensgeldanspruch betrifft. Diese wird vom System als Muster verwendet und mit
einem Vergleichsalgorithmus auf den gestellten Sachverhalt übertragen, so
Freundesgabe Büllesbach 2002
360
Vassilaki
dass eine automatisierte Entscheidung getroffen werden kann. Rechtsmethodisch wird nämlich die aristotelische Topik verwendet, indem der Topoikatalog
und unterschiedliche Gesichtspunkte des Sachverhaltes von den Neuronen
bewertet werden. (Ausführliche Beschreibung des Münchener Neuronalen
Netzes siehe in: Ring, S. 123 ff.; dazu vgl. auch Philipps/Brass/Emmerich.).
5.4 Rechtsinformatik: Die Konvergenz der Informationstechnik und der
Rechtstheorie
Die synoptische Darstellung der Arbeitsfelder der Rechtsinformatik weisen
darauf hin, dass diese eine Herausforderung für die gesamte Rechtswissenschaft darstellt. Insbesondere werden rechtstheoretische Ansätze gesucht und
überarbeitet, die geeignet sind, einer formalisierten Sprache übersetzt zu werden. Ob dabei die Informationstechnik als Subsumtionshilfe oder als selbstständiges Entscheidungsautomat verwendet wird, ist eine Frage, die nicht nur
von dem Willen der Juristen abhängig ist, sondern auch von der Fähigkeit der
Informatiker die komplizierten Methoden der Rechtsfindung zu juristisch tauglich mathematischen Algorithmen umzuwandeln.
6. Ausblick
Die vorangegangene Untersuchung hat dargelegt, dass Verhaltensformen der
Informationsgesellschaft unterschiedliche Fragen in einem weiten Bereich der
Strafrechtswissenschaft hervorrufen. Dass für die Antworten in einigen Fällen
die klassische Strafrechtsdogmatik eingesetzt werden muss, während in anderen Fällen das Einschreiten des Gesetzgebers gefragt ist, ist die natürliche
Reaktion des Rechts gegenüber neuen gesellschaftlichen Phänomenen. Denn
– um die Ausführungen von Platon leicht zu verändern – mittels des Rechts
werden die Elemente bekannt, die notwendig für das Zusammenleben in einer
konkreten Gesellschaft sind. (Platon, 875a). Und es sieht so aus, als dass die
Informationstechnik – in welcher Form auch immer – sich als ein wichtiger Teil
der Gesellschaft des 21. Jahrhunderts entwickelt.
Literatur
Bär, W.: Polizeilicher Zugriff auf kriminelle Mailboxen, CR 1995, S. 489 – 495.
Bär, W.: Durchsuchungen im EDV-Bereich, CR 1995, S. 227 – 236.
Bär, W.: Rechtsprechung zum Strafrecht, BGH »Durchsuchung« einer Mailbox,
CR 1996, S. 490 – 500.
Bär, W.: EDV-Beweissicherung im Strafverfahresrecht: Änderungen durch das
BegleitG zum TKG, CR 1998, S. 434 - 440;
Bertrand, P.: Il était une fois ... le droits de l´informatique, Expertises 1987.
Bing, J.: in: International Computer Law Adviser Bd. 1 (1987), S. 12 – 16.
Freundesgabe Büllesbach 2002
Materielles Strafrecht, Strafprozessrecht, Rechtsinformatik und Informationsgesellschaft
361
Bizer, J.: Verpflichtung zur Herausgabe von TK-Verbindungsdaten an den
Staatsanwalt, DuD 2002, 237.
Bull, P.: Datenschutz oder die Angst vor dem Computer, München 1984.
Coing, H. : Grundzüge der Rechtsphilosophie, 5. Auflage, Berlin 1993
Council of Europe, PC-PC (93) 27, Strasbourg1993.
Dornsreif, M. / Klein, C.: Tatsächliche und rechtliche Risiken drahtloser Computernetzwerke, DuD 2002, S. 226 – 230.
Eckhardt, J.: Neue Regelungen der TK-Überwachung, DuD 2002, S.197 – 201.
Esser, J.: Grundsatz und Norm, 4. Auflage, Tübingen 1990.
Fiedler, H.: Forschungaufgaben der Juristischen Informatik, in: A. Kaufmann
(Hrsg.), Münchner Ringvorlesung EDV und Recht, München 1987, S. 229 – 235.
Grundermann P.: Das neue TKG-Begleitgesetz, KuR 1998, S. 48 – 53.
Haft F.: Elektronische Datenverarbeitung im Recht, München 1970.
Horb P.: Spiegel Special 1995 (Heft 3), S. 53.
Karlsruher Kommentar zur Strafprozessordnung, Pfeiffer G. (Hrsg.), 4. Auflage
1999.
Kleinknecht T. / Meyer-Goßner L., Strafprozessordnung, 46. Auflage 2001.
Klimsa W.: Multimedia, Anwendungen, Tools und Techniken, München 1995.
Kudlich H.: Der heimliche Zugriff auf Daten in einer Mailbox: ein Fall der Überwachung des Fernmeldeverkehrs? JuS 1998, S. 209 – 215.
Leipziger Kommentar, Großkommentar, Jähnke B./Laufhütte H./Odersky W.
(Hrsg.), 11. Auflage 1992.
Luckhardt T.: c´t 1997, (Heft 4), S. 235.
Montesquieu C-L: Vom Geist der Gesetze,Stuttgart 1994.
Pack D.: CHIP 1995 (Heft 10), S. 52.
Palm T./Roy G.: Der BGH unf der Zugriff auf Mailboxen, NJW 1997, S. 1904 –
1908.
Pernice I-M.: Die Telekommunikations-Überwachungsverordnung, DuD 2002,
S. 207 – 211.
Philipps L./Brass C./Emmerich H: A Neural Network to Identify Legal
Procedents München 1990.
Philipps L.: Testaufgaben in der Rechtswissenschaft, München 1978;
Platon, Nomoi, Buch IX, 875a Athen 1988.
Radbruch G.: Einführung in die Rechtswissenschaft, Stuttgart 1980.
Rehbinder M.: Rechtssoziologie 3. Auflage, Berlin 1993.
Ring S.: Computergestützte Rechtsfindungssysteme, Köln 1994.
Roxin C.: Strafverfahrensrecht, 25. Auflage 1998.
Sieber U.: Informationsrecht und Recht der Informationstechnik, NJW 1989,
S. 2570 – 2581.
Simitis U., Rechtliche Anwendungsmöglichkeiten Kybernetischer Systeme,
Frankfurt 1966
Steinbuch, GRUR 1987, S. 581
Strömholm S.: Kurze Geschichte der abendländischen Rechtsphilosophie,
Göttingen 1991.
Suhr A., Der Computer als juristischer Gesprächspartner, München 1970.
Freundesgabe Büllesbach 2002
362
Vassilaki
Sulz J.: LEX1-Prototyp eines computergestützten juristischen Expertensystems
auf natürlichsprachlicher Basis, in: Haft F./Lehmann H.: Das LEX-Projekt.
Entwicklung eines Expertensystems, Tübingen 1989 S. 77 – 114.
Tinnefeld M-T./Phillips L./Heil S.: Informationsgesellschaft und Rechtskultur in
Europa Baden-Baden 1998.
Vassilaki I.: Strafrechtliche Verantwortlichkeit durch Einrichten und Aufrechterhalten von elektronischen Verweisen (Hyperlinks). Die Anwendbarkeit der
allgemeinen Strafrechtsdogmatik auf neuen Verhaltensformen; in: CR 1999,
S. 85 – 93.
Vassilaki I.: Der Einfluß der Informations- und Telekommunikationstechnik auf
die Strafrechtsfortbildung im Jahre 1998 - Rechtsprechungsübersicht über
kommunikationsrechtliche, computer- und internetspezifische Entscheidungen der Strafgerichte - in: Multimedia und Recht 1999, S. 525 – 533.
Weizenbaum J.: Die Macht der Computer und die Ohnmacht der Vernunft,
Frankfurt.A.M. 1994.
Weizenbaum J.: Wer erfindet Computermythen? Freiburg 1994.
Zimmerli W.: (Hrsg.), Herausforderungen der Gesellschaft durch den technischen
Wandel, München 1989.
Zippelius R.: Das Wesen des Rechts, Eine Einführung in die Rechtsphilosophie, 5. Auflage, München 1997.
Zippelius R.: Rechtsphilosophie, 3. Auflage, München 1994.
Freundesgabe Büllesbach 2002
363
7. BAUSTELLEN DES IT- UND TELEKOMMUNIKATIONSRECHTES
Thomas Hoene
Planung und Steuerung von IT-Großprojekten nach modernisiertem
Schuldrecht
1. Projektstruktur als moderner Beschaffungsprozess für IT-Leistungen
Unsere Welt ist seit der ersten industriellen Revolution im 19. Jahrhundert
komplizierter und deshalb für menschliche Normengefüge zunehmend unbeherrschbarer geworden. Der Prozess der Verkomplizierung unserer Lebenssachverhalte beschleunigt sich mit fortschreitendem technischen Fortschritt
exponentiell. Die moderne Informationsgesellschaft des späten 20. und des
beginnenden 21. Jahrhunderts stellt historisch gewachsene Normensysteme
vor Aufgaben, deren Bewältigung nicht selten ihre Leistungsfähigkeit überschreitet. Beispielhaft deutlich macht dies der wirtschaftliche Beschaffungsvorgang für Hard- und Softwarelösungen im Austauschverhältnis zwischen
Anbieter und Benutzer.
Erst seit Ende der 80iger Jahre des 20. Jahrhundert hat sich in der Praxis
des Wirtschaftslebens als Verhaltensregel bei derartigen Beschaffungsprozessen entwickelt, den Beschaffungsvorgang in Projektform zu gestalten. Eine
projektbezogene Vorgehensweise zeichnet sich durch folgende typischen und
wesentlichen Kriterien aus:
Der Beschaffungsvorgang gliedert sich in mehrere Projektphasen, die auch
hinsichtlich ihrer vertragstypologischen Einordnung durch unterschiedliche
Leistungsinhalte im Austauschverhältnis geprägt sind. So beginnen IT-Projekte häufig erst mit der Untersuchung der konkret zu lösenden Aufgabenstellung und dem Suchen, Planen und Konzeptionieren in Betracht kommender –
mitunter alternativer – Lösungen. Das im eng verzahnten Dialog gestaltete
Suchen, Planen und Konzeptionieren ist vertragstypologisch anders zu bewerten als das Realisieren einer am Ende der Phase 1 gemeinsam konzeptionierten Lösung. Anders als bei der Realisierung steht nicht das Erstellen eines Ergebnisses, sondern der Know-how-Austausch aus unterschiedlichen Ansätzen
und mit unterschiedlichem Fachwissen im Vordergrund. Das Ergebnis ist
offen. An die Realisierung in der Phase 2 schließt sich die Optimierung (z. B. in
Form von Wartung und Pflege, Weiterentwicklung und Fehlerbehebung) und
der Know-how-Transfer auf den Anwender, mitunter auch der Betrieb der Lösung im Auftrag an. Auch hier unterscheiden sich die Leistungsarten von
denen der vorausgehenden Phasen wesentlich.
Die gesuchten und im Projekt eventuell gefundenen Lösungen sind in der
Regel aufgrund der Einzigartigkeit der Aufgabenstellung jedenfalls in Teilaspekten neu, dem leistenden Fachunternehmen im Detail bei Vertragsbeginn unbekannt, ebenso die Lösungswege. Dies hat Auswirkungen auf die
Freundesgabe Büllesbach 2002
364
Hoene
Kalkulierbarkeit der variablen Größen Zeit und Aufwand und stößt im Leistungsgefüge der Vertragsparteien auf besondere Risiken der Äquivalenz- und
Leistungsstörung. Normmuster, die sog. »Alles-oder-Nichts-Lösungen« verordnen, gewähren selten sachgerecht erscheinende Konfliktlösungen.
Das Projekt dauert über lange Zeiträume von vielen Jahren. Der Projektgegenstand wie auch die dem Projekt zugrundeliegende kaufmännische Äquivalenz von Leistung und Gegenleistung ändert sich während der Projektlaufzeit
nicht unerheblich. Diese Dynamik wird in gesetzlichen Normtypen des Schuldrechts jedenfalls per 31.12. 2001 nicht abgebildet.
Die Leistungsbeiträge der Austauschpartner im Projekt sind eng miteinander verzahnt, ebenso die Verantwortungsbereiche. In einzelnen Phasen des
Projekts können Leistungsbeiträge des Auftraggebers im Vordergrund stehen
und den Anbieter nur als Mitwirkenden qualifizieren, in anderen Projektphasen ist dies wiederum anders. In allen Phasen ist ein hoher Grad an Zusammenarbeit, Kommunikation und Dokumentation erforderlich. Diese Typologie
lässt sich nach altem Schuldrecht mit reinen Austauschverhältnissen wie
Kauf-, Dienst- oder Werkvertrag nicht hinreichend widerspiegeln.
2. Modernisierungsanspruch des neuen Schuldrechts
Die Bundesregierung hat dem zur Umsetzung der drei Richtlinien des
Europäischen Parlaments RL 1999/44/EG (Verbrauchsgüterkauf), RL 2000/35/
EG (Bekämpfung von Zahlungsverzug) und RL 2000/31/EG (Elektronischer
Geschäftsverkehr) bestimmten Gesetzentwurf nicht nur den Titel Schuldrechtsmodernisierungsgesetz gegeben, sondern ihn neben den Umsetzungsnotwendigkeiten auch mit der Notwendigkeit der Modernisierung des Schuldrechts zur Anpassung an sich gewandelte wirtschaftliche Sachverhalte begründet. Eine Analyse aus Sicht der Vertragspraxis und Praktikererfahrung im
Umgang von Konfliktlösungen in IT-Projekten kommt – in einer frühen Phase
nach Inkrafttreten des Schuldrechtsmodernisierungsgesetzes – anhand von
drei ausgesuchten Aspekten der Reform zu folgenden Ergebnissen:
Die Vereinheitlichung des Leistungsstörungsrechts im Gegensatz zu den
stark voneinander abweichenden Regeln der Gewährleistung in den Vertragstypen des alten Rechts kommt im Sinne einer Modernisierung den beschriebenen Besonderheiten des IT-Projektes entgegen. Das werkvertragliche Gewährleistungsmodell der primären Nachbesserung oder Ersatzlieferung
gegenüber der sekundären Wandlung, Minderung oder dem Schadensersatz
trägt insbesondere dem Umstand Rechnung, dass IT-Leistungen, insbesondere Software-Produkte, auch unter Beachtung der Regeln der Technik und Anwendung der im Verkehr erforderlichen Sorgfalt erst in länger währenden
Optimierungsprozessen nach Einführung im Echtbetrieb vollständig fehlerfrei
gemacht werden können. Die Vertragspraxis unter Geltung des alten Schuldrechts entsprach bereits dem neuen Recht, in dem meist ein einheitliches dem
Muster des Werkvertrag folgendes Gewährleistungsrecht geregelt wurde.
Freundesgabe Büllesbach 2002
Planung und Steuerung von IT-Großprojekten nach modernisiertem Schuldrecht
365
Der Gesetzgeber hat es nicht geschafft, eine klare und sachgerechte vertragstypologische Einordnung von Herstellungsleistungen im IT-Bereich zu
bewerkstelligen. Durch die Neuregelung des Werklieferungsrechts in § 651
BGB n.F. werden Herstellungsleistungen auf der Basis oder unter Verwendung
bestehender Teillösungen dem sachgerechten Werkvertragsrecht entzogen,
bei vollständigen Neuerstellungen bleibt unklar, ob Kauf- oder Werkvertragsrecht gilt; dies obwohl ausweislich der Begründung zu § 651 BGB n. F. Verträge
über die Herstellung und Lieferung unkörperlicher Sachen dem Werkvertragsrecht überlassen bleiben sollen. Die keineswegs widerspruchsfreie und
schlüssige Rechtsprechung wird in der Rechtspraxis, bis hin zur Rechtsprechungspraxis der Untergerichte, dazu führen, Computerprogramme, obwohl
ihrem Wesen nach eher unkörperliche Leistungen, als Sachen zu behandeln
und deshalb Kaufrecht zu unterwerfen. Wegen des AGB-rechtlichen Primats
der vertragstypologisch gerechten Einordnung von Vertragsgegenständen
bleibt es zweifelhaft, ob in vorformulierten Verträgen Wesenselemente des
Werkvertrags wie die Notwendigkeit einer Abnahme zur Erfüllung der Hauptleistungspflicht rechtswirksam vorgesehen werden kann. In IT-Projekten
kommt jedoch der Abnahme aus Sicht beider Vertragsparteien eine wesentliche den Projekterfolg fördernde Funktion zu. Sie stellt eine sachdienliche
Zäsur zur Abgrenzung von Projektphasen dar und ermöglicht ein klar und einvernehmlich definiertes Aufsetzen neuer Phasen auf erzielte Ergebnisse.
Das »Alles-oder-Nichts-Prinzip« des alten Wandlungs- und Rücktrittsrechts
hat der Gesetzgeber im Zuge der Schuldrechtsmodernisierung nicht beseitigt,
in § 323 Abs. (6) BGB n.F. nur um eine neue Variante erweitert. Der sog.
Wandlungsschaden, der aufgrund der Kurzlebigkeit von IT-Produkten meist
enorm ist, wird deshalb keiner sachgerechten Konfliktlösung zugeführt werden können, weil Schadensteilungsprinzipien des § 254 BGB den Rechtsfolgen
von Schadensersatzansprüchen vorbehalten bleiben, zu denen dieser
Schaden nicht zählt. Der Inhalt und Geltungsbereich des § 323 Abs. (6) BGB
n. F., nach dem der Rücktritt des Gläubigers ausgeschlossen sein soll, wenn er
für den den Rücktritt auslösenden Umstand verantwortlich ist, bleibt unklar.
Vermutlich einen »handwerklichen Fehler« allerdings von großer Tragweite
stellt die Neuregelung des § 444 (ebenso § 639) BGB n.F. dar. Wer Eigenschaften garantiert oder – so eindeutig nach der Gesetzesbegründung und
-historie – zusichert, soll eine Haftung dafür mittels individueller Vereinbarung, also außerhalb der Anwendung der §§ 307 BGB n.F., weder ausschliessen noch beschränken können. Die Tragweite dieser Regelung wurde
bei der Beratung des Gesetzes nicht gesehen. Sie führt dazu, dass in großen
Industrieprojekten, in denen die Marktverhältnisse eine Verweigerung von
Eigenschaftsgarantie nicht zulassen, deutsches Recht untauglich geworden
ist. So lässt sich die Qualität von IT-Betriebsleistungen von herzustellenden ITLösungen nur über bestimmte Kenngrößen (»Service-Levels«) wie Systemverfügbarkeit, Performance und Störungsbehebungszeiten beschreiben.
Die Grenze zur Eigenschaftszusicherung ist nah und wenig scharf, häufig je
nach Verhandlungssituation nicht vermeidbar. Die Rechtsfolgen der NichteinFreundesgabe Büllesbach 2002
366
Hoene
haltung von Eigenschaftszusicherungen zu begrenzen, ist nicht nur angemessen und ein Gebot der kaufmännischen Sorgfaltspflicht, sondern wurde
bislang in der Regel von Verhandlungspartnern auch im Grundsatz akzeptiert.
Der Gesetzeswortlaut erklärt dies in § 444 BGB und § 639 BGB nunmehr für
ausnahmslos unwirksam. Der Versuch, diesen Gesetzgebungsfehler durch
ebenso erfindungsreiche wie kreative Argumentationen des Inhalts zu umgehen, dass das Haftungsbeschränkungsverbot für Eigenschaftszusicherungen
und Garantien nicht gelten soll, die die Haftungsbeschränkung gleich beinhalten, ist zwar ehrenwert, aber höchst riskant. Es leuchtet nicht zwangsläufig
ein, weshalb der Ort, an dem im Vertrag die Haftungsbeschränkung für den
Fall der Verletzung der Garantie oder Eigenschaftszusicherung formuliert ist,
eine Rolle für die Wirksamkeit der Haftungsbeschränkung spielen soll. Die
Eigenschaftszusicherung erschöpft sich im erklärten gesteigerten Einstehenwollen für das Vorliegen bestimmter Leistungsmerkmale, die Konsequenzen
für den Fall, dass die zugesicherten Leistungsmerkmale nicht vorliegen, sind
Gegenstand einer entweder ausschließlich der Eigenschaftszusicherung oder
neben anderen Haftungsfällen auch der Eigenschaftszusicherung zugeordneten Haftungsregelung. Der Gesetzeswortlaut unterscheidet nicht danach, ob
sich die Haftungsbeschränkung auch oder ausschließlich auf die Eigenschaftszusicherung beziehen soll. Es fällt auch keine andere Logik ein, woraus sich
die Differenzierung ergeben soll.
3. Fazit
Auch wenn es zu früh ist, über das Gelingen oder Misslingen der Schuldrechtsmodernisierung ein Urteil zu fällen, enthält die intendierte Modernisierung gegenüber dem alten Gesetzeszustand aus der Perspektive des ITGroßprojektes zum Teil gravierende Nachteile; zum Teile fehlt es an mittels
anderer Wege, die man hätte beschreiten können, durchaus denkbaren
Verbesserungen, und nur teilweise erscheint das Gesetz moderner, weil den
neuen Sachverhalten seit Ende des 19. Jahrhunderts angepasster. Die Frage,
ob eine Modernisierung gelungen ist, wird sich also weiterhin stellen. Schade,
aber sicher wird die Geschwindigkeit des Gesetzesvorhabens nicht ohne
Auswirkung auf das Ergebnis geblieben sein. »Nur nicht hudeln«, sagt der
Schwabe.
Freundesgabe Büllesbach 2002
367
Jochen Schneider
Rechtliche Konzepte für den Softwarevertrieb
Vorbemerkung
Auf den ersten Blick haben Vertriebskonzepte für Software und das Hauptthema des zu Ehrenden, der Datenschutz, nicht viel gemein. Sie gehören beide
zum IT-Recht. Wird der Datenschutz etwas weiter gesehen – wie dies auch
stets das Anliegen von Alfred Büllesbach war –, mündet er im Informationsrecht bzw. gehört zu diesem, das erst in jüngerer Zeit Konturen erhält. Über
dieses Informationsrecht gibt es eine direkte Querverbindung zum E-Commerce, augenfällig über die Informationspflichten der Anbieter, wie sie nunmehr in § 312 ff., insbes. § 312e BGB kodifiziert sind.
Ein Bezugspunkt des Datenschutzes zum Softwarevertrieb liegt darin, dass
der Trend der Vertriebskonzepte auch bei Software zur Kundenbindung und
-transparenz geht, was mit zentralen Institutionen des Datenschutzes – informationelle Selbstbestimmung, Schutz vor Transparenz und v. a. Profilbildung,
Zweckbindung – zu konfligieren. Eines der typischen Beispiele ist die Registrierung der Nutzer als Voraussetzung für die Aktivierung der Software (OLG
München, CR 2001, 11). Durch die Schuldrechtsmodernisierung hat sich sowohl das Mangelrecht (u.a. durch Einbeziehung der Werbeaussagen) als auch
das AGB-Recht zugunsten des Käufers/Kunden geändert. Manche Vertriebskonzepte basieren auf den Maßnahmen, die Nichterfüllung bzw. Mängel darstellen, sind intransparent und verletzen die Lieferantenpflichten sowie Datenschutzprinzipien.
Das Thema des Softwarevertriebs ist nicht nur von nationaler, sondern auch
von internationaler Bedeutung. Berührungspunkte mit der EU-Rechtspolitik
bestehen etwa im Bereich der Harmonisierungsrichtlinie, dort bei den Schutzmechanismen (mit der deutschen Besonderheit, dass die §§ 95a bis c UrhG-E
nicht auf Software anwendbar sein sollen), sowie bei der Gruppenfreistellungs-Verordnung für Technologie-Transfer.
1. Formen derzeitigen Softwarevertriebs
Da das BGB gerade einer Modernisierung unterzogen wurde, liegt es nahe,
dort nach der Form des Vertriebs zu suchen, die der Gesetzgeber als typisch
angesehen hat. Die Schuldrechtsmodernisierung hat aber die Technologien,
auf deren Beherrschung Fortschritt und Wohlstand der westlichen Welt
basiert, mit keinem Wort gewürdigt, wenn man berücksichtigt, dass die
Erwähnung der Software in § 312d Abs. 4 Nr. 2 BGB nur dem Umstand zu
verdanken ist, dass eine entsprechende Regelung bereits für das Fernabsatzgesetz längst bestand (§ 3 Abs. 2 Nr. 2 Fernabsatzgesetz). Wesentlich
umfangreicher sind die Pflichten im elektronischen Geschäftsverkehr in
Freundesgabe Büllesbach 2002
368
Schneider
§ 312e BGB geregelt, die auch für den Softwarevertrieb über Electronic Commerce gelten.
In § 312d Abs. 4 Nr. 2 BGB wird ausgerechnet eine Variante des Softwarevertriebs angedeutet, deren rechtliche Wirksamkeit problematisch ist. Vom
Widerrufsrecht ausgenommen werden, wenn nichts anderes bestimmt ist,
Software-Lieferungen, »sofern die gelieferten Datenträger vom Verbraucher
entsiegelt worden sind«. Damit werden die sogenannten Shrink-Verträge in
eine sehr schöne juristische Falle gestellt: Einerseits sind die üblichen sogenannten Shrink-Wrap-AGB, die erst nachträglich durch das Aufreißen der
Schutzhülle erkennbar werden, nicht in den Vertrag einbezogen (ganz abgesehen davon, dass sie von einer dritten Partei, nicht dem Händler, sondern
dem Hersteller stammen). Andererseits wird nun gerade die Vertriebsform,
bei der der Benutzer erst erkennen kann, was sachlich und vertraglich (eingeschweißte AGB) Inhalt ist, wenn er die Schutzhülle aufgerissen, evtl. erst,
wenn er den Rechner gestartet hat, vom Widerrufsrecht ausgenommen.
Hinsichtlich wirksamer Einbeziehung und genügender Transparenz der AGB
(abgesehen davon, dass plötzlich ein Vertrag mit einem Dritten bestehen
oder entstehen soll) bestehen bei solchen Shrink-Wrap-Verträgen zumindest
in Deutschland größte Bedenken (zu USA s. Kochinke/Günther, CR 1997, 129;
zu UCITA s. Lejeune, CR 2000, 201; für Deutschland s. Lejeune, ITRB 2001,
263).
Deren Berechtigung zeigt sich bei den folgenden beiden Beispielen:
– »Sie müssen den Bestimmungen des beiliegenden Lizenzvertrags zustimmen, bevor Sie dieses Produkt benutzen können. Das Produkt wird als einzelnes Produkt lizenziert. Sie sind nicht berechtigt, dessen Komponenten für
die Verwendung auf mehr als einem Computer zu trennen. Falls Sie den
Bestimmungen des beiliegenden Lizenzvertrages nicht zustimmen, geben
Sie bitte das unbenutzte Produkt unverzüglich gegen Rückerstattung des
Kaufpreises zurück.«
Es handelt sich um Bestimmungen des Herstellers (der nicht Verkäufer
ist), die man erst sehen kann, wenn der Verkäufer/Händler die Software mit
Hardware angeliefert hat. Die Hardware selbst enthält bei OEM-Lieferanten
bereits die Serialisierung in der Weise, dass in die Software eingegeben ist,
für wen die Software lizenziert ist. Dementsprechend erscheint der Bildschirm mit dem Namen des Lizenznehmers, alles erst nach Kauf und nach
Lieferung erkennbar. Zusätzlich ist eine ID-Nummer angegeben.
– Eingeschweißt bzw. mitgeliefert wird häufig, sinngemäß auch von anderen
Herstellern, folgende Klausel:
»Dieser Microsoft-Endbenutzer-Lizenzvertrag (›EULA‹) ist ein rechtsgültiger
Vertrag zwischen Ihnen (entweder als natürliche oder juristische Person)
und Microsoft-Cooperation für das oben bezeichnete Microsoft-Softwareprodukt, das Computersoftware sowie möglicherweise dazu gehörige
Medien, gedruckte Materialien und Dokumentation im ›Online‹- oder elektronischen Format umfasst (›SOFTWAREPRODUKT‹). Das SOFTWAREPRODUKT umfasst auch sämtliche Updates und Ergänzungen zum ursprünglich
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
369
von Microsoft gelieferten SOFTWAREPRODUKT. Jede zusammen mit dem
SOFTWAREPRODUKT gelieferte Software, zu der ein separater Endbenutzer-Lizenzvertrag gehört, wird gemäß den Bestimmungen dieses Lizenzvertrages lizenziert. Indem Sie das SOFTWAREPRODUKT installieren, kopieren,
downloaden, anderweitig verwenden oder darauf zugreifen, erklären Sie
sich damit einverstanden, durch die Bestimmungen dieses EULAs gebunden zu sein. Falls Sie den Bestimmungen dieses EULAs nicht zustimmen,
sind Sie nicht berechtigt, das SOFTWAREPRODUKT zu installieren oder zu
verwenden; Sie können es jedoch gegen volle Rückerstattung des Kaufpreises der Stelle zurückgeben, von der Sie es erhalten haben.«
Da ein Vertrag konstruiert wird, der nicht besteht, sind auch die übrigen Regelungen der Klausel notleidend.
Andererseits ist nicht zu verkennen, dass es weitere Software-Märkte gibt,
auf denen solche Verfahren real, also mit Verschweißen, nicht angewandt
wurden und werden. Virtuell aber taucht der Shrink-Wrap-Vertrag wieder auf
im sogenannten Click-On-Vertrag bzw. analog genannt »Click-Wrap«-Vertrag
(s. z. B. Lejeune, ITRB 2001, 263). Für den deutschen Benutzer völlig überraschend und unsinnig erscheint, wenn ihn ein Computer, den er vorinstallieren
ließ, beim ersten Start auffordert, nun entweder die Lizenzbedingungen, die
er vorher gar nicht gesehen hat, zu akzeptieren, oder diese abzulehnen. Im
zweiten Falle soll dann die Nutzung abgebrochen werden. Ähnliche Aufforderungen gibt es auch schriftlich in manchen Verträgen. Weiter wird der Kunde
dann aufgefordert, dem Lieferanten (also nicht dem Lizenzgeber der Software)
die Software wieder zurückzugeben. Dies wäre ein hübscher Vertrag zu Lasten
Dritter, wenn zwischen Kunde und dem Lizenzgeber ein Vertrag bestünde.
Dies ist bei Ablehnung der AGB des Lizenzgebers, weshalb wiederum die
Rückgabe erfolgen soll, nicht der Fall. Muss man Software an den Händler
zurückgeben, wenn man mit solchen AGB nicht einverstanden ist, die gar
nicht Vertragsbestandteil sind? Kann man den Rechner mit der aufgespielten
Software gleich mit zurückgeben?
Diese und ähnliche Besonderheiten im Vertrieb von PC-Software, auch und
vor allem von Betriebssystemen, aber auch allgemeinen Anwendungen wie
Textprogramm und ähnlichem, sollten nicht darüber hinweg täuschen, dass
es auch einen großen Markt für Software gibt, bei dem die Software auf einem
Datenträger zusammen mit einer Dokumentation dem Kunden geliefert wird,
von dem Kunden selbst mit Unterstützung des Auftragnehmers installiert
oder direkt vom Auftragnehmer beim Kunden installiert und eventuell sogar
noch modifiziert wird. Im kommerziellen Bereich ist dies durchaus üblich.
Zumindest muss in vielen Fällen die Software im IT-System des Kunden
implementiert und konfiguriert werden. Für diese Fälle hatten manche
Anbieter früher vorgesehen, dass der Kunde eine »Abnahme« (i. S. v. § 640
BGB) vornimmt. Damit haben sie sich keinen großen Gefallen getan, was die
implizite Wahl des Vertragstyps betrifft, weil die entsprechende Institution
dem Werkvertragsrecht entlehnt ist, während der Vertrag selbst dem
Kaufrecht zuzurechnen wäre. Jedoch konnte man mit dem Ergebnis so lange
Freundesgabe Büllesbach 2002
370
Schneider
leben, als nicht ein Kunde auf die Idee verfiel, mit der Klausel Ernst zu machen.
Dies würde dazu führen, dass evtl. die Gewährleistungsfrist noch nicht lief, der
Pflegevertrag eigentlich noch gar nicht vergütungspflichtig sein konnte. Der
Anwender wäre im Genuss der Position, wie sie einige OLG dem Anwender
hinsichtlich der Ablieferung (erst nach Anlaufphase bzw. Überwindung der
Anlaufschwierigkeiten und/oder nach erfolgreichem Probebetrieb), zugesprochen hatten. Diese Ausdehnung des Begriffs der Ablieferung hatte der BGH
allerdings als nicht vertretbar qualifiziert (BGH v. 22.12.1999, CR 2000, 207).
Die AGB des Anbieters sind insoweit für den Kunden günstig und deshalb
wirksam.
Neuerdings stellt sich das Problem noch krasser, weil die Herstellung von
Software gemäß § 651 BGB nach Kaufvertrag zu beurteilen ist. Fraglich kann
dies werden, wenn man den Erfolg, etwa die Problemlösung, im Vordergrund
sieht. Dann soll nach wie vor Werkvertragsrecht gelten (Palandt/Sprau, 61.
Aufl. Erg-Bd. Rz. 4 zu § 651 BGB). Auch die Bearbeitung vom Kunden gestellter Software wird als Werkvertrag – nach wie vor – zu beurteilen sein (BGH v.
9.10.2001, CR 2002, 93; Palandt/Sprau, 61. Aufl. Erg-Bd. Rz. 4 zu § 651 BGB).
Allerdings stellen sich die Anbieter eher vor, dass es sich um einen Dienstvertrag handele. Die Herstellung von Standardsoftware dürfte wahrscheinlich
über § 651 BGB Werkvertrag sein. Hier ist noch weitere Klärung erforderlich
(s. a. Redeker, ITRB 2002, 119; Thewalt, CR 2002, 1). Festzuhalten ist allerdings,
dass dadurch die Thematisierung, wann genau abgeliefert ist, um so mehr
Bedeutung erlangt, insbesondere i. V. m. § 377 HGB, was viele Kunden übersehen (also ihre Pflicht, die Lieferung zum Anlass zu nehmen, die Software zu
untersuchen und ggf. bekannt werdende Mängel unverzüglich zu rügen).
Nicht so sehr hinsichtlich der Vertragsgestaltung selbst, als vielmehr nur
hinsichtlich der Art der Ablieferung bahnt sich nun eine Verfahrensweise an,
die nicht mehr auf einem Datenträger basiert. Der Kunde kann sich die
Software selbst »downloaden«. Dazu braucht er eventuell noch nicht mal eine
Kennung. Vielmehr erhält er diese später, wenn er den Download vollzogen
hat. Allerdings ist dadurch ungewiss, wann genau diese Ablieferung erfolgt.
Die Tatsache, dass hier die Software als unkörperlich übertragen wird, tut
weder der Sachqualität noch der vertragstypologischen Einordnung als Kauf
Abbruch (siehe schon BGH v. 18.10.1989, CR 1990, 24).
Der Grund, warum diese Vertriebsart besonders aufmerksam behandelt
werden sollte, ist, dass sie zum Vergleich dienen könnte, eine andere Vertriebsart auf ihre Rechtmäßigkeit hin genauer zu überprüfen, bei der genau
umgekehrt verfahren wird: Der Kunde erhält datenträgerbasiert, eventuell
fertig installiert auf einem ihm gelieferten Rechner zusammen mit einem
Sicherungsexemplar die Software, kann aber nach einigen Malen des Startens
die Software nicht mehr weiter produktiv nutzen (eventuell nur noch leasen),
wenn er sie nicht frei geschaltet bekommt. Microsoft nennt dies »Aktivierung«.
Beim Download erhält evtl. der Kunde die Software auf einem Wege, für
den er eine Art Berechtigung benötigt, die ihn legitimiert, den Zugangsweg zu
nutzen und der ihn die Software in seinem Verfügungsbereich erst übernehFreundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
371
men lässt. Damit wird erreicht, dass der Vertragspartner und nur dieser die
Software erhalten kann, evtl. auch, dass nachgewiesen werden kann, dass der
Kunde die Software auch tatsächlich erhalten hat, zumindest sie in seinen
Verfügungsbereich nehmen konnte.
Im anderen Falle hat der Kunde bereits die Software, voll funktionsfähig auf
einem Datenträger, kann aber dann mit dieser nichts mehr anfangen, wenn er
nicht eine zusätzliche Handlung leistet. Auf dieses Erfordernis wird, je nach
Händler, oft nur unzureichend hingewiesen. Da sowohl der Vertragsschluss
als auch der Gefahr- und der Eigentumsübergang bereits vollzogen sind, stellt
die nachträgliche Notwendigkeit, die Software »zu aktivieren« ein merkwürdiges retardierendes Moment dar, dessen Qualität näher untersucht werden
muss. Seine Besonderheit im Zusammenhang mit dem hier zu behandelnden
Kontext ist, dass dabei die erhebliche Gefahr besteht, dass personenbeziehbare Daten anfallen und ein völlig unnötiger Kontakt mit jemand hergestellt
werden muss, mit dem überhaupt kein Vertrag besteht, jedenfalls nicht so, wie
sich dies der Hersteller womöglich vorstellt.
2. Zur Aufspaltung des Vertriebswegs: »OEM«, Update, Schulversionen u.ä.
Unter OEM wird, vor allem im Hardwarebereich, »Original Equipment
Manufacturer« verstanden. Ursprünglich wurde diese Bezeichnung vor allem
für solche Hersteller verwendet, die etwa für mehrere Partner das gleiche
Gerät in unterschiedlicher Aufmachung fertigten. Bei Software wird der OEMVertriebsweg so verstanden, dass die Hersteller von PC-Komponenten oder
PC die Software, beispielsweise von Microsoft, nur gemäß Vertrag mit den
eigenen Produkten gebündelt auf dem Markt anbieten dürfen.
Eine typische OEM-Klausel für Software lautet etwa: »Die Software darf nur
in Verbindung mit einem neuen Computer veräußert werden«. Die Updateklausel lautet etwa: »Dieses Programm prüft auf der Festplatte und/oder dem
Diskettenlaufwerk /der CD, ob Sie zur Installation der Update-Version berechtigt sind. Die Software läßt sich nur installieren, wenn Sie ein lizenzierter
Benutzer einer der folgenden Anwendungen sind: .................«.
Die Fronten in der Rechtsprechung zu Aufspaltbarkeit und Erschöpfung verliefen bis zur BGH-OEM-Entscheidung wie folgt:
a) Für die Möglichkeit der Aufspaltung des Vertriebsweges mit dinglicher
Wirkung: KG Berlin und OLG Frankfurt. Vor allem in dem Verfahren
Berlin, das schließlich zur BGH-Entschedung führte, wurde das Vertriebssystem »OEM« ausführlich dargestellt.
b) Gegen die Wirksamkeit einer solchen Aufspaltung: OLG Frankfurt in der
älteren Entscheidung und OLG München.
Die folgende Aufstellung listet die Entscheidungen in zeitlicher Folge auf.
Freundesgabe Büllesbach 2002
372
Schneider
2.1 KG Berlin Verfügungsverfahren (v. 27. 2. 1996, CR 1996, 531):
»Es ist einem Händler untersagt, käuflich erworbene OEM-Software gegen
den Willen des Herstellers auch ohne Hardware weiter zu verbreiten.«
»Der Erschöpfungsgrundsatz .... schließt vertragliche Beschränkungen der
Verbreitung mit dinglicher Wirkung nicht aus.«
»Die Bindung des Softwareverkaufs an den gleichzeitigen Verkauf von Hardware verstößt weder gegen das GWG noch gegen Art. 85 EGV.« (LSe, Art. 85
EGV = alte Fassung)
2.2 Hauptsacheverfahren Berlin:
2.2.1 LG Berlin (v. 27. 8. 1996, CR 1996, 730) – Unzulässiger Verkauf von
OEM-Software
»1. Der Händler darf käuflich erworbene OEM-Software nicht losgelöst
vom Verkauf eines neuen PCs anbieten und vertreiben, wenn dies dem
Willen des Herstellers zuwiderläuft.« (LS 1)
»2. Auch ist das Verbreitungsrecht des Herstellers nach § 69 c Nr. 2 Satz 2
UrhG an der OEM-Software nicht durch den Verkauf an den Händler insoweit verbraucht, als der Händler sich an die vertragliche Beschränkung durch den Hersteller nicht halten muss.« (LS 2)
»3. Die Bindung des Softwareverkaufs an den gleichzeitigen Verkauf von
Hardware verstößt weder gegen das GWB noch gegen Art. 85 EGV.«
(LS 3, Art. 85 EGV = a.F.)
Zum Vertriebssystem: »Der Vertrieb der OB-Produkte/Versionen erfolgt dergestalt, dass die Klägerin mit größeren Hardware-Herstellern (= OEM) unmittelbar Lizenzverträge abschließt, die diese zum direkten Bezug von OEMProdukten/Versionen von sogenannten Authorized replicators berechtigt.
Kleinere Hardware-Hersteller können OEM-Produkte/Versionen von – von der
Klägerin eingeschalteten – Zwischenhändlern, sogenannten Delivery-ServicePartnern (= DSP) beziehen, welche die OEM-Produkte/Versionen ihrerseits von
den sogenannten Autorized replicators erwerben.« (LG Berlin v. 27.8.1996,
CR 1996, 730, 731)
2.2.2 KG Berlin (v. 17.6.1997, CR 1998, 137):
»Die Vertriebsbeschränkung stellt keine willkürliche Diskriminierung im Sinne
des Art. 36 Satz 2 EWG-Vertrag dar.« (LS 2)
Das Gericht machte sich seine Ausführungen im Urteil v. 27. 2. 1996 aus
dem vorangegangenen Verfügungsverfahren, CR 1996, 531, ausdrücklich zu
eigen (Ziff. 2.1).
Die OEM-Version, die nicht als sogenannte Fachhandelsversion angeboten
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
373
werden soll, erhält als Produktbezeichnung im Aufdruck »Darf nur mit einem
neuen PC vertrieben werden«.
2.3 OLG Frankfurt (v. 3.11.1998, CR 1999, 7), anders noch als in der
späteren OEM-Entscheidung:
»Ein Hersteller kann die Update-Version eines Computerprogramms nicht unter dem Vorbehalt veräußern, dass ein Verkauf nur an solche Nutzer zulässig
ist, die bereits die ursprüngliche Vollversion des Programms erworben haben.
Vielmehr kann sich eine urheberrechtlich relevante Beschränkung nur auf Verbreitungsarten oder auf Absatz- oder Vertriebswege, nicht aber auf bestimmte Personenkreise und deren Besitz von Vollversionen beziehen.« (LS)
2.4 OLG München (v. 12.2.1998, CR 1998, 265)
Es ging um Update-Vertrieb als Vollversion. Die Versionen wurden auch teilweise als »Upgrade« bezeichnet. Die Antragsgegnerin hat auf Bestellung
Updates als Vollversionen »verkauft«. »In der Bundesrepublik Deutschland
wird das Programm von A-GmbH vertrieben, der die Antragstellerin ein ausschließliches Vertriebsrecht eingeräumt hat. Von dieser werden Vervielfältigungsstücke des Programms auf Datenträgern – Compacts Discs, Disketten –
mit begleitenden Handbüchern an Händler verkauft, die die Programme weiter veräußern.«
»Im Fall der Veräußerung von Vervielfältigungsstücken eines Computerprogramms tritt eine umfassende Erschöpfung des Verbreitungsrechts ein, sofern
nicht die Ausnahme des Vermietrechts vorliegt.« (LS)
2.5 OLG Frankfurt (v. 18. 5 .2000, CR 2000, 651)
Wenige Wochen vor der BGH-OEM-Entscheidung wurde vom OLG Frankfurt
bei etwas anderer Fallkonstellation (die Bündelung von Software und Hardware erfolgt im Ausland, das Vervielfältigungsstück kommt als Bundle auf den
Markt in der EU):
»Der isolierte Vertrieb, der mit den Hinweisen ›Bundle-Version‹ bzw. ›For
Bundles Only – not to be sold separately‹ versehenen OEM-Version eines
Softwareprogramms für Scanner ohne den gleichzeitigen Vertrieb eines
neuen Scanners verletzt das Verbreitungsrecht des urheberrechtlichen Nutzungsberechtigten.
§ 69 c Nr. 3 Satz 2 UrhG steht nicht der dinglichen Beschränkung des
Verbreitungsrechts in Bezug auf OEM-Software entgegen.«
Freundesgabe Büllesbach 2002
374
Schneider
2.6 BGH (v. 6. 7. 2000, I ZR 244/97, CR 2000, 651 – OEM –)
Im Rechtszug des Hauptsacheverfahrens Berlin, Ziff. 2.2, erging die Entscheidung des BGH mit Aufhebung des Urteils des KG:
Mittels schuldrechtlicher, evtl. zwischen Hersteller und Händler wirkender
Beschränkung der Ausübung des eingeräumten dinglichen Rechts zum Vertrieb kann der Urheber wegen Erschöpfung den Weitervertrieb auf dinglicher
Ebene nicht begrenzen.
Die Aktivierungsprozedur ist eine unmittelbare Antwort auf die Unwirksamkeit
der Maschinenbindungsklausel im OEM-Geschäft. Statt rechtlicher Regeln erfolgt
nun eine faktische, technische Sperre. Zu der neuen Technik der Aktivierung gibt
es nur wenig Entscheidungen. Allgemein zu Programmsperren existiert eine Reihe
von Entscheidungen, die nahe legen, dass es sich um einen Mangel handelt.
3. Programmsperren
Das Problem im Verhältnis zum Endkunden ist vor allem, ob ein Sachmangel
vorliegt, evtl. ein Rechtsmangel, Nichterfüllung und/oder Nichterfüllung, im
Verhältnis zum Händler, ob eine wirksame Beschränkung im Vertrieb vorliegt.
Es ist zu berücksichtigen, dass der Vertrag zwischen Lizenzgeber und Händler
wirksame Beschränkungen zur Absicherung des Lizenzgebers enthalten kann,
die für den Vertrag zwischen Händler und Kunde unwirksam sind und als faktische Sperren eine Vertragsverletzung darstellen können. Dabei ist zu bedenken, dass der Regress-Anspruch (§ 478 BGB) in der Lieferkette nur bei Verbrauchsgüterkauf im Verhältnis zum Endkunden und nur innerhalb der EU
wirkt, also nicht im Verhältnis zum Lizenzgeber in USA.
Sperren können ihre Legitimation nur bedingt aus der Harmonisierungsrichtlinie ableiten, nicht zuletzt, weil nach deutschem Recht die Regeln zu
Schutzmechanismen nach § 95 a – c UrhGE nicht für Software gelten sollen.
So gibt es in der Rechtsprechung Entscheidungen, die einen Sachmangel bejahen und andere, die diese Frage offen lassen.
3.1 Offen gelassen, ob Sachmangel:
3.1.1 BGH (v. 3.6.1981, NJW 1981, 2684 – Programmsperre I):
»Das Vorhandensein einer vom Hersteller vorprogrammierten periodischen
Sperre eines Computerprogramms (expiration date), welche dem Schutz vor
unbefugter Nutzung dient, ergibt den Nutzungsberechtigten kein Recht zur
außerordentlichen Kündigung des Nutzungsvertrages wegen Beeinträchtigung der Gebrauchsüberlassung.« (LS)
Es erfolgt die Anwendung von Mietrecht über Pacht, von Pachtrecht über
»Vertrag eigener Art« im Bereich der Know-how-Überlassung.
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
375
3.1.2 BGH (v. 25.3.1987, CR 1987, 358 = NJW 1987, 2004 –
Programmsperre II):
»Der Anbieter hat die Vertrauensbasis zum Kunden dadurch verletzt, dass er
seine für den Kunden nachteiligen Bedingungen eines abzuschließenden Vertrages mit dem Druckmittel einer dem Kunden bis dahin verheimlichten, kurzfristig wirksam werdenden Programmsperre durchzusetzen versuchte. Ob
allein der Einbau einer Programmsperre als solches bereits eine Vertragsverletzung wäre, blieb offen.«
3.1.3 BGH (v. 15. 9. 1999, CR 2000, 94 – Programmsperre III; gegen OLG
Bremen), Zweiterwerber gegen Erstverkäufer bei Weiterveräußerung
von Software mit Programmsperre:
»Der Hersteller eines Computerprogramms, der in die von ihm entwickelte
Software eine periodisch wirksam werdende Programmsperre (expiration
date) einbaut, die ohne die Eingabe eines dem eigenen Vertragspartner jeweils mitgeteilten Codewortes den Zugriff auf das Programm hindert, kann
von einem Zweiterwerber, der das Programm in Unkenntnis der Sperre gebraucht erwirbt, wegen vorsätzlicher sittenwidriger Schädigung (§ 826 BGB)
auf Schadensersatz mangels Schädigungsvorsatzes nicht in Anspruch genommen werden.« (LS)
Es bleibt also auch hier offen, ob die Software durch die Programmsperre
mangelhaft ist bzw. ob es sich hier um eine Vertragsverletzung im Innenverhältnis handelt.
3.2 Programmsperre als Sachmangel:
3.2.1 LG Wiesbaden (v. 4. 4. 1989, CR 1990):
»Der Einbau einer Programmsperre, um einen säumigen Kunden zur Zahlung
zu zwingen, stellt den Einbau eines Mangels dar.« (LS 1)
3.2.2 LG Ulm (v. 1.12.1988, CR 1989, 825):
»1. Ein Softwareproduzent, der seine Zugriffsmöglichkeit auf die Software
seines Abnehmers dazu ausnutzt, dort eine Programmsperre zu installieren, um den Kunden damit unter Druck setzen zu können, erfüllt den Tatbestand der Datenveränderung (§ 303 a StGB).
2. Droht dadurch dem Kunden ein nicht unerheblicher Schaden, liegt Computersabotage (§§ 303 b Abs. 1 Nr. 1 StGB) vor.«
Freundesgabe Büllesbach 2002
376
Schneider
3.2.3 OLG Celle (v. 3.3.1992, CR 1994, 217):
»Ein ungenügendes Handbuch, dem Händler vorenthaltenes Passwort und
Kryptoschutz berechtigen den Händler zur Wandlung.«
3.2.4 OLG Köln (v. 9.8.1995, CR 1996, 285; s.a. Wuermeling, CR 1994, 585):
»Der Einbau eines expiration date in ein Softwareprogramm durch den Lieferanten, von dem der Benutzer nicht informiert war, rechtfertigt jedenfalls dann
keine fristlose Kündigung, wenn der Benutzer durch sie nicht behindert wird
und bei vertragsgerechter Nutzung auch nicht Gefahr läuft, behindert zu werden.« (LS)
3.2.5 AG Hanau (v. 26.6.1998, CI 1999, 23):
»Wird bei einem Softwarepflegevertrag dem Anwender eine regelmäßige Aktualisierungspflicht auferlegt und diese mittels einer wiederkehrenden Dateisperre abgesichert, so ist der Pflegevertrag sittenwidrig und damit nichtig.« (LS)
3.2.6 OLG Köln (v. 29.10.1999, CR 2000, 354):
»Eine in eine Standardsoftware eingebaute, dem Käufer verschwiegene Programmsperre stellt jedenfalls dann einen Mangel dar, wenn zu ihrer Beseitigung Systemdisketten erforderlich sind, die sich nur im Besitz der Verkäufer
befinden.« (LS 2)
3.2.7 OLG Frankfurt (v. 14.12.1999, CR 2000, 146; so a. LG Frankfurt
v. 17.12.1998, CR 1999, 147):
»Aktiviert der Lizenzgeber eine Programmsperre, die die Nutzung der
Software auf leistungsfähigerer Hardware unmöglich macht und erklärt, die
Sperre nur aufzuheben, wenn der Lizenznehmer der Änderung des Systemverzeichnisses unter Anfall einer neuen Lizenzgebühr zustimmt, handelt es
sich um eine Drohung.«
3.2.8 LG München I (v. 4.4.2000, CR 2000, 506 (s.a. OLG Köln
v. 9.8.1995, CR 1996, 152, Ziff. 3.2.4)):
Eine Programmsperre zu Registrierungszwecken ist »unzulässig«. Und weiter:
»Sperrt ein Softwarehersteller nach 25-maligem Start die weitere ProgrammFreundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
377
nutzung, wenn der User nicht bestimmte persönliche Daten in Form der Registrierung offen legt und wurde der Benutzer weder auf der Verpackung noch im
Lizenzvertrag auf diese Nutzungsbeschränkung hingewiesen, handelt der
Softwarehersteller sittenwidrig.«
Um diesen Anforderungen zu genügen, müsste der Anbieter auch die datenschutzrechtlichen Voraussetzungen schaffen, z. B. seine Unterrichtungspflichten nach § 4 Abs. 3 BDSG und die Pflicht zur Festlegung der Zwecke nach
§ 28 Abs. 1 Satz 2 BDSG erfüllen.
3.2.9 OLG München (v. 12.10.2000, CR 2001, 11, zu LG München I
v. 4. 4. 2000, CR 2000, 506):
Zumindest ohne ausdrücklichen Hinweis für den Kunden ist eine Programmsperre zu Registrierungszwecken wettbewerbswidrig.
Als Zwischenergebnis lässt sich festhalten, dass Sperren nach altem Recht
überwiegend als Mangel qualifiziert wurden. Den »Tausch«, Daten gegen Freigabe, hat das LG München (Ziff. 3.2.8) besonders klar gesehen und als rechtswidrig auch deshalb charakterisiert, weil Datenschutzbelange des Betroffenen
tangiert sind. Insofern sah das Gericht die Registrierung als «Form einer besonders verwerflichen Nötigung durch Ausübung eines psychischen Zwangs«
an. Allerdings ist im Vergleich mit Aktivierungsverfahren in Verbindung mit
einer Sperre festzuhalten, dass die Registrierung der Aktivierungsdaten anonym erfolgen kann (aber wohl nicht erfolgt).
4. CPU-Klauseln
Es gibt Klauseln, die Marly Systemklauseln nennt, wo der Hersteller dem
Kunden es nur erlaubt, die Software auf einer bestimmten Anlage zu verwenden. Diese wird dann durch die Betriebssystemnummer, evtl. eine Gerätenummer, möglicherweise auch durch Raum (Site-Klauseln) näher beschrieben. Eine Notfallklausel gilt für den Fall, dass die erlaubte Maschine einmal
nicht zur Verfügung steht. Die Maschinenbindung ist mit der bei Aktivierung
vergleichbar, dient allerdings vor allem dazu, bei Übernutzung zusätzliche
Vergütung zu erhalten: Will der Anwender die Software auf eine größere
Maschine verbringen, soll er dafür zahlen (Upgrade).
Die wohl herrschende Meinung ist, dass eine solche CPU-Klausel allenfalls
bei einem Mietvertrag wirksam ist, wobei auch dann noch besondere
Anforderungen gelten (OLG Frankfurt v. 14.12.1999, CR 2000, 146, Ziff. 4.2).
4.1 OLG Frankfurt v. (10. 3. 1994, CR 1994, 398):
Das Gericht rügte vor allem, dass zwar offensichtlich unterschiedliche
Freundesgabe Büllesbach 2002
378
Schneider
Lizenzgebühren je nach CPU-Ausbaustufe als ausschlaggebender Faktor zu
entrichten seien, was dem Gericht aber nicht hinreichend deutlich genug dargelegt erschien (I. Instanz: LG Frankfurt v. 17.12.1998, CR 1999, 147 – CPUKlausel und Programmsperre).
4.2 OLG Frankfurt/Main (v. 14. 12. 1999, CR 2000, 146):
»Eine CPU-Klausel in AGB, nach der dem Verwender und Lizenzgeber eine
erhöhte Lizenzgebühr trotz fehlender und nicht gewollter Ausschöpfung einer
erhöhten Rechnerkapazität durch den Lizenznehmer zustehen soll, ist unwirksam.« Die Klausel wäre ansonsten nach Ansicht des OLG, anders als bei Kauf
(Ziff. 4.1), wirksam gewesen, weil es sich um einen Mietvertrag handelte. Die
Klausel scheiterte hier an mangelnder Transparenz, dazu noch unter Ziff. 8.
5. Dongle
Die meisten Entscheidungen zu Dongles waren solche, die im Wettbewerbsverhältnis das Programm zur Aufhebung des Schutzes durch den Dongle zum
Gegenstand hatten. Inwieweit der Dongle selbst vertragsgemäß ist, kann daraus nicht unmittelbar abgeleitet werden. Allerdings war das OLG Karlsruhe
(Ziff. 5.4) der Ansicht, dass die Änderungen des Computerprogramms, die den
Kopierschutz ausschalten, nicht unter den bestimmungsgemäßen Gebrauch
fallen. Daraus kann man rückschließen, dass der Dongle wohl zum bestimmungsgemäßen Gebrauch gehöre, was allerdings nicht zwingend ist.
Es ist unklar, ob der Dongle zur Software gehört oder nicht. Ist er Teil der
Software, muss sich auch das Fehlerberichtigungsrecht des Anwenders darauf im Falle von Störungen erstrecken. Ist er nicht Teil der Software, evtl. nicht
vertraglich vereinbart, ist seine Umgehung urheberrechtlich nicht relevant,
solange nicht die vertraglichen Befugnisse des Anwenders überschritten werden. Die Gerichte sahen dies anders:
5.1 LG Mannheim (v. 20.1.1995, CR 1995, 542):
»Die Beseitigung oder Umgehung einer Dongle-Abfrage ist durch §69 d UrhG
gerechtfertigt, wenn das Programm infolge der Abfrage nicht störungsfrei
läuft.« (LS 1). Anderer Meinung ist das OLG Karlsruhe, s. unten, Ziff. 5.4.
5.2 OLG München (v. 22. 6. 1995, CR 1996, 11):
»Es verstößt gegen die guten Sitten im Wettbewerb, wenn ein Wettbewerber
ein Programm (hier ein Dongle-Umgehungsprogramm) anbietet und/oder verFreundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
379
treibt, das auch dazu geeignet ist, eine unberechtigte Nutzung fremder Software zu ermöglichen.« (LS 2)
Vorinstanz LG München I v. 1.12.1994, CR 1995, 669 mit dem Zusatz, dass
die Wettbewerbswidrigkeit auch dann besteht, »wenn das Programm eine
Vielzahl weiterer selbstständiger Teilprogramme enthält, bei deren Vertrieb
kein Verstoß gegen § 1 UWG ersichtlich ist.«
5.3 BGH (v. 9. 11. 1995, CR 1996, 79; s.a. Raubenheimer, CR 1996, 69):
»Zum überwiegenden Interesse an der Vollstreckung eines Urteils, das gegen
einen Schuldner auf Unterlassung und Auskunftserteilung erkennt, der ein
Computerprogramm zur Umgehung der Sicherung eines anderen Computerprogramms vertrieben hat.«
5.4 OLG Karlsruhe (v. 10.1.1996, CR 1996, 341 (anders als LG Mannheim,
Ziff. 5.1)):
»1. Nachträgliche Veränderungen eines Computerprogramms, die bewirken,
dass ein anderer, wesentlicher Teil des Programms ausgeschaltet wird,
fallen nicht unter den bestimmungsgemäßen Gebrauch (§69 d Abs.1 UrhG).
2. Die Entfernung der Dongle-Abfrage in einem Computerprogramm ist
nach §§ 69 c Nr. 2, 97 Abs. 1 UrhG unzulässig.« (LS 1 + 2)
5.5 LG Düsseldorf (v. 20. 3. 1996, CR 1996, 737):
»1. Die Beseitigung der Dongle-Abfrage stellt eine zustimmungspflichtige
Bearbeitung im Sinne von § 69 c Satz 1 Nr. 2 UrhG dar.
2. Die Ausschaltung der Dongle-Abfrage ist nicht als bestimmungsgemäßer
Gebrauch (§ 69 d Abs. 1 UrhG) zu qualifizieren, auch § 69 f. Abs. 1 UrhG
legitimiert eine solche Handlung nicht.« (LS 1 + 2)
5.6 BGH (v. 24. 2. 2000, CR 2000, 656 – Programmfehlerbeseitigung):
Nicht unmittelbar zu Dongle und dessen Problemen, wenn dieser stört bzw.
mangelhaft ist, jedoch zu deren Lösung verwertbar, ist eine wenig beachtete
BGH-Entscheidung zu den (urheberrechtlichen) Mindestrechten des Nutzers.
Danach kann dem Nutzer nicht einmal in einer Individualvereinbarung das
Recht auf Fehlerbeseitigung genommen werden. Allenfalls kommt in Betracht, dass der Anwender zunächst dem Anbieter Gelegenheit zur Abhilfe
bietet.
Freundesgabe Büllesbach 2002
380
Schneider
6. Neue Vertriebswege und Leitlinien in der EU
Die Europäische Kommission hat »Leitlinien für vertikale Beschränkungen«
mitgeteilt (ABl. v. 13.10.2000, C 291/1). Für Software relevant sind darin die
Ziffern (40) und (41).
(40) »Vereinbarungen über die Lieferung von Kopien einer Software auf
einem materiellen Träger (›Hard Copy‹) zum Zwecke des Weiterverkaufs, mit
denen der Wiederverkäufer keine Lizenz für irgendwelche Rechte an der
Software selbst erwirbt, sondern lediglich das Recht, die Kopien weiter zu verkaufen, sind im Hinblick auf die Anwendung der Gruppenfreistellungsverordnung als Vereinbarungen über die Lieferung von Waren zum Weiterverkauf
anzusehen. Bei dieser Form des Vertriebs besteht das Lizenzverhältnis nur
zwischen dem Inhaber der Urheberrechte und dem Nutzer der Software, der
gegebenenfalls mit Öffnen der Verpackung des Softwareprodukts gezwungen
wird, eine Reihe von Bedingungen zu akzeptieren.«
(41) »Käufer von Hardware, die mit urheberrechtlich geschützter Software
geliefert wird, können vom Rechtsinhaber dazu verpflichtet werden, nicht
gegen das Urheberrecht zu verstoßen, indem sie z. B. die Software kopieren
und weiter verkaufen bzw. i.V.m. einer anderen Hardware verwenden. Derartige Beschränkungen sind, soweit sie unter Art. 81 Abs. 1 fallen, nach der Gruppenfreistellungsverordnung freigestellt.«
Rz. (40) betrifft wohl die sogenannten Shrink-Wrap- bzw. Click-WrapVerträge, ohne dass darüber entschieden wäre, ob diese Verträge nach deutschem Recht richtig »einbezogen« sind. Die Rz. (40) zielt wohl v.a. auf den Vertrieb, den man bei Hardware analog »Kisten schieben« nennen würde.
Tatsächlich trifft aber keine der beiden Rz. in reiner Form auf die bisherigen
OEM- und Autorisierungsverfahren zu.
Rz. (40) erfordert, dass eine Vereinbarung über die Lieferung von Kopien einer
Software auf einem materiellen Träger (»hard copy«) zum Zwecke des Weiterverkaufs erworben wird und dabei der Wiederverkäufer keine Lizenz für irgendwelche Rechte an der Software selbst erwirbt. Dieses Erfordernis ist beim OEM
z.B. nicht erfüllt, da er die Software auf dem Rechner aufspielen und insofern
sein Vervielfältigungsrecht haben muss, gegebenenfalls auch für die Konfiguration, das Herstellen der Sicherungskopie, auch wenn diese keine echte Sicherungskopie sein sollte (weil sie wieder mit einer Sperre versehen ist).
Die Alternative bietet die Rz. (41). Diese scheint auf OEM gemünzt zu sein,
weil sie von »Käufer von Hardware, die mit urheberrechtlich geschützter
Software geliefert wird«, spricht. Die Regel besagt jedoch nur, dass diese
Käufer verpflichtet werden können, nicht gegen das Urheberrecht zu verstoßen, indem sie z.B. die Software kopieren und weiter verkaufen bzw. in
Verbindung mit einer anderen Hardware verwenden. Letzteres wird man wohl
nicht so verstehen können, dass das Loslösen von dem Rechner verboten
wäre, sondern die Software kopiert wird und sie anschließend auf einer anderen Hardware verwendet wird, also eine verbotene Vervielfältigung vorgenommen wird (a. M. zu Vorstehendem: Moritz, MMR 2001, 94).
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
381
Z.B. lautet ein Teilstück aus einem XP-Händlervertrag sinngemäß:
Gegenstand im Rahmen der Begrenzungen dieses Lizenzabkommens sind
folgende Rechte des Händlers begrenzt auf:
– Vorinstallieren des Softwareprodukts auf einem Kundensystem
– Verbreitung direkt oder indirekt und sublizenzierend gegenüber einem
Endkunden entsprechend der EULA für jedes Produkt wie folgt:
1) das vorinstallierte Produkt
2) eine Kopie des Softwareprodukts auf einem externen Datenträger wie
von Authorized Replicator erworben und
3) eine COA und eine APM.
In anderem Zusammenhang wird dann darauf hingewiesen, dass beim
Kunden eine Sperre nach 50-maligem Laden einsetzt (entsprechend dem
Sachverhalt LG/OLG München Ziff. 3.2.8, 3.2.9):
»Gemäß den Bedingungen dieses EULA wird der Gebrauch des Produkts
auf 50-malige ›Launches‹ des Produkts beim Enduser begrenzt, wenn nicht der
Enduser das Produkt mit ... in der Weise aktiviert, die im Produkt selbst während des Starts (Launch) beschrieben wird.«
Der Händler wird dem Kunden mit in gleichen oder im wesentlichen ähnlichem Hinweis in klarer Weise versorgen, bevor dieser das Produkt erwirbt,
z.B. in Anzeigen, Verpackung oder Material am Punkt des Kaufs. Die entsprechende Klausel, zu deren Vereinbarung man verpflichtet wird, lautet:
»Bestimmte Softwareprodukte des Herstellers einschließlich dieses
Computers können technologische Maßnahmen zum Kopierschutz enthalten.
In einem solchen Fall werden Sie nicht in der Lage sein, das Produkt zu nutzen, wenn Sie nicht vollständig entsprechend dem Produktaktivierungsverfahren vorgehen. Das Produktaktivierungsverfahren und die Privaty Policy
des Herstellers wird detailliert während des Startvorgangs des Produkts dargelegt oder auch bei bestimmten Vorgängen der erneuten Installation oder
Rekonfiguration und sie wird vervollständigt auf dem Wege des Internets oder
Telefon, wobei Gebühren anfallen können.«
Relevant ist in diesem Zusammenhang wohl v.a. der Beitrag von Moritz,
MMR 2001, 94. Unklar bleibt, auf welcher Rechtsbasis Händler, die auch aufspielen, vorkonfigurieren usw., dies tun, wenn sie, wie Moritz meint, keine
Rechte außer dem Recht der Weitergabe haben. Völlig unklar ist, wie der
Händler sich vom Anspruch auf Erfüllung des Kunden diesem gegenüber
befreien kann, wenn er nicht selbst über die Aktivierungstechnologie und das
-verfahren verfügt. Vor Freischaltung ist Erfüllung nicht denkbar. Auf die
Unterscheidung Mangel/ Erfüllung kommt es angesichts des Nacherfüllungsanspruchs des Kunden nicht an. Da unklar ist, wann genau die Aktivierung –
nach Änderungen an der Hardware – wieder erforderlich ist, dürfte ohnehin
eine Aktivierungserfordernis nicht wirksam vereinbart sein. Ohne wirksame
Vereinbarung ist das Aktivierungerfordernis mit sonst drohender Sperre eine
vorsätzliche Pflichtverletzung, die schon parallel zum Mangelanspruch zum
Schadensersatz gegenüber dem Kunden, etwa wegen Betriebsstillstand, verpflichtet (§ 280 BGB).
Freundesgabe Büllesbach 2002
382
Schneider
7. Ablieferung von Software per Download
Auch ein Vertrag über Software, die per Download »geliefert« wird, ist (bei
Rechtseinräumung auf Dauer gegen Einmalentgelt) nach den Bestimmungen
des Kaufvertragsrechts zu beurteilen (BGH v. 18.10.1989, CR 1990, 24). Dabei
kommt es nicht auf eine Vermögensverschiebung, insbesondere auf eine
Vermögenseinbuße des Verkäufers an, sondern vielmehr auf die Vermögensmehrung des Käufers (s. Busse, CR 1996, 389). In seiner Entscheidung vom
18.10.1989 stellte der BGH fest, dass unabhängig davon, ob ein Datenträger
übergeben worden ist oder ob Software durch Überspielung auf die Festplatte
des Käufers übertragen wird, der eigentliche Zweck des Kaufvertrages über
Software der ist, die Software für den Käufer auf dessen Computer nutzbar zu
machen. Der Datenträger wird deshalb als »Mittel zum Transport« bezeichnet.
Anders als bei Sperre und Aktivierung dienen Keys und ähnliche Einrichtungen beim Download nur dazu, dass der konkrete Vertragspartner die Software sicher auf anderem Wege als dem der körperlichen Übergabe mit Datenträger erhält. Allerdings stellen sich eine Reihe von Fragen bzw. sind im Vertrag wichtige Maßgaben zu vereinbaren, damit Erfüllung nachweislich erfolgt
ist und Vergütung erfolgreich verlangt werden kann. Die wesentlichen Aspekte sind orientiert an der konventionellen Art der Leistungserbringung (BGH v.
4.11.1987, NJW 1988, 406; BGH v. 22.12.1999, CR 2000, 207):
– Übergabe, Zeitpunkt und Nachweis,
– Gefahrübergang, Zeitpunkt,
– Verfügbarkeit im Machtbereich des Kunden i.V.m.
– Erfüllungsort (Rechner des Kunden, von dem aus der Download erfolgt;
s. a. Holzbach/Süßenberger in: Moritz /Dreier (Hrsg.), Rechtshandbuch
zum E-Commerce, Köln 2002, C, Rn. 352).
Wenn anders als bei Übergabe eines Datenträgers der Download gleichzeitig
zur Installation führt, ist auch die Ablieferung erst mit der Installation auf dem
empfangenden Rechner abgeschlossen. Dies ist wichtig auch für
– Untersuchungs- und Rügepflicht des Kunden,
– Beginn der Verjährungsfrist für Mängel,
– Fälligkeit der Vergütung bzw. kein Zurückbehaltungsrecht des Kunden mehr.
Wichtig ist, dass wohl kein Versendungskauf vorliegt (s. a. Holzbach/Süßenberger, in: Moritz/Dreier (Hrsg.), Rechtshandbuch zum E-Commerce, Verlag Dr.
Otto Schmidt, Köln 2002, C, Rn. 352). Unklar ist, ob eine Holschuld vereinbart
werden kann, wobei wohl die Übermittlung des für den Download erforderlichen Keys nicht schon die eigentliche Erfüllungshandlung ist.
Vorsorglich könnte der Anbieter vorsehen, auf Anforderung die Software
auch auf Datenträger zu übermitteln. Dies kann sich insbesondere im Hinblick
auf die Dokumentation empfehlen.
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
383
8. Transparenzgebot
Für die IT-Branche bewirkt die Schuldrechtsmodernisierung eine Fülle von
Neuerungen und Problemen der Vertragsgestaltung und -handhabung
(Bartsch, CR 2001, 649; Goldmann/ Redecke, MMR 2002, 3; Koch, CR 2001, 569;
Schneider, ITRB 2001, 242 (RegE); Thewalt, CR 2002, 1; von Westphalen, NJW
2002, 12; Ziegler/Rieder, ZIP 2001, 1789):
Die Schuldrechtsmodernisierung bietet der IT-Branche mit der Kodifizierung des Transparenzgebots eine besondere rechtliche Herausforderung. Die
Kodifizierung des Transparenzgebotes umfasst auch Leistungsbestimmungen
und Vergütungsregeln. Beide knüpfen bei Software häufig an technische
Gegebenheiten, die nur zum Teil in AGB und /oder Leistungsbestimmungen
adäquat bzw. überhaupt geregelt sind.
Das Transparenzgebot erfordert klare (und deshalb kurze) und deutliche
(und deshalb einfache) Formulierungen.
Dies erzeugt ein Spannungsverhältnis zum neuen Begriff des Sachmangels
bei Kauf, der detaillierte Regelungen zur Beschaffenheit zur Absicherung des
Lieferanten gebietet.
8.1 Eine Aktivierungsklausel lautet in aktuellen Anzeigen etwa wie folgt:
»Produktaktivierung bei Wechsel von Systemkomponenten oder Neuinstallation erforderlich.« Evtl. steht dies noch im Kontext bzw. in der gleichen
Zeitung, wo für das Produkt, hinsichtlich dessen die Produktaktivierung in der
Annonce des Händlers angegeben ist, in der Annonce des Herstellers: »Alles
wird leichter« (relevant im Hinblick auf § 434 Abs. 1 Satz 3 BGB).
Da es sich insoweit um Angaben des Herstellers und des Händlers handelt,
die zusammen gesehen werden müssen, dürfte die Aktivierungsklausel allein
als nicht transparent erscheinen, weil sie die Tatbestände nicht genau
beschreibt, sind aber die beiden Aussagen zusammen so zu verstehen, dass
eine der beiden Aussagen falsch ist. Ist die Klausel unwirksam, ist die Aktivierung ein Mangel (nicht vereinbarte Beschränkung). Die Unwirksamkeit kann
sich daraus ergeben, dass die beiden Aussagen nicht zusammenpassen, sich
vielmehr widersprechen (§ 305c BGB 2002). Allerdings kann sich für den Kunden als günstig erweisen, dass alles leichter wird und insofern eine gewährleistungsrechtlich relevante Aussage zur Beschaffenheit vorliegt. Ansonsten
kommt es zur weiteren Prüfung, ob die Klauseln auch transparent sind.
Freundesgabe Büllesbach 2002
384
Schneider
8.2 § 307 BGB 2002 behandelt das Thema Transparenz mehrfach:
8.2.1 Transparenz von ABG (§ 307 Abs.1 Satz 2 BGB 2002)
Im Regierungsentwurf zur Schuldrechtsmodernisierung war vorgesehen, dass
in § 307 BGB die »Inhaltskontrolle« gegenüber § 9 AGBG um eine weitere
Fallgruppe erweitert wird. Danach wäre eine unangemessene Benachteiligung im Zweifel anzunehmen gewesen, wenn eine Bestimmung »nicht klar
und verständlich ist« (§ 307 Abs. 2 Nr. 3 BGB-RegE, Stand 9. 5. 2001).
Durch Übernahme der Beschlüsse des sechsten Ausschusses erfolgte eine
systematische und redaktionelle Änderung, die im Ergebnis die gleiche Wirkung haben kann.
Zunächst erfolgt die entsprechende Regelung in Abs. 1 des § 307 BGB 2002:
»Eine unangemessene Benachteiligung kann sich auch daraus ergeben,
dass die Bestimmung nicht klar und verständlich ist« (§ 307 Abs. 1 Satz 2 BGB
2002.
Danach würde es zwei grundsätzliche, abstrakte Arten der unangemessenen Benachteiligung geben, nämlich die
– »entgegen den Geboten von Treu und Glauben« (Abs. 1 Satz 1) und dass
– eine Bestimmung nicht klar und verständlich ist.
Gemäß der endgültigen Gesetzesfassung kann sich aus Intransparenz Unwirksamkeit ergeben, muss aber nicht. Vorzugsweise ist zu prüfen, ob im Rahmen der Unklarheitenregelung ein für den Kunden günstiges Ergebnis erzielt
wird, das ihm nicht über Unwirksamkeit wegen Intransparenz genommen
werden soll (sinng. Begründung des sechsten Ausschusses).
8.2.2 Weitere Ausprägung des Transparenzgebots
Die zweite Ausprägung des Transparenzgebotes betrifft Leistungsbeschreibungen und Vergütungsregeln, die ebenfalls unwirksam sein können, wenn
sie nicht klar und verständlich formuliert sind.
Die Tragweite der Regelung gem. § 307 Abs. 1 Satz 2 und Abs. 3 Satz 2 BGB
2002 ist nicht klar abzuschätzen. Die Schuldrechtsmodernisierung ist vom Gedanken des Verbraucherschutzes geprägt, nicht zuletzt durch die Verbrauchsgüterkaufrichtlinie. Weiter wurde an vielen Stellen versucht, den Stand der
bisherigen Rechtsprechung aufzugreifen und einzubauen, so etwa bei culpa in
contratendo und positiver Vertragsverletzung. Es darf deshalb angenommen
werden, dass zumindest keine geringeren Anforderungen an die Transparenz
zu stellen sind, als nach den bisherigen Kriterien der Rechtsprechung.
Ein Satz wie: Dies ist eine Lizenz, kein Kaufvertrag, wird sowohl als unklar
als auch als undeutlich anzusehen sein. Er darf auf keinen Fall bei der vertragstypologischen Einordnung herangezogen werden, obwohl genau dies
wohl intendiert wäre.
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
385
8.3 Leistungsbeschreibung und Transparenzgebot
Grundsätzlich sind Leistungsbeschreibungen AGB-fest, bislang § 8 AGBG. Für
sie gilt aber auch das Transparenzgebot.
8.3.1 Änderung im AGB-Recht
Eine entsprechende Regelung fehlte im Schuldrechtsmodernisierungsentwurf vom 9.5.2001. Laut Synopse sollte § 8 AGBG funktionell durch § 307
Abs. 3 RegE ersetzt werden, und zwar ohne inhaltliche Änderungen. Der ursprüngliche Text sollte lauten:
Abs. 1 und Abs. 2 mit Ausnahme der Regelung des Abs. 2 Nr. 3 – Transparenzgebot – i.V.m. Abs. 1 sowie die §§ 308 und 309 gelten nur für Bestimmungen in AGB, durch die von Rechtsvorschriften abweichende oder diese
ergänzende Regelung vereinbart werden.
Die endgültige Fassung lautet:
»Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in AGB, durch die von Rechtsvorschriften abweichende oder diese
ergänzende Regelungen vereinbart werden. Andere Bestimmungen können
nach Abs. 1 Satz 2 i.V.m. Abs. 1 Satz 1 unwirksam sein.«
Die Änderung gegenüber dem RegE mit der oben zitierten Ergänzung bei
§ 307 Abs. 3 Satz 2 BGB-Entwurf bewirkt, dass Leistungsbestimmungen und
Vergütungsregelungen, die an sich nicht unter die Inhaltskontrolle fallen würden, dies insoweit tun, als sie nicht klar und verständlich sind, obwohl bzw.
auch wenn sie nicht von Rechtsvorschriften abweichende oder diese ergänzende Regelungen enthalten.
Im Zusammenhang mit Leistungsbeschreibungen und deren Einschränkungen sind im Onlinebereich v.a. die beiden Entscheidungen des OLG
Köln und des BGH zum Online-Service einer Bank von besonderem Interesse.
8.3.2 OLG Köln (v. 14. 4. 2000, CR 2000, 537):
Das OLG Köln hatte sich mit zwei Klauseln aus dem Online-Vertrag zu befassen. Die eine (Klausel Nr. 7) betraf die Sperrung aus wichtigem Grund, die
nach diesen AGB jederzeit erfolgen konnte. Dazu waren einige Beispiele aufgeführt. Das OLG Köln befasste sich ausdrücklich auch mit dem Transparenzgebot, zitierte dies kurz gemäß Brandner in Ulmer/Brandner/Hensen, AGBGesetz, 8. Auflage, Rz. 87 und 89 zu § 9 AGBG, um dann gemäß dieser Fundstelle auszuführen:
»Um den Anforderungen des solcher Art zu definierenden Transparenzgebots zu genügen, muss jede Rechte oder Pflichten des Vertragspartners regelnde Bestimmung so gestaltet und formuliert sein, dass jener über seine
Rechte und Pflichten nicht in die Irre geführt werden kann.«
Freundesgabe Büllesbach 2002
386
Schneider
Vor diesem Hintergrund wurde die fragliche Klausel Nr. 7 als unwirksam erachtet. Hingegen wurde die weitere Klausel, Nr. 9, v. OLG Köln als AGB-rechtlich nicht zu beanstanden angesehen. Diese lautete: »Aus technischen und
betrieblichen Gründen sind zeitweilige Beschränkungen und Unterbrechungen des Zugangs zum .... Bank-Online-Service möglich.« (OLG Köln v.
14. 4. 2000, CR 2000, 537).
Die inhaltliche Nähe zu Software-Klauseln wie »Die Software kann mit
einem Kopierschutz versehen sein«, »Nach Auswechseln von Komponenten
kann erneute Aktivierung erforderlich sein«, »Produktaktivierung bei Wechsel
von Systemkomponenten oder Neuinstallation erforderlich« o.ä., ist unverkennbar. Sie dürfte allein deshalb unwirksam sein, weil nicht darauf hingewiesen wird, was ansonsten die Folge wäre.
8.3.3 BGH (v. 12.12.2000, CR 2001, 181):
Der BGH erachtete die klauselmäßige Zugangsbeschränkung der Klausel Nr. 9
als unwirksam und zwar wegen Verstoßes gegen § 11 Nr. 7 AGBG. Dabei spielte also v.a. eine Rolle, dass die fragliche Klausel auch den Fall groben Verschuldens umfasst. Der BGH bestätigte ausdrücklich die Auffassung des OLG
Köln, dass die fragliche Klausel nicht lediglich der Beschreibung tatsächlicher
Zustände dient, sondern den Umfang der vertraglichen Leistungspflicht einschränkt. Zur Abgrenzung gegenüber Regeln, die unter § 8 AGBG fallen, führt
in diesem Zusammenhang der BGH weiter aus:
»Gemäß § 8 AGBG gelten die §§9 bis 11 AGBG zwar nur für Klauseln, die
von Rechtsvorschriften abweichen oder diese ergänzen, so dass bloße Abreden über den unmittelbaren Gegenstand der Hauptleistung der gesetzlichen
Inhaltskontrolle ebenso wenig unterliegen wie Vereinbarungen über das vom
anderen Teil zu erbringende Entgelt (ständige Rechtsprechung, .........).
Derartige Leistungsbeschreibungen enthalten aber nur Klauseln, die Art,
Umfang und Güte der geschuldeten Leistung festlegen. Hingegen unterliegen Klauseln, die das Hauptleistungsversprechen einschränken, ausgestalten
oder modifizieren, der Inhaltskontrolle (............).«
Die fraglichen Klauseln enthielten keine kontrollfreie Beschreibung der von
der Beklagten im Online-Service geschuldeten Hauptleistung. »Vielmehr wird
die versprochene Hauptleistung, der nach den Feststellungen des Berufungsgerichts rund um die Uhr eröffnete Zugang der Kunden zum Online-Service,
zeitweise eingeschränkt« (BGH v. 12.12.2000, CR 2001, 182).
8.3.4 OLG Frankfurt (v. 14.12.1999, CR 2000, 146):
Das OLG Frankfurt hatte in der älteren Entscheidung (s. oben Ziff. 4.2) im
Zusammenhang mit einer CPU-Klausel den fraglichen Vertrag als Kaufvertrag
qualifiziert und in der Folge die nicht mit Kaufrecht vereinbarenden RegelunFreundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
387
gen als unwirksam erklärt, wonach die dem Anwender aus Eigentum zustehende Freiheit beliebiger Nutzung durch eine Bindung der Programmnutzung
an eine Zentraleinheit eingeschränkt wird (OLG Frankfurt v. 10.3.1994, CR
1994, 398 aus LS 1).
In der Entscheidung vom 14.12.1999 hatte das OLG Frankfurt den Vertrag
als Mietvertrag qualifiziert und grundsätzlich die CPU-Klausel, wonach bei
Umstieg auf höhere Rechnerkapazität eine höhere Vergütung zu zahlen ist, als
wirksam gestaltbar angesehen, nicht jedoch für den konkreten Fall. Diese
Unwirksamkeit begründete sich damit, dass die Vergütung auch dann anfallen
sollte, wenn der Kunde die erhöhte Rechnerkapazität nicht ausschöpfen kann
oder nicht ausschöpfen will (in diesem Fall durch die Partitionen; OLG
Frankfurt v. 14.12.1999, CR 2000, 146).
Also stellt die Klausel eine unangemessene Benachteiligung dar, nach der
dem Verwender und Lizenzgeber eine erhöhte Lizenzgebühr trotz fehlender
und nicht gewollter Ausschöpfung einer erhöhten Rechnerkapazität durch den
Lizenznehmer zustehen soll (OLG Frankfurt v. 14.12.1999, CR 2000, 146 (LS 3).
8.3.5 Upgradeklausel
In vielen Softwareverträgen wird die Software nicht zwingend an ein
bestimmtes System gekoppelt, dem Nutzer also nicht verboten, überhaupt die
Software auf eine andere Maschine zu verbringen. Teilweise wird immerhin
deutlich gemacht, dass es »nur« um eine Zusatzvergütung geht, wenn die
Software auf einen anderen, aber größeren Rechner mit größerer Kapazität zu
verbringen ist. Richtigerweise würde diese Vergütungsregelung als Upgrade
bezeichnet. Hierbei handelt es sich, wenn die Klausel richtig ausformuliert ist,
nicht um eine nutzungsintensitätsabhängige, weitere Vergütung, sondern um
eine Art Vergünstigung gegenüber dem Neuerwerb der »passenden«, evtl.
wesentlich teureren weiteren Software für die große Maschine.
Insofern sollten CPU- gegenüber Upgradeklauseln genau abgegrenzt werden. Sie werden aber bei den AGB oft vermischt. Dann heißt es sinngemäß
ähnlich wie auch in der Entscheidung des OLG Frankfurt:
»Der Kunde ist ausschließlich berechtigt, die Software am im Softwareschein angegebenen Installationsort auf der im Softwareschein festgehaltenen Hardware (Systemverzeichnis) zu benutzen.
Die zusätzliche Nutzung auf weiteren Rechner erfordert jeweils den
Abschluss eines separaten Systemverzeichnisses. Das selbe gilt bei Verwendung anderer Rechner mit größerer Kapazität (sog. Upgrade). .........« (Etwas
verändert zitiert aus OLG Frankfurt v. 14.12.1999, CR 2000, 146).
Hierbei besteht ein Widerspruch auch zwischen der ausschließlichen
Berechtigung, die Software am Installationsort und der angegebenen
Hardware zu benutzen und der Variante, dass ein Rechner größerer Kapazität
eingesetzt wird. Wenn damit zugleich die Nutzung auf dem alten Rechner aufgegeben wird, wäre auch nach dem dritten Satz kein Neuerwerb erforderlich.
Freundesgabe Büllesbach 2002
388
Schneider
8.4 Weitere Beispiele
Weitere Beispiele der AGB- und Transparenzkontrolle zeigen, dass die
Vertriebskonzepte auf sehr unsicherer Grundlage stehen.
Besondere Aufmerksamkeit verlangt die nun gesetzlich verankerte Transparenzregelung bei Klauseln, die wie Leistungsbeschreibungen oder Leistungsbestimmungen aussehen, die aber bei genauerem Hinsehen Leistungsbeschränkungen enthalten oder eine entsprechende Wirkung entfalten können.
Im Hinblick auf das Transparenzgebot ist aber v.a. das Zusammenwirken dieser Klauseln, die für sich gesehen evtl. nicht problematisch erscheinen, im
Rahmen des Gesamtvertrages bzw. mit den anderen Klauseln zu prüfen. Dies
betrifft v. a. Verträge mit einer eigenen, für sie geschaffenen Terminologie.
8.4.1 »Lizenz« als Vertragstyp
Die Klausel »Das Softwareprodukt wird lizenziert, nicht verkauft.« ist aus verschiedenen Gründen – vorsichtig ausgedrückt – problematisch. Hier soll nur
der Aspekt der Transparenz beleuchtet werden. Die Hardware, auf der solche
Software mit aufgespielt ist, wird verkauft. Die Software wird mitverkauft und
mitgeliefert. Der Kunde liest nach Vertragsschluss und Lieferung, dass er zur
Software (nur) eine »Lizenz« erhalten hat. In diesem Zusammenhang heißt es
z. B. im Rahmen einer – ohnehin unwirksamen – Fiktion wie oben schon erwähnt: »Sie erklären sich damit einverstanden, durch die Bestimmungen dieses EULAs gebunden zu sein, indem Sie das Softwareprodukt installieren,
kopieren, downloaden, darauf zugreifen oder es anderweitig verwenden. Falls
Sie sich damit nicht einverstanden erklären, sind der Hersteller und ....
(Lizenzgeber) nicht bereit, das Softwareprodukt an Sie zu lizenzieren.«
8.4.2 Fiktion
Abgesehen davon, dass eine solche Klausel ohnehin keine Wirkung entfalten
kann, wenn sie nicht wirksam einbezogen ist, woran erhebliche Zweifel bestehen, stellt sich folgendes praktische Problem:
Die Einverständniserklärung erfolgt durch Installieren, Kopieren, Downloaden, Zugriff oder anderweitige Verwendung. Wie die Nicht-Einverständniserklärung erfolgen soll, bleibt unklar. Dies könnte im Umkehrschluss dadurch
erfolgen, dass man das Softwareprodukt nicht installiert, nicht kopiert usw.
Andererseits wird hier der Eindruck erweckt, dass erst durch die Handlungen,
die dort beschrieben sind, die Lizenzierung, also der Akt der Rechtseinräumung erfolgen würde.
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
389
8.4.3 Miete?
Dem entspricht dann unter der Überschrift »Softwareproduktlizenz« der zitierte Satz, das Softwareprodukt wird lizenziert, nicht verkauft.
Was eine Lizenz ist, ist unklar. Klar ist aber, dass durch die Ablehnung gegenüber dem Begriff »Kauf« (Ziff. 8.4.1) offensichtlich etwas anderes gemeint
sein muss. Es darf also nicht, so jedenfalls nach den AGB, das gleiche
Ergebnis durch Auslegung des Begriffs »Lizenz« erzeugt werden, das mit Kauf
bezeichnet würde. Dies läßt sich kaum anders interpretieren, als dass die
Software nicht dauerhaft überlassen wird. Tatsächlich enthalten die AGB keine
Angabe zur Dauerhaftigkeit der Rechtseinräumung.
Das vom BGH entwickelte zweite Kriterium, das kumulativ mit der dauerhaften Rechtseinräumung verbunden sein muss, nämlich die Einmalvergütung, spielt in diesem Zusammenhang keine Rolle. Infolge dessen kann es sich
bei dem Differenzierungsmerkmal nur um die Dauer der Rechtseinräumung
handeln. Die fragliche Klausel lässt unklar, was mit »Lizenz« gemeint sein
könnte. Infolge dessen sind auch die Regeln, die oben zitiert wurden, wonach
das Einverständnis mit dem Lizenzvertrag durch bestimmte Handlungen erklärt wird, entsprechend unklar. Der größere nächste Abschnitt ist überschrieben »Lizenzgewährung«. Es besteht die Gefahr, dass aufgrund der oben erwähnten Eigenarten, dass nämlich mit Lizenz etwas anderes als Kauf gemeint
sein muss, der gesamte unter Lizenzgewährung stehende Text deshalb unwirksam ist, weil er in keiner Weise klar und deutlich ist.
8.4.4 Programmsperre und Leistungsbeschreibung
Es kann sich bei einer Programmsperre wie erwähnt außer um Nichterfüllung
oder Mangel auch um positive Vertragsverletzung handeln – wobei die
Entscheidung des BGH vom 25.3.1987, NJW 1987, 358 – Programmsperre II –
nur mit Vorsicht heranzuziehen ist, weil dort die Programmsperre dazu diente, einen für den Kunden nachteiligen Vertrag zum Abschluss zu bringen. Um
dem Verdikt zu entgehen, dass die mit einer nicht vereinbarten Programmsperre versehene Software Nichterfüllung bzw. positive Vertragsverletzung
darstellt bzw. über Gewährleistungsrecht, v.a. in Zukunft (weil vorsätzlich eingebaut) schadensersatzpflichtig macht, könnte die Lösung ergriffen werden,
auf die Programmsperren im Vertrag hinzuweisen.
Nach den obenstehenden Ausführungen würde es sich dabei nicht um
reine Leistungsbeschreibungen, sondern Beschränkungen handeln. Jedoch
käme es darauf im Rahmen von § 307 Abs. 3 Satz 2 BGB 2002 nicht an, wenn
die Klauseln ohnehin nicht klar und deutlich sind. Wenn eine AGB-Klausel das
Vorhandensein von Sperren vertraglich absichern soll, dann muss diese
Klausel (klar formuliert sein und) deutlich machen,
– worin die Sperre und ihre Wirkung besteht,
– wann bzw. unter welchen Voraussetzungen die Wirkung eintritt und
– wie die Wirkung zumindest im Notfall zu beseitigen ist.
Freundesgabe Büllesbach 2002
390
Schneider
8.4.5 Aktivierung
Fehlen solche Regeln, hat der Kunde laut AGB nicht die Möglichkeit dauerhafter Herrschaft über die Software, womit Kaufrecht (auch nicht Werkvertragsrecht) nicht vereinbar wäre. Aber auch bei Mietvertrag bzw. einem nach
Miete zu beurteilenden Vertrag müsste ein entsprechender Hinweis klar erfolgen.
Folgende Klausel erscheint vor diesem Hintergrund z.B. höchst problematisch, um nicht gleich zu sagen, unwirksam zumindest wegen fehlender
Klarheit:
»Bestimmte Softwareprodukte des Herstellers können technische Maßnahmen zum Softwareschutz enthalten. In einem solchen Falle können Sie das
Softwareprodukt nicht nutzen, wenn Sie sich nicht vollständig an die vorgeschriebenen Prozeduren halten.« (Verpflichtung in AGB des Lizenzgebers als
Vorgabe in OEM-Vertrag, entsprechende Klauseln im Vertrag mit dem
Endkunden und dem Händler zu verwenden.)
Eine solche Prozedur kann z.B. die »Aktivierungsprozedur« sein. Diese ist
nicht in den AGB beschrieben, auch nicht ein einem beigefügten Schreiben.
Allenfalls wird beim Start des Programms bzw. dessen erneuter Installation
oder Rekonfiguration des Computers vor dem Einsetzen der Sperre gewarnt
und zur Aktivierung aufgefordert, wobei noch dazu Berater- und Telefongebühren (bei Problemen benutzen die installierenden Firmen beim Kunden
andere als die toll-free-Telefonleitungen) anfallen können, auch wenn die AGB
das Gegenteil besagen.
Abgesehen von dem oben schon erwähnten Befund, dass ohnehin diese
AGB nicht einbezogen sein dürften, sind sie nicht klar und deutlich (s.a. oben
Ziffer 3.1). Sie sagen nicht, welche Voraussetzungen die Sperre hat, also was
genau die Aktivierungen erfordert.
8.4.6 Einbeziehung
Die vorzitierte (leicht veränderte) Klausel steht evtl. nur oder auch im Vertrag
zwischen Hersteller und Händler. In diesem Fall kann sie durch einen
Hauptvertrag einbezogen sein. Dann stellt sich das angedeutete Problem erst
recht, wenn die Aktivierungsprozedur eine technische Leistung ist, deren Ausgestaltung nicht näher beschrieben ist und die auch v.a. nicht garantiert ist.
Die Produktaktivierungs-Prozedur kann z.B. aus telekommunikativen Gründen
zu bestimmten Zeiten Schwierigkeiten bereiten oder scheitern. Das Problem
stellt sich dann ganz ähnlich wie beim »24-Stunden-rund-um-die-UhrService« der Bank. Infolge dessen kommt es evtl. nicht auf die Klarheit und
Deutlichkeit an, weil es sich nämlich insoweit um eine Leistungsbeschränkung handelt.
In die entsprechende Richtung gehen die Entscheidungen gem. 3.2.8 und
3.2.9 (LG München I v. 4. 4. 2000, CR 2000, 506, wobei noch die Besonderheit
Freundesgabe Büllesbach 2002
Rechtliche Konzepte für den Softwarevertrieb
391
war, dass das Gericht darauf abstellte, dass der Benutzer weder auf der
Verpackung noch im Lizenzvertrag auf diese Nutzungsbeschränkungen hingewiesen wurde; OLG München v. 12. 10. 2000, CR 2001, 11).
8.5 Nutzungsintensitätsabhängige Vergütung
Software-Vergütungssysteme können wirksam nur dann die Vergütung von
der Nutzungsintensität und eventuellen Kapazität des zugrunde liegenden
Rechners abhängig machen, wenn der zugrunde liegende Vertrag als Mietvertrag bzw. als Vertrag eigener Art und somit als Lizenzvertrag qualifiziert werden kann (BGH v. 3.6.1981, NJW 1981, 2684 – Programmsperre I).
Als Vorgabe für Software-Vergütungssysteme in Abhängigkeit von
Nutzungsintensität und Kapazität gilt aber:
Bei der vertragstypologische